「セキュリティチェックシートの問題を解決すべき」 - サイボウズ 青野社長

先日、サイボウズがクラウドリスク評価「Assured(アシュアード)」を活用し、セキュリティ情報の開示を開始した。今回、サイボウズ 代表取締役社長の青野慶久氏、同 システムコンサルティング本部 ソリューションエンジニアリング部長の萩澤佑樹氏、Visionalグループであるアシュアード 代表取締役社長の大森厚志氏に、日本におけるセキュリティチェックシートのどこに問題があり課題なのか、そして今後に向けた提言などについて話を聞いた。

クラウドの利用拡大で増加するセキュリティチェックシート

企業では、ITシステムを導入する際に必要なセキュリティや可用性などの事項をリスト化し、導入企業のセキュリティポリシーを満たしているかチェックを行うが、その際に用いるリストがセキュリティチェックシートだ。

近年、急速なクラウドの利用拡大に伴い、ベンダーとクラウド利用事業者間における煩雑なセキュリティチェックシートのやり取りが非効率的であると注目されている。青野氏が6月中旬にセキュリティチェックシートについて、Twitterで発信したところ大きな反響があった。

日本のIT業界の生産性を下げる一因となっている「セキュリティチェックシート」。業界を挙げて効率化できないかとSAJ（ソフトウェア協会）で意見交換中。興味のある方、いらっしゃいますかねー。https://t.co/d0J5aGqeZ8

— 青野慶久/aono@cybozu (@aono) June 16, 2022

その後、同氏はnoteでも問題を改めて提起している。

そして、6月20日にはTwitterのスペースで青野、大森両氏に加え、さくらインターネット 代表取締役社長の田中邦裕氏、クラウドサービスセキュリティチェック支援サービス「Conoris」を提供するミツカル 代表取締役の井上幸氏による座談会「セキュリティチェックシートを何とかしよう！＠SAJ(ソフトウェア協会)」を開催するなど、意見交換が行われた。

サイボウズにおけるセキュリティチェックシートの課題

そもそも、サイボウズにおいてセキュリティチェックシートによる課題とは、どのようなものだったのだろうか。この点について萩澤氏は以下のように説明する。

「当社ではお客さまとのセキュリティチェックシートのやり取りが2018年に260件、2019年に360件、2020年に420件、2021年には480件と年々増加の一途をたどっていました。また、設問数は多いものだと500問ほどあり、必ずしもクラウドサービスのセキュリティチェックではない観点も含まれていました。さらに、納期も短いほか、即答できる体制を整備することは難しく、回答方法も設問によっては他部署とのコミュニケーションが必要となるなど、煩雑になっていました。3～4人で対応していましたが、私自身も専門の職種ではないため他のメンバーに継続してもらうのは大変だと感じていました」(萩澤氏)

• 

  サイボウズ システムコンサルティング本部 ソリューションエンジニアリング部長の萩澤佑樹氏

ただ、これはサイボウズだけに限った話ではなく、多くの国内企業で起きている問題でもある。また、サービス導入企業とベンダー間でもフロントに立つ人が専門ではないため、それぞれ自社のセキュリティ担当者や情報システム部門に丸投げすることもあり、これらも煩雑化を招く要因となっている。

そのため、同社では顧客ごとの設問の粒度に対して、回答を継続する体制の構築が難しいと判断し、やり方自体を変えていくことに舵を切ることになった。

そこで、同社ではAssuredの活用に踏み切ったというわけだ。同氏は「統一的な設問の基準に回答を合わせるような形にして、なるべくお客さまに利用してもらいたいなと考えました。こうした仕組みとして合致するものとしては、ISMAP(政府情報システムのためのセキュリティ評価制度)の認証も取得していましたが、Assuredを活用することで、実際の質問内容や回答内容、第三者の評価が顧みてもらえるので、活用を決めました」と振り返る。

• 

  従来のリスク評価とAssuredのリスク評価の比較

既報の通り、同社がAssuredを選定した理由は第三者機関による自社サービスのセキュリティ情報を顧客に提供可能」「承認制でセキュリティ情報開示が可能」「最新情報を顧客に自動で共有」の3つの観点だ。

Assuredによる、効果について萩澤氏は質問に対する回答は事前に登録している回答マスタの内容を反映するだけのため手軽だという。

セキュリティチェックシートは共通化されているべき

一方で、サービスの導入企業において設問を共通化すれば、それなりに効率化を図れるのも確かだ。

その点、Assuredは国内外のクラウドリスク評価情報を一元化したデータベースであり、セキュリティの専門資格を有するリスク評価チームが、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報を提供している。

• 

  Assuredの仕組み

大森氏は「どの程度、共通化できるのかは日々考えています。金融業界や一部細かい規定が存在する業界などは網羅するのは難しいですが、9割ぐらいの企業は設問が重なる部分はあります。Visionalグループでもクラウドサービスを提供しているため、それらのサービスのセキュリティチェックシートの設問を比較しましたが、クラウドサービスを導入する際に見るべき観点・論点は、本質的には個社ごとに変わるものではありません。もちろん、独自の重要な項目がある場合もありますが、基本的には共通化されているべきであるというスタンスです」と説く。

• 

  アシュアード 代表取締役社長の大森厚志氏

例えば、200～300項目の設問がある企業と商談した場合、Assuredの設問と照らし合わせると、大半は内包されるケースが多いという。そのため、同社としてはセキュリティチェックシートの共通化に向けて、Assuredによりデファクトスタンダードを構築し、標準化された設問で自社に必要な観点をチェックできれば、なお効率化が進むとの見立てだ。

また、同氏は「セキュリティチェックシートという言葉に引っ張られているのではないかと感じています。国内において、サービスの良し悪しを判断する基準がないことが問題の根本です。クラウドサービスが登場して10年以上経過し、便利なサービスは多くあります。しかし、サービスに対する評価軸がないことに加え、個社ごとに調べなければなりません。そのため、Assuredというモノサシで評価し、支援していくプラットフォームとして位置づけ、社会全体でクラウド化・デジタル化を進める機運になればと考えています」と力を込めていた。

• 

  Assuredに登録したセキュリティ情報を、Assuredを利用していない取引先(クラウド利用企業)に対しても送付可能

問題を解決しない限り、日本のデジタル化の遅れも解決しない

一方、青野氏は日本はデジタル敗戦国と形容されるときがあり、コロナ禍でそれが明らかになった側面があるとの認識を示す。

同氏は「今まさに日本はクラウドを活用したDX(デジタルトランスフォーメーション)推進のフェーズに入っています。そのような背景からセキュリティチェックシートは足を引っ張っています。1社対1社ならまだしも、さまざまな人が関わり、互いにExcelで確認作業を進めるのは非効率的です。こうした問題を解決しない限り、残念ながら日本におけるデジタル化の遅れも解決しないと思います」と指摘する。

• 

  サイボウズ 代表取締役社長の青野慶久氏

そのうえで、青野氏は「現状では囚人のジレンマのような状態に陥っており、顧客のことだけ考えても解決せず、顧客側も意識を変えてもらわなければならないのです。サービスを導入する企業側は、自社がどのような項目を聞けばいいのか内容を理解したうえで質問し、ベンダー側では情報を開示することが求められます」と説明した。

互いにExcelのファイルで確認作業を行っていますが、第三者のサービスを利用して効率化していくことが望ましいです。そのため、セキュリティチェックシートの問題は多くの方に知ってもらいたいです。経営者の方も認識していませんし、ユーザー企業、現場の人も困っているため、自社の利益のために対応していくべきだと思います」と述べていた。