Visionalグループ、SaaSのセキュリティリスク評価サービス提供

今回は「Visionalグループ、SaaSのセキュリティリスク評価サービス提供」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ビズリーチなどを擁するVisionalグループのビジョナル・インキュベーション（東京都渋谷区）は1月25日、クラウドリスク評価サービス「Assured（アシュアード）」の提供を開始した。クラウドサービスのセキュリティリスク情報をデータベース（DB）に一元化した。価格は月額15万円から。試用プランも用意する。

　セキュリティガバナンスを強化する際、Visionalグループが利用中のクラウドサービスに対してリスク評価を実施したが、同グループの持ち株会社であるビジョナル 代表取締役社長 南壮一郎氏によると「プロセス自体が非常にアナログ。500以上のクラウドサービスのリスク評価を下すため、（クラウドサービス事業者が）公開する情報の調査や質問票の送付など、アナログかつ非効率な業務でわれわれを苦しめた。日本でも進展するDX（デジタルトランスフォーメーション）において、クラウドリスク評価の効率化は急務と感じたのがAssuredの出発点」だという。

　一般的なクラウドリスク評価は各クラウドサービスの情報収集やクラウドサービス事業者に対する応答などを経て評価レポートに落とし込む。煩雑な作業なため、業務を外部委託するケースも珍しくなく、評価サービスを提供する企業も少なくない。

　「現場から『このサービスが使いたい』との声が情報システム部門に寄せられた場合、サービス概要やプライバシーポリシーなど（セキュリティ）リスクに関わる情報収集に努めるが、セキュリティ情報は往々にして公開されていない。そのため担当者は質問票を（クラウドサービス事業者に）送付するが、1件あたり数週間から数カ月かかる。また、クラウドサービスは刻一刻と変化しているため、定期的なチェックも必要だ」（ビジョナル・インキュベーション 新事業責任者 大森厚志氏）

　だからこそ自社でリスク評価を下す企業の場合、Assuredのようなリスク評価DBの有効性が増すと言える。

　Assuredはビジョナル・インキュベーション内部で国際資格である「公認情報システム監査人（Certified Information Systems Auditor：CISA）」などを有するリスク評価チームが、各省庁で公開中のセキュリティガイドライン、クラウドサービスの国際的なセキュリティ認証「ISO/IEC 27017」に代表される国際規格などに基づいて調査した100項目以上のセキュリティリスク評価情報をDB経由で提供するサービスである。

　第三者認証の有無や預託データの取り扱い、セキュリティインシデント履歴といった項目に加えて、クラウドサービスが持つ一般的なセキュリティ対策やファイルアップロード機能など特定サービスに対するセキュリティ情報を踏まえたレポートサービスも用意する。

　ビジョナル・インキュベーションの大森氏は「例えば、企業同士が取り引きする際は、企業情報DBなどを確認して相手企業の状態を確認する。だが、セキュリティに関してはアナログな部分が残っていた。この概念をセキュリティ分野に持ち込んで問題解決を図る」とAssuredの概要を説明した。