SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 春の陣レポート(AD)

DX推進企業も導入、時間がかかるSaaSセキュリティ審査の「最適解」──効率化と正確性を両立する方法

“ブラックボックス化”されているSaaSのセキュリティ対策を評価する「4つの観点」

企業に代わって「第三者の立場」からリスクを評価

 こうしたリスクを回避するために、現在多くの企業ではクラウドサービスを導入する前にその安全性を調査する「質問票」をクラウド事業者に送付し、その回答内容を基に対象サービスのセキュリティリスクを評価して採用の可否を判断している。しかしこうした調査方法には、様々な面で課題があると大森氏は言う。

 「クラウドサービスの仕様は短期間のうちにどんどん変わっていくので、導入時に一度調査・評価するだけでは本来不十分です。またクラウド事業者がこちらの質問の意図をきちんと汲み取ってくれるとは限りませんし、そもそも質問票で挙げたヒアリング項目が本当に適切かどうかも多くの企業では判断できません」(大森氏)

 そこでアシュアードでは、企業が抱えるこうした課題を解決するために、企業に代わって様々なクラウドサービスのセキュリティリスクを第三者の立場から評価。その内容をデータベース化して広く提供する「Assured」というサービスを提供している。

画像を説明するテキストなくても可
クリックすると拡大します

 このサービスを利用することによって、企業は手間や時間をかけずにクラウドサービスのセキュリティリスクに関する情報をすぐに入手できるようになる。前述したような「質問票を作成」「事業者に送付」「返答を待ってからその内容を精査」といった作業が基本的に不要になるため、アシュアードによれば年間50件のリスク調査を行うケースでは業務負荷を4分の1まで削減できるという。

画像を説明するテキストなくても可
クリックすると拡大します

 また調査・評価は第三者が行うため、恣意性や属人性を排した中立性の高いリスク評価が可能になる。既に多くの企業がこうしたメリットを評価してAssuredを導入しており、その中には中外製薬、SOMPOホールディングス、ふくおかフィナンシャルグループといったDXを推進している大手企業も含まれている。

 Assuredのリスク評価データベースの中には、国内外の様々なジャンルのクラウドサービスに関する評価データが収められており、ユーザーは任意のクラウドサービスに関する情報をいつでも参照できる。この評価データの作成に当たっては、まず約120項目にわたる質問票をクラウド事業者に送付し、その回答内容を監査法人やコンサルティングファームで経験を積んだセキュリティアセスメントの専門家が精査した上でデータベースに登録しているという。

 これに加え、対象サービスの公開情報をクローリングし、そこで得られた情報を基にスコアリングも行っている。このスコアリング情報と専門家の評価情報の双方を参照することによって、ユーザーは短期間のうちに正確なリスク評価を行えるようになるのだ。

次のページ
厄介な「シャドーIT」対策も完備

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 春の陣レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:株式会社アシュアード

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17536 2023/04/19 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング