セキュリティチェックシートと私

ポエムです。

セキュリティチェックシートは、鯉登少尉の耳打ちを鶴見中尉に伝達する月島軍曹を彷彿とさせるほどに面倒くさい（ゴールデンカムイ11巻, アニメ第二期第十九話より）。

【今夜 BS朝日にて放送ッ!!】
TVアニメ『ゴールデンカムイ』第二期
第十九話「カムイホプニレ」
6/3(金) 23:30～

「面倒くさい」
鶴見(CV:大塚芳忠)に旭川での出来事を
報告する鯉登(CV:小西克幸)。
鶴見の前で上手く話せない鯉登の
通訳をする月島(CV:竹本英史)のひと言。
どうぞご覧くださいッ!! pic.twitter.com/yDN1No59i5

— TVアニメ『ゴールデンカムイ』公式 (@kamuy_anime) June 3, 2022

面倒くさいという気持ちがつい出てしまうが、自組織や自サービスの体制を改めて知り、改善していく一つのキッカケになる意味では、まあメリットもなくはない。また、セキュリティチェックシートの要請があったということは、新たな案件獲得の可能性も示しており、その点は喜ばしいだろう。が、それにしても、正直言って面倒くさい。

ここでは、セキュリティチェックシートを受け取って回答する側の立場として、状況や考えを整理したく、自分のためにつらつらと書く。書いてみたものの、やっぱり、よくわからない。

本稿は筆者の独断と偏見に塗れていること、所属を代表したものではないこと、解決のための具体的な手法や課題設定にはあまりなっていないことを、良い子のお約束としてご了承いただきたい。

セキュリティチェックシートを巡る問題

急造の商習慣としての振る舞いをしてはいるものの、その手順や手間は果たして意味があるのだろうか。
弊社と取り引きしたい御社への100質問！といった具合に気合いの入った設問数を誇るシートも存在している。

この辺りの課題感は、すでに青野氏のnoteでもまとめられ、反響を呼んだ。

夫婦別姓も、早く実現したいですね。

「セキュリティチェックシートの問題を解決すべき」 - サイボウズ 青野社長

Conoris VRM Labo

セキュリティチェックシートの種類

これまで対応してきたものを分類すると、概ね下記の種類がある。

1. Excel

2. Word

3. Googleフォーム

4. その他Webフォーム

5. メール回答

フォーム系は、回答内容の確認が複数人に跨る場合に、フォーム内容をこちらでスプレッドシートにコピーして、関係者で確認して、その内容をスプレッドシートにまとめて、回答者がそれをみながらフォームに回答、といったような手間になり、地味に面倒くさい。

対応の方向性

そもそも、なぜセキュリティチェックシートが存在するのか、業界としてどうしていくのかといった大きな話も必要だが、まずは実務的に目の前の課題に対してどうアプローチしていくか考えたい。

最終的には、各種の認証を取得したうえで自組織・自サービスのセキュリティチェックシートをHPで公開し、差分は個別対応として料金取りますよ、ってのが現時点での最適解に近い気がしている。

しかし、そうはいっても、公開用のシートを作りにくい場合、時間がかかる場合、そもそも各種の認証もまだ取得していない場合にはつらみがある。

そういうわけで、そこに至るまでの間にも発生する怒涛のセキュリティチェックシートの猛攻に対して、次に示すような体制やフローにならざるをえないところがある。

社内体制の整理

依頼者（セキュリティチェックシートを持ってくる人）
気の利いた依頼者は、過去の回答を参考にして可能なら範囲で回答を記載してくれたりする。そういった時は、きちんと謝意を示しす。回答を渡す際には、先方に回答する前に必ず依頼者自身で一度目を通すことをお願いする。いずれは、データや体制を整えて、依頼者自身でシートに回答できる、さらには回答する必要がない状態にできると良いんだろうなあ。

回答する人
ディスパッチャーとして、まず社内の一次窓口があると良さそう。それは総務だったり、情シスだったり、プロダクト開発側だったり、法務だったり、そのあたりは組織によりけりな気がする。

そして、設問によってはエンジニア、内部監査、総務などの担当部署に確認を取る必要が出てくる。何度か対応をしていくうちに、あーこの設問の回答はこうだな、と覚えてしまう部分もある。

回答書類の置き場

社内の担当と同時に、回答書類の置き場も定めておくのが良いだろう。
営業担当者が持っていたり、プロダクト開発側の者が持っていたり、情シスだったりと、それぞれがそれぞれのフォルダやら何やらに置くのではなく、1箇所にまとめるのが望ましい。

当たり前のことを言っているようだか、意外と出来てないんだな、これが。

回答根拠となる規程類の整備

社内規程、マニュアル、提供サービスの中身について、その情報や体制を整備する必要がある。このあたりは、認証取得の際にも絡んでくる。

認証取得

将来的には、PマークやISMSやらを取得し、それが免罪符となるのだろうか。しかし、なんというかTOEICがn点だから英語が話せるかっていうとそれはその人次第で、英語で喋らせたらその実力がわかるし、TOEICがn点は英語ができるというよりは、英語が全くできないわけではないという足切りラインに過ぎないというか、認証もそれに近しいものがあるというか何というか。面倒なことをちゃんとやれるのが、一つのラインとされるというか何というか。むにゃむにゃむにゃ。

【いい会社は面倒臭いことを嫌がらない人を欲しているって話。(1/2)】 pic.twitter.com/NMPbn5XhHq

— ドラゴン桜2（公式）🐲🌸 グランドジャンプで「Dr.Eggs ドクターエッグス」連載開始🥼🩺 (@mita_norifusa) October 21, 2022

セキュリティチェックシートを公開している例

さくらインターネット
https://www.sakura.ad.jp/info_security/checksheet/

サイボウズ
https://www.cybozu.com/jp/support/#security_check_sheet


SmartHR
https://smarthr.jp/security/

## 回答に料金を課している例
ラクロー
>個別のご依頼については、有料（税込110,000円〜）
https://www.raku-ro.com/features

Backlog
>ご利用料金は165,000円（税込）〜です。プラチナプランをご利用の場合、年1回まで無償で対応します。
https://support-ja.backlog.com/hc/ja/articles/360035645474-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%9B%B8%E9%A1%9E%E3%81%AB%E5%9B%9E%E7%AD%94%E3%82%92%E8%A8%98%E5%85%A5%E3%81%97%E3%81%A6%E3%82%82%E3%82%89%E3%81%88%E3%81%BE%E3%81%9B%E3%82%93%E3%81%8B-

海外大手SaaS

Zoom
https://explore.zoom.us/en/trust/security/

セキュリティチェックに関連したサービス

Conoris
過去の回答を取り込んで、似たような設問があればサジェストしてくれるサービス。方向性、やりたいこととしてはとても良いが、これを入れれば即座にハッピーもう何もやらんでいいになるわけではない。プロダクトにはまだ改善の余地がありつつも、チャットや各種対応も早く、伸び代がある（偉そうにごめんなさい）（期待しています）。
https://www.conoris.jp/

アシュアード
このサービスを利用するために200問近く回答する必要がある。こんだけ答えたから、あとはもうその回答内容で判断してくれい、って感じのサービス（雑な説明）
https://assured.jp/

onetrust
こういうのがあるんだ〜ってレベルで詳しくは確認できていない。
https://www.onetrust.com/products/consent-and-preference-management/

参考情報

書籍

セキュリティチェックシートの薄い本
すごく良い、こーゆーの読みたかった。

セキュリティチェックシートの薄い本：FlightBooks

URL

ちゃんと目を通さなきゃな、と思いつつチラ見しかしてない
|･`ω･)

経済産業省
SaaS向けSLAガイドライン
https://www.meti.go.jp/policy/netsecurity/secdoc/contents/seccontents_000078.html

IPA
安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html

#セキュリティチェックシート
#情シス
#コーポレートIT
#コーポレートエンジニア