「セキュリティチェックシート」というのをご存知でしょうか。
セキュリティチェックシートは、自社サービスなどをこれから導入もしくは利用してもらうときに利用先の企業から「あんたらのシステム、セキュリティ的に大丈夫なん?チェックするからこれに書いといてや」と渡されるシートです。
これだけ聞くと至極真っ当な、やって当たり前じゃないかと思われますが、企業ごとのフォーマットがバラバラかつ項目数が多く、質問内容が何かの試験みたいな回りくどい分かりづらいので、回答を担当している人はその対応だけで時間に追われることになります。
さらに質問内容が古くさい、レガシーといわざるを得ないものも含まれており、今は推奨されていないメールの暗号化ZIPパスワードを後から送る(PPAP)やパスワードの定期変更だったり、クラウドを使っているののオンプレミス前提で質問されたりと、回答に困るものがあるのです。
そんなお悩みいっぱいのセキュリティチェックシートについて、ある程度解放してくれる技術同人誌『セキュリティチェックシートの薄い本』を紹介します。
技術書典13で買ってから積んでしまったのですが、文字通り薄い本で40Pぐらいなのでサクッと読みました。
章立て
- 第1章 セキュリティチェックシートに関する世間の声を集めた
- 第2章 セキュリティチェックシートはなぜ存在するのか
- 第3章 セキュリティチェックシート運用の課題
- 第4章 シートに回答してみよう!(Q&Aつき)
- 第5章 セキュリティチェックシートと私たち
- 第5章 セキュリティチェックシートを出す側の人向け情報
セキュリティチェックシートの雛形
この本を読んで知ったのですが、セキュリティチェックシートの雛形は公開されているんですね。
すべての項目にYESをつけなくてもよい
上記に書いたようなPPAPやオンプレミスにしか対応を求められていない項目について無理やりYESにする必要はないとのことです。すべてYESにしないといけないと思ってしまいがちですが、会社できちんと高い水準でセキュリティポリシーに準拠しているのであればそれを答えれば良いです。
ストレージの暗号化やアンチウイルスソフトウェアへの対応
AWS FargateやAWS Lambdaのようなコンピューティング層以下を意識しないマネージドサービスを除いて各種クラウドサービスにおけるストレージ暗号化は必要になる可能性があります。以前にAWSにおけるストレージ暗号化について記事を書いていますのでよろしければご参照ください。
アンチウイルスソフトウェアは、コンテナ環境であればコンテナイメージをスキャンして脆弱性を検知する仕組みがクラウドサービスによって提供されていますのでそれを使うという手があります。
まとめ
本書は40ページと少量ではあるものの、セキュリティチェックシートに悩んでいる方であれば一読するのにオススメだと言えます。