DXの障壁となるクラウドサービスのセキュリティ評価業務 セキュリティ担当者の負荷と不安を大幅に軽減する方法とは

SaaSやASPなどのクラウドサービス利用時にその安全性を確認する作業は煩雑で、膨大な手間がかかる。場合によっては「正しく評価できているか不安に感じる」「定期的なチェックにまで手が回らない」こともあるだろう。この問題に対して、クラウドサービスのセキュリティ評価業務の負荷と担当者の不安を大幅に軽減する方法がある。

[PR／ITmedia]

PR

　DX（デジタルトランスフォーメーション）の推進は経営課題の一つだ。DX推進においては、時代の変化に合わせて柔軟な意思決定ができるように、適応性の高いIT環境が求められる。その手段として、政府も「クラウド・バイ・デフォルト原則」を掲げるなど、クラウドサービスの積極的な活用が推奨されている。

　一方で、クラウドサービスの選定には時間や工数がかかる。理由の一つが、サービスの安全性を確認することの難しさだ。多くのクラウドサービスは、サービス基盤やアプリケーションのセキュリティ機能と設定、ユーザーとの責任分界点などを明確にして、正しく判断するための情報を提供している。だがこの情報を読み解くには専門的な知識が必要だ。クラウドサービスの安全性を正確かつ効率的に確認するにはどうすればよいのだろうか。

　政府が発行する「サイバーセキュリティ経営ガイドライン」を見ても、サプライチェーン全体にわたるサイバーセキュリティ対策としてクラウドサービスの安全性確認やセキュリティ評価が重要だと分かる。この課題にどのように取り組むべきか、専門家に話を聞いた。

DXの障壁となるクラウドサービスのセキュリティ評価業務

　「今や10や20のクラウドサービスを導入するのは当たり前で、100以上のサービスを利用している企業も珍しくないほどです」と話すのは、アシュアードの代表取締役社長である大森厚志氏だ。

　利用するクラウドサービスが増えるにつれて、その安全性を確認するための作業負荷も増大すると同氏は指摘する。

　「クラウドサービスを安全に利用するためには、導入前のセキュリティ評価はもちろんのこと、変化し続けるリスクを漏れなく把握するための定期的な評価が必要です。正規に導入したサービス以外のシャドーITにも考慮しなければなりません。一方で、セキュリティ部門においては人員数も限られているため、それらに満遍なく対応することが難しく、評価や判断が属人的になってしまう問題もあります」（大森氏）

　一般的なクラウドサービスのセキュリティ評価手法としては、「セキュリティチェックシート」を用いた方法が挙げられる。セキュリティチェックシートとは、そのクラウドサービスについて「サービスの開発、運用体制はどのようになっているか」「預託したデータがどのように取り扱われるか」「利用ユーザーのアクセス制御はどの程度可能か」など、自社が安心してクラウド活用を行うために確認しておきたい事項をまとめたシートだ。

アシュアード　大森厚志氏

　セキュリティチェックシートを用いたセキュリティ情報の取得は、クラウドサービスの安全性を確認する上で有用だ。だが、情報の取得に要するクラウドサービス事業者とのコミュニケーションや、内容の精査には多大な時間と工数がかかる。利用するサービスが加速度的に増えている今、この手法は非現実的になりつつあると大森氏は話す。

　クラウドサービスの評価の際は、PマークやISMSなどの認証類も参考になる。一方で、これについても大森氏は「認証を取得しているからといって、それが自社の利用基準を満たすとは限らない」と指摘し、クラウドサービスの安全性を効率的に判断できるソリューションがなかったことを問題に挙げる。

　「企業が取引を始める際は、信用調査会社から情報を購入して取引先の信頼性を効率的に判断します。信用調査会社が提供する情報は、外部の専門家の調査に基づいて定期的に更新されるため、信ぴょう性の高い尺度として認識されています。当社は、こうした信用調査サービスがクラウドサービス業界には存在していなかったことに着目しました」

安全なクラウドサービスを素早く選べる

　この課題を解消するために、アシュアードは第三者の目線でクラウドサービスを独自に調査・解析してセキュリティ評価情報をデータベース化した。これを基に、セキュリティ評価プラットフォーム「Assured」で安全なクラウド活用を支援している。

