Assuredが定期的にフォーマット(質問表)を改定する理由
こんにちは。クラウドリスク評価「Assured(アシュアード)」を運営する株式会社アシュアード 代表取締役の大森です。
2022年の6月頃に、クラウドサービスのリスク評価(セキュリティチェック)に関連し以下の記事を書いたところ、想像を超える多くの方々に読んでいただき、大変光栄に感じています。
前置き(今回の記事を書いた背景)
記載の通り、これまでのセキュリティチェックの仕組みは個社間でそれぞれ独自の質問表(EXCELなど)に基づきアナログに行われるもので、評価者・回答者双方の負担が重いものでした。
そこで私たちAssuredは、第三者目線からクラウドサービスのリスク評価を行い、その結果を一元化したプラットフォームを創ることで、双方の負荷を軽減し、クラウドの安全かつ迅速な普及に寄与したいと考えています。
この世界を目指すにあたっては、各社のセキュリティ担当者様から「Assured上にある情報を見れば安心だよね」と仰っていただけるくらい、高品質な調査・評価情報をお届けしていく必要があります。
そして高品質な情報を提供していくための手段のひとつとして、Assuredではリスク評価に用いるフォーマット(質問表)を定期的に改定しています。
一方で、改定は様々な方からのご理解・ご協力のもと成り立っていますので、具体的にどのような背景から、どんな目的で改定しているかを丁寧にお伝えさせていただければと思い、記事を書きました。
主にはAssuredをご活用中あるいはご検討中の企業様に向けた記事になりますが、宜しければ御覧ください。
質問表の基本的な構成
Assuredの評価フォーマットはNISTやISO、経済産業省、総務省、FISCなど、国内外の複数のフレームワーク・ガイドラインを参考にしつつ、質問項目に落とし込む上では以下のような点に気をつけながら作成をしています。(一例)
時流に合っていない設問は削除する
リスクベースでみた時に共通する質問は統合する
回答するクラウドサービス事業者様側がわかりやすい表現・答えやすい表現に修正する(セキュリティ業界の専門用語を最小化する)
回答に応じて設問を分岐できるようにしておき、不要な回答を最小化できる仕組みにしておく
結果として、2022年11月5日現在では約120問の質問表を用いてクラウドサービスのリスク評価を行っています。
定期的にフォーマットを改定している理由
一方で、実は今の質問表は、マイナーアップデートも含めると第14版にあたり、2022年1月末の正式リリース以降も四半期に一度くらいの頻度で質問の追加・削除・修正などの改定を行っています。
一般的に、各社のセキュリティチェックシートの改定頻度は多くても年に1度、ほとんどが数年に1度くらいであることを考えると、更新頻度は高いかと思います。
もちろん、不必要に修正を行っていることはなく、具体的には以下のようなことを背景に行っています。
ガイドライン・法律の改定・世の中の変化
クラウド利用企業様からのフィードバック
クラウドサービス事業者様からのフィードバック
それぞれについて、もう少し詳しく説明させてください。
ガイドライン・法律の改定
2022年だけでも様々な変化がありました。
例えば4月には改正個人情報保護法が施行され、7月にはFISCが金融機関等に向けて出している「金融機関等コンピュータシステムの安全対策基準・解説書」の第10版が発刊されました。
また、つい先日、10月31日には総務省の「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)」第3版が公表されるなど、日々目まぐるしく変わり続けています。
Assuredではこうした様々なガイドラインや法律の変化を逐一キャッチアップし改定時に盛り込んでおり、Assuredを導入いただくきっかけにもなっています。
クラウド利用企業様からのフィードバック
サービスページに掲載の企業様を一例として、Assuredは数十名から数万名まで、幅広い規模の企業様にご利用をいただいていますが、特に、規模の大きな企業様では、元々独自の質問表を作成しリスク評価をされているケースが多い傾向にあります。
そのため、Assuredを導入頂く前後で、お客様がこれまで使われていた質問表とAssuredのフォーマットを対照し、以下のような点を項目単位で確認しています。
お客様の質問表で聞けておらず、Assuredで聞けているもの
お客様の質問表にあるが、Asssuredで聞けていないもの
特に2.の場合については、お客様のご不安にも繋がりかねないため、何度も対話を重ね以下のような観点から分類していき、本当に必要と判断した項目のみ追加を行っています。
追加対応を行うケース
Assuredでカバーできていないケース
最近のインシデント事例や業界内のヒヤリハットなど、各社・各業界の独自知見に根付くもの
追加対応を行わないケース
別質問でカバーできているケース
リスクベースで考えると他の質問で補完できている場合
質問として不要なケース
時流にあってないもの、クラウド向けでないもの
各企業様からの声を集合知化し質問表を磨き上げていける点はAssuredの強みである一方、「お客様の質問表にあるから」と無作為に質問を足していくと、不要な質問が増えていき、回答するクラウド事業者様側の負荷が上がることはもちろん、正しいリスク評価を行えなくなるため、細心の注意を払いながら対応を検討しています。
クラウドサービス事業者様からのフィードバック
通常、個社間で行われるセキュリティチェックのやり取りは、質問表の作成者と回答担当者が直接会話をすることは殆ど無く、多少わかりにくい質問があったとしても、質問の意図をなんとなく解釈し単発のやり取りとして終えられる事が多いのではないでしょうか。
Assuredでは、質問表を作成したセキュリティ専門チームが直接クラウドサービス事業者様と向き合いレビューを行うため、直接得られたフィードバックを元に、質問表をアップデートしていくことが可能です。
また、Assuredのサービス特性上、回答結果を何度も活かしていただける仕組みですので、回答担当の方も真摯に向き合って下さり、日々たくさんのフィードバックをお寄せいただいております。
クラウド事業者様の回答負荷を最小化する仕組み
このように、大変ありがたいことに日々多くのフィードバックをいただき改善を重ねていますが、同時にどうしてもクラウドサービス事業者様の回答負担増加に繋がってしまうと考えております。
そのため、以下のような点をはじめ、少しでも負荷を軽減できるような工夫を講じています。
改定頻度を一定に抑える
サービスの正式リリース前は頻繁に行っていましたが、現在は四半期に一度程度に集約し行っています。
改定前の事前アナウンスを強化
クラウドサービス事業者様の回答・情報更新タイミングと重ならないように、前倒しての告知や、特に影響の大きな事業者様への個別フォローの実施
過去の回答情報を極力引き継げるように開発
新規に回答いただく部分を極力最小化できるように、開発面で工夫を凝らしています。
改定内容・理由などの説明を強化
「なぜ改定するのか」「具体的にどこがどう変わったのか」など、クラウドサービス事業者様に納得感を少しでもお持ちいただけるように説明を強化しています。(例:2022年11月4日に行った改定告知)
このあたりの負荷軽減策はまだまだ工夫余地も大きいと思いますので、引き続き模索をしていきたいと考えています。
最後に
正式リリースから約半年ほどが経過し、ようやく、セキュリティ基準の高い大手企業様や金融・保険機関様からも採択いただける水準まで、リスク評価のレベル・仕組みが高まりつつあります。
これも偏に、サービスに共感し活用いただいているクラウドサービス利用企業様、そして回答を下さっているクラウドサービス事業者様の皆さまのお陰です。いつも本当にありがとうございます。
発展途上のサービス故に、どうしてもご不便をおかけする点があるかと思いますが、誠心誠意サービスの向上に努めていき、1日も早く、個別のセキュリティチェックシートのやり取りが不要となる社会を作っていければと考えておりますので、皆さま引き続きどうぞよろしくお願いいたします。