グループ全体のガバナンス強化の一歩へ。
事業拡大を後押しする安全なセキュリティ体制の実現

弊社は商品企画から製造・物流・販売までを一貫して自社でプロデュースすることに加え、これらを支えるITシステムの内製化にも力を入れてきました。ですが、企業規模の拡大に伴い、ビジネス要求に応えるIT活用の必要性が高まったことで、SaaSをはじめとするクラウドサービスの導入が増加しました。その結果、情報セキュリティ室としては利用するSaaSがセキュリティリスクの無い状態で正しく利用できているか、そしてそれを常に確認できる状態にする必要がありました。 

その上で課題は大きく二つありました。一つは、従来のセキュリティ評価体制では様々なツールを横断してコミュニケーションフローが構築されていたため、情報が分散・属人化していたことです。そのため、案件別の状態、判断条件などが個人に依存しており、他担当者への運用拡大が難しい状態となっていました。

二つ目は、導入されているSaaSの全量が把握できていなかったことです。利用中のサービスを管理するリストは存在していましたが、SaaS以外のサービスも含まれており、SaaSに特化した情報が管理されていませんでした。そのため、本来把握しておくべき情報が正しく認識できていない状態でした。

基本的にはSaaS等外部サービスを利用する際は申請制で対応していました。申請されたもののうち、個人情報が取り扱われるものや利用方法が不明瞭なものなど、セキュリティリスクが懸念されるようなサービスを優先的にチェックするようにしていました。
チェックシートは利用部門とベンダー企業様分それぞれあり、確認事項がある場合は利用部門を通じてコミュニケーションを取っていたのですが、ベンダー企業様側に私たちが確認したいことが正しく伝わっているのか、という不安は正直ありましたね。

また、申請を行う利用部門側はセキュリティの専門的な知識が豊富なわけではないので、シートに記載されている内容が不十分なこともあり、内容の確認に対し多くの工数がかかっていました。
さらに別の観点では、申請は必須としていたわけではなかったため、把握できていない、いわゆるシャドーITの課題もありました。

先ほどお伝えした通り課題は明確だったので、まずは外部サービス導入時の利用申請フローの見直しをおこなうプロジェクトを立ち上げました。その中で、改めて目指すべき姿や目的を再整理したうえで、評価方法を見直すことになり、Assuredが理想的な運用を実現するための一部の役割を担ってくれるであろうと判断し導入を決めました。

Assuredに期待していた点は大きく三つです。

まず一つ目に、クラウドサービスの最新状況を常に把握できる点です。
クラウドサービスは日々アップデートされていくため、その都度セキュリティリスクを確認する必要がありますが、数多くあるクラウドサービス一つ一つの最新情報を自分達で取得していくのは非常に工数がかかります。
Assuredでは、リスク評価を実施したクラウドサービスにおいて、セキュリティ情報が更新された場合は通知を受けとることができ、常に最新状況を把握できる点に魅力を感じました。

二つ目に、セキュリティガイドライン・フレームワークに基づく第三者による専門家評価を得られる点です。
Assuredで用いられるセキュリティチェックシートは、NISTやISO27001、経済産業省や総務省のガイドラインに基づいた網羅的な項目であったこと、さらに、その回答内容をセキュリティの専門家によって評価し、そのレポートを取得できる点にメリットを感じました。これまでは担当者個人の判断に頼らざるを得なかったところが、第三者による視点を得られるため、客観性が高く、統一化された基準での評価が可能となり、より安心してクラウド導入を進めることができると考えました。

三つ目に、属人的な体制から脱却できる点です。
これまで、Excelやメールなどで情報が点在化していたところが、Assuredで一元管理することによって、特定の担当者の知識や情報に依存しない形で、複数の社員で分担できる体制を整えることができると思いました。

また、利用申請フローの見直しに加え、これを機に外部サービスの管理台帳を自社システムとして新設しました。この台帳を用いて、各サービスの利用状況の管理や、操作ログ情報の集積、加えてAssuredによるリスク評価情報も管理しています。そうすることで、導入しているSaaSの全量の把握、そして必要な情報を管理できる環境づくりを実現することができました。

台帳でSaaSを正しく把握するには、まず既存で持っていたサービスデータを綺麗にする必要があったので、利用部門も巻き込みながらデータクレンジングを進めていきました。今まで管理していた台帳は、サービス名が正式名称ではなかったり、利用者が最新情報になっていない状態が多く、情報の最新化や整理が大変でしたね。元々作業自体は一人での対応で見込んでいたのですが、あまりにも件数が多く現実的じゃないぞ、と。千単位で存在するサービスを複数人で整理した記憶があります。

また、申請フローの見直しでは、SaaSの導入時だけでなく利用開始後の情報も最新性を保つ必要があったので、申請から管理に至るまでの一連のフローを再整理し、その中の評価部分でAssuredを組み込むようにしました。

Assuredの調査結果レポートでは該当のクラウドサービスの評価点数とその理由が詳細に確認できるのですが、それに対し私達が利用して問題ないかどうかの判断基準がなかったため、利用可否判断基準の取り決めも行いましたね。実はこの判断基準のベースは、アシュアードさんからのご支援や定期的に実施されているセミナー等も参考にしていきました。
私達の事業特徴を踏まえた項目の優先度は設けながらも、一番は評価をする際に軸がぶれないよう、基準はシンプルにすることを意識しました。

さらに、この運用を定着させるために定期的に社内向けの説明会もおこないました。運用の内容だけではなく、そもそもなぜクラウドサービスの評価を行う必要性があるのか、という根本的なセキュリティに対する考え方や我々のスタンスを伝え、その上で具体的な運用ルールを伝えていくというものです。それこそ「クラウドサービスとは」といった基本的なテーマも取り扱いながら、わかりやすく、自分ごととして捉えてもらうことを意識していました。

運用負荷が削減できた、というよりは、「元々手が回らなかったところに手が回るようになった」という感覚に近いです。

SaaSの評価における判断基準を設けることができたので評価業務の属人化が解消され、評価要員の拡大が可能になり、結果として評価案件数が増加し、安定した運用を実現することができました。その結果、今まで手の届かなかったグローバル子会社に対しても評価運用を取り入れることができました。

また、Assuredによる第三者評価に基づいた上で利用部門側とコミュニケーションが取れるようになったことも良かったですね。判断軸に客観性を持たせることができ、説明がしやすく、納得感を感じてくれているように感じます。

利用部門においても、チェックシート対応に係る工数が削減できた事は大きな効果があったと思っています。これまでベンダー企業とのやり取り等に多く割いていた時間を、本来業務に充てることができる環境整備に寄与できたのではないかな、と。

加えて、Assuredはサービス提供だけでなく、評価結果レポートやセキュリティリスクレベルに対する考え方、クラウドセキュリティの概念を学べるセミナー等が頻繁に行われており、とても有り難かったですね。ただサービスを入れて終わり、ではなくAssuredを自社の運用に沿って活用するための方法を検討するヒントに繋がる場がある安心感もありました。

ある程度仕組み化はできたので、より評価の精度を上げていきたいと思っています。あとは、海外も含めた評価体制はさらに強化していきたいと考えています。Assuredの多言語対応可能範囲が広がると嬉しいですね。

また、弊社はシステム自体のセキュリティ評価に加えて、システム内に保有する情報のリスクを合わせて総合的に評価しております。Assuredがシステムだけでは無く保有情報も合わせた場合の総合評価にまで踏み込むサービスを展開頂けると、更なる進化を感じるなと思います。