　「当社は、ISO27001/ISO27017といったセキュリティ規格の他、NISTや総務省、経産省が出すガイドラインやフレームワークに基づいて、独自のヒアリング事項を作成しています。これを基に、当社のセキュリティ専門家がクラウド事業者にヒアリングを実施してセキュリティ評価レポートを作ります。Assuredでは、このセキュリティ評価レポートとともに、クラウドサービスのドメイン情報を基に収集した公開情報を自動解析した評価を提供しています」（大森氏）

クラウドサービスのセキュリティ評価情報を提供（出典：アシュアードの提供資料）

　Assuredを利用すれば、専門家による信頼性の高いセキュリティ評価を基にクラウドサービスの安全性を効率的に判断できる。

　厳格なポリシーを定めている企業では、利用申請から承認まで数週間から数カ月かかるというケースもある。工数をかけられない企業は安全性を十分に評価せずに使うしかない。一方で、Assuredを導入することでクラウドサービスを導入する判断のための作業を約4分の1に減らせた企業もあるという。導入のスピードと安全性の調査にかかる工数のジレンマを解消できる。

クラウドの運用、棚卸しもAssuredがまとめてサポート

　現時点で、Assuredのデータベースに登録されているクラウドサービスは2000以上に上る。今後もクラウドサービスを拡充する他、既存のサービスも継続的に評価をアップデートしているという。

　「クラウドサービスの安全性は日々変わり続けています。新規機能の追加やビジネスポリシーの変更に伴ってデータの取り扱いが変わるなど、さまざまな要因によって、新たなリスクが生まれることもあります。逆に、クラウド事業者がセキュリティ投資をすることで、企業のセキュリティ基準を満たすようになることもあるでしょう。クラウドサービスの進化は速く、1年に幾度もアップデートするサービスも珍しくありません。Assuredを利用すれば、セキュリティ評価に関する情報をいち早くキャッチして利用可否や追加対策の要・不要を判断でき、万が一問題が起きた際にも速やかに対応ができます」（大森氏）

　Assuredは、導入しているクラウドサービスの評価情報や自社の利用状況を「サービス台帳」として一元管理できる機能を提供している。利用の目的や範囲（規模）、重要情報の預託有無、その他利用部門との間で取り決めているルールなど、セクションを自由に追加できる。

　「台帳機能を利用することで、サービス利用開始後の持続的な状態把握や管理が可能になります。世の中でSaaS関連のインシデントが生じた際にも、速やかに影響範囲を確認し、経営層や社内外のステークホルダーに報告できます」（大森氏）

　2022年には、従業員が利用中のクラウドサービスを検出して、Assuredのデータベースを使って名寄せし、アカウント数や最終利用日などを自動で特定する機能も追加した。情報システム部門の管理下にないシャドーITを洗い出すことが可能になった。

シャドーITの発見、その後の対応にも有効（出典：アシュアードの提供資料）

　「世の中でもシャドーITへの注目が集まり、当社も多くの企業から発見後の対応に悩むという相談を受けます。Assuredを利用していれば、シャドーITとして発見されたサービスのセキュリティ評価や利用者数などの情報を基に、対応の優先順位付けや判断を効率化できます。単に利用の停止を促すのではなく、Assuredで信頼性の高い他のサービスを探し、利用部門に対して代替手段を提示することも可能です」（大森氏）

　これらの機能によって、企業は利用中のクラウドサービスの安全性について継続的にモニタリングするフローを自動化できるので、担当者の作業負荷は大幅に軽減される。

継続的にクラウドサービスのリスク評価をアップデート、提供（出典：アシュアードの提供資料）

クラウドサービスのセキュリティ評価のスタンダードを目指す

　Assuredはプラットフォームであるという特性上、クラウドサービスを利用するユーザー企業と、クラウドサービス事業者をつなぐ架け橋になることが期待される。クラウドサービスの安全性についてはこれまで統一された基準がなかったが、アシュアードがそのデファクトスタンダードを構築することで、ユーザー企業に対しては安全なクラウド活用の促進、サービス事業者に対しては自社サービスの安全性を示す手段を提供する。これによって双方のコミュニケーションを円滑に進める役割を目指すという。

　「Assuredは、クラウドサービスのセキュリティ評価の新たなスタンダードを目指したいと考えています。お客さまをはじめ、すべてのステークホルダーの皆さまと共に、安心してクラウドサービスを利用できる市場を作るとともに、社会全体のDX推進、生産性向上に寄与したいですね」（大森氏）