セキュリティチェックシートの工数削減にチャレンジしてみた
はじめましての人も、そうじゃない人も、こんにちは!
GO株式会社 IT戦略部 セキュリティグループの小林です。
昨年6月に入社し、社内のセキュリティマネジメントを担当しております。
本日は、to B向けの自社サービスを開発している企業であれば、一度は受け取ったことがあるであろう、セキュリティチェックシートの対応工数を削減したことについてお話ししようと思います。
なお、当社は『GO BUSINESS』という法人向けサービスを提供しており、本記事は『GO BUSINESS』におけるセキュリティチェックシートの対応工数削減を実施した内容となっております。
セキュリティチェックシートの対応に悩んでいる情シス、SREやプロダクトマネージャーの方々やお客様から依頼を受ける営業の方々に読んでいただけたら嬉しいです。
そもそもセキュリティチェックシートとは?
これからクラウドサービスを導入しようとしている企業が、本当にそのサービスは安全ですか?という質問をドキュメントにまとめ、ベンダーへ記入依頼するものを指します。
企業によっては、セキュリティアンケート、クラウドサービスの評価と称するケースもあります。
なぜ取り組もうと思ったのか
わたしはGO株式会社へ転職する前も to B向けクラウドサービスのベンダーで、セキュリティを担当しておりました。
そのため、この記入対応が本当に大変であり、情シスをはじめ、SREやプロダクトマネージャーの工数がどれだけとられているかを嫌と言うほど知っていました。
前職では優先順位が上がらず効率化に挑めなかったという悔しさもあったこと、効率化を行うことで損をする人はいないということが分かっていたこともあって、転職して割とすぐチャレンジすることを決めました。
どうしてセキュリティチェックシートの対応は大変なのか?
各社フォーマットがバラバラ
まず、これが皆さんを苦しめている一番の問題だと思うのですが、記入を依頼されるドキュメントのフォーマットが本当に多種多様で、一度たりとも同じものを見たことがありません。
だいたいのケースはExcelで作られているのですが、マルバツで回答することもあれば、ひたすら文章を書いて回答させるケース、条件付き書式が組まれていて、1つの質問の回答次第で後続の質問が変わるケースなどもあります。
なお、条件付き書式が組まれている場合、Googleドライブへアップロードした瞬間に書式が壊れるところまでがセットです。(笑)
質問数が膨大
簡単なものは10問程度の質問にまとめられているケースもございます。
ですが、大半の企業は50〜100問程度あり、加えて外資企業から送られてくるドキュメントは英語です。
国語の問題
単純に数が多い、フォーマットが異なるだけであれば、そこまで困ることはなかったでしょう。
ですが、各企業、答えてほしい内容のゴールは同じなのに、質問文が異なり、読解が難しいものもチラホラ。
そして、よくあるのが、クラウドサービスのセキュリティのことを確認したいのか、コーポレートセキュリティ状況を確認したいのか、どちらか読み取れない質問文も多々あります。
といったことから、国語の問題を解いている気分になりますし、AIでの自動化も難しいです(実験済み)。
Before
これまで当社の対応としては以下の流れであり、回答を断ることはなく全て受け入れ記入していました。
①営業担当が受け取り、対応依頼のチケットを発行
②チケットを受け取ったIT戦略部が中身を確認
③SREとプロダクトマネージャーに対応を依頼
④各自回答、回答までは3〜4週間程度
当然ですが、2週間で!というような依頼も来たりするので、回答数が多いプロダクトマネージャーは疲弊気味です。
After
事前準備
まずは、セキュリティチェックシートの効率化を行ってる他社事例をかき集め、そのうちの2社へ簡単にヒアリングをさせていただきました。
メリットやデメリット、運用方法などを伺い、それらをまとめた提案資料を元に、関係者とキックオフしました。
フォーマットを決める
自社のセキュリティを公開しているケースでは、IPAが提唱している「安全なWEBサイトの作り方」に準じたチェック項目に実施の有無を回答するか、経済産業省が以前に提唱していた「クラウドサービスのセキュリティ評価」の質問に回答するか、または両方を回答するかのパターンがほとんどでした。
そのため、これまで数々のセキュリティチェックシートを回答してきたSREとプロダクトマネージャーに、「安全なWEBサイトの作り方」と、「クラウドサービスのセキュリティ評価」におけるチェック項目を見せ、当社はどのようにすれば効率化ができるかを相談。
結果、過去に聞かれたことが多い「サービスの仕様」と「コーポレートセキュリティ」に焦点を当てて当社のフォーマットを作ることにしました。
サービスの仕様については、経産省が以前に提唱していた「クラウドサービスのセキュリティ評価」に書かれている確認項目を参考にし、コーポレートセキュリティについては、IPAが提唱している「情報セキュリティ対策ベンチマーク」を参考にして作成しました。
運用を決める
情報の提供方法と対象を決める必要もあります。
これまでも、セキュリティチェックシートの依頼をいただいた企業様とはNDAを締結した上でお渡ししておりましたが、その流れは引き続き行うこととし、依頼を受けたらNDA締結をし、当社のフォーマットをお渡しすることとしました。
また、対応方法を一律とはせず、柔軟性を持たせました。
どうなったか
記入依頼をいただいたら、状況や取引内容などによって以下の対応に分けます。
①当社のセキュリティ状況が記入されたデータ(当社のフォーマット)を提出する
②上記①の内容を見た上で追加の質問等がある場合はお受けする
③これまで通り企業側のセキュリティチェックシートへ回答する
気になる効果についてですが、運用を変更してから約半年、依頼を受けたケースの4割を当社のフォーマットにて対応することができました!(拍手)
クラウドサービスを導入したい側としては、早くセキュリティ状況を確認したいはずですので、お客様側の体験も良くなったと考えられます。
大変だったこと
皆様のご協力もあり、全体を通して、すごく苦労したことはありませんでした。
ですが、このプロジェクトは、我々コーポレートセキュリティ、SRE、プロダクトマネージャー、営業の気持ちが1つの方向にまとまるタイミングが重ならないと、上手く進まないと分かりました。
実は昨年7月、営業側を取りまとめていただいている担当の方に初めて工数削減のことを話した際「まずは、よく聞かれる質問をまとめておくのが良いのでは」という全く乗り気じゃない返答をいただき、一度ペンディングとなったのです。
ですが、3ヶ月後。
逆に営業担当から声をかけていただき、機運が高まりました。
そのため、急ピッチで計画を立て、セキュリティを掌握している取締役をはじめ、関係者の方々に説明を行い、実現することができました。
タイミングをモノにできるかというのが、プロジェクトマネジメントの上で非常に大事だと感じています。
最後に
現在、4割の対応工数削減という着地ですが、今後も貢献できるように関係者と色々話し合ってブラッシュアップしていきたいと考えています。
今後、プロダクトセキュリティも聞かれることが多くなれば、そちらに焦点を当てたフォーマットへの修正も必要だと考えています。
to B向けサービスを展開する企業のセキュリティ担当者は、自分たちも委託先や導入するクラウドサービスのセキュリティを評価しなければなりませんし、依頼が来たら対応しなければなりません。
自分の仕事をラクにしたいのはもちろんですが、従業員の体験も、お客様側の体験も良くできるよう、これからもセキュリティに取り組んでいきたいと思います。
※掲載内容は、2024年5月1日時点の情報となります。
※記載されている会社名、サービス名、製品名、ロゴは、一般に各社の登録商標または商標です。