セキュリティチェックシートを公開しました

どうもこんにちは、Securityロールの幸田です。最近は蒸し暑い日が続きますね。夏の暑さにも負けず活動を行うLeviiはお客様の大事な大事な情報資産を守るために、いくつかの社内規定と、セキュリティポリシーを定めています。

お客様からの問い合わせの中には情報資産をどう扱っているか、弊社サービスのBalusが信用足り得る根拠はあるのか、ということをよく聞かれるため、Leviiの取り組みをお伝えするべく社内ポリシーをセキュリティチェックシートとして公開を行いました。

今回はセキュリティチェックシート公開までの取り組みを記事として紹介します。当記事が自社サービスのポリシー作成にお困りの情シス担当の方にも助けになれば幸いです。

お客様は何を気にしているのか

まず、外部サービスを利用する際のセキュリティに関する悩み事ですが大抵の企業様で気にされているサービスレベル項目は重複しています。

クラウドサーバの物理的な位置(日本)
認証規格の取得はあるか
サービス復旧時間はどうか
インシデント発生時にはどうするのか(連絡手段などがプロセス化されているのか)
バックアップはどの程度あるのか

この様な問い合わせに対してすぐにレスポンスを返せるよう、LeviiではSLAの設定について経済産業省ウェブサイトで公開されているSaaS向けSLAガイドラインを採用しています。 www.meti.go.jp こちらに沿ってサービスレベル項目を設定しているSaaS事業者が多いことから、様々なサービスを導入検討する情シスの方が気にされるような内容がフォローされています。

また、もう1つ安全なウェブサイトの作り方の測定結果も採用しており、 SaaSのプロダクトは仕組み上Webアプリケーションの脆弱性も気にしなければならないため、その対応についても公開する必要があると考えています。私が普段Webアプリケーションの脆弱性を専門にしており、ベンダー様との認識ギャップに悩みを抱えることから独自に難しい標語で拵えるのではなく一般的によく利用されている資料を採用しました。

新規にBalusを使っていただく方がセキュリティを気にされている場合には、上記で紹介した2つの資料をまずはお渡しするようにしています。

セキュリティチェックシート(SLA含む)ができるまで

Leviiは元々、ある課題がよく浮上していました。セキュリティレベルをクリアできないと導入できないお客様向けの、セキュリティ対応に対応部署とのやり取りが発生するという件です。(画像左部) これ自体はどの企業にもよくある課題かと思いますが、Leviiは少数精鋭で取り組んでいることもあり、お客様毎に異なるフォーマットのチェックシートや要件を満たすやり取りで対応コストがかかっていました。そこで、セキュリティに対する健全性の証明として、あらかじめセキュリティチェックシートを公開しておくことで、お客様のセキュリティ担当者もとい、Leviiの開発メンバー以外でもセキュリティレベルを把握できるようにセキュリティチェックシートの公開を目指しました。

↑はMtgで実際に作成したコンテキストモデルです。何か新しいプロダクトをする際、ステークホルダとその目的が明瞭になることからコンテキストモデルは非常に優れていることがわかります。

自社サービスのポリシー作成にお困りの事業者様向け

お客様からSLAについての提出を要求されることが多く、お困りの担当者も多いかと存じます。そのような場合には上で紹介した通り、総務省で公開されているSaaS向けSLAガイドラインをまずは一読するべきです。

SaaS向けSLAガイドラインにはサービス事業者が提供するべき運用情報や、顧客が自社でサービスを構築した場合との比較等が示されています。

また、資料の後半にはSLAにおけるサービスレベル項目のモデルケースが設定されているため、期間業務や販売管理等のサービスを提供する事業者をこちらの表を自社に当てはめて公開するのも良いかと考えています。

さらに、SLA項目を準備することはセキュリティをアピール以外のメリットもあります。

それは、自社サービスのウィークポイントがわかることです。以下の図は、内部で使用していたセキュリティ要件対応モデルの一部です。サービスレベル項目を実際に埋めていくことで、一般的に満たさなければならない(=お客様が期待している)セキュリティ要求が浮き彫りになるため、対応の優先度設定がわかりやすくなります。