セキュリティチェックシート問題を解決するための大まかな課題設定

【告知】2022年6月20日(月) 18時よりTwitterスペースで座談会「セキュリティチェックシートをなんとかしよう！@SAJ」を開催しました。SAJ会長でもある、さくらインターネット田中社長に加え、Assured大森さん、Conoris井上さんも参加。録音したものを聞けますのでどうぞ！

はじめに

ソフトウェア協会（SAJ）で筆頭副会長を務めている青野慶久と申します。普段はサイボウズ社の代表をしています。

この度、IT業界で慣習となっている「セキュリティチェックシート」について、問題提起と課題の提案をさせていただきます。

概要

「セキュリティチェックシート」とは、ITサービスのリスクを評価するために使われるチェック表です。

例えば、ある企業でクラウドサービスを導入するとき、提供者（ベンダー）のサービスが自社のセキュリティ基準に合致しているかどうかを確認（リスクを評価）するために、自社で作成したセキュリティチェックシートをベンダーに送って記入してもらい、その回答内容を元に導入するかどうかを判断します。

先日、この慣習が社会全体で見て非効率になっているという報告をいただき、問題解決に向けて情報収集を開始しました。ご存じのとおり日本はデジタル化が遅れており、これから急いでDXを進めていかねばならないわけですが、残念ながらこのセキュリティチェックシートの慣習が、その足かせになっている状況です。

この件についてTwitterで発信したところ、大きな反響をいただきました。

日本のIT業界の生産性を下げる一因となっている「セキュリティチェックシート」。業界を挙げて効率化できないかとSAJ（ソフトウェア協会）で意見交換中。興味のある方、いらっしゃいますかねー。https://t.co/d0J5aGqeZ8

— 青野慶久/aono@cybozu (@aono) June 16, 2022

このTweetをきっかけに様々な方から様々な角度で、現状報告や解決のための提案をいただくことができ、問題の全体像について理解が深まりました。

そこで今回は、現状を認識したうえで、どんな課題を設定すればよさそうか、大まかにまとめてみます。

現状について

まず、現状について理解を深めるには、ぜひこちらの2つのnoteを読んでみてください。とてもわかりやすくまとめていただいています。

個別バラバラのやり取りが効率を悪くしているだけでなく、そもそもセキュリティチェックの品質にも問題が出ていると認識できました。

例えば、チェックシートの質問項目が必要十分でなかったり、ベンダーの回答が正確かわからなかったり。また、一度チェックしたら終わりではなく、サービスも使い方も変化しますから、継続的に見る必要があるのにできていなかったり。

決してセキュリティチェックシート自体が悪いわけではありません。利用者側もベンダー側も、もっと効率よく、そしてもっと品質高く、セキュリティをチェック（リスクを評価）できる仕組みを作れるのでは、という前向きな提案になります。

課題を設定する

そこで、大きく2つの課題を設定してみます。

• 「認証と標準」の活用

• 「支援サービス」の活用

の2つです。

シンプルに書きますと、1つ目が「共通化すること」、2つ目が「個別対応を効率化すること」になります。

共通化と個別対応の効率化を進める　*1

「認証と標準」の活用

まず、各社バラバラのフォーマットでやり取りされているセキュリティチェックシートを、社会全体でできるだけ共通化することで、作業効率を上げられると思います。

実は、共通化の取り組みはすでに進んでいます。

その１つは認証制度です。共通規格となっている認証をベンダーが取得することで、自社サービスのセキュリティのレベルを上げると同時に、リスク評価の正確さを高めることができます。代表的な認証制度は、ISMS、Pマーク、ISMAPなど、グローバルだとSOC2、FedRAMP、HIPPAなどがあります。

また、評価項目の標準化も進んでいます。例えば、総務省 は「クラウドサービスの安全・信頼性に係る情報開示指針」を、経済産業省 は「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公開し、標準的な評価項目をまとめてくれています。国際的には、クラウドセキュリティアライアンス（CSA）が「CCM/CAIQ」という標準チェックシートを公開し、グローバルで利用されています。

しかしながら、利用者とベンダーが、これらの「認証と標準」を十分活用できているとは言い難く、活用度を高める必要がありそうです。

まず、ベンダーが積極的に認証を取得したり、標準化された評価項目に沿って積極的にセキュリティ情報を開示していく必要があります。

そして、その情報を利用者がもっと活用するようになれば、ベンダーに個別対応を求めなくても、自社でより早くより正確に判断できるでしょう。

「支援サービス」の活用

しかし、「認証と標準」の活用を進めても、問題がすべて解決するわけではありません。

標準に属さない自社独自のチェック項目が必要になることもありますし、利用者がそれらの情報を集めて自力で判断していくことは容易なことではありません。

この問題に対し、利用社側のセキュリティチェック作業を支援してくれるサービスが登場しています。今回認識できた支援サービスをアルファベット順に紹介すると、

• Assured

• Conoris

の２つです。

利用者とベンダーの双方が、これらの支援サービスを積極的に活用し、セキュリティ情報を集約するとともに、セキュリティチェックシートの作成作業をオンライン化することで、作業の効率化と正確さの向上を図れるでしょう。

しかし、現在はまだまだ利用率が低いと思われます。業界を挙げて活用を促進していく必要があると思います。

まとめ

今回、セキュリティチェックシート問題に対し、大まかに

• 「認証と標準」の活用

• 「支援サービス」の活用

という２つの課題を挙げました。

もし、この大まかな課題設定に違和感がないようでしたら、さらに具体的なタスクに落とし込んでいきたいと思います。

ソフトウェア協会をはじめとする業界団体の協力を得て、各ベンダーや各利用企業、そしてデジタル庁などの省庁に働きかけていきたいと思います。

どうぞ忌憚のないフィードバックをよろしくお願いいたします。

※1　大森厚志さんが作成された図を許可を得て再利用させていただきました。