転職サイト「ビズリーチ」の運営会社などを子会社に持つビジョナルは2022年1月25日、クラウドリスク評価サービスの「Assured(アシュアード)」を正式にリリースした。企業に対して様々なクラウドサービスのセキュリティーリスク評価を一元化したデータベースを提供する。
クラウドサービスのリスク評価はユーザー企業が独自に実施することが一般的だ。ユーザー企業のセキュリティー担当者が個別サービスについて公開情報を収集し、各サービス事業者とやりとりを重ねて、セキュリティーリスクの種類や程度を調べる。評価作業には数週間から数カ月かかるのも珍しくないうえに、最新情報を半年~1年ごとに見直す必要がある。しかも利用するクラウドサービスの数だけ評価作業をしなければならない。世界では1社当たり平均して1400以上のクラウドサービスを利用しているというデータもある。セキュリティー担当者には膨大な手間と時間のかかる仕事となっている。
専門チームが評価したリスク情報をデータベースに一元化
Assuredの仕組みは、国内外のクラウドサービス事業者が登録したセキュリティー情報を基に、公認情報システム監査人(CISA)などのセキュリティー専門資格を有するリスク評価チームが各サービスをリスク評価してデータベースに一元化するというものだ。経済産業省や総務省が公開しているガイドラインや、米国国立標準技術研究所(NIST)の「NIST SP800-53」、国際標準の「ISO27001」や「ISO27017」などに基づいて100項目以上でクラウドリスクを掲載する。ユーザー企業はリスク評価情報をいつでもオンライン上で閲覧できる。
主なリスク評価項目は、第三者認証の有無や預託データの取り扱いといった「基本項目」に加え、情報セキュリティー確保のための組織体制や暗号化などの「サービス自体のセキュリティー対策」、ファイルアップロード機能の有無や預託データを共有する外部サービスの有無といった「特定の機能を有する場合のセキュリティー対策」である。
現時点では200弱のクラウドサービスのセキュリティー情報をデータベースで蓄積している。「日本企業がよく利用するクラウドサービスを中心に情報を蓄積してきた。1年ぐらいかけて1000サービスほどの情報をためて各業界の企業の課題解決に価値を提供できるようにしたい」とビジョナルグループの新規事業開発を手がけるビジョナル・インキュベーションの大森厚志Assured事業部長は話す。同社は企業がよく利用するクラウドサービスは100カテゴリーほど存在していると考えており、それぞれトップ10に入る主要サービスのセキュリティー情報提供を目指す。
