こんにちは、CTOの小林です。
SaaS事業を展開している会社では、セキュリティチェックシートは避けて通れない存在です。セキュリティチェックシートは、導入企業(つまりお客様側)がシステムのセキュリティ評価に必要な情報を収集するための書類です。 弊社でも創業初期は私が毎回すべてのセキュリティチェックシートに目を通して回答しておりましたが、セキュリティチェックシートの回答はそれなりに工数がかかる作業で、すべてを都度エンジニアが対応しているとエンジニアの開発工数が減り、新機能の開発や不具合修正に影響が発生してしまいます。 そこで、kickflowではマスターとなるセキュリティチェックシートを複数用意することで、エンジニアの回答負荷を軽減しました。本記事では、その詳細と効果について紹介します。
セキュリティチェックシート回答の課題
セキュリティチェックシートの回答は、以下のような点でコストがかかる作業です。
- エンジニアや情報システム担当者、法務担当者など、社内で複数人の協力が必要になることがあり、コミュニケーションコストがかかる。
- そもそも回答するために手持ちの情報では不足しており、調査が必要になる場合がある。
- 各社がバラバラのフォーマットで回答を依頼してくるため、都度フォーマットの理解(何を聞いているのか)が求められる。
- オンプレサービスへのセキュリティチェックシートをそのままクラウドサービスに送ってこられたりする。。。
これらのうち、課題1と2については事前に社内で記入済みのセキュリティチェックシートを作成しておくことで解決が見込まれることから、対策を実施することにしました。
セキュリティチェックシート回答の負荷軽減
主要なフォーマットへの対応
まず、kickflowでは経済産業省が公開している「クラウドサービスレベルのチェックリスト」と IPA(独立行政法人情報処理推進機構)による「安全なウェブサイトの作り方改訂第7版」に準拠したセキュリティチェックシートを作成し、ウェブ上で公開しました。 特に経済産業省のシートはそのまま利用しているお客様もそれなりにいるので、そうしたお客様にはこれらを案内するだけで済むようになりました。
完全版フォーマットを用意
次に、経済産業省やIPAのフォーマットに加えて、自社独自の完全版フォーマットのセキュリティチェックシートを用意しました。これまでに各社から頂いた大量のセキュリティチェックシートの質問項目を参考に、クラウドセキュリティ、情報管理、法的事項などあらゆる質問に対応可能な100個以上の質問項目を盛り込んでいます。こちらの完全版セキュリティチェックシートはNDAを締結したお客様に提供できるほか、お客様から独自のフォーマットでの回答を依頼されても、営業担当者はこのセキュリティチェックシートから該当する設問の回答を探すだけでお客様のフォーマットに回答を埋めることができるようになりました。ここまでの対策により、エンジニアがセキュリティチェックシートに毎回対応する必要はなくなりました。
Assuredに対応
さらに、kickflowではクラウド上でサービスのセキュリティ評価ができるAssuredにも対応しました。弊社のお客様からAssuredでの回答を依頼されたため対応したのですが、残念ながらこれまでのところ利用できたのはその1社のみで、他に利用実績はありません。Assuredは弊社が作成した完全版セキュリティチェックシートよりもさらに網羅的に質問項目が用意されており、さらに一度作成した回答を使い回すことができるので、Assuredがもっと普及することですべてのセキュリティ評価がウェブ上で完結してくれることを願っています。
まとめ
当社では、主要なフォーマットと独自のフォーマットでセキュリティチェックシートを用意することで、回答の負荷を軽減し、また回答の品質を向上させました。セキュリティチェックシートは定期的に見直しているほか、お客様からこれまで受けたことのない新種の質問を受けた際には、随時完全版セキュリティチェックシートに質問項目を追加することで継続的に品質を改善しています。
セキュリティチェックシートは、セキュリティ評価に欠かせないものであり、SaaS事業者にとっては重要なタスクの一つです。当社の事例を参考に、より効率的なセキュリティチェックシート回答を実現していただければ幸いです。
