投稿日 2022年6月18日 | 最終更新 2023年4月24日
青野慶久/aono@cybozu@aono
日本のIT業界の生産性を下げる一因となっている「セキュリティチェックシート」。業界を挙げて効率化できないかとSAJ(ソフトウェア協会)で意見交換中。興味のある方、いらっしゃいますかねー。
2022/06/16 09:35:44
https://t.co/d0J5aGqeZ8
続き)政府や自治体では共通基準でチェックの手間を減らそうという動きがありますが、業界全体ではまだまだ個別フォーマットのエクセル表をメールで...という現状があります。
— 青野慶久/aono@cybozu (@aono) June 16, 2022
“政府認定SaaS”が誕生へ 政府のクラウドサービス認定制度に新しい枠組み https://t.co/DFnuuedglQ
続き)Twitterで「セキュリティチェックシート」を検索すると、数え切れない人たちによる苦しみの叫びが...https://t.co/YaujtdF6jH
— 青野慶久/aono@cybozu (@aono) June 16, 2022
続き)↑ざくっと読ませていただきました。Conorisさん、Assuredさん、わかりやすく素早いレスポンスをありがとうございました!!
— 青野慶久/aono@cybozu (@aono) June 17, 2022
顧客とベンダーでエクセル表をメールで飛ばし合う(しかも素人を介して)のを減らすには、彼らのような事業者に情報を集約し、利用を促進していくのが有効そうですね。
続き)backlogでお馴染みのヌーラボさんはセキュリティチェックシートの作成を有償化されています。これは参考になります。勇気あるチャレンジに感謝!
— 青野慶久/aono@cybozu (@aono) June 17, 2022
セキュリティに関する書類に回答を記入してもらえませんか? https://t.co/e297Gu6Afp
続き)セキュリティチェックシートを減らす、ひとつのアプローチが標準化。
— 青野慶久/aono@cybozu (@aono) June 17, 2022
ただ、ISMSやISMAPのような認証に加え、経産省のガイドラインや総務省の情報開示指針など、既にいろいろあるんだけど、十分機能していない感じがするのはなぜだろう?
セキュリティチェックシートを減らす施策(案)
— 青野慶久/aono@cybozu (@aono) June 17, 2022
その1:各ベンダーが標準化されたセキュリティ情報を公開(ベンダー側の底上げ)
その2:セキュリティ情報提供事業者に詳細情報を集約(ベンダー側の品質向上)
その3:顧客の意識変革とセキュリティ情報サービスの利用促進(顧客側のレベル向上)
Unipos斉藤です!とても興味あります。
— Tomoaki Saito / Unipos CPO (@tomosooon) June 16, 2022
ISMAPは、認定を取得するためにISMS等の認定を持っていたとしてもさらに半年(自社調査)、期間と工数がかかるためむしろ生産性を下げてしまっている実態さえあると感じています。
セキュリティチェックの対応でエンジニアも疲弊している現状を打破したいです。
関連する取り組みでCSAという団体が、CAIQというセキュリティチェックシートを公開していて、クラウドサービス提供者がそれに予め回答したものを公開したりしています。理想的にはこういったもので大部分のチェックをカバーできると良いなと思います。 https://t.co/nAuHYYFJXF
— 田中裕一(Yuichi Tanaka) (@yuichielectric) June 16, 2022
はじめまして!
— yoshio (@yoshio44955454) June 16, 2022
ヘイ株式会社の吉岡と申します。
セキュリティチェックシートには強い課題感を抱いており、是非参加させてください!
初めまして、Alphadriveの杉浦と申します。
— 鯖缶(saba_can00) (@saba_can00) June 16, 2022
この辺りSaaSのサービス提供者として課題を解決したいと思っているので、協力させていただきたいです。
2年弱ほどこの問題の解決に向けてヒアリングとプロダクト解決を進めてきた結果みえてきたことを #note にまとめてみました!参考になると幸いです!https://t.co/JIoCpXa9Gq
— Miyuki Inoue I Conoris(ベンダーリスク管理ツール) (@gatlingmiyuki) June 16, 2022
青野さん、メッチャ興味あります。非会員ですが、フォーマットが多すぎて困っています。。
— 石井 和彦 (@kaznn) June 16, 2022
初めまして。LRMが提供する情報セキュリティ向上クラウド #Seculio に、アンケート作成と回答も含めた委託先管理の工数を削減する機能があります。
— HORIE Keisuke (@keikeisuke) June 17, 2022
アンケートを行わなくてもチェックが行える仕組みができるとよいのですが。。https://t.co/MEZQUiZeGU
初めまして、Conoris(https://t.co/TRJGGtQQCS)というプロダクトを開発している井上と申します。さくらインターネット田中社長にご紹介いただいて、SAJに加盟させていただいておりますので(準会員)、是非ご一緒できると幸いです!@y_hagi ご紹介、ありがとうございます!!
— Miyuki Inoue I Conoris(ベンダーリスク管理ツール) (@gatlingmiyuki) June 16, 2022
企業ごとに求められるセキュリティチェックシートのフォーマットが違って対応に追われる相談を何度か受けています。SOC2レポートとかでも代替できないようで、せめて共通のシートなど作れると良いのにと以前から思っていました。
— Sen Ueno (@sen_u) June 16, 2022
アンドパッドの下司と申します。とても興味あります!
— げっしー (@gessy0129) June 16, 2022
丁度、今朝エンジニアと話をしていてビックリ。
— 鎌谷 太士🌥️ロジクラ (@tai_kama) June 16, 2022
エンジニアの対応工数だけじゃなく、部署全方位的に工数がかかりすぎているので、これが解消されるなら凄い。
とても興味があります。
— どくしよ (@Banzibal) June 16, 2022
お客様ごとの独自のチェックシート回答にリーダークラスの工数がものすごくとられます。
しかも、的はずれの質問も多く、意味のない質問も多いです。
大きな組織が1つのチェックシートを作り、それを回答とし、個別の回答は禁止という流れになればいいのですが。
企業のセキュリティ基準を均一化して水準を引き上げようと試みるイケイケSaaSを紹介しますhttps://t.co/tS2C3lwpLX
— シンジ☁Shinji (@sudachikawaii) June 16, 2022
個別フォーマットはつらい
— 12ban (@12bannn) June 16, 2022
各種アセスメントも標準化・単純化してほしいですー
— ラーメン大好きしろくまさん (@Kumappus) June 16, 2022
SaaS型のサービス提供者として完全に同意します。
— Takao Nakagawa (@takao_nakagawa) June 16, 2022
セキュリティチェックシートを標準フォーマットとして定義できればSaaS型サービス提供者の工数がどれだけ削減できるか。
はじめまして。セキュリティチェックシートにとても悩まされている者の一人です。とても興味があります。
— 河村 太樹 (@Kawamura_Taiki) June 16, 2022
情シスだけで打ち返せるならまだマシなんですが、プロダクトに聞かなければならないことやリモートワークを前提としていない質問があったりするのでかなりの工数を取られます。
— たかぼん@一人目の一人情シス4社目 (@xtakabon) June 16, 2022
EXCELに変な入力制限設けていたりして入力しずらかったりします。
これらが週に一件以上きます。
改善して頂きたいです。
セキュリティチェックシート運用していますが、第三者認証の取得状況によって省略できるようにはしています。ISO27001取得なら一部免除。SOC2、ISO27017、ISMAP取得していたら全部免除。
— SAKON (@sakon310) June 17, 2022
ただ、なかなかスタートアップで取得しているサービスは少ないのが現状なので、共通化は期待しております。
AWS三石です。ぜひ!
— Stone (@tmitsuishi) June 17, 2022
お世話になります。
— 大森 厚志 | Atsushi Oomori (@atsumori292) June 16, 2022
クラウドリスク評価Assuredの大森と申します。https://t.co/hYdBpBaDOe
別途、貴社萩澤様からのご連絡と重なってしまい恐縮ですが、この手の課題解決に向けたサービスを運営しておりますので、ぜひお話させて頂けますと幸いです。
セキュリティシート、すぐなくすのは難しいと思いますが、各項目について、共通基準の当該項目名を記載するよう指針が出ると楽になりそうです。CSAジャパンがCCMVとISO/IEC270xxやISMAPとの対応表を公開してくださっていますが、各社のセキュリティシートもそういう感じになれば良いなと思います。
— Iwasaki Teruyuki (@twk) June 16, 2022
これのことかえ?https://t.co/yrB4XvGqGC
— ふroshikiぴroshiki (@phujita_64) June 16, 2022
セキュリティチェックシートについては、国際標準化されたものがあるのに、それが日本ではほぼ使われていないという問題と、独自のセキュリティチェックシートへの記入は大きな工数と、専門的な知見が必要であるにも関わらず無償での対応がよく行われているという商習慣の問題があります。
— 太一 (@ryushi) June 16, 2022
国際標準化されたものが使われていないのは、セキュリティチェックシートの記入を依頼する側がよく分かってないからということが多いです。これはつまり、どれくらいの工数観なのか分かっていないから、Excelに記入するだけなのだから無償で対応できるだろうという見込みになってしまうのですよね。
— 太一 (@ryushi) June 16, 2022
対応策としては、基本的にSOCやCSAの日本版が出来て、パッケージベンダやSaaSベンダは顧客に対して必要ならそこからダウンロードしてくださいと案内する形になるのが望ましいと考えます。
— 太一 (@ryushi) June 16, 2022
ちなみに、CSAのチェックシートは地獄のExcelです。誰でもダウンロードできますので、例としてGitHubの入力結果を紹介します。https://t.co/PI1dCD1WAy pic.twitter.com/FScZ6i42Ii
— 太一 (@ryushi) June 16, 2022
Excelで作られたセキュリティチェックシートへの記入は恐らく世界中で行われています。そして、本当に大変です。
— 太一 (@ryushi) June 16, 2022
![体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践](https://m.media-amazon.com/images/I/41WBMf7zcML._SL500_.jpg)