こんにちは、タイミーでコーポレートITを担当している礒飛(@t_isohi)です。
この記事は "Timee Advent Calendar 2023"のシリーズ3(3トラックあります!)6日目の記事です。
この記事で発揮したい効能
- セキュリティチェックシートに関わる人のお気持ちが少し楽になる
- セキュリティチェックシートに関わる人の時間が空いて他のことに使える
- セキュリティチェックシートの回答を他の人に任せられる
前置き
下記を想定していたり、いなかったりします。
想定している読者
- 社外からのセキュリティチェック依頼に回答する方、特に一次受けになる方
- 情報セキュリティを担当している部門
- コーポレートITもしくは全社の情報システムを担当している部門
- 自社のサービス/プロダクトを開発運用している部門
- セキュリティチェックシートの取り扱い全般について見直したい、時間的な余裕がある方
想定していない読者
- 下記部門で、社外からのセキュリティチェック依頼に回答する方
- 法務をはじめとした管理部門
- クラウドサイン社のブログ「SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方」がお勧めです。
- 法務をはじめとした管理部門
- 社外からのセキュリティチェック依頼を受けた方
- 決して自己判断で回答せず、社内で回答してくれる部門を探しましょう。
- セキュリティチェックシートの回答に追われている方
- まずは目の前のシートを片付けましょう
その後ゆっくり読んでください
- まずは目の前のシートを片付けましょう
読者についての補足
初めて担当されることになった方には有益な情報があるかもしれません。
セキュリティチェックシートで苦労している方は、「あるある!」と思ってもらったり、「お、それは「知らなかった!」と思うことがあれば幸いです。
また、タイミーでの実務上の話ではなく、個人の経験に基づいて、自分が初めてセキュリティチェックシートを担当するときに読みたかったなーという記事を想定しています。
先に読むと良いもの
「セキュリティーチェックシートとは」から始まり、闇その1〜その3までの防衛術が書かれており、大変参考になります。具体例が分かりやすく、共感しかありません
「なんでなんだろう」などから始まり、「楽になるための案」が書かれており、大変参考になります。とても気持ちが伝わる文章で、共感しかありません
本文
回答する側の視点で、セキュリティチェックシートにまつまるプロセス全体で考えてみます。
どんな課題が考えられるか
まずは、ChatGPT先生に雑に聞いてみました。
- コミュニケーションの遅延: 複数の部門や個人を経由するプロセスは、コミュニケーションの遅延を引き起こす可能性があります。これにより、全体のプロセスが非効率になる恐れがあります。
- 情報の歪み: 伝達の過程で情報が歪むリスクがあります。特に、複数の部門を経由する際には、本来の質問や回答の意図が正確に伝わらない可能性があります。
- 誤解の可能性: 質問の解釈に関する誤解が生じる可能性があります。特に、異なる部門間でのコミュニケーションでは、専門用語の解釈に違いが出ることがあります。
- 重複作業: 各ステップで重複する作業が発生する可能性があります。例えば、同じ質問に対して複数の部門が回答を準備することが考えられます。
- リソースの不均等な配分: 特定の部門や個人に過度の負担がかかる可能性があります。これは、プロセスの非効率性や作業の品質低下につながる可能性があります。
- 迅速な対応の困難: 緊急性が高い場合でも、多段階のプロセスを経由するため、迅速な対応が困難になる可能性があります。
個別に見ていきます。
1.コミュニケーションの遅延: 複数の部門や個人を経由するプロセスは、コミュニケーションの遅延を引き起こす可能性があります。これにより、全体のプロセスが非効率になる恐れがあります。
5.リソースの不均等な配分: 特定の部門や個人に過度の負担がかかる可能性があります。これは、プロセスの非効率性や作業の品質低下につながる可能性があります。
6.迅速な対応の困難: 緊急性が高い場合でも、多段階のプロセスを経由するため、迅速な対応が困難になる可能性があります。
これは実際にセキュリティチェックシートの対応をした方は痛感していると思います。
各社からの依頼に個別対応している場合、営業担当などに対して、回答にかかる時間の目安を予め伝えておくのが大事ですね。初めてセキュリティチェックシートの回答をする方は、設定された締切に無理に合わせるのではなく、質問全体に目を通して、各担当者に依頼してから、回答予定日を営業担当に伝えることをお勧めします。
2.情報の歪み: 伝達の過程で情報が歪むリスクがあります。特に、複数の部門を経由する際には、本来の質問や回答の意図が正確に伝わらない可能性があります。
3.誤解の可能性: 質問の解釈に関する誤解が生じる可能性があります。特に、異なる部門間でのコミュニケーションでは、専門用語の解釈に違いが出ることがあります。
シートはExcelやWord等で届くので、伝言ゲームになって意図が変わってしまうことは起こりませんが、質問の意図が分からないことはあります。
セキュリティーチェックシートという闇への防衛術の闇その3 何を求めてるのか分からない項目が多いでも触れられていますが、一次回答としては、想定される解釈と回答をセットにするのが良いでしょう。必要に応じて追加質問が来たり、ミーティングがセットされる場合があります。
4.重複作業: 各ステップで重複する作業が発生する可能性があります。例えば、同じ質問に対して複数の部門が回答を準備することが考えられます。
例えば、「通信を暗号化しているか?」という質問に対して、サービスの開発運用を行う部門、コーポレートIT部門が回答する必要があります。重なる部分もありますが、良い機会と捉えて両部門が全体像を把握しておくと安心です。
上記と重なる部分もありますが、自分なりに具体例を考えてみると
| 事象 | 課題 | 対応例 |
|---|---|---|
| 取引先担当者(担当営業等)が、分かる範囲で回答してしまう | 正しい情報を反映しておらず、法人として誤った回答になる恐れ。以下の課題も含む。 | 必ず窓口となる部門に依頼するよう周知徹底 |
| セキュリティチェックシート窓口が過去回答に基づき、回答してしまう | 最新の情報を反映しておらず、法人として誤った回答になる恐れ。 | 社内で標準的なFAQを用意し、定期的に更新 |
| セキュリティ以外の質問が含まれる | いわゆる技術的管理措置ではなく、人的管理措置や組織的管理措置については、様々な部門に問い合わせるコストが発生 | 変化が少ないものについては、社内で標準的なFAQを用意。また、回答を支援してくれるサービスを活用 |
| 取引先の依頼者自身が回答すべき質問がある | こちらでは回答できない | その旨を伝える |
| 質問の対象が限定されておらず、複数想定される場合がある | 回答だけを行うと情報が歪んだり、誤解の可能性がある | 想定と回答をセットで記載する。シートを作成した依頼元のセキュリティチェック部門と、依頼された側で具体的な回答をする部門で直接MTG等を実施 |
上記を通じて、正しく期日内に企業間で責任を持ったやり取りができたとしても、別の課題があります。
| 事象 | 課題 | 対応例 |
|---|---|---|
| 質問数によっては、回答に数時間もしくはそれ以上かかる | 人的コスト | ISMS, Pマークなどの第3者認証取得や、自社の取り組みを公開することで負荷軽減 |
コストを軽減するには?
こちらもまずは、ChatGPT先生に雑に聞いてみました。
- 第三者認証の取得: ISMS(情報セキュリティマネジメントシステム)やプライバシーマークのような認証を取得しておくと、セキュリティに関する一定の基準を満たしていることが証明されるため、顧客からの質問が減少する可能性があります。
- 質問と回答のデータベースの構築: 過去の顧客からの質問とその回答をデータベース化し、同様の質問に対して迅速に回答できるようにします。これにはAI技術を利用することも一つの手段です。
- 標準化されたセキュリティ文書の準備: セキュリティポリシー、手順、対策に関する文書を標準化して準備しておくことで、顧客の質問に対して迅速かつ一貫性のある回答が可能になります。
- 顧客向けのセキュリティガイドの提供: セキュリティに関するFAQやガイドを顧客向けに提供し、基本的な疑問や懸念を事前に解消することができます。
- セキュリティアウェアネスの向上: 顧客がセキュリティに関する知識を深めることで、不要な質問や誤解を減らすことができます。これには教育プログラムやセミナーの提供が有効です。
こちらも個別に見ていきます。
1.第三者認証の取得: ISMS(情報セキュリティマネジメントシステム)やプライバシーマークのような認証を取得しておくと、セキュリティに関する一定の基準を満たしていることが証明されるため、顧客からの質問が減少する可能性があります。
これは依頼元の会社次第ですが、運が良いと数十問軽減されたことがあります。
ですが、質問数が変化しないことも多いので、セキュリティチェックシートだけを理由に認証取得しようとするとコストが割に合わないと思います。
よく聞かれるのは以下ですね。
- プライバシーマーク (JIS Q 15001)
- ISMS (ISO/IEC 27001)
- クラウドサービスセキュリティ (ISO/IEC 27017)
2.質問と回答のデータベースの構築: 過去の顧客からの質問とその回答をデータベース化し、同様の質問に対して迅速に回答できるようにします。これにはAI技術を利用することも一つの手段です。
社内だけで質問、回答、担当部署、エビデンス等をまとめておくのは非常に重要ですね。
最近は以下のようなサービスも出てきているようです。
セキュリティチェックシートの回答を支援してくれるサービス
また、方向性は違いますが下記も有名ですね。
3.標準化されたセキュリティ文書の準備: セキュリティポリシー、手順、対策に関する文書を標準化して準備しておくことで、顧客の質問に対して迅速かつ一貫性のある回答が可能になります。
プライバシーマークやISMSの認証取得している場合は、ある程度揃っていると思います。
もし何も場合は、認証取得しないまでも、上記に沿った文書をある程度揃えておくと回答しやすいでしょう。
4.顧客向けのセキュリティガイドの提供: セキュリティに関するFAQやガイドを顧客向けに提供し、基本的な疑問や懸念を事前に解消することができます。
5.セキュリティアウェアネスの向上: 顧客がセキュリティに関する知識を深めることで、不要な質問や誤解を減らすことができます。これには教育プログラムやセミナーの提供が有効です。
この辺りは、上記と合わせてできると、尚良しですね!
最後に
最後までお読みいただきありがとうございました!
効能はあったでしょうか? 読んですぐに効能が出なくても、じわじわと効いてくることを期待しています。
また、この話題で話したいという方がいらっしゃいましたら、ぜひお声がけください。
おまけで私の紹介記事を置いておきます。