ITシステム構築時に必要なセキュリティチェックシートとは？必要性や記載方法を解説します

セキュリティチェックシートとは

クラウドの導入を初めて検討する際に、セキュリティに対する不安を感じる方は決して少なくないようです。クラウドでは、インフラの運用の多くの部分を第三者であるクラウド事業者に任せることになります。つまり、システム内に自分たちのコントロールの及ばない部分が存在するため、こうした漠然とした不安を感じてしまうのは無理のないことかもしれません。

機密データを脅威から守るため、企業はシステムが満たすべきセキュリティポリシーを定めています。そして、当然ですがこのポリシーを満たさないサービスを導入することはできません。そこで、システムの提案依頼書（Request For Proposal, RFP）を作成する際には、このシステムに必要なセキュリティや可用性などの要求事項をリスト化し、セキュリティポリシーを満たしているかチェックを行うのが一般的です。このチェックに利用するリストを「セキュリティチェックシート」と呼びます。

セキュリティチェックシートの役割は、クラウドサービスの提供するセキュリティや可用性が導入する組織のセキュリティポリシーを満たしているかどうかを事前に確認することです。十分なセキュリティ対策が行われていることを明確にし、クラウドに対する漠然とした不安を解消するためにも、セキュリティチェックシートを用いた個別の要求事項の確認は重要です。

セキュリティチェックシートの書き方

セキュリティチェックシートには、数多くのチェック項目が挙げられています。例えば、「サーバールームへの入退室は管理されているか」「サーバーラックは施錠されているか」といった物理的な要件から、「不要なサービスは起動していないか」「セキュリティパッチは適用されているか」といったOSの設定や運用管理まで、その範囲は多岐に渡ります。こうしたチェック項目の1つ1つについて、関連する情報をクラウド事業者のドキュメント・各種ホワイトペーパー・FAQなどから調査し、埋めていく必要があります。

また、シートには「可用性」についても条件を満たしているかどうかの確認項目が併記されている場合もあります。セキュリティに直接関連する事項だけでなく、こうした項目についても同様に資料を精査し、記載する必要があることに注意しましょう。

セキュリティチェックシートは誰が書くのか

残念ながら、セキュリティチェックシートはクラウド事業者が記載してくれるわけではありません。セキュリティチェックシートを提出する立場にいる人間（例：導入するシステムの開発者など）が、自分自身でサービスの仕様を調査し、適切な内容を記載する必要があります。

確認すべき項目はセキュリティチェックシートによって異なり、また関連する情報が1箇所に集約されているとは限らないため、すべての項目を正しく埋めるためには、調査には多くの時間がかかります。またクラウドの専門的な技術に踏み込む項目もあり、専門知識のない担当者ではシートの記載そのものが困難な場合もあるでしょう。

このような場合は、有償でシートの作成を代行するサービスの利用を相談・検討してみるのもよいでしょう。ニフクラでは、専門の知識を持った多くのインテグレーションパートナーが、クラウド導入の支援を行っています。

セキュリティチェックシートのよくある質問16選

ニフクラでは2018年に「品質改善アンケート」を実施しました。この中にある「クラウド導入の際に不安に感じること」「クラウドを検討しない理由」という設問に対する回答には、どちらも上位に「セキュリティ」がランクインしています。このことからも、少なくない方が不安を抱えたままでいたり、セキュリティを理由にクラウドの導入を見送っていることがわかります。

このような不安を払拭し、安心してクラウドを利用してもらうため、ニフクラでは「セキュリティチェックシートのよくある質問16選」と題したeBookを作成しました。これはクラウドの導入を検討されている方から寄せられるセキュリティ関連の確認事項のうち、主要なものをQ&A方式でまとめたeBookです。特に「クラウドを導入したいけれど、セキュリティに不安がある」「クラウドの導入にあたり、自社組織内での調整が必要」といった方におすすめです。ぜひダウンロードいただき、ご活用ください。