セキュリティ評価の見直しは急務 見逃せない“3つのポイント”：そのSaaS本当に安全ですか？

クラウドサービス事業者や委託先を対象にした定期的なセキュリティ評価はますます重要になっています。これを実施する上での見逃せない"3つのポイント"を紹介します。

[早崎敏寛，アシュアード]

　前回は、アタックサーフェスだけでは分からないクラウドサービスや委託先のセキュリティ評価のポイントを取り上げました。最終回となる今回は、さまざまなセキュリティガイドラインにおいて要求されている、クラウドサービスや委託先への定期的なセキュリティ評価について解説します。

筆者紹介：早崎敏寛氏（アシュアード　Assured事業部　事業開発部　セキュリティエキスパートグループ　マネージャー）

Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用などを経験。総合コンサルティングファームのアビームコンサルティングでマネジャーとしてセキュリティコンサルティングを担当した後、クラウドサービス（SaaSなど）の安全性を第三者評価するセキュリティ評価プラットフォーム「Assured」を運営するアシュアードに入社。セキュリティエキスパートとして、クラウドサービスの評価やサービス開発を行いながら、クラウドサービスのセキュリティ評価に関するGAP分析からルール・プロセス構築、運用支援・定着まで一貫した顧客支援を担当。主な保有資格はCISA、CISM、PMP。

定期的なセキュリティ評価が重要になっている背景とは？

　新たなクラウドサービスの導入時や委託先との契約時にセキュリティ評価をすることは一般的になっていますが、その後も定期的にセキュリティ評価をしている企業は多くありません。

　国内外のさまざまな業界のセキュリティガイドラインでは、サプライチェーンリスク管理において定期的なセキュリティ評価やモニタリングが重要視されており、要求事項・管理策として明記されています。

　例えば、JIS Q 27001:2023（ISO/IEC 27001:2022）では「組織は供給者の情報セキュリティの活動及びサービス提供を定常的に監視、レビュー、評価し、変更を管理しなければならない」、金融分野におけるサイバーセキュリティに関するガイドラインでは「サードパーティー及びその製品・サービスによってもたらされるサイバーセキュリティリスク及び契約の履行状況などについて、リスクの重大性に応じて継続的にモニタリングすること」といった要求事項・管理策が挙げられています。

　さまざまなセキュリティガイドラインでサプライチェーン対策が言及される背景には、クラウドサービスや委託先へのサイバー攻撃によって事故が多発している現状があります。情報処理推進機構（以下、IPA）の「情報セキュリティ10大脅威」では「サプライチェーンや委託先を狙った攻撃」が2位にランクインしており、自社だけでなくサプライチェーン全体でのセキュリティ対策の重要性はますます増しています。

　クラウドサービス導入時や委託先との契約締結時にセキュリティやリスクの評価をしたとしても、定期的にこれを実施しなければ、セキュリティ対策が継続されているか、トレンドに追従したセキュリティ対策が新たに実施されているかどうかを評価するのが困難です。そのため、水準を維持するために必要な対策として定期的なセキュリティ評価の実施が求められます。

　2024年に発生したある大規模なセキュリティインシデントの調査結果によると、「ルールはあったが順守されていなかった」ことが原因として挙がっていました。ルールは形骸化し、守られなくなっていくこともあり、定期的なセキュリティ評価をすることでクラウドサービス事業者や委託先が対策を振り返るきっかけとなり、セキュリティ水準の維持につながります。

定期的なセキュリティ評価をする上で見逃せない“3つのポイント”

　定期的にセキュリティ評価をする上でのポイントを3点解説します。

1．利用状況の変化を捉える

　クラウドサービスや委託先側のセキュリティ評価だけでなく、利用部門の利用状況の変化を捉えることも重要です。

　利用状況が変わる例として、特定の人のみが利用するはずだったものが複数の部門で利用されていたことや、オンラインストレージに個人情報を格納しないはずだったものが、格納されるようになっていたなどはよくあるケースです。利用範囲（影響範囲）や取り扱うデータの内容はリスク評価の重要な要素になるため、変更の有無は必ず把握しましょう。

2．トレンドを取り入れる

　セキュリティ評価用にセキュリティチェックシートを作成し、クラウドサービス事業者や委託先に回答を求めるケースはよくありますが、セキュリティチェックシートを定期的に改訂している企業は多くありません。

　近年ではクラウドサービスや業務委託の中で生成AIを利用することが増えてきていますが、そのリスクも注目を集めています。そのため、クラウドサービス事業者や委託先に生成AIの利用有無や預託データが生成AIでどのように利用されるか、生成AIに関するルールが定められているかなどの確認をする必要があります。

　特にクラウドサービスは頻繁に機能が追加されるため、トレンドを考慮した定期的なセキュリティ評価をすることで、導入時には無かったリスクが新たに発生していないかどうかを把握することが可能になります。

3．定期評価の実施対象と頻度

　定期的なセキュリティ評価の実施対象と頻度について悩まれている方が多いでしょう。全てのクラウドサービスや委託先に対してセキュリティ評価をすることが理想ですが、自社の体制では実施が困難な場合は、サービスや預託データ、業務などの重要度から優先度を設定してリスクベースで対応することが現実的です。

　また、実施頻度について絶対的な基準が無く、多くのセキュリティガイドラインではリスクの重大性に応じてセキュリティ評価の実施頻度を定めることと定義されています。そのため実施頻度は「リスクの重大性」と「法令などの要求事項」を考慮して決めるのが一般的です。

　優先すべきは法令などで最低限の評価間隔が定められている場合で、その要求に従う必要があります。法令などの要求が無くとも、機密情報や個人情報などの重要な情報を預託している場合は、少なくとも年1回は実施することを推奨します。それ以外については、優先度を落としてもいいので継続して実施することが重要です。

　上記を踏まえて、定期的にセキュリティ評価をしていない企業は利用状況の把握を、重要なサービスや委託先からセキュリティ評価をすることを推奨します。

　この連載では全5回にわたって、SaaS利用におけるリスクやSaaSのセキュリティ評価のポイントなどを解説しました。今後も、サプライチェーンを狙った攻撃の増加やリスクの拡大が想定されるため、サプライチェーン全体のセキュリティ向上のためにセキュリティ評価はますます重要になります。本連載が皆さまの参考になれば幸いです。