ビジョナルのグループ会社であるビジョナル・インキュベーションは1月25日、オンラインで記者説明会を開き、クラウドリスク評価「Assured(アシュアード)」を正式リリースすると発表した。価格は月額課金制で15万円~、トライアルプランも用意している。
求められるアナログ的なクラウドリスク評価業務の効率化
Assuredは、クラウドサービスのセキュリティリスクを独自に調査し、評価結果を一元化したデータベースを提供することで、各社のクラウドリスク評価業務にかかるコストの削減を実現するという。
冒頭、ビジョナル 代表取締役社長の南壮一郎氏は「昨年4月に東京証券取引所マザーズ市場に新規上場しており、上場に際してセキュリティガバナンスの強化を進めていたが、経営上、外部委託先の管理が義務付けられ、クラウドサービスも管理対象となっていた。当社では約500のクラウドサービスを利用し、利用実態の把握やリスク評価を実施していたものの、導入前にはサービスごとに公開情報を1つ1つ収集したほか、サービスごとに質問票をベースにした確認を行い、導入後は定期的な棚卸しやリスク再評価を行うなど、プロセス自体が非常にアナログ的であり、非効率なものだった。そのためクラウドリスク評価業務の効率化が求められている」との認識を示す。
そのため、同社ではクラウドリスク評価のデータベースとしてAssuredを開発。Assuredについては、ビジョナル・インキュベーション 新事業責任者の大森厚志氏が説明に立った。まず、同氏は2021年における日本のデジタル競争力がICT先進国64か国・地域中で過去最低の28位となり、日本のクラウドが活用が米国と比較して7年以上の遅れていると指摘。
そのような状況に対して、政府では2018年に経済産業省が「DX推進ガイドライン」をとりまとめ、2019年にはIPA(情報処理推進機構)が「DX推進指標事故診断結果入力サイト」の公開、2020年には経産省が「中小企業デジタル化応援隊事業」の開始と「デジタルガバナンス・コード」の公開、IPAが「DX認定制度」のウェブ申請の開始、そして2021年にはデジタル庁が発足している。
こうした後押しもあり、全社的にクラウドサービスを利用している企業の割合は2016年の24.4%から2020年には39.4%に拡大した。しかし、クラウド利用を原因とした重大なインシデントも増加しており、企業が利用する開発ツールや業務管理ツールなどのクラウドサービスに対する不正アクセスもあり、重要情報が流出する事態となっている。
大森氏は「世界でも1社あたり平均1400以上のクラウドサービスを利用し、クラウド活用が急増しており、1件当たり平均数億円規模の損害が発生するなど、企業経営に与える影響が増大している。今後、日本でもさらなるクラウド利用リスクの拡大が想定されており、クラウド活用にはリスク評価が不可欠だ」と力を込める。
そのため、総務省では企業の安全なクラウド活用を支援しており、2017年に「クラウドサービスの安全・信頼性に係る情報開示氏氏」の改定、2018年に「IoTクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」の策定、2020年に「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用開始、2021年に「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の改定を行っている。
ただ、クラウドリスク評価の流れはセキュリティ担当、情報システム担当がクラウドサービスの情報を各所から情報収集し、クラウドサービス事業者との度重なるやり取りをサービスの数だけ対応し、セキュリティ評価を行う。大森氏は「1つのクラウドサービスで数週間~数か月もの時間をかけることに加え、最新情報を半年~1年ごとに見直すため非常に煩雑な作業になる」と話す。
デジタル化推進による生産性向上を支援するAssured
その点、Assuredは利用企業はリスク評価情報をリアルタイムに閲覧可能としており、Assured内の専門チームがデータベースでリスク評価し、クラウドサービス事業者はさまざまなサービスのセキュリティ情報の登録のみとなる。
同氏は「Assuredのリスク評価チームが調査したクラウドリスク評価情報を一元化していることから、オンライン上から手軽に情報を確認できる。評価に係る時間も従来は数週間~数か月かけていたが、いつでも閲覧が可能だ」と、そのメリットを強調する。
これにより、クラウドサービスに潜むリスクを正確かつ速やかに把握するほか、セキュリティ担当者の業務負荷を軽減するとともに、業務の脱属人化、持続的な管理体制を構築できるという。
提供するクラウドリスク評価情報項目は、経済産業省や総務省が公開しているガイドライン、NIST SP800-53、ISO27001、ISO27017などの国際規格に基づき、100項目以上を掲載している。
一例として、基本項目では第三者認証の有無や預託データの取り扱い、セキュリティインシデント歴など、サービス自体のセキュリティ対策では情報セキュリティ確保のための組織体制、アクセス制御、暗号化、セキュリティインシデント管理など、特定の機能を有する場合のセキュリティ対策として、クラウドサービス上にファイルアップロード機能の有無、預託データが共有される外部サービスの有無などとなる。
現状では金融機関や製造メーカー、広告代理店などの業種で利用されているという。大森氏は最後に「日本経済の国際的な競争力を高めていくためにデジタル化推進による生産性向上を支えていきたいと考えている。また、サービスを通じて、すべての企業が安全かつ円滑にクラウドを活用できる世界を目指していく」と締めくくった。