セキュリティチェックをDXしながら工数を50%カットするHow To

早速釣りタイトルであることをここにお詫びします...
「そういうコンセプトのサービスをリリースしたのでそのサービスについて書きたい」と思っていますので、厳密には嘘ではありません。
ぜひ最後までお読みいただき、ご意見ご感想を頂ければと思います！

セキュリティチェックSaaSの開発に際して感じたこと

以下、私がセキュリティチェックSaaSを開発するにあたり見聞きした情報を書いていきます。

セキュリティチェック、面倒じゃないですか...？

タイトルは疑問文ですが、正直にいうと半分確信を持って書いています。
というのも、どこで検索しても以下の意見がほとんどでした。

• セキュリティチェックはとにかく手がかかるため面倒

• セキュリティチェック、審査担当者が本当に確認しているか不明

セキュリティチェックは回答者に大きな負担になっていることは事実ですが、探しても 審査担当者の声が見つかりませんでした 。
これは困っていないのか…？と思っていましたが、実際に審査担当の方何名かにおうかがいしたところ、もちろんそんなことはありませんでした。
審査担当者側も必要なことだから淡々とやっているにすぎず、審査業務に忙殺されていることもしばしばあるようです。

ではなぜ、毎回セキュリティチェックが必要なのか

ではなぜ、こんなにも企業人たちを苦しめるセキュリティチェックが無くならないのか。
サービス事業者が経産省や総務省フォーマットのチェックシートを公開するだけではだめなのか。

これはチェックする側の企業にとってチェック項目が単なる技術的なセキュリティ要件のみではなく、瑕疵、損害賠償 に関する設問 やそのほかビジネス面におけるチェックを行いたいという思惑が大きく絡んでいることがわかりました。

既に存在する標準フォーマットのみで管理しようとすると、ビジネス面の確認は別途必要となってしまい、結果的にシステム導入に関する必要情報が一元管理出来ないという課題が残ってしまいます。

セキュリティチェックが "秘伝のタレ" になるカラクリ

まず、セキュリティはどんなに固めても人為的ミスなどを含め完全に穴を塞ぐことはできません。
そのため、企業は長年の運営によってたくさんの問題を経験することと思います。
企業は経験した知見によってセキュリティチェックは継ぎ足して、結果として各社固有の設問を形成する一番の理由になっており、所謂 "秘伝のタレ" が出来上がっていきます。

これによってセキュリティチェックの設問数が肥大化し、チェック側も回答側も大きな負担になっています。

セキュリティチェックの設問が難解になっているケースがある

セキュリティチェックで確認したい項目はチェックする側としては簡潔に表現されることが多く、説明詳細があっても内容が堅いため真意を汲み取ることができなかったり、完全に適合はしていないものの一部において適合している、別の手法によって適合しているなど "コミュニケーションによって認識のギャップを埋める" 作業が必要なケースが多くあります。
結果として、チェックをする側も、回答する側もコミュニケーションコストが大きな負担になっています。

セキュリティチェック業務が属人化している

セキュリティチェックは先述した通り、担当者間でコミュニケーションを行って完了させることを前提とした作業になります。
そのため、メールベースのコミュニケーションでは 担当者以外が自分ごととして内容を確認していることは稀 で、基本的に属人化する傾向にあります。

こうなると、自身の処理速度がプロジェクトの進行に大きく影響してしまうため、必然的にチェックの担当者は休むことができなくなります。

プロダクトで解決したいこと

長々と書いてしまいましたが、弊社プロダクトでは上で挙げたような回答のしにくさによる心理的負担、旧来のメール方式によるコミュニケーションの負担を下げることから解決したいと考え、サービスの開発を行いました。

また、流行り病によってクラウドの活用は加速傾向にあり、今後はこれまで以上の速度感がこのセキュリティチェックにも求められるものと考えています。

とはいえ、まずは現状行なっている業務からいかにスムーズにクラウド化するかが重要だと考え、現在は以下の機能を具備しています。

セキュリティチェックにかかる工数の50%を削減する業務支援プラットフォーム 「checksheet®」のリリースとフリートライアルの募集を開始

テンプレートの登録・管理

チェックシートを起票する際、必ず必要になるのがテンプレートかと思います。
企業によってはこのテンプレートを年次単位で更新していたりするものかと思いますが、更新後の再配布をしていても各自がローカルに保存している旧式のテンプレートをそのまま使用してしまい、審査ができないケースなどもあるようです。

checksheetでは、規定のフォーマットに沿ったExcelファイルをアップロードするだけで全体で使用するテンプレートとして登録することが可能になっており、審査依頼を出す側は必ずこのテンプレートからチェックシートの起票を行うようになっています。
現在使用しているテンプレートをchecksheet上で使用しながら、古いフォーマットで審査依頼が上がってくることを防ぐことが可能になっています。

ステータスの透明化

従来のセキュリティチェックでは、たとえ担当者であっても自身以外のタスクとなっている状態ではどのような状態になっているのかは直接聞く以外に把握する方法ががありませんでした。
checksheetではチェックシートごとにステータスを明記しているため、どちらの処理待ちになっているのかが明確にわかる仕様になっています。

相互コミュニケーションの脱メール化

セキュリティチェックを行う側は、全社のチェックシートを一手に引き受けています。
もちろん自身が関与するプロジェクトではないものを確認している状態ですから、チェックの勘所はあるとはいえ確認には時間を要します。
また、それぞれのチェックシートに対する対質問などが行き交っており、全てを詳細に覚えているわけではないため常に過去のやりとりを大量のメールの中から探し、確認したりしています。

checksheetでは、この相互のコミュニケーションを各チェックシート内で完結できるようコミュニケーションエリアを具備してており、必要な情報へのアクセスに対する手間を減らせるようにしています。

添付ファイル

先述した通り自身が関与するプロジェクトではないものを確認している状態ですから、プロジェクトのうちでどこに使用するのかや、どのような情報を扱うのかを正確に理解する必要があります。
この時、製品の仕様書やプロジェクト概要資料が必要になるため、checksheetには各チェックシートに添付ファイルのエリアを具備しており、関連するメンバー全てがファイルへアクセスすることを可能としています。

外部共有機能

セキュリティチェックは自社の社員がやるとは限らず、ベンダーやメーカー、クラウドサービス事業者に回答していただくケースも多いことと思います。
そのため、チェックシートでは外部共有・回答権限付与機能を具備しており、この機能を使用することで 必要な部分のみを切り出して共有・回答をしてもらうこと を可能としています。

最後に

最後に宣伝ですが、現在ZEROBILLBANKでは 本プロダクトのトライアルユーザー様を募集しています。
セキュリティチェックという多くの方が関与する業務をクラウド化するのは簡単なことではないと思っていますが、ご興味をお持ちいただけたご担当者の方、まずはお悩みをお聞かせいただければと思っております。