セキュリティチェックシートとは? ~クラウドツール導入で効率化の方法~
サードパーティ、つまり委託先やサプライヤー、クラウドサービス、あるいは海外法人等、関連する企業・組織のサイバーセキュリティ体制を可視化することはサプライチェーンの強靭化にとって非常に大切なプロセスです。
その具体的な手段として、多くのIT・セキュリティ担当部門が、チェックシートを用いた定期的な点検を行っています。
一方で、従来のExcelやメールによるセキュリティチェックの運用では、オフラインや手作業による工数過多、それに伴い発生する人的ミスや品質低下が課題となっているかと思われます。
「膨大なエクセルの穴埋めとチェックが大変」、「チェックシートをめぐるやりとりが煩雑」等、現場レベルではその運用に様々な問題が生じがちです。
本記事では、セキュリティ・チェックシートとはどのようなものかを簡単に紹介した後、チェックシートにまつわる多くの課題と、クラウドツール導入による非効率的な運用から脱却するための解決策を提示いたします。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
セキュリティ・チェックシートとは? 目的と重要性
委託先や取引先、クラウドサービス事業者等、いわゆるサプライチェーン・セキュリティの重要性が増大しています。委託先やサプライヤーを契機とした情報漏洩や事業停止等、サプライチェーンに起因する被害について日々報道を耳にする方も多いのではないでしょうか。
IPAの情報セキュリティ10大脅威2023では、「サプライチェーンの弱点を悪用した攻撃」が組織に対する脅威の第2位にランクインしており、これが組織にとって軽視できない課題であることを示しています。
チェックシートの目的
多くの企業や組織が、子会社やサプライヤー、委託業者のセキュリティ態勢(Posture)を点検するために、セキュリティチェックシートの運用を行っていることと思います。
セキュリティ・チェックシートは、特定のセキュリティ・ポリシーやセキュリティ基準に沿った質問と、それに対する回答の形で運用されることが一般的です。
「情報システム・セキュリティチェックシート」、「クラウド利用チェックシート」、「ISMSチェックシート」等、対象や点検範囲によって種類は様々ですが、その目的は共通しています。
セキュリティ・チェックシートは、対象組織のセキュリティ態勢や対策状況を可視化するツールであり、チェック項目の確認を通じて、その組織や企業が、適切なセキュリティ態勢を確保しているか、潜在的なリスクを保有していないかを明らかにすることを目的としています。
セキュリティ対策状況チェックの重要性
組織や企業のセキュリティ部門は、自分たちの担当範囲であるネットワークやシステムを守るために日々業務を行っています。
しかし、事業を行っていく上では、サプライヤーや委託業者、クラウドサービス等、様々な外部組織・企業との連携が不可欠です。そして、こうしたサプライチェーンを構成するサードパーティにセキュリティ上の問題が存在する場合、その影響は自組織にも及ぶ可能性があります。
このようなサードパーティ、あるいは地理的・法的に離れた海外法人や子会社等のセキュリティ対策状況を点検する手段としては、第三者機関による認証や監査等がありますが、もっとも広く利用されるものがチェックシートです。
組織や企業はその事業を行う上で、サプライヤーを通じた生産活動の連携や各種業務の委託、個人情報処理の移管等を行います。このような事業活動をサイバー攻撃やセキュリティ・インシデントから守るという点で、チェックシートの運用は重要な意味を持ちます。
セキュリティ・チェックシートが必要な場面
セキュリティ・チェックシートの基本的な役割はここまでにご紹介したとおり、各サードパーティ等のセキュリティ・ポリシー遵守状況を確認し、その後の対策に活かすことです。
チェックシートが必要となる場面は様々ですが、いずれも事業やビジネスをサイバーリスクから保護するためには必要なものです。
特に、現在はクラウドサービスの活用が一般化しており、SaaS事業者を利用する場合、あるいはAWSやGCP等各種サービスを利用する場合も、サイバーセキュリティ確保のためのポリシーを満たしているか確認することが求められます。
- サードパーティ(サプライヤー、委託事業者、クラウドサービス等)のセキュリティ対策状況を確認するとき
- 海外子会社や関連会社等、直接コントロールの及ばない関係組織のセキュリティ対策状況を統制するとき
- 個人情報等の取り扱いを外部に委託するとき
- サードパーティや海外関連会社がEU市民の個人情報を取り扱う場合(GDPR)
- 防衛産業サイバーセキュリティ対策基準やNIST SP800-171等、契約に際して下請会社を含むセキュリティ基準の遵守が要求されたとき
セキュリティ・チェックシートの課題と解決策
セキュリティ・チェックシートは、組織やサプライチェーンにおいて各種のポリシー遵守状況を確認するために不可欠です。
しかし一方で、その煩雑な運用に担当者や各級のシステム管理者が頭を悩ませているのも事実です。
そこで現在普及しつつあるのがクラウドベースのツールです。クラウド上にセキュリティ・チェックシート運用に必要なリソースを集約させることで、従来のExcelファイル作業が生んでいた無駄な作業やコストを軽減させることができます。
この章では、チェックシート運用に起こりがちな課題を挙げ、クラウドツール利用を通じた解決案を紹介します。
課題1 Excelによる作業の負荷が大きい
チェックシートはExcel等のスプレッド・シートで作成されることが一般的です。
しかし、チェック項目が多い場合、作成、配布、各管理者によるチェック、集計、分析といった作業に時間と手間がかかる傾向にあります。
セキュリティ・ポリシーに関するチェックシートの場合、数十、数百のサプライヤーや関連企業を抱える大企業となると、集計や管理作業の負荷はさらに増大します。
チェックシートに記入する側が大量の入力項目や複雑なマクロを嫌い、前回シートをそのまま流用するといった行為が行われた場合、実態の把握ができなくなるケースもあります。
解決策
クラウドツールを利用することで、セキュリティ・チェックシートの作成から共有、サードパーティ側の入力まで、同一のインターフェースを参照しながらの運用が可能です。
サードパーティが入力したチェックシートはSaaS上で自動的に更新・管理され、Webブラウザのダッシュボードで確認することができます。
大量のExcelファイル管理や集計に悩まされる必要はありません。
課題2 コミュニケーション・コストの増大……メール、言語
サプライヤー・関連企業とのチェックシート送受には通常、メールが用いられます。
メールは便利な手段ですが、多数の相手先とのやりとりを管理することや、メール送受信によるタイムロスといったデメリットも存在します。
また、外部の企業や海外法人、海外子会社とやり取りする上で問題となるのは言語です。
通常、グローバルに拠点を持つ組織・企業は、日本語と英語双方でのセキュリティ・ポリシーおよびチェックシートを作成することが一般的です。
課題1で示したようにエクセルでの運用を行っている場合は、英語で記入されたチェックシートを翻訳し集計するという工数が生じます。
解決策
クラウドツールであれば、プラットフォーム内で、担当者同士がメッセージ機能でコミュニケーションすることが可能です。
SNSにおけるメッセージングと同様の使いやすいインターフェースによって、チェックシートに関する質問や不明点を速やかに解消し、また進捗状況もリアルタイムで把握することができます。
対象組織へのリマインダーや更新情報通知も自動化することで、管理のコストを削減します。
また、クラウドツールの中には二か国語対応の製品も存在します。対象サードパーティが英語で回答した内容も、自動的に日本語に翻訳された状態で確認することができます。
課題3 全体把握とデータ分析の課題
チェックシートは配布した後、記入されたものを回収して終わりではありません。各ポリシー遵守状況を分析し、また継続的に各企業・組織が課題を改善していくための基盤となるものです。
長期的に運用し、セキュリティ・ポリシーを実効力のあるものにしていくためには、効果計測やデータ分析に取り組みやすい環境を整備しなければなりません。
解決策
プラットフォーム上でチェックシートを集中管理することにより、全体の情報や過去分にも容易にアクセスが可能となります。変更履歴を確認することで各サードパーティの進捗を追うこともできます。
長期的な運用における情報の可視化と、管理コスト削減とを通じて、セキュリティ対策向上に寄与します。
課題4 セキュリティ上の課題
メールとExcelを用いたセキュリティ・チェックシート運用の場合、メール誤送信等による情報漏洩のリスクが生じます。
セキュリティ・チェックシートは、対象組織・企業におけるセキュリティポリシー遵守状況やIT資産管理状況といった重要な情報を含むファイルです。
このような機微なファイルを都度添付ファイルやファイル転送サービスでやり取りする場合、工数の増加が予測されます。
解決策
クラウドツールは通常、セキュリティ機能としてデータの暗号化、アクセスコントロール、監査機能を備えています。
- RBAC(ロールベースアクセス制御)により、役割ごとの細かな権限を付与することで大切なデータを意図しないアクセスから保護します。
- プラットフォームで運用されるデータは全て暗号化され、またSaaS上で行われる通信も暗号化されています。
- プラットフォームに組み込まれたメッセージ機能等のコラボレーションツールを活用することで、メール誤送信等のリスクを軽減します。
クラウド活用によるチェックシート運用の効率化
サプライチェーンに起因するサイバーリスクが増大する現在、自社・自組織を取り巻くサードパーティ(サプライヤー、海外法人・子会社、アウトソーシング事業者等)のセキュリティ対策状況を把握し、必要であればその改善を支援していくことが喫緊の課題となっています。
チェックシート運用の鍵はコミュニケーションと利便性です。従来型のチェックシートがセキュリティ担当者、サードパーティ双方にとって負担となっているならば、その状況を変えるべきです。
クラウドツールが持つ利点:
- プラットフォームを用いた効率的なチェックシート運用
- リアルタイムでサードパーティとコミュニケーション
- 集計・分析・スコアリングの自動化と変更履歴の管理
- 強固なセキュリティで重要情報を保護
おすすめクラウドツールPanorays
Panoraysは、セキュリティ・チェックシート運用サイクルにおけるシート作成から回収後の集計・分析まで、「80%」の工数削減を実現します。
各サードパーティの状況をスコアリングし、定量的な評価をするだけでなく、インターネットに公開された外部IT資産の管理状況をスキャンし、対策状況の実態を含めて総合的にセキュリティレベルを把握することが可能です。
また、英語・日本語に対応しており、その他の言語もチェックシートの取り込みによる対応可能です。
年1回のExcel回収・集計作業から脱却し、Panoraysでより効率的なセキュリティ点検・改善フローを確立しましょう。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
プロダクト推進部 上級研究員
・自衛官時代に言われた一言「レーダー整備にそんな筋肉はいらない」
