DX推進企業も導入、時間がかかるSaaSセキュリティ審査の「最適解」──効率化と正確性を両立する方法

企業に代わって「第三者の立場」からリスクを評価

　こうしたリスクを回避するために、現在多くの企業ではクラウドサービスを導入する前にその安全性を調査する「質問票」をクラウド事業者に送付し、その回答内容を基に対象サービスのセキュリティリスクを評価して採用の可否を判断している。しかしこうした調査方法には、様々な面で課題があると大森氏は言う。

　「クラウドサービスの仕様は短期間のうちにどんどん変わっていくので、導入時に一度調査・評価するだけでは本来不十分です。またクラウド事業者がこちらの質問の意図をきちんと汲み取ってくれるとは限りませんし、そもそも質問票で挙げたヒアリング項目が本当に適切かどうかも多くの企業では判断できません」（大森氏）

　そこでアシュアードでは、企業が抱えるこうした課題を解決するために、企業に代わって様々なクラウドサービスのセキュリティリスクを第三者の立場から評価。その内容をデータベース化して広く提供する「Assured」というサービスを提供している。

　このサービスを利用することによって、企業は手間や時間をかけずにクラウドサービスのセキュリティリスクに関する情報をすぐに入手できるようになる。前述したような「質問票を作成」「事業者に送付」「返答を待ってからその内容を精査」といった作業が基本的に不要になるため、アシュアードによれば年間50件のリスク調査を行うケースでは業務負荷を4分の1まで削減できるという。

　また調査・評価は第三者が行うため、恣意性や属人性を排した中立性の高いリスク評価が可能になる。既に多くの企業がこうしたメリットを評価してAssuredを導入しており、その中には中外製薬、SOMPOホールディングス、ふくおかフィナンシャルグループといったDXを推進している大手企業も含まれている。

　Assuredのリスク評価データベースの中には、国内外の様々なジャンルのクラウドサービスに関する評価データが収められており、ユーザーは任意のクラウドサービスに関する情報をいつでも参照できる。この評価データの作成に当たっては、まず約120項目にわたる質問票をクラウド事業者に送付し、その回答内容を監査法人やコンサルティングファームで経験を積んだセキュリティアセスメントの専門家が精査した上でデータベースに登録しているという。

　これに加え、対象サービスの公開情報をクローリングし、そこで得られた情報を基にスコアリングも行っている。このスコアリング情報と専門家の評価情報の双方を参照することによって、ユーザーは短期間のうちに正確なリスク評価を行えるようになるのだ。