第三者による高品質なセキュリティ評価で、持続的・高精度なクラウドサービスの利用審査体制を構築

鈴木様：
私も同じく情報セキュリティ部に所属しており、US拠点のセキュリティ全般を駐在というかたちで担当しています。具体的には、日本で実施しているセキュリティ施策をUS拠点に落とし込む支援を行っており、クラウドサービスの利用においても、日本で定めているルールを、言語や文化の異なるUSに落とし込む対応を行っています。
私は、セキュリティ業界でキャリアをスタートして10年以上になります。アンチウイルス製品のサポートからはじまり、セキュリティコンサルタントを経て、当社に入社しました。

佐々木様：
昨今、半導体製造装置業界全体で、DX推進の動きは顕著です。そのなかで当社は、デジタル技術をてこにした付加価値向上や効率化を推進しており、事業活動において様々な部分で資本効率を向上させようとしています。こうしたデジタル化を進めるうえで、情報セキュリティの確立は必須であり、“DX”と“情報セキュリティ”の両立は重要であると考えています。

また、AIの活用やDX推進が世界中で加速し半導体ニーズも高まっており、サプライチェーン全体のセキュリティを守っていくうえでも、自社のセキュリティ向上は必要不可欠なものであると捉えています。
 

鈴木様：
社会全体でサプライチェーン・マネジメント強化の動きも加速していますので、サプライヤーが求める基準に準拠した対応が必要になってきていると言えますね。

別の観点では、当社自体が、赤坂の本社の他、日本国内に複数のグループ会社があり、さらにUS拠点もあるなかで、それぞれ独立した組織・システムとして動いていたものを統一化していく動きがありました。セキュリティに関してはグループで共通化された標準に基づき、安全性を確保しながらDX推進を支援することが主なミッションとなっています。 

佐々木様：
デジタル化は部門問わず進められており、その手段のひとつとなるクラウドサービスの利用数も著しく増加しています。もはやクラウドサービスはビジネス上必要不可欠なものとなっており、危ないから使ってはだめ、とは言っていられない時代です。クラウドサービスの利用により他社とのつながりが加速度的に増え続けるなかで、各サービスのリスクを特定し、安全な利用を推進することがより一層求められています。特に最近はニーズの高まりを感じており、年間かなりの数のクラウドサービスを利用審査している状況です。

鈴木様：
クラウドサービスの利用においては審査許可制を採用しており、利用部門からIT部門に申請し、確認が完了したクラウドサービスのセキュリティチェックを私たち情報セキュリティ部（以下、審査部門）が担当しています。IT担当者による、投資観点での判断の後、その結果を受け、私たち審査部門で具体的な使用方法、サービス詳細などを丁寧に確認することで審査品質を確保しています。その後、さらにIT部門の上層部に承認がまわっていくため、全部で6〜7ステップのフローが存在しており、すべての承認が完了するまでには、2週間以上かかるケースがほとんどで、場合によっては月単位で時間がかかることもあります。

佐々木様：
プロセスの長さだけでなく、専門性が必要な領域のため審査自体にも時間を要します。審査件数が増え続ける一方で、審査部門の人員は限られているため、担当者一人当たりの負荷が日に日に上がっている状況でした。

また、各ガイドラインの改定への対応にも頭を悩ませていました。特にここ数年、クラウドサービスが社会のスタンダードになるなかで、ガイドラインの改定が発生しています。それらにリアルタイムに対応していくことは非常に負担になっていました。

鈴木様：
セキュリティチェックシートに関しては、利用部門側でクラウドサービス事業者様とやり取りし、回収をしてもらっています。そのため、私たち審査部門だけでなく、利用部門もチェックシートの記入や定期的な棚卸しに時間を要しており、デジタル化を進める度に負担が積み重なっていくというジレンマがありました。

佐々木様：
加えて、利用部門の社員はITやセキュリティの専門知識を必ずしも持っているとは限りません。こちらの聞きたい意図が事業者側に伝わらずに、差し戻しが発生することもあり、利用部門、審査部門、双方の負担になっていました。年々管理すべき対象が増えていくなか、限られた人員で現行のフローを行っていく限界を感じていました。

佐々木様：
他社の社内セキュリティ業務に従事している知人から、クラウドサービスのリスク判定に有用なサービスがあると共有を受けたことがきっかけです。ちょうど鈴木が入社したタイミングとも重なり、2人で話を聞いてみようということになりました。

実際に話を聞いてみると、「これは活用できそうだ」という可能性を感じました。 仮に、私たちの業務を外部に、いわゆるコンサルティングのようなかたちでお願いすると非常にコストがかかります。そんななか、Assuredは、第三者観点でサービスのセキュリティ対策状況を評価し、スコアリングするというのは新しい観点だなと思いました。持続的な体制構築においても有用なサービスなのではないかと感じたのが最初の印象です。

鈴木様：
私も佐々木と同じような感覚を持ちました。もともと、クラウド審査にかかる時間をどうやったら短く出来るかを検討するなかで、収集した情報を分析し、その分析結果を自分たちで判断するのではなく、自動で判断できる仕組みがあればいいなという考えがありました。一方、フリーテキストで回答されるものを自動分析するのはどうしても難しいと悩んでいたタイミングでもあったため、Assuredの話を聞き、Assuredの評価レポートを収集することで、将来的には、判断の自動化の道も切り開けるのではないかと思いました。

佐々木様：
評価レポートのサンプルを拝見し、この品質であればAssuredの評価結果を頼ってもいいと思えたのが大きな理由でした。具体的には、評価が点数化されているため、社内で回覧する際にも分かりやすい点、そして、評価コメントに記載されている懸念ポイントも分かりやすい点が挙げられます。これらの評価を踏まえて、利用部門に気をつけて利用してもらうことで、安全性を高めていけると考えました。

鈴木様：
US視点では、英語対応が可能で、海外サービスも審査の対象である点は魅力的でした。特に私たちの業界はニッチな産業でもあるので、利用するサービスの提供元が海外の場合も多々あります。そのため、日本語対応のみだと、先程お伝えしたようなデータ分析の観点でも不十分になってしまいます。そうした懸念もクリアになったことが大きかったです。

鈴木様：
当社のセキュリティチェックシートはフリーテキストでの回答形式だったので、フリーテキストでしか拾えないポイントがあったらどうしようかという不安がありました。当社がこれまでフリーテキストで確認してきた観点と、Assuredで得られるアウトプットを分析し、どこまでAssuredでカバーできるかを確認したかったというのがあります。

佐々木様：
実際に、Assuredの評価レポートは、当社が確認したい観点を十分に網羅しており、質が高いと感じられた点、そして、先ほど鈴木からもあったように英語対応が可能である点も実際に確認することができました。そのため、Assuredを活用することで、審査にかかる工数もある程度削減できると同時に、品質の高さを維持できることに期待できると判断し、導入（PoCからの全社展開）を決めました。

鈴木様：
あとは、評価の点数が低いクラウドサービスが存在するという事実が、安心材料の1つになりました。利用部門としては、ビジネス上の目的があって利用申請があがってくるなか、セキュリティの理由だけではどうしても却下しづらく、リスクをどこまで許容すべきかの判断が難しい場面が多くありました。それに対して、Assuredは第三者観点で評価をし、スコアリングをしてくれるので、よりフラットに判断ができるようになったのも良かった点です。

佐々木様：
あるクラウドサービスで、評価結果が半日で返ってきたのには驚きました。先方の事業者様がAssured上で回答マスタを持っていたため、すぐに回答いただけたのだと想像していますが、今後さまざまな会社でAssuredの利用が進んでいくことで、私たちにとってもありがたい場面が増えてくるのではないかと、このケースから感じることができました。

鈴木様：
想定外というより、当初より期待していた点ではありますが、審査時間を短縮していける可能性を感じられた部分です。第三者認証の取得状況もデータとしていただけて、この基準を満たしているものはこのくらいの点数（Assuredの評価スコア）ですよといった評価の基準を共有いただけることが良かった点だと感じています。これらの情報を蓄積していくことで、判断にかける時間を短縮できる可能性があると感じています。

佐々木様：
いつもレスポンスはやく対応していただけますし、Assuredのサービス自体の話だけではなく、全社展開時の検討事案などには、コンサルティングサービスのご提案を頂けるなど、当社の抱えている課題へ相談にも乗っていただいたり、まずは話を聞いて提案*してもらえるのは助かっています。
*Assuredが提供するコンサルティングサービスなどを指しています

鈴木様：
導入初期（PoC期間）にレポートの見方や各機能の利用方法を説明いただくミーティング、また、これからリリースする新機能の情報共有や利用方法をレクチャーしていただけるのはありがたいです。なかなか自分たちだけでは情報を追うのは難しいので、機能を学ぶ良い機会になっています。

佐々木様：
Assuredは各クラウドサービスのセキュリティ評価情報をデータベースに集約していく仕組みですので、多くの企業が使えば使うほど、Assuredにナレッジが貯まっていき、それらを私たちも活用できます。品質の高さと同時に、スピード感も高まっていくことに期待しています。

鈴木様：
実現したいこととしては、一定数のデータが集まったタイミングで、セキュリティ分析できるようにしておくことです。当社内でどのようなカテゴリのクラウドサービスを良く利用していて、それに対してどのくらいの点数がついていて、その点数に対して私たちがどのような判断をしたか、ということが分析できれば、審査時間の短縮につながると思っています。そのため、御社にお願いする部分もあれど、私たちの方で改善できることもあると思いますので、双方のアプローチで、クラウド審査のプロセスを改善していければと考えています。

佐々木様：
やはり私たちのような事業会社におすすめしたいサービスです。会社によってはセキュリティに特化した部署がない場合もありますし、このクラウドサービスを使ってよいかどうか、悩まれている方は多いと思います。そういった会社がAssuredの第三者視点での評価情報を得ることで、判断の一つとして活用されるのがいいのではないかと思います。

鈴木様：
現状、Assuredのようなサービスを提供しているところは他にないと認識しています。きっと、私たちと同じ課題感をもっている企業様にはどこにでもささると思いますし、ぜひおすすめしたいと思いますね。