セキュリティチームのぐっちーです。本日は新たな製品を発掘する取り組みをブログにしました。今回、海外で流行っているという噂の監査自動化SaaSを検証しています。
本ブログのサマリー
- セキュリティ認証(ISMS等)は本来、セキュリティに対する説明責任を果たすのを楽にしてくれるものですが、手順や作るべき台帳等が増え、運用担当者を苦しめているのが実態です。
- そこで、海外で流行っている「SecureFrame(注1)」という監査自動化SaaSを使って、スマートに認証取得を運用することを目指しました。
- SecureFrameに関して良い面・悪い面もありましましたが、総合的に評価すると、当社におけるISMS認証においては認証の取得・運用を劇的に変えてくれるツールではありませんでした。なぜなら、必要な対策の程度をユーザー企業が決定することができない項目が多かったからです。
- 注:SecureFrameのメインサービスはSOC 2のサポートなので、SOC 2だと話が違うかもしれません。ただし、現時点では未検証です。
セキュリティ対策してますをどうやって説明するか?
「セキュリティ対策ちゃんとしてます」をステークホルダー(顧客・取引先・株主等)にどうやって説明すればよいでしょうか?───セキュリティは全ての事柄に関わり、実施する施策も膨大、かつ青天井なので、自己流で説明するのは困難です。顧客からのセキュリティチェックを受けるなどの手段がありますが、実施・対応コストがかなりかかるので効率的とは言えません。
それを楽にしてくれるのが「セキュリティ認証(規格・基準等)」などです。権威のある団体が発行する規格・基準等に基づいてセキュリティ対策を実装し、定められた基準に基づいて対策が実施できているかを第三者機関が監査(審査)する。この営みがステークホルダーに対して「セキュリティ対策水準が合意された一定基準を満たしていること」を説明するのを手助けしてくれます。担当者レベルだと「面倒なもの」と思われがちですが、セキュリティ認証の本来の意義はここにあります。
また、権威のある団体が考え抜いて発行したセキュリティ規格・基準を採用することで、効率的かつ網羅的に組織のセキュリティ水準を向上させるという意味合いもあります。どの基準を採用するかは事業特性に合わせて熟慮が必要ですが、全ての組織が何人ものセキュリティ専門家を雇えるわけもなく、基準を参照しながら対策を組むのが効率的です。
世の中に蔓延する認証疲れ・監査疲れ
このように、「セキュリティ認証(規格・基準等)」は説明責任を果たすのを楽にしてくれたり、効率的なセキュリティ対策の実装を手助けするものですが、皮肉なことに世の中には認証疲れ、監査疲れが蔓延しています。現場担当者に限って言えば、本来の恩恵を感じられている方は少ないと私は考えています。
1つの認証を取るだけでも、複数の手順書やExcelの台帳などを作成し、運用する必要があります。複数の認証を必要とする場合はさらに作成するドキュメントが増えます。中には1000項目以上にわたって検査され、数百にも渡る証跡を提出する必要がある認証もあります。
大企業であれば、専門チームが存在する場合もありますが、中小企業だと情シス部門や総務部門が本業の傍らに行うケースが多く、認証の取得・維持のために夜な夜なエクセルを更新する担当者を私は何人も見たことがあります。
監査をSaaSでスマートにしたかった
上記の様な実態を踏まえて、当社では「楽に、スマートに、ただし丸投げせずにISMS認証を取得すること」を目指しました。今回対象にしたのは国内で約7000社(注2)が取得しており、国内でかなりポピュラーな認証とも言えるISMS認証(注3)です。
ISMS認証を取得するだけだと難易度は高くないですが、この認証をスマートに取得することにこだわりました。また、丸投げをしてしまえば楽に取得できますが、当社のポリシーにも反するので丸投げしないということも重要です。そこで、シリコンバレーで流行っているという風の噂を頼りにSecureFremeという監査自動化SaaSを利用してみることにしました。SecureFremeは様々な機能を持つ製品ですが、製品コンセプトは以下の通りです。
コンセプト①:セキュリティ規格準拠と証跡収集を自動化する
第1の製品コンセプトとしてセキュリティ規格への準拠と証跡収集を自動化するというものがあります。OktaやIntune、Jamfなどの製品と連携し、ISMSなどのセキュリティ規格と設定が合致しているかチェックしてくれます。さらにユーザー単位でそれらの設定が適切に配信されているかを常時(日時)でチェックし、証跡を自動で収集します。このように集まった証跡を企業のセキュリティ担当者と監査法人が確認(監査)することができます。
コンセプト②:複数の規格の対応を統合する
ISMS認証やPCI-DSS、SOC 2、GDPRなど企業の業態や業種によっては複数の認証や規格に準拠しなければいけないケースがあります。そして、それら複数の認証や規格は項目の一部(ものによっては大半)は重複しているケースがあります。
このように重複する要件を統合し紐付けすることで、担当者の実際の対応項目を減らすというのが製品コンセプトの2つ目です。重複する複数の認証要件を企業の担当者が紐づけるのは骨が折れる作業です。また、複数の認証に対応するために、矛盾したセキュリティポリシーを構築してしまうという悪害を防ぐことができます。担当者にとってはかなり嬉しいコンセプトであることは間違いありません。
コンセプト③:セキュリティ基準を使ってセキュリティ水準を高める
最後に、セキュリティ基準を使って、多くの企業のセキュリティ水準を引き上げるというコンセプトがあります。SecureFrameには規格の各項目の要件に準拠するための方法がタスクレベルで定義されています。それを担当者が実行することで、規格の求める一定の水準まで企業のセキュリティ水準を高めることができます。
小さな企業であれば特に、担当者の自己流セキュリティ対策を実施しているケースを見かけます。そうすると抜け漏れなどが発生してしまい有効なセキュリティ施策とは言い難いため、一定のレベルまで網羅的にセキュリティ施策を実行できるのは良いポイントだと思います。
良さそうなソリューションだったが・・・
新卒1年目以来ずっと監査に苦しんできた私にとっては、上記のコンセプトは胸が踊るものでした。しかし、残念ながら当社においてはこの製品を使って「楽に、スマートに、丸投げせずにISMS認証を取得」を達成することができませんでした。もちろん、「良い機能」も「当社では使えなかった機能」も様々ですが、総合評価としてポイントを絞って紹介します。
「対策の程度」の調整が難しかった
ISMS認証は、情報セキュリティマネージメントシステムに関わる認証なので、具体的なセキュリティ管理策の「対策の程度」はユーザー企業がリスク評価をもとに決定します。ISMS認証のベースとなる規格「ISO/IEC 27001:2013」の付属書A(Annex A)に具体的要件が記載されていないのはそのためです。
一方、SecureFrameでは、必要な対策の程度を調整を行うことが難しい状況でした。そのため企業が実施したい対策の程度と、SecureFrameの事前定義された管理策にギャップがある場合はSecureFrameの恩恵を受けることができません。もちろん調整が可能な項目はいくつかありましたが、総合的に判断すると深度の調整は難しいという評価です。
当社では、SecureFrame導入前からSecureFrameが定義する対策を超えたレベルの施策を打っていたため、恩恵を受けられる項目がかなり少なかったという状況です。また当社がコンサルティングを行うお客様にご提案する施策も、多くの場合はSecureFrameが定義する対策よりもレベルが高いものであり、当社のお客様に薦めるのも厳しいなという状況です。
わかりやすい具体例として管理策のA.7.1.1を紹介します。A.7.1.1の管理策は下記の通りです。
A.7.1.1 選考
注4
全ての従業員候補者についての経歴などの確認は,関連する法令,規制及び倫理に従って行わなければならない。また,この確認は,事業上の要求事項,アクセスされる情報の分類及び認識されたリスクに応じて行わなければならない。
ここではリスクに応じて候補者の経歴などの確認を行うことが定められています。SecureFrameでは、「入社時オンボーディング機能」があり、新入社員に対して「履歴書をSecureFrameにアップロードしてください」というメールを送り、経歴の確認の証跡を集めることができます。
一方、当社ではeKYCツールを使った本人確認等を行なっています。この場合、証跡はeKYCツールの中にあるため、SecureFrameを活用することはできません。当たり前の話かもしれないですが、独自の要件がある場合はSecureFrameは利活用することは難しいです。ISMS認証用に従業員の履歴書を入社時にSecureFrameを通じて確認し、それとは別にeKYCをやるという手段もありますが、ユーザーの負荷が上がるだけなので実施はしませんでした。
SecureFrameのコンセプトと若干相反する使い方をしているため、本ブログにおけるSecureFrameの評価が低くなっているという側面はあります。野球で例えると、走力が武器の若手プロ野球選手に「パワーがないからプロ野球ではやっていけない」と言っているようなものであるとは思っています。
APIの提供が少ない
上記のようなケースにおいて、証跡を自動でSecureFrameでアップロードするAPIなどがあれば、監査プラットフォームとして活用できるかと思いましたが、残念ながらそのようなAPIは提供されていませんでした。
定義されている管理策と実施したい対策のギャップについては「手動で証跡をアップロードすることができる」という回答をいただきました。SecureFrameでは下記の画像のように、規格の項目に準拠するためにタスク(指示)が用意されており、そこで自社が実施した対策に対する証跡をアップロードすることで対応が可能ということです。
タスク(指示)があることに対しては有難いですが、これだと担当者が手動で証跡をアップロードすることが必要です。製品のコンセプトであったはずの自動化については諦めざるを得ません。
1つの証跡を複数の管理策にわたって使い回せない
コンセプトでは、「複数の規格の対応を統合できる」という点を紹介しました。その点は素晴らしいのですが、別の切り口として「同じ規格の中で1つの証跡を使い回す」というユースケースが監査実務上発生します。このようなユースケースに対応できたら、証跡の収集・管理が非常に楽になると思うのですが、残念ながらそのようなユースケースには対応できず、結果として証跡の多重管理が発生してしまう点が惜しいなと思いました。
あとは細かい点
大きなポイントとしては上記の通りですが、その他細かい点も当然評価して「当社では活用できなかった」と評価しています。全て書くと10万字を超えそうなので、サラッと箇条書きでいくつか書いておきます。
- 教育研修機能が英語のため活用できない(これは検証前からわかっていましたが念の為)
- 監査法人アカウントのユーザービリティが良くない
- ISMS認証の要求事項(ISO/IEC 27001:2013 Clause4~10)に関するソリューションは少ない(リスクアセスメントぐらい)
- 用意されているリスクアセスメント機能は簡易アセスメントのため、ISMSの審査員によっては厳しくツッコミを受ける懸念がある
終わりに
ネガティブな評価をしてしまったが
当社のISMS認証において、SecureFrameを使って効率的に認証を取得する試みは失敗に終わりました。しかし、以下の観点ではSecureFrameは非常に優れていると考えております。
- カスタマーサポートが手厚い
- 監査のプロフェッショナルが在籍しているので相談可能です。
- Slackを通じてきめ細かいサポートをしてくれます。
- 当社では様々な海外ベンダーとやり取りをしていますが、サポートのきめ細かさはトップレベルです。
- 製品アップデートが早い
- 当社が使い続けてから、数ヶ月でたくさんの機能が追加されました。(ロールベースのアクセスコントロールや監査ログ等)
- また対応する規格も増えています。(直近だとGDPRやCCPA等)
また2022年2月には5,600万ドル(1ドル130円計算だと72億円)を調達しており(注5)、これからも更なるプロダクトのアップデートが期待されます。そのため、今回のブログではネガティブな内容が多くなりましたが、SecureFrameの将来性を否定するものではありません。個人的にも期待している製品であるため、ユーザーとしてSecureFrame社に積極的なFBをしていきたいと思っています。
次なる一手
また、運用の負荷が少なく認証を取得し続ける試みは別のアプローチで続けていきたいと考えております。現在考えているのは、WorkatoをはじめとするiPaaSとBoxの組み合わせであり、iPaaSを通じてISMSに関わる業務プロセスを整備し、業務の実施結果を証跡としてBoxに自動格納することで、監査対応の負荷を減らすというものです。単一のプラットフォームを利用するケースに比べて再現性は低くなることが懸念点ですが、運用のしやすさと他社での再現性をテーマに取り組んでいきたいと思います。
今回の取り組みは残念ながら、「SecureFrameを使って楽に、スマートに、丸投げせずにISMSを取得する」取り組みは失敗に終わりましたが、今回の経験を活かしてより良い方法を模索していきたいと思います。今後の取り組みに関しても、ブログでアウトプットしていきたいと考えておりますので、知りたいトピックなどがあればご連絡ください。
注釈
- SecureFrameは監査の準備と対応を自動化するプラットフォームです。新興企業から大企業まで1000社以上の企業が、SOC 2、ISO 27001、PCI DSS、HIPAAへの準拠を自動化するためにSecureframeを使用しています。https://secureframe.com/
- ISMS認証の取得企業は2022年7月26日現在の数です。 https://isms.jp/lst/ind/
- ISMS( Information Security Management System )適合性評価制度(=ISMS認証)とは、国際規格「ISO/IEC 27001:2013」に基づく認証です。情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムに関わる内容となっています。https://isms.jp/index.html
- 出所:日本工業規格 JIS Q 27001:2014 (ISO/IEC 27001:2013)
- 参考:Secureframe secures $56M for a platform that automates an enterprise’s compliance with standards like HIPAA and SOC 2 https://techcrunch.com/2022/02/23/secureframe-secures-56m-for-a-platform-that-automates-an-enterprises-compliance-with-standards-like-hipaa-and-soc2/