セキュリティチェックシートには、情報セキュリティの知見が十分ではない中小規模の事業者が自組織のセキュリティレベルを自己診断する用途のテンプレートから、専門的なセキュリティ知識を保有するクラウドサービス事業者が外部公開を前提として、自社のクラウドサービスや組織の情報セキュリティレベルを自己診断するテンプレートまで様々なものがあります。

本記事では、まず始めに政府機関や非営利団体が公開しているセキュリティチェックシートのテンプレートを引合いに、それぞれのセキュリティチェックシートの目的、利用者、利用シーンを分析します。

次に、幾つかのクラウドサービス事業者が外部公開しているセキュリティチェックシートをサンプルとして使い、その中身を分析します。

最後に、読者の皆様の組織において、セキュリティチェックシートを運用する上での課題を解説します。

‍

また、弊社からもロイヤリティフリーのセキュリティのテンプレートを公開しています。

無料でダウンロード可能ですので、是非ご活用ください。

→セキュリティチェックシートテンプレートをダウンロードする

‍

‍

各種テンプレートから見たセキュリティチェックシートの目的と利用シーン

‍

ここでは4つのセキュリティチェックシートのテンプレートを用い、それらの目的と利用シーンを分析します。

最初に中小規模の事業者を主なターゲットとして公開している経済産業省のセキュリティチェックシートである「技術情報管理 自己チェックリスト」、次にクラウドサービス事業者やクラウドを利用する組織向けに同じく経済産業省が公開したセキュリティチェックシートである「クラウドサービスレベルのチェックリスト」、続いてCloud Security Alliance(CSA)がクラウド事業者向けに公開しているセキュリティチェックシートの「Cloud Assessment Initiative Questionnaire」、最後にIPAがウェブサイトの運営者向けに公開しているセキュリティチェックシートの「安全なウェブサイトの作り方 改訂第7版」（チェックリスト）」をご紹介し分析を行います。

‍

経済産業省のテンプレート「技術情報管理 自己チェックリスト」

このセキュリティチェックシートは技術情報管理認証の取得を目指す事業者向けに、2023年3月29日に経済産業省が公開したテンプレートです。*https://www.meti.go.jp/policy/mono_info_service/mono/technology_management/pdf/checklist.xlsx

技術情報管理認証制度とは、2018年の産業競争力強化法改正において、国が認定した認証機関が、事業者の情報セキュリティ体制や状況を客観的に審査・認証する制度であり、認証を取得した事業者は次のようなメリットを享受出来ます。

‍

・国が主導する認証制度であり、顧客や取引先からの信頼を得ることができる。

・自組織の情報セキュリティの取り組みをマークで対外的に示すことが出来る。

・国の一部の補助事業の審査の際に加点が受けられる。

・日本政策金融公庫が実施する中小企業向けのIT関連設備等の導入資金や長期運転資金の融資（IT活用促進資金）を特別利率で受けられる。

‍

情報セキュリティの認証制度には大企業での取得例も多い国際的な認証制度としてのISMS認証が有名ですが、こちらの認証制度は主に日本国内の中小企業を対象としたものとなっています。

‍

経済産業省のテンプレート「技術情報管理 自己チェックリスト」の利用方法

このセキュリティチェックシートのチェック項目では

‍

・ルール作り

・ルールの実践

・人的対策

・設備的対策

・サイバー対策

・漏えいを起こさない

・漏えい後の被害を抑える

・取引先との関係

‍

の8分野のセキュリティ対応状況を自己チェック出来るようになっています。

また、このセキュリティチェックシートのフォーマットは情報の漏洩を防ぐための基礎的な確認事項であるファーストステップ（経営の視点）と、情報の漏えいを防ぐための具体的な対策であるセカンドステップ（実務の視点）に分かれ、あらかじめ記載されている確認内容に基づきチェック欄にチェック結果（4段階で自己評価）を選択するだけというシンプルで分かりやすいフォーマットとなっています。

このセキュリティチェックシートのテンプレートを用いることで、自組織の取組状況を自ら把握し、対策を始めるにあたって取組むべきことを特定したり、これまでの取組みを振り返り不足している点を確認することができるようになります。

‍

経済産業省のテンプレート「クラウドサービスレベルのチェックリスト」

このセキュリティチェックシートはクラウドサービスを安全に利用することを検討している組織を対象に、その組織が導入を検討しているクラウドサービス事業者のサービスレベルを事前に確認し、適切なサービスを選定し、適切な契約を締結・維持出来るようにするために、2010年8月に経済産業省が公開したテンプレートになります。

*https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/20100816001/20100816001-4.pdf

‍

経済産業省のテンプレート「クラウドサービスレベルのチェックリスト」の利用方法

このセキュリティチェックシートのチェック項目はアプリケーション運用、サポート、データ管理、セキュリティに4分類され、チェック項目数は49個に渡ります。フォーマットも単純な選択式だけでなく、対応状況を具体的に記述しなければならないものも多く含まれ、それらの理解にはセキュリティやITシステムに関する専門的な知識が求められるものとなっています。

先に解説した、経済産業省のテンプレート「技術情報管理 自己チェックリスト」の中にも、

‍

"守るべき情報をクラウドサービスなどに保存するときは、信頼性を確認して保存先を決め、秘密保持契約を結んでいる。"

‍

というチェック項目がありますが、経済産業省の「クラウドサービスレベルのチェックリスト」はまさに、クラウドサービス事業者の信頼性やセキュリティ対応状況を確認する為のセキュリティチェックシートのテンプレートになります。

本来はクラウドサービスを利用する組織側での運用を想定していたセキュリティチェックシートでしたが、現在では経済産業省の「クラウドサービスレベルのチェックリスト」準拠型のセキュリティチェックシートを各クラウドサービス事業者が各社それぞれのテンプレートにて作成し、クラウドサービスを利用する事業者に公開しているケースもあります。

‍

Cloud Security Allianceのテンプレート「CAIQ（Consensus Assessments Initiative Questionnaire）」

このセキュリティチェックシートはCloud Security Alliance(CSA)が作成した”クラウドサービス事業者が各社のセキュリティ対応状況を正確に記述するための標準テンプレート”であり、更に日本クラウドセキュリティアライアンス（CSAの日本支部）が2021年8月に翻訳したものです。

*https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2021/09/caiqv4.0.2_2021-07-07_J.xlsx

**https://cloudsecurityalliance.org/

***https://www.cloudsecurityalliance.jp/site/

‍

Cloud Security Allianceのテンプレート「CAIQ（Consensus Assessments Initiative Questionnaire）」の利用方法

このセキュリティチェックシートのチェック項目は200を超え、テンプレート内の質問に対するクラウドサービス事業者の回答フォーマットは、以下のようになっています。

‍

・質問に対する回答:（YES, NO, NA）から選択。

・セキュリティ管理に関する責任境界:　（クラウドサービス事業者が負う、クラウド利用者が負う、3rdパーティが負う、クラウドサービス事業者とクラウド利用者で共有する、クラウドサービス事業者と3rdパーティで共有する）から選択。

・質問に対する回答の補足説明: 具体的にどのように対応するのか/しないのか、"質問に対する回答"でNAを選択した場合は理由を記述。

・セキュリティ管理に関するクラウド利用者の責任：クラウド利用者がどのような責任を追っているのかを具体的に記述。

‍

このセキュリティチェックシートに対するクラウドサービス事業者の回答は標準テンプレートを用いて記載されます。更にCloud Security Allianceのウェブサイトに公開されており、誰でも検索、参照、ダウンロードが出来るようになっています。

‍

IPAのテンプレート「安全なウェブサイトの作り方 改訂第7版」（チェックリスト）」

このセキュリティチェックシートはIPA(独立行政法人情報処理推進機構、経済産業省のIT政策実施機関)が、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成出来る為の支援を目的としたテンプレートです。具体的にはこれまでにIPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げたテンプレートになっています。

*https://www.ipa.go.jp/security/vuln/websecurity/ug65p900000196e2-att/000044403.xlsx

‍

IPAのテンプレート「安全なウェブサイトの作り方 改訂第7版」（チェックリスト）」の利用方法

このセキュリティチェックシートと併せて「安全なウェブサイトの作り方」という解説書（PDFファイル）が公開されており、セキュリティチェックシートのテンプレートと併せて運用する想定となっています。読者/利用者は、ウェブアプリケーション開発者やサーバ管理者等、ウェブサイトの運営に携わるあらゆる関係者が想定されています。チェックシートでチェックする脆弱性は全11種類、回答フォーマットは各脆弱性に対して、「対応済、未対応、対応不要」の3択をするようになっています。なお、このセキュリティチェックシートはクラウドサービス事業者が自社のクラウドサービス（クラウド型のウェブアプリケーション）における脆弱性の対応状況を調査・公開する際の参考資料として利用されるケースもあります。

*https://www.ipa.go.jp/security/vuln/websecurity/ug65p900000196e2-att/000017316.pdf

‍

‍

テンプレートと実際のセキュリティチェックシートのサンプル比較

‍

それでは、実際にセキュリティチェックシートのサンプルを見ていきましょう。ここでは国内のクラウドサービス事業者2社のセキュリティチェックシート、海外クラウドサービス事業者のセキュリティチェックシートを紹介します。

‍

サンプル１．さくらインターネットのセキュリティチェックシート

さくらインターネットは情報セキュリティチェックシートを自社のウェブサイト上に公開しています。テンプレート内のチェック範囲は以下の7種類に渡り、全チェック項目数は39個、回答フォーマットは対応状況（対応している場合は〇）、及び詳細説明欄となっています。

*https://www.sakura.ad.jp/corporate/wp-content/themes/sakura-corporate/assets/pdf/security_checksheet.pdf

‍

・情報セキュリティに係る第三者認証の有無

・運用体制と規程類の整備状況

・環境的セキュリティ

・技術的セキュリティ

・人的セキュリティ

・問合わせ、相談対応

・委託関連

‍

サンプル２．cybozu.comのセキュリティチェックシート

cybozu.comも、セキュリティチェックシートを自社のウェブサイトに公開しています。テンプレート内のチェック範囲は以下の11種類に渡り、全チェック項目数は72個、回答フォーマットは対応状況（対応している場合は〇）、及び詳細説明欄となっています。

*https://www.cybozu.com/jp/support/data/cybozucom_securitysheet1.pdf

‍

・情報セキュリティのための方針群

・情報セキュリティのための組織

・人的資源のセキュリティ

・資産の管理

・物理的及び環境的セキュリティ

・運用のセキュリティ・アクセス制御

・供給者関係

・情報セキュリティ事象・情報セキュリティインシデント

・事業継続マネジメントにおける情報セキュリティの側面

・遵守

・その他

‍

サンプル３．BOX, inc.のセキュリティチェックシート

BOX, Inc.はセキュリティチェックシートはCloud Security Allianceのウェブサイトに公開されています。先にご説明したCAIQのテンプレートに沿った形のチェックシートになっているため、チェック項目数や回答フォーマットはCAIQのテンプレートに準拠します。なお、回答内容は全て英語での記載となっています。

*https://cloudsecurityalliance.org/star/registry/box/services/box

‍

‍

各種テンプレートとサンプルから見えるセキュリティチェックシートの運用上の課題

‍

本記事ではいくつかのセキュリティチェックシートのテンプレートとサンプルをご紹介しました。

経済産業省のテンプレート「技術情報管理 自己チェックリスト」で解説した通り、事業組織にとってセキュリティ対策は避けては通れないものであり、対策を考えなければならない範囲は自社の情報システムのセキュリティだけでなく、自社が利用しているクラウドサービス事業者や業務委託先のセキュリティ対策にまで広がっています。

一方で各クラウドサービス事業者のセキュリティチェックシートのフォーマットやチェック項目は統一されておらず、自社の情報セキュリティを管理しているセキュリティ責任者やセキュリティ担当者にとって、数多くのセキュリティチェックシートの中身を精査し、自社フォーマットに落とし込み、かつ定期的に外部組織のセキュリティチェックシートの見直しを行うという、セキュリティチェックシート管理業務の負担は極めて大きいと言わざるを得ません。

そのような課題を解消する為、クラウドサービスのリスク評価やセキュリティチェックを支援するサービスや、組織のクラウドセキュリティ管理を包括的にサポートするCloud Access Security Broker（CASB）の浸透が今後ますます進んでいくことを期待します。

‍

‍

弊社で提供中のクラウドサービスセキュリティチェックシートテンプレート

‍

無料でご活用いただけるテンプレートを公開中です。是非ダウンロードください。

また、弊社で提供をしているWebサービスセキュリティチェック・運用管理ツールのConorisでは、様々なテンプレートと採点ロジックを保有しています。

‍

【オススメの活用方法】

・自社のセキュリティチェックシートとして利用

・自社のセキュリティチェックシートの過不足の比較

・クラウドサービス提供事業者が自社のセキュリティ情報の公開やホワイトペーパー作成に活用

・クラウドサービス提供事業者が自社サービスを開発する際に必要となるセキュリティレベルの定義の参考情報

‍

→セキュリティチェックシートテンプレートをダウンロードする