クラウド利用申請時における評価代行
クラウドサービスリスク審査支援
第3者機関の評価情報を基にしたリスクレポートで、新規クラウドサービス利用審査を支援
クラウドサービス利用判定の課題
近年、殆どの企業でクラウドサービスが利用されており、今後のビジネス成長には更なるクラウドサービスの活用が必要となってきています。しかし、利便性のみを優先して簡単にクラウドサービス利用を許可してしまうと様々なリスクを伴うため、企業としてそのクラウドサービスを利用していいかどうか、ビジネス面、安全面等、様々な観点で審査、判断をした上で利用可否を決める必要があります。
現状、企業内部でクラウドサービスの利用判定を行う場合、判断するための情報収集や一定基準での可否検討等で多大な時間、工数がかかっており、これらをスピーディかつ客観的に判断するためには、第三者的な立場でのリスク評価の情報を利用することが有効です。
■ クラウドサービス利用判定の課題:
- 事業部門からのクラウドサービスの利用許可依頼に対して、利用させて良いのか、利用許可時のリスクが把握できない
- クラウドサービスの情報収集や情報不足などから、利用判定までに時間がかかる
- 情報収集の為にクラウド事業者に情報提供を依頼するが、期待する情報が開示されない
- クラウドサービスの利用を却下する場合の説明が難しい(評価基準がない)
- 社内で利用しているクラウドサービスの安全性やリスクについて、経営層や外部への説明が難しい
- 日々のクラウドサービス利用申請に追われ工数が増大し、本来やるべき業務への支障がでている
第3者機関によるクラウドサービスリスク評価
情報収集
最新化されたクラウドサービス評価情報データベース
スコアリング
評価情報を基にしたクラウドサービススコアリング
レポーティング
スピーディなクラウドサービス単位の評価情報レポーティング
クラウドサービスリスク審査支援の概要
※ 評価対象サービスが未調査である場合はGRCSよりNetskope社へ登録依頼を行います。その場合、審査レポート 作成まで時間がかかる場合があります。場合によっては、評価対象外の回答になる場合がございます。
第3者機関による評価