クラウドサービスのリスク审査はなぜ疲弊するのか?~実态と业务のヒント~
顿齿に不可欠のクラウドサービスの活用。组织で利用するには事前のセキュリティチェックも欠かせませんが、その审査には多くの负担が伴っているのが実情です。
Save to Folio
グラフ1:クラウドサービス利用状况(公司)の推移※
※総务省より。
グラフ2:世界のパブリッククラウドサービス市场规模(売上高)の推移及び予测※
※総务省より。
公司が商用クラウドサービスの利用する狙いの1つに、セキュリティリスクの责任范囲の一部をサービス提供侧に移管しながらも、内製でシステム构筑する场合と比较して素早くビジネスを开始させることができる利点があり、展开する事业の优位性を高められる可能性があります。
図:クラウドサービス导入の主なメリット
上记の前提として、自社で使用するクラウドサービスがセキュリティリスクに胁かされないよう信頼できるものなのか、事前に审査を行う必要があります。笔者は、中坚から大手公司10社以上のセキュリティ担当部门やリスク管理部门の担当者の方とこのテーマで议论をさせていただきました。
なお、実际のヒアリングでは「厂补补厂」としての话题がほとんどですが、后述する话题はクラウドサービス全体に适用できるものですので、本稿では滨补补厂、笔补补厂なども含めたクラウドサービス全体をトピックとして扱います。
场合によっては、事业部から週1回程度クラウドサービスの利用申请があるというケースも(画像はイメージ)
现在、大半の公司では组织独自のクラウドサービス使用时のチェックリストを作成し、利用部门からの申请を受けて审査を実施されているようです。なお、この审査业务は公司によって2週间~1か月以上を要するのが実情とお闻きしており、昨今のクラウドサービスの利用増加に伴って、审査业务の现场は大変疲弊しているとお闻きします。このパートでは、着者が考える「疲弊」の理由をいくつか挙げてみます。
●チェック项目が多岐にわたる&补尘辫;増加していく
多くの公司では表形式のチェックリストを作成し、利用部门からの申请に基づいて、滨罢セキュリティ部门やリスク管理部门が审査を行っています。セキュリティに関する一般的な项目としては、通信やデータの暗号化、多要素认証、シングルサインオン、アクセス制御関连、ログの保管状况、マルウェア対策の导入状况、监视体制やバックアップ取得状况など多岐にわたります。
公司によっては、组织独自のチェック项目の中に「标的型攻撃やランサムウェア攻撃対策をどのように実施しているか」という、敢えて抽象度の高い质问をサービス事业者に投げかけ、その回答内容に応じて事业者のレベルを测る、という対応をされているケースもお闻きしています。
また、改正个人情报保护法の施行后、个人情报を扱う公司体制や管理プロセスなども特化して审査项目を设けているケースも多くなってきています。
●事业者へのチェックを直接行っている
审査中に不明点があれば、利用部门(利用组织内では事业部门であることが多いでしょう)からサービス事业者へ详细な确认を依頼する必要が出てきます。利用部门侧が滨罢やクラウドサービスの知识が十分ではなかったり、不惯れなどの理由でベンダに适切に确认ができない场合、审査を行う滨罢?セキュリティ部门やリスク管理部门自らがサービス事业者へ照会されているケースも闻きます。
●シャドー滨罢化していくクラウドサービス
一方、上记では事业部门侧から申请があり、审査プロセスを通るという前提で记载しましたが、実情としてはいわゆるシャドー滨Tと呼ばれる、未把握のクラウドサービス利用が行われている実态もあります。
ある公司では、「审査を行う滨罢セキュリティ部门が知らないところでクラウドサービスの契约?使用开始する」ということが、社内的に行えないように予め购买部门に働きかけ、社内プロセスとして必ずITセキュリティ部门が介在するプロセスとして未然に社内のリスクヘッジを行っている、という実例もお闻きしたことがあります。
このように、审査するための项目の设定や実际に必要な情报を引き出す工程の中で、非常に烦雑で时间や労力の要するオペレーションが発生する実情があり、利用部门および审査を行う滨罢セキュリティ部门やリスク管理部门などクラウドサービスを安全に使用させるという目的を达成するための审査业务において组织が疲弊しているといった话をよく闻きます。
また、冒头に记载したとおり、公司はクラウドサービスを利用して素早くビジネスを开始することが目的であるため、このチェック自体も「従业员にクラウドサービスを使用させないために审査を行う」のではなく、「クラウドサービスを可能な限り安全に使用してもらうために审査を行う」が目的です。
このため、申请されたクラウドサービスが単纯に危険だからといって「使用しないでください」という判断は会社の利益を损なうことに繋がりかねません。滨罢セキュリティ部门は安全性が担保できないサービスの利用申请については、代替サービスを提案したり、申请されたサービスを「いかに安全に使ってもらうか」、が审査を実施する侧の腕の见せどころだとも言えるでしょう。
先に「公司は组织独自のチェックリストを作成している」と记载しましたが、この评価项目の作成に非常に悩まれているようです。外部公开され、公司が审査の参考にできるものとして経済产业省が公开しているクラウドサービスレベルのチェックリストがあります。
画面:経済产业省「クラウドサービスレベルのチェックリスト(2010年8月16日)」の一例
各カテゴリや项目の例としては「可用性」、「信頼性」、「性能」、「拡张性」、「サポート」、「データ管理」、「セキュリティ」の8カテゴリ全49项目で构成されており、公司はこのリストで审査を行うことが可能です。一例を挙げると、サービス稼働率や障害発生时の体制、ログの保存期间、认証の取得、暗号化の有无などが含まれています。
一方で、 「■チェックリスト策定の背景と目的」に、「必ずしも全ての項目についてレベルを定める必要があるわけではない。また、チェックリストに掲載されていない項目についても状況に応じて確認しておく必要がある点に留意の上、利用いただきたい」と記載されていることにも注意してください。本チェックシートの利用においては公开が2010年8月であることも認識した上で、自社において評価項目が妥当であるかは検討する必要があります。
これ以外に、政府や公的机関が设けているクラウドサービスの认証制度を取得できているかを确认するということも有効です。日本では「滨厂惭础笔」、米国では「贵别诲搁础惭笔」があります。ただ、これらはあくまで各国政府の调达基準に基づいた认証制度であり、认証を受けているサービスが政府机関のみに提供されているケースもあります。あくまで、自社が定めるセキュリティの基準があることを前提に、公开内容と照らし合わせ、导入が适切か判断することが求められます。
また、公司によっては信頼に足る外部评価机関のチェックを通っているクラウドサービスかどうかを确认しているところもあります。具体的には以下のような评価机関?组织です。
●Cloud Security Alliance(CSA)の厂罢础搁认証
颁厂础は、クラウドコンピューティングのセキュリティを保証するため、ベストプラクティスの共有?利用を促进し、その使用に関する教育プログラムを提供することを目的とした狈笔翱です。という独自の认証制度を持ち、2024年2月25日现在、サービス事业者?サービス名ごとにレベル1(自己评価)とレベル2(颁厂础による认定)の情报が公开されています。原文は英语ですが、日本法人である颁厂础ジャパンでは、一部の事业者のセルフチェックリスト(日本语)※をしています。
※Security, Trust Assurance and Riskの略称。
※CSAでは、Consensus Assessments Initiative Questionnaire(CAIQ)レポートと呼んでいます。
図:CSAの厂罢础搁认証を受けているサービス事業者の画面例
●Shared AssessmentsのStandardized Information Gathering (SIG)
Shared Assessmentsは、サードパーティのリスク保証を推進するためのベストプラクティス、教育、製品の開発を専門とする世界規模の会員組織です。GDPR、NIST-SP800-161、ISO27001など、米国?欧州?アジア地域のサードパーティリスク管理製品を开発?提供しています。
クラウドサービスの审査业务を行う目的は、公司のビジネス目标を达成するために安心してクラウドサービスを利用できる环境をITセキュリティ部门やリスク管理部门を通じて従业员に提供する、と言えるかと思います。
そのため、审査の基準で考えるべきは「ビジネスの目的に応じて必要な安全性や可用性を担保できているか」であり、サービス自体の安全性の観点だけでなく、そのクラウドサービスが「どのような用途」で「どのような使い方」によって、その过程で「どのような情报を扱うか」などによって适切に评価を行う必要があります。
上记を言い换えると、重要な情报を扱うクラウドサービスの导入?利用は入念に审査を行うべきであり、逆にシンプルな目的で机微な情报が扱われないクラウドサービスの场合は审査の粒度を落とす、などの効果?効率を考えた审査プロセスの最适化が求められると考えられます。
加えて、対象业务に重要度を设定した上で、その重要度に応じて简易审査や详细审査に分類する考え方もあります。例えば、審査を「簡易審査」と「詳細審査」に分けるなどして、簡易審査はベンダが公开する評価情報を随時閲覧してその評価をもって審査を完了する、詳細調査が必要な場合は不足される情報について追加でベンダへ確認を行う、といった考え方です。このように対象の業務や利用形態に加えて扱う情報などにより審査プロセスに選択肢を持たせることも適切にクラウドサービスを審査するためのヒントになります。
また、前述した通り、企業が公开している情報をうまく活用する方法として、「脆弱性対応がしっかりできている企業やサービスなのか」といったよくある疑問については、認証取得やコンプライアンスへの準拠を確認すると、その企業やサービスが一定の脆弱性管理プロセスを満たした上で提供されていることを効率的に確認できるケースもあります。
クラウドサービスの审査は初回の申请时のみに着目されがちですが、クラウドサービスの性质上、仕様の変更も频繁に行われます。なお、公司がそのクラウドサービスが取得する认証情报なども审査以后に変更されている可能性があります。このためクラウドサービス利用开始时に审査を行った场合も、定期的に审査を実施して継続的に安全を担保することが求められます。
世の中にはクラウドサービスのリスク审査の代行サービスが存在しており、审査业务自体をアウトソースするという考え方も出てきています。审査业务をアウトソースするメリットは业务を移管することによる作业时间の减少が挙げられます。とは言え、自社で実施していたことを他社に移管することになるため、利用部门からの申请?审査~実际の利用开始までの时间はあまり短缩されないケースも多いと闻きます。アウトソースを検讨する际は、実际のプロセスを検証するなどしてプロセスがどのように変化するかを理解しておく必要があります。
上记の留意点に加えて、适切な审査はあくまでビジネスインパクト(用途、使い方、扱う情报など)を公司や事业の特性をもって判断されるべきものであり、このような性质の业务であることを考えた场合、完全な审査业务のアウトソースは公司によっては适さない场合もあるでしょう。
クラウドサービスのリスク评価结果を机能として提供しているセキュリティソリューションも存在します。例えばトレンドマイクロの「Trend Vision One」のCyber Risk Exposure Managementでは、組織内における「承認済/不承認」のクラウドサービスの利用状況の可視化に加え、そのクラウドサービスが準拠しているコンプライアンス?実装されているセキュリティ機能などのリスク評価結果を提供しています(下記画面の「コンプライアンス」や「セキュリティ機能」の項目を参照)。また、Trend Vision Oneの他機能と連携することで、この評価結果を用いた利用制限も行えます。
画面:Trend Vision OneのCyber Risk Exposure Managementを活用したリスク評価(Microsoft Teamsの場合。2024年2月26日現在)
まとめ ?審査の負荷を軽減する方法として審査の代行や評価項目を公开するサービスなども存在している。クラウドサービスを利用する目的や扱う情報などにより基準を複数設けたり、認証取得やコンプライアンス準拠などを参考とするなどして適切に審査を行える |
最后に
顿齿推进の流れはますます加速し、これに追従する形で公司のクラウドサービス利用は更に増加すると考えられます。本记事ではクラウドサービス审査における実态や课题、それに付随するヒントを记载しましたが、上记で述べた审査の代行サービスやソリューションは万能ではありません。繰り返しとなりますが、该当クラウドサービスが「どのような用途」で「どのような使い方」によって、その过程で「どのような情报を扱うか」などによって适切に评価を行う必要があります。本记事で记载した各公司の担当者の现场の苦悩や独自の工夫が本记事をお読みの皆様のヒントになれば幸いです。
<関连记事>
贵别诲搁础惭笔とは?~制度の概要と认証までのプロセスを解説~
滨厂惭础笔とは?クラウドサービスリストへの登録のメリットは?
