ビズリーチなどを擁するVisionalグループのビジョナル・インキュベーション(東京都渋谷区)は1月25日、クラウドリスク評価サービス「Assured(アシュアード)」の提供を開始した。クラウドサービスのセキュリティリスク情報をデータベース(DB)に一元化した。価格は月額15万円から。試用プランも用意する。
セキュリティガバナンスを強化する際、Visionalグループが利用中のクラウドサービスに対してリスク評価を実施したが、同グループの持ち株会社であるビジョナル 代表取締役社長 南壮一郎氏によると「プロセス自体が非常にアナログ。500以上のクラウドサービスのリスク評価を下すため、(クラウドサービス事業者が)公開する情報の調査や質問票の送付など、アナログかつ非効率な業務でわれわれを苦しめた。日本でも進展するDX(デジタルトランスフォーメーション)において、クラウドリスク評価の効率化は急務と感じたのがAssuredの出発点」だという。
IaaS/PaaSは個別で対応
一般的なクラウドリスク評価は各クラウドサービスの情報収集やクラウドサービス事業者に対する応答などを経て評価レポートに落とし込む。煩雑な作業なため、業務を外部委託するケースも珍しくなく、評価サービスを提供する企業も少なくない。
「現場から『このサービスが使いたい』との声が情報システム部門に寄せられた場合、サービス概要やプライバシーポリシーなど(セキュリティ)リスクに関わる情報収集に努めるが、セキュリティ情報は往々にして公開されていない。そのため担当者は質問票を(クラウドサービス事業者に)送付するが、1件あたり数週間から数カ月かかる。また、クラウドサービスは刻一刻と変化しているため、定期的なチェックも必要だ」(ビジョナル・インキュベーション 新事業責任者 大森厚志氏)
だからこそ自社でリスク評価を下す企業の場合、Assuredのようなリスク評価DBの有効性が増すと言える。
※クリックすると拡大画像が見られます
Assuredはビジョナル・インキュベーション内部で国際資格である「公認情報システム監査人(Certified Information Systems Auditor:CISA)」などを有するリスク評価チームが、各省庁で公開中のセキュリティガイドライン、クラウドサービスの国際的なセキュリティ認証「ISO/IEC 27017」に代表される国際規格などに基づいて調査した100項目以上のセキュリティリスク評価情報をDB経由で提供するサービスである。
第三者認証の有無や預託データの取り扱い、セキュリティインシデント履歴といった項目に加えて、クラウドサービスが持つ一般的なセキュリティ対策やファイルアップロード機能など特定サービスに対するセキュリティ情報を踏まえたレポートサービスも用意する。
※クリックすると拡大画像が見られます
ビジョナル・インキュベーションの大森氏は「例えば、企業同士が取り引きする際は、企業情報DBなどを確認して相手企業の状態を確認する。だが、セキュリティに関してはアナログな部分が残っていた。この概念をセキュリティ分野に持ち込んで問題解決を図る」とAssuredの概要を説明した。