アナログ過ぎる「セキュリティチェックシート」チェック問題 導入担当者の負荷は軽減できるか

2022年6月、「セキュリティチェックシートが抱える問題点」がSNSで大きな話題になった。本稿では改めて問題を振り返り、SaaSを活用して解決を目指す方法を解説する。

[高橋睦美，ITmedia]

　「機密データは適切な方法で暗号化して保存していますか」「不正アクセスやマルウェア感染を防ぐためにどのような対策を講じていますか」――。SaaSをはじめとするクラウドサービスの導入検討に当たって、このような質問を数十、時には数百項目も並べた「セキュリティチェックシート」への回答をクラウドサービスベンダーに求めるのが一般的だ。新たなサービスを導入するたびに情報システム担当者は回答項目のチェックに追われる。

井上 幸氏

　クラウドの活用はIT部門の負荷を下げると言われるが、実際には導入検討のたびにセキュリティ担当者が似たような項目が並ぶ「セキュリティチェックシート」のやりとりを繰り返しており、生産性が高いとは言えない状況だ。

　Conoris Technologies（旧ミツカル）はセキュリティチェックシート問題の改善に向けた取り組む企業の一社だ。同社の井上 幸氏（代表取締役）に、問題の本質や解決が難しい理由、改善のための取り組みを聞いた。

セキュリティチェックシート問題とは

　2022年6月16日、サイボウズの社長である青野慶久氏がIT業界が抱えるセキュリティチェックシートの問題点についてTwitterで呟いたところ、600を超えるリツイートと2700以上の「いいね」が集まった。同日のうちに問題を改善したいと考えた賛同者が集まり、解決に向けた議論が実施された。井上氏も議論の参加者の一人だ。

　セキュリティチェックシートとは、クラウドサービスを導入するユーザー企業が、サービスが自社で設けているセキュリティ要件を満たしているかどうかを確認する目的で、クラウドベンダーに記入を求めるものである。クラウドサービスの導入が増えるに伴い、シートへの記入を求める手順が一般化し、現場の負荷を高めている。

　セキュリティチェックシートに回答するクラウドベンダーも同様に負荷が高まっている。時には月に何十件も同じような、けれども細部が異なるシートに回答する必要があり、この作業のために専任の担当者を置くベンダーまで存在するほどだ。しかも、回答には総合的なセキュリティ知識が求められるため、替えの効かないハイスペック人材をこの作業の担当にせざるを得ない状況になっているという。

　現在、セキュリティチェックシート問題の解決に向けた議論が進み、解決策の例として、「セキュリティチェックシートの標準化」や「セキュリティ情報を提供する第三者機関の活用」などの意見も聞こえるようになった。

なぜセキュリティチェックシートの標準化は難しいのか