オリコ、クラウドサービスのリスク評価サービスを導入–リスク評価にかかる時間を短縮

今回は「オリコ、クラウドサービスのリスク評価サービスを導入–リスク評価にかかる時間を短縮」についてご紹介します。

関連ワード （クラウド等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　オリエントコーポレーション（オリコ）は、アシュアードが提供するクラウドリスク評価サービス「Assured」を導入した。Visionalが5月24日に発表した。

　オリコは、同サービスをクラウドサービス導入時のリスク評価に活用しており、これまで平均23.5営業日かかっていた評価に関するサービス提供側とのやりとりを大幅に短縮したという。

　Assuredは国内外のクラウドサービスのリスク評価情報を一元化してデータベース化し、利用者に提供している。この評価情報は、経済産業省や総務省が公開しているガイドライン、金融分野におけるFISC安全対策基準、PCI DSSやNIST SP800-53、ISO27001、ISO27017などの国際規格に基づいたもので、評価項目は100以上ある。これらの評価は、セキュリティ専門家により客観的に行われたもので、未登録のサービスであってもリクエストに応じてリスク調査・評価を代行する。

　オリコでは、自社でセキュリティチェックシートなどからサービスを評価する際は、変化するセキュリティ動向に合わせた効果的な評価項目の取り込みや、納得性のある配点と合格基準の設定に苦労していたという。しかし、Assuredを活用することで、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報が提供されるため、評価業務を効率化できると判断した。

　Assuredについて同社は、登録済みのサービスであれば即座にリスク評価情報を取得できることや、国際基準をベースとしたリスク評価情報が得られる点を評価した。

　また、同サービスを導入する前は、1サービスごとに提供者側にセキュリティチェックシートへの回答を求め、その結果を個別に評価していたという。評価の手順は、セキュリティチェックシートへの回答依頼、進捗の管理と回答納期のリマインド、回答の精査と不明点の追加確認などを他業務と並行して実施するというもので、対象サービスの増加に伴って煩雑性も増加し、評価結果を得るまでのスピードも低下する傾向にあった。

　同社では、DXの加速に伴い、利用するクラウドサービスの数は300件を超えているが、一方で利用数が増えてもリスク評価を継続する必要があり、評価品質向上と効率性を両立させる手法を模索していた。