クラウドサービスのセキュリティチェックシートは、なぜ必要なのか？

セキュリティチェックシートとは

セキュリティチェックシートは、企業や組織がセキュリティ対策の評価、監査を行うためのツールです。質問やチェックリスト形式で構成され、対象となるシステムやプロセスが一定のセキュリティ基準、ポリシーに適合しているかを確認します。

セキュリティチェックシートは、リスクを特定し、それを管理する手段として知られています。例えば、事前にリスクを把握することで、不正アクセス、データ漏洩、その他のセキュリティインシデントが発生する前に、運用や体制に対策を講じることもできるでしょう。そんなセキュリティチェックシートの概要や実態について解説します。

なお、セキュリティチェックは、委託先管理全般について用いられる用語ですが、本記事では、SaaS/ASPなどのクラウドサービスを対象に活用されるセキュリティチェックシートについて解説します。

セキュリティチェックシートはなぜ必要なのか？

ご存知の通り、近年、クラウドサービスの業務活用があらゆるビジネスシーンにおいて増えています。総務省による『通信利用動向調査 令和4年調査』によると、約7割の企業がクラウドサービスを利活用しており、利用数は増加傾向にあります。また、約9割がクラウドサービス導入の効果を実感しているようです。

一方で、クラウドサービス起因の情報漏えい・インシデントも増加しています。クラウドサービス事業者だけでなく、利用企業にも対策が求められています。クラウドサービスの利用を推進する際には、同時に、リスク評価・管理の仕組みを構築する必要があります。

経済産業省と独立行政法人 情報処理推進機構による『サイバーセキュリティ経営ガイドライン Ver.3.0』では、「3.4.サプライチェーンセキュリティ対策の推進」という項目内で、「対策を怠った場合のシナリオ」として、下記のような言及があります。

クラウドなどの外部サービスを利用したり、自社システムと API 連携で他社のシステムが接続されたりするなど、企業間の繋がり方は多様化している。このような状況において、従来の受発注関係におけるセキュリティ対策のように、相手に提供する情報の保護を要求するのみでは、サプライチェーン由来のサイバーセキュリティリスクへの対策として不十分である。

これに対する対策例としては下記のような項目（一部抜粋）があり、自社と取引先の双方に対するセキュリティチェックの必要性が語られています。

・サプライチェーンに参加する企業の合意のもと、それぞれの企業が実施すべき対策を定め、監査又は自己点検等の実施を通じてその実効性を担保する。
・サプライチェーン内でのサイバーセキュリティリスクに関する情報共有等を行う。
・サプライチェーンにおけるサイバーセキュリティ対策を担保する手段として、第三者による評価検証結果を活用する（認証制度の活用、助言型外部監査の実施等）。

セキュリティ評価プラットフォーム「Assured（アシュアード）」の調査では、7割の企業がクラウドサービスのセキュリティ評価を実施。定期評価を実施している企業は半数以上存在します。

どういった手法で情報収集を行っているか？という質問では、約6割の企業がセキュリティチェックシートを活用していると回答しました。

セキュリティチェックシートの構成

こうした背景があり、セキュリティチェックシートを各社が活用しています。

これらは、自社セキュリティ基準、業界で設けられたガイドライン、優先すべき評価項目などを精査しながら、セキュリティチェックの項目を設計し、それにのっとって調査がされています。

セキュリティチェックシートの項目は、数十問から数百問で構成されます。具体的な内容としては、下記のような項目が挙げられます。

• 可用性、信頼性: サービス稼働率、計画停止予定通知、平均復旧時間など
• データ管理: データの暗号化、バックアップ世代数、、データ漏えい・破壊時の補償など
• 物理的セキュリティ: 施設へのアクセス制御、監視カメラの配置など
• ネットワークセキュリティ: ファイアウォール、VPN、エンドポイントセキュリティなど
• アプリケーションセキュリティ: ソフトウェアのパッチ管理、セキュアコーディングの実践など

企業が属する業界によっては、特定のセキュリティガイドラインを満たすことが求められます。例えば、金融業界では「FISC安全対策基準」が策定されています。また、医療業界でも「医療情報システムの安全管理に関するガイドライン」が策定されるなど、特別な要件が設けられています。

また政府では、「クラウドサービス利用・提供における適切な設定のためのガイドライン（総務省）」や「SaaS 向け SLA ガイドライン（総務省）」の公開など、様々な情報発信を通じて対応を促しています。各社、コンプライアンス遵守のため対応を迫られていることがうかがえます。

セキュリティチェックシートが活用されるタイミング

作成されたセキュリティチェックシートは、下記のようなタイミングで活用されます。

• 新しいシステムの導入時: セキュリティチェックシートを用いて、新しいシステムが企業のセキュリティポリシーと一致するか確認する。
• 定期的な監査: 年1回や四半期ごとなど、定期的な間隔でセキュリティ状態を評価する。
• セキュリティインシデント後: インシデントが発生した後は、再発防止のために詳細なセキュリティチェックを行う。

多くのセキュリティチェックでは、クラウドサービス事業者に回答が依頼されます。事業者側では、セキュリティ担当者や、クラウドサービスの開発者などが分担して回答を作成します。

この回答対応には、相応の時間と労力がかかるため、対応を有償としているケースも存在します。また、記載済みのセキュリティチェックシートやセキュリティ対策状況を自社製品の紹介ページで公開しているケースもあります。

そのほかに、クラウドサービスを利用（検討）している企業が自主的に情報収集して埋めていく場合もあります。

セキュリティチェックシートが埋まったら、優先度や各項目の許容可能なリスクレベルなどの基準に基づいて、評価が行われ、クラウドサービスの利用可否が判断されます。

セキュリティチェックシートの課題

このように各社が苦心してセキュリティチェックシートを設計・活用していますが、「リスクを網羅的に確認できてきるか分からない」「やりとりに工数がかかる」という課題を感じている企業は、実に約8割にも上ります。

実際に、セキュリティチェックのやりとりには、1ヶ月程度を要するケースが多く、クラウドサービスを利用／申請する部門から不満をもらったことがある担当者は70.8％も存在しています。

​​​​​​​

また、IPA（独立行政法人情報処理推進機構）のレポートでも、利用者が十分なセキュリティ情報を取得できず、適切なサービス選定が出来ていない懸念や工数の課題が指摘されています。

（出典: 2022年度 クラウドサービス(SaaS)の サプライチェーンリスクマネジメント 実態調査概要説明資料）

各社から異なる様式で送付されるセキュリティチェックシートに適切に回答することは、事業者にとっても負担です。前述の通り、有償対応や自社サイトでのシートの公開などの対応をしている企業も存在しますが、まだまだ多くありません。

また、シートの回答を依頼する側、それを受領する側の各担当者を介したコミュニケーションによって伝言ゲームが発生し、双方の意図する内容とならないケースや、チェックシートの内容自体がSaaS/ASPではなくIaaSやオンプレミスのサービス、あるいは業務委託契約を対象としているケースなども存在しているようです。

このように、セキュリティチェックシートは、適切な項目で構築することが難しく、またクラウド事業者から意図通りの回答を回収することも難しく、対応には利用者、事業者ともに大きな負担が強いられているという課題が浮き彫りになっています。

セキュリティチェックの正確性と効率性を両立するためには

セキュリティチェックの正確性と効率性を両立するためには、認証を活用する方法です。クラウドサービス利用企業のポリシー設計のなかで、この認証を取得しているサービスなら、特定の項目は回答を求めずOKとする、という取り決めをして運用をすると、わかりやすく効率的な運用ができるでしょう。

一方で、企業によっては特定の認証に頼ることが難しい事情もあることと思います。そのような場合は、第三者によるセキュリティ評価を提供しているサービスの活用を検討することもひとつの手です。

セキュリティ評価プラットフォーム「Assured」では、SaaS/ASPに特化した網羅的な観点で、クラウドサービスの評価情報を提供しています。評価レポートは、クラウドサービス事業者が回答した詳細な内容、有資格者・監査経験者による第三者的な総評・懸念点のコメント、導入基準に活用しやすい点数表示を提供します。

調査にかかるリードタイムは、Assuredのデータベースに存在するサービスの場合は、数営業日から。掲載がないサービスでも、新規の代行調査を依頼できます。国内外の大小様々なサービスに対応しています。

また、評価情報がアップデートされた場合には、通知を受け取ることもでき、定期調査にも活用できるでしょう。2022年のサービス開始以降、DXを推進する大手企業を中心に活用が進んでいます。

セキュリティチェックシートにお悩みの担当者様はぜひ、利用を検討してみてはいかがでしょうか。