情報セキュリティチェックシートとは？記載したい内容や課題を徹底解説

クラウドサービスを提供・利用する企業は増え続けており、今や事業活動に欠かせないサービスになっています。しかし、インターネット上に自社のさまざまな情報資産を預けることになるため、提供側は情報セキュリティ体制を明示することが重要になっています。

そこで活用されているのが、情報セキュリティチェックシートです。しかし、最近は情報セキュリティチェックシートの課題を取り上げる声もあります。

この記事では情報セキュリティチェックシートの概要や課題について解説します。また、チェックシートに記載すべき項目も紹介しているため、自社の情報セキュリティチェックシートを構築する際に参考にしてください。

情報セキュリティチェックシートとは

情報セキュリティチェックシートとは、クラウドサービスを利用する企業が提供事業者のセキュリティ体制を確認するためのチェックシートです。

そのため、情報セキュリティチェックシートを準備する会社が増えていますが、その理由を解説します。

情報セキュリティチェックシートの必要性

ITシステムを利用することが企業活動に欠かせなくなっている一方、不正アクセスやサイバー攻撃などの情報セキュリティリスクにさらされる危険があります。対策を講じてもサイバー攻撃の技術も進化していることから、早急な対応が求められています。

こうした状況にある中で新しく情報システムを導入する場合、利用者側はどのようにそのシステムの安全性を確認すべきでしょうか。

サービスを比較検討する際、各サービスの情報セキュリティ対策を可視化することでスムーズな比較が可能になります。そこで、企業が望む情報セキュリティ対策を一覧にしたものとして、情報セキュリティチェックシートを使用するようになりました。

最近では、取引先に信頼や安心感を与えるツールとして情報セキュリティチェックシートを提供する企業が増えています。そのため、ITシステムを提供する企業は、情報セキュリティチェックシートを用意することが重要です。

情報セキュリティチェックシートの課題

情報セキュリティチェックシートの活用は進んでいるものの、IT業界において課題があるといわれています。

特にSaaSのサービスを提供しているなど、BtoBの場合にはセキュリティチェックシートのやり取りが多く、生産性低下につながっているとの声が上がっています。というのも、受注側が数百にも及ぶ項目のある自社独自のセキュリティチェックシートを契約前に記入させるためです。
顧客になる可能性があるため、発注先の企業はセキュリティチェックシートに回答するしかありません。見積もりの依頼の度にセキュリティチェックシートへ対応することで、大きく生産性が低下してしまいます。

こうした声がIT業界の問題の一つとして上がっています。そのため、今後、情報セキュリティチェックシートの形式は変わってくるかもしれません。

ホームページに自社で用意した情報セキュリティチェックシートを公表し、委託元にチェックしてもらうというやり方も良いでしょう。

情報セキュリティチェックシートに記載すべき内容

それでは、自社で情報セキュリティチェックシートを用意する場合、どのような内容を記載すべきなのでしょうか。ここでは情報セキュリティチェックシートに記載すべき具体例を紹介します。

• 第三者認証（ISMS認証やPマークなど）を取得している
• 情報セキュリティポリシーを策定し、公表している
• 定期的な内部監査を実施している
• 物理的セキュリティ対策として、入退室管理や電子機器の持ち出し、廃棄に関する手順を定めて実施している
• システム上のセキュリティ対策として、アクセス制御や監視、パスワードの管理を適切に管理している

また、IPA独立行政法人情報処理推進機構から、情報セキュリティ対策チェックリストとして、いくつかの自己診断が提供されています。参考にしてみるのも良いでしょう。

情報セキュリティチェックシートによくある「ISO27001」「ISMSクラウドセキュリティ認証」とは

情報セキュリティチェックシートによく記載されている「ISO27001 （ISMS 認証）」「ISMSクラウドセキュリティ認証」について解説します。これらの第三者認証 を取得している場合、情報セキュリティチェックシートに記載することで取引先や消費者からの信頼を得られます。

ISO27001（ISMS認証）とは

ISO 27001とは、情報セキュリティマネジメントシステム に関する国際規格 です。ISO認証規格は国際的な基準であるため、取得することで自社の情報セキュリティ体制が国際的な基準に達していることを証明できます。ISMS認証とも呼ばれており、どちらも同じ意味です。

ISO27001の目的は、組織のもつ情報資産をさまざまな情報リスクから保護し、適切に管理することです。そのために、下記の情報セキュリティの3要素をバランスよく向上させることが重視されています。

• 機密性：情報に対して許可された個人のみアクセスできる状態
• 完全性：情報および処理方法が正確かつ最新の状態で管理されている状態
• 可用性：許可された個人が必要な時にアクセスできる状態

ISO27001には、情報漏洩やサイバー攻撃などのセキュリティリスクのマネジメント方法など情報資産の管理について規定されています。そうした規定は基本要件として要求事項に記載されています。
要求事項を満たす情報セキュリティマネジメントシステム（ISMS）という仕組みを構築・運用したのち、認証機関による審査を通過することで、取得できます。

ISO27001の詳細は、以下の記事をご覧ください。

ISO27017（ISMSクラウドセキュリティ認証）とは

ISO27017とは、クラウドサービスに特化した管理策を導入し、運用されていることを認証する規格です。ISMSクラウドセキュリティ認証とも呼ばれています。

ISO27001が情報セキュリティ全般におけるマネジメントシステムの構築・運用が求められる一方、ISO27017ではクラウドサービスに特化しているのが特徴です。そのため、取得できるのもクラウドサービスの提供事業者か利用事業者に限られています。

ISO27017はISO27001のアドオン規格という位置づけであるため、単独での取得はできません。事前にISO27001を取得するか、同時取得する必要があります。

しかし、取得することでISO27001だけでは不十分だったクラウドサービスにおける情報セキュリティ体制を強化できるため、より高い安全性をアピールできます。

ISO27017の詳細は、以下の記事をご覧ください。

ISO27001・ISO27017のどちらも国際規格という第三者認証であるため、情報セキュリティチェックシートの上部に記載することで自社のセキュリティ体制をアピールできます。

まとめ

情報セキュリティチェックシートは、クラウドサービスのセキュリティ体制を確認するうえで大切なツールです。しかし、IT業界でその煩雑さから情報セキュリティチェックシートに対する課題の声も挙がっています。

今後、形態が変わる可能性はありますが、現状では情報セキュリティチェックシートを用意しておくことがおすすめです。その際、第三者認証であるISO27001やISMSクラウドセキュリティ認証を取得しておくと、自社のセキュリティ体制を担保できます。

クラウドサービスを提供する側は特にこうした認証を取得することがおすすめです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。