セキュリティチェックシート全171項目のひな型を公開します(Googleスプレッドシート付き)
noco(以下、弊社)ではSaaSを開発しているので、例に漏れず「セキュリティチェックシート」という資料が存在します。このたび、各省庁の文書をまとめ、「セキュリティチェックシート」のひな型を作成したので、公開いたします。
これによって、少しでも開発者の皆さんの負担が減れば幸いです。
背景
「セキュリティチェックシート」というものは顧客から要求されるものですが、その内容は大きく分けて「各社共通のもの」と「顧客ごとに固有のもの」の2つ存在します。
この「各社共通のもの」の由来を推測することで、多くのパターンにおいて回答が求められる項目を洗い出すことができたので、ここに公開しようと思います。
ひな型のスプレッドシートを公開します
早速ですが、以下のGoogleスプレッドシートをご覧ください。
IPA、経済産業省、総務省のセキュリティ関連の文書をとりまとめ、加工・利用しやすい形式で作成しました。
利用する際には「黄色背景」にしている部分を変更すれば、そのまま活用できます。
ひな型を作成した経緯
今まで弊社では「トースターチーム」「ヘルプドッグ」とサービスを開発してきて、数多くのセキュリティチェックシート対応をしてきましたが、それらをまとめると、おおよそ以下の3つの文書を参考に項目が決められていることが多いようです。
IPA(独立行政法人情報処理推進機構)
「安全なウェブサイトの作り方 改訂第7版」 11項目
経済産業省
「クラウドサービスレベルのチェックリスト」 49項目
重複を除く合計 111項目
詳細を集計したわけではありませんが、過去に記載した顧客依頼のセキュリティチェックシートの項目の9割方は、この171項目のいずれかに該当しています。
各省庁の特色があり、以下のような違いがあります。
IPAはアプリケーションに即したもの(内容的にあまりモダンではないものも多い)
経済産業省は特にインフラに関するもの
総務省はセキュリティマネジメントや経営体制に関するもの
おそらく、多くの企業のIT部門はこれらの各省庁の公開文書を参考に、秘伝のタレのごとく独自進化したフォーマットを用意し、現場ではIT部門の要求するフォーマットに合わせるように各ベンダー・SaaS業者にセキュリティチェックシートを要求しているのでしょう。
しかし、セキュリティチェックシートを記載する側は、微妙に異なるフォーマットをにらめっこしながら対応するので、とても精神をすり減らす作業です。
実際、このひな型を作成するために、各文書の経緯をまとめ、同一項目を統合するために、何時間もの時間がかかりました。
このひな型を利用することですべての顧客の要求に応えられるわけではありませんが、ほとんどの項目はコピペで済むようになるので、とてもメンテナンスが楽になると考えられます。
また、副次的な効果として、共通項目のひな型が浸透すれば、要求する顧客側のシート作成者の目にもとまり、より統一したセキュリティチェックシートへの発展も見込めるかもしれません。
まとめ
最近では、「AIを使ってセキュリティチェックシートを自動で埋める」ような技術が開発されているらしいですが、まだしばらく普及までは時間がかかりそうです。こういったひな型が普及すれば、少なくとも昔の自分はとても助かったので、同じような悩みを抱えている開発者やIT部門の方の目に留まれば幸いです。
免責事項
このひな型は関連機関・省庁の最新の文書を正確に記載している保証はありません。一部項目については、元の表記から変更しております。
このフォーマットを利用することで発生した問題については、弊社(noco株式会社)は責任を負いません。ご利用になる際には、ご自身で内容を判断してください。
また、ひな型のフォーマットについては、弊社(noco株式会社)は権利を主張しません。ご自由に加工してご利用ください。