ニッセイ・ウェルス生命保険は、セキュリティ評価プラットフォーム「Assured」を導入した。提供元のアシュアードが9月5日に発表した。
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォーム。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約する。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができる。
Assuredでは、「金融機関等コンピュータシステムの安全対策基準・解説書」(FISC安全対策基準)を含む、国内外の主要なガイドラインやフレームワークに基づいた評価項目をベースとし、セキュリティの専門家が調査した評価情報を取得できる。また、ガイドラインの改定などに応じて定期的に項目が最新化されるため、セキュリティの最新トレンドに則した評価が可能だ。
Assuredの仕組み
ニッセイ・ウェルス生命保険では、Assuredのプラットフォーム上でクラウドサービスのセキュリティ評価情報を取得できるため、利用申請者は利用したいサービスを社内申請するのみで対応を完結させることができ、また審査部門では従来のワークロードを約80%削減できることを確認したという。
またサービス導入までのリードタイムについては、これまで1〜3カ月かかっていたものが、Assuredのデータベースに登録されているサービスであれば、3日でセキュリティ評価情報を取得できるようになったという。
さらにサービスの評価品質の担保・向上については、専門知識を持つ第三者によるセキュリティ評価情報を取得できるため、常に高精度な評価を実現できているという。
同社では、これらの効果検証を基に、Assuredにより今後のクラウド利用の拡大にも対応できる再現性のある評価体制構築を実現できると判断し、導入を決定した。
網羅性の高いフォーマット
これまで実施されていたセキュリティ評価対応の課題として、(1)利用申請者および審査部門の業務負荷、(2)導入までのリードタイムの長さ、(3)評価品質の担保、向上――の3つが挙げられていた。
クラウドサービスを利用する社員については、ITやセキュリティに関する知識が十分ではない中で、クラウドサービス事業者とやりとりしながらヒアリングシートに回答を記載していた。そこで記載内容の不備により差し戻しが発生するなど、多大な工数がかかっていた。また、審査部門では、クラウドサービスの利用拡大に伴う審査件数の増加に加え、突発的な申請にも対応しなくてはならず、リソース不足で業務がひっ迫していた。
さらにヒアリング作業では、クラウドサービス事業者からの回答受領までに時間がかかり、サービス導入の遅れにつながる懸念が出ていた。そして、評価の難易度が高度化していくため、一定の評価品質を担保するために非常に多くのワークロードがかかっていたという。加えて、評価品質を維持するため、参照するガイドラインなどの改定に応じて評価項目をタイムリーに更新することにも苦労していた。