セキュリティチェックシート
世の中にあふれるチェックシート。僕もたくさんのチェックシートを作成し、利用しています。思いつくだけでも
- AWSのアカウントのセキュリティ強化のためのサービス利用、設定のチェックシート
- 委託先企業のセキュリティ体制を確認するためのチェックシート
- 個人情報を取り扱うWebサービスのセキュリティが十分であるか問い合わせるためのチェックシート
また、僕が社外にセキュリティシートの記載を依頼するように、社外からも僕の勤める会社自体の、あるいは開発するソフトウェアのセキュリティが保たれているかを審査するためにチェックシートの記入を依頼されます。今や一つの企業が単独でビジネスを成立させていることはなく、構築を担当したSIerや取引先が攻撃されると全体に被害が及んでしまいます。これを「サプライチェーンリスク」と言います。ロシアーウクライナ戦争直後にトヨタの取引先工場がサイバー攻撃を受けて、トヨタが国内工場をストップさせざるを得なくなったニュースに記憶にある人もいるでしょう。
トヨタイムズニュース:小島プレス、サイバー被害から1年 苦難乗り越え深めた絆
サプライチェーンリスクを防ぐために取り入れられているのが、取引先のセキュリティ状況を把握し、安全な会社と取引をしていこうとする”セキュリティチェックシート”。契約を締結する前に、相手のセキュリティレベルを把握するために各企業が独自のフォーマットでチェック項目を作成しています。
「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点” こちらは会員限定の記事になりますが、”体系的に学ぶ 安全なWebアプリケーションの作り方”シリーズでおなじみ徳丸先生がおっしゃるには、チェックシートでOKならば万事問題なし、とはならない、気休め程度と。で、その気休めのために、記入を依頼してくる企業によっては100近くある項目(本当にこれだけの項目があります)を書かなければならない、バカにならない工数です。しかも「こんなことを聞かれるのか」という時代錯誤な項目がリストアップされていたら、やる気も失せてしまいますよね。
僕は会社のセキュリティ担当として、様々な取引先から受け取ったセキュリティチェックシートを記入するよう社員から依頼され、依頼されたからには記入して返送したのですが、同じような質問を複数の会社が確認してくることから疲弊してしまいました。そのため、セキュリティチェックシートでよく聞かれる質問と我が社の状況というリストを会社のセキュリティポータルに掲載しました。社員にはこれを見て自分でチェックシートに記入してもらおうと。どうしても分からないトリッキーな問い合わせは自分にエスカレーションするようにしました。
しかし・・・プライバシーマークを取得している会社に対して、個人情報の取り扱いについて独自フォーマットのチェックシートで細かく質問されると「認定とは何なのか」という気持ちになってしまいますね。それだけPマークの威厳が不足しているのかもしれませんが…僕が最近思うのは
- セキュリティチェックシート自体は価値があると思うけど、各社がフィーリングと経験則に任せてチェックシートを独自作成するのではなく、業界として「この産業ならこのチェックシート」という共通規格を作ってほしい
- プライバシーマークやISMSの価値を向上させ、それらの認定を得ている企業であればセキュリティチェックシートを送付することが不要である、くらいの社会的地位を持たせてほしい - そのためにこれらの認定の取得難易度は厳しくしてほしい
要は情報処理安全確保支援士(登録セキスぺ)と同じように、その認定を張子の虎にするのではなく、本物の重さを持たせてほしい、と思うのです。それなら企業も真剣にセキュリティの資格を取得するよう、社内のあれやこれを改善するはずですし。僕の仕事も増えますが(^^;)