なぜ、セキュリティチェックシートはなくならないのか

はじめまして、セキュリティチェックシートの一元化に取り組むサービス「Assured（アシュアード）」の事業責任者を務めている大森と申します。

準備期間を含め約2年以上にわたりセキュリティチェックの課題に向き合ってきたことから、本問題について、私見を述べられたらと思い、この記事を書いています。

何か少しでも、同じ問題意識を持たれている方のお役に立てれば幸いです。

そもそも、セキュリティチェックとは

SaaS/ASPの利用（検討）企業様（以下、クラウド利用企業様）とSaaS/ASPの提供企業様（以下、クラウド事業者様）の間で行われる、セキュリティに関するリスク評価業務を指します。

※広義には委託先管理全般で用いられる言葉ですが、本記事では上記に絞り書かせていただいています。

多くは、各クラウド利用企業様毎に保有する、EXCEL等で作成された質問表をクラウド事業者様との間でやり取りする形で行われます。

セキュリティチェックの仕組み

質問表の項目は、少ない場合は数十、多い場合は数百に及び、1度のラリーで終わることもあれば複数回にわたることもあり、長いものだと完了までに数ヶ月を要します。

そうしたやり取りが、社会全体で行われています。

社会全体を俯瞰してみた時の図

既存のセキュリティチェック手法を巡る声

そんなセキュリティチェックに関して、先日のサイボウズ青野様のツイートが大きな反響を呼んでいます。

日本のIT業界の生産性を下げる一因となっている「セキュリティチェックシート」。業界を挙げて効率化できないかとSAJ（ソフトウェア協会）で意見交換中。興味のある方、いらっしゃいますかねー。https://t.co/d0J5aGqeZ8

— 青野慶久/aono@cybozu (@aono) June 16, 2022

セキュリティチェックにおける悩み

本プロセスは、クラウド利用企業様、事業者様双方にそれぞれ悩みが存在します。

<クラウド事業者様視点>

クラウド事業者様視点の課題

商談過程で、クラウド利用企業様内のサービス利用担当（部門）の方から依頼を受ける形で突発的にスタートすることが多く、回答に際しては広域なプロダクト・セキュリティ知見が求められることから、相応の体制が求められます。

具体的には、スタートアップでは主にCTO等要職を担う方が担当し、数百名規模の組織でも開発MGRやセキュリティ・情報システム部門が横断的に対応することになります。

質問表の様式も様々なため回答の使いまわしが難しく、売上に影響を与えてしまうので、組織によっては目の前の業務よりも優先度を上げて対応することが求められます。

また、多くの場合、お客様と相対する組織と回答に従事する組織が異なるため、問題が閉じてしまい、改善が図りにくい構造になっています。

<クラウド利用企業様視点>

一方、クラウド利用企業様のセキュリティ担当者にも悩みが存在します。

クラウド利用企業様視点の課題

SaaSやASPなどを利用して基幹業務を行ったり、重要情報を預託するためには、適切にサービスのリスクを把握し、マネジメントを行う必要があります。しかし、自社が運営するシステムと比較した時、他社が運営するサービスは、開示情報が限定されており、リスクの把握が困難です。また、昨今はサプライチェーン攻撃の激化により、自社のステークホルダーを適切に把握し、管理していく事が求められています。

また、セキュリティ人材はIT人材の中でも特に不足しているため、限られたリソースでリスクの把握を行う必要があり、多くのクラウド利用企業様では質問表を作成し、利用部門を介して情報収集しリスク評価を行います。

しかし、利用部門からは早急な利用開始を求めらる中で、質問表を元に伝言ゲームのようになってしまい多くの時間がかかってしまったり、リスク評価が不十分なまま利用に踏み切ってしまうこともあります。また、回答自体の信ぴょう性や細かいサービスの特性、利用シーンを想定しリスクを見抜けているか？という点には不安が残ることもあります。

また、サービスの利用開始後はセキュリティ担当の手を離れ、オーナーが利用部門に移ることになりますが、日進月歩、クラウドサービスには新しい機能が搭載され、出来ることが変わり続ける中で、変化し続けるリスクを補足していくことは非常に困難です。

既存の代替手段

＜海外の事例＞

よく、「セキュリティチェックシートの問題は日本だけなのか？」という質問をいただきますが、この問題は日本に限ったものではなく、海外でも同様です。

まず、日本政府が発表したISMAP（政府情報システムのためのセキュリティ評価制度）の元となる仕組みとして、アメリカでは2010年代前半からFedRAMPという仕組みが存在します。FedRAMPは、政府全体で安全なクラウドサービスを利用するためのプログラムで、セキュリティやリスク評価の標準化されたアプローチを提供しています

また、AWSやGCPをはじめ、海外の主要なクラウド事業者様は、毎年1,000万円以上のコストをかけ、監査法人よりリスク評価を受け、SOC2レポートを取得しています。

そのほか、国際的な非営利法人である「クラウドセキュリティアライアンス(CSA)」はセキュリティチェックシートの共通規格を作成し公表していたり、CSAやISO等のフォーマットに基づき自社で作成したチェックシートを簡単に公開できる「whistic」というサービスをはじめ、あの手この手が講じられています。

一方で、私が知る限り決定版と呼ばれるような手法は存在しません。

＜国内の事例＞

日本においても、実は1999年頃より安心安全なクラウドサービスの利用推進を目的とした取り組みが行われてきました。

具体的には、特定非営利活動法人ASP・SaaS・IoTクラウドコンソーシアム（略称：ASPIC）が総務省と合同で「ASP・SaaS・クラウド普及促進協議会」を立ち上げ、クラウドサービスの情報開示認定制度など、安全なクラウドを認定する仕組みを推進してきました。

その他にもISMSやISO27017等の国際規格や、経産省や総務省の発行するチェックシートやガイドラインも存在し、これらを元にセキュリティチェック対応の効率化を図るケースもあります。

そして数年前にはISMAPが策定・運用開始され、今年にはSaaS版のISMAPとして、ISMAP-LIUの運用が開始される見込みです。

また、民間企業の取り組みとしては、サイボウズ様やヌーラボ様、SmartHR様など一部のクラウド事業者様では、セキュリティに関して積極的に情報開示を行うことで、個別回答の最小化に取り組まれており、中には個別回答を有償化する事業者様も存在します。

ただ、前述の通り受注（売上）という力学が働く中、有償化に踏み切ることのできるクラウド事業者様は限定的で、私が知る限りにおいて各社の情報開示も魔法の杖とはいかない状態です。

課題解決のセンターピンは何か

これだけ充実した認証制度が存在し、情報開示を率先して行うクラウド事業者様が生まれ始めた中で、なぜこの問題が残り続けるのでしょうか。

私なりの結論としては、こうした制度や施策は一定の効力を発揮つしつつも、クラウド利用企業様からみた時に使いにくさが残り、運用を置き換えきれない印象を持っています。

具体的には、クラウド利用企業様の目線で見た時に、一律かつ効率的にリスク評価が行える仕組みの構築が必要であり、そのためにはその仕組みづくりはもちろん、その仕組みを元にクラウド利用企業様のリスク評価手法自体を変えていくことが欠かせないと考えています。

セキュリティチェックの在り方を変えることが難しい背景

Assured（アシュアード）の取り組み

私たちAssured（アシュアード）は上記のような仮説に基づき、「クラウド利用企業様が安心できる第三者評価情報の提供」を通じて、このプロセスを根本から変えようとしています。

Assuredの仕組み

具体的な仕組みはシンプルで、各クラウド利用企業様に代わり当社がクラウド事業者様のリスク評価を実施し、その結果をデータベースに一元化しご提供するサービスを提供しています。

その時のポイントは3つです。
①クラウド利用企業様のリスク評価プロセス・基準自体を置き換える
②クラウド事業者様に無料でサービス提供をする
③「OK/NG」ではなく、歩み寄り方をご支援する

①クラウド利用企業様のリスク評価プロセス・基準自体を置き換える

Assuredのフォーマット自体はISO27001やISO27017、NIST SP800-53、経済産業省・総務省ガイドライン、FISC安全対策基準、PCI DSSをはじめ一般的なものをベースに作成しており、導入時にはクラウド利用企業様が保持している独自の質問表とAssuredのフォーマットを1つ1つ照らし合わせ、一元化に取り組んでいます。

同じガイドラインを参考にしていても各企業様毎に設問や言葉の表現が微妙に異なるため、毎日、各クラウド利用企業様が保有する数十・数百という設問表とAssuredのフォーマットを突き合わせながら、「貴社の設問◯◯と、弊社の設問✕✕は同じリスクを想定しているものなので代替できますか？」と、膝を突き合わせながらすり合わせを行い、場合によってはフォーマットに項目を取り込みながら、一元化に徹底的に拘っています。

また、そうした各社のニーズを踏まえたAssuredの独自フォーマットを元に、セキュリティ監査経験者が第三者評価を実施しています。

②クラウド事業者様に無料でサービス提供をする

認証類が普及し難い理由の1つとして、「全ての事業者が掲載されない」点にあると考えています。

例えばSOC2やISMAPは取得・維持に相応の費用が掛かり、また監査対応に要するコストも膨大です。
すると当然、そうした認証を取得できるクラウド事業者様の数は限られ、「一般的に安全そうなサービス」が並ぶことになります。

ただ、クラウド利用企業様からみるとリスクの高いサービスほど掲載されておらず、そのリスクを確認するために独自の質問表が残り続けるので、結果、クラウド事業者様全体がそのモノサシで測られる事になります。

そのためAssuredでは、クラウド事業者様に参画いただきやすい形を取ることで、評価情報の一元化を実現し、結果的にクラウド利用企業様の業務を効率化したいと考えています。

③「OK/NG」ではなく、歩み寄り方をご支援する

セキュリティチェックというと、「使って良いのか・悪いのか」という二元論を想像されがちで、特に受注に影響するクラウド事業者様は回答の方法を悩まれるのが常かと思います。

ただ、実際のところ製品選定においては機能・価格など様々な指標に基づき意思決定されるため、セキュリティチェックの結果が悪いからといって一概に禁止される事は多くありません。

なぜならば、クラウド利用企業のセキュリティ担当者様は、利用部門のサポートをしたいという姿勢の方が多く、評価結果に基づきどうしたらリスクを低減（回避・移転）しながら利用できるかを考えており、実は評価以上にこの点に時間と労力を割いています。

その時、Assuredは双方の歩み寄りをご支援する存在で在りたいと思っています。

Assuredの最大の提供価値

具体的には、クラウド利用企業様には、評価結果に基づいたリスク低減のアドバイスを行い、クラウド事業者様に対しては世間一般のクラウドサービスと比較してどれくらいのセキュリティレベルに位置しているか、どのあたりを改善すべきなのか、などのアドバイスをさせていただいています。

また、クラウド事業者様がセキュリティ対策を強化した場合、速やかにクラウド利用企業様にその旨を通知することができるため、相互の信頼をより深めて頂けます。

この点こそが、評価情報をプラットフォーム化するAssured最大の特長であり、クラウド利用企業者様、クラウド事業者様双方にお届けしたい価値です。

結局のところ、セキュリティチェックとは何なのか

企業が脱皮しDXを実現する過程で生じる「クラウド不信」だと考えています。

総務省の「通信利用動向調査（企業編） 令和2年報告書」でも、クラウドサービスを利用しない理由として、「必要性のなさ」に次いで、「情報漏えいなどのセキュリティ不安」が挙げられています。

社会全体で生産性向上が叫ばれ、デジタル化・DXが求められる世の中において、この不信をいかに解決し、クラウドネイティブな企業を増やしていけるかは、日本の未来を左右する大きな分岐点です。

実際のところ、現時点でセキュリティチェックを行う企業の数は、世の中の企業数全体と比べれば極僅かです。
総務省の「令和3年通信利用動向調査」ではクラウド利用率が7割を超えたものの、多くはGoogle WorkspaceやMicrosoft Officeなど、基幹となる主要なサービスのみを入れている状態で、デジタル活用の本番はここからです。

そのためにも、Assuredはクラウド利用企業様・事業者様双方の信頼関係の構築を支援するプラットフォームとして育てて参ります。
（ロゴマークの「」にも、ダブルチェック・安心・プラットフォームという願いをこめています。）

Assuredに興味をお持ち頂いたクラウド事業者様へ

もし、「なんか面白そうなことをやっているな」と思って頂けましたら、前述の通りいくつかのサービス（機能）を完全無料でご提供しておりますので、ぜひご活用いただけますと幸いです。

お使い頂ける機能

＜Assuredでできること＞

①自社サービスのセキュリティ情報の一元化：Wikiのように複数名で編集し情報を一元管理できる機能
②セルフチェック：100点満点でセキュリティ状態をセルフチェックし、改善計画を立てられる機能
③セキュリティ情報の開示：Assured利用企業様からの情報開示依頼に応える機能（承認制）
④情報共有：Assured未利用の企業様（取引先様など）に登録情報を共有する機能

<④の情報共有機能について>

セキュリティチェックの対応コスト削減に寄与できる機能で、最近使い勝手が更に向上しました。

(ご参考)
勤怠管理システム運営のミナジンが、「Assured」を活用しセキュリティチェック対応コストを7割削減
クラウドリスク評価「Assured」、SaaS事業者のサービスサイト上に「承認制」でセキュリティ情報開示ができる機能を追加

機能自体はクラウド事業者様のセキュリティ情報の開示を支援するもので、短期的な効果は限定的ですが、1社でも多くのクラウド事業者様にAssuredを活用いただくことで、クラウド利用企業様にAssured認知いただき、そこからリスク評価プロセスの変革に繋げていきたいと考えています。

クラウド事業者様にAssuredをご活用頂けると嬉しい理由

詳細についてはこちらを御覧ください。

最後に

長文のところ、最後までご覧頂きありがとうございました。
また、後半は自社サービスに触れている事もあり、PRかとご気分を害されましたら申し訳ございません。

言うは易し行うは難しで、「大手企業のリスク評価プロセスを変えるなんて出来るのか」「理想論ではないか」など、色んなご意見があるかと思いますし、サービスの未成熟さから、ご迷惑をおかけしたクラウド事業者様もいらっしゃったかと存じます。

ただ、1歩1歩着実に前進していますので、描いた未来を実現できるようにチーム一同精進して参ります。

そして何より、大きな商慣習を変えるには、志を共にいただける方の力が必要不可欠です。本記事を通じて、もし少しでもご共感をいただけましたら、ぜひ一緒にこの世の中に一石を投じていただけますと幸いです。

改めまして、この度は記事をご覧いただき誠にありがとうございました。

大森

<ご連絡先>
クラウド利用企業様向け：https://assured.jp/ja/
クラウド事業者様向け：https://assured.jp/ja/provider/
その他：Twitter @atsumori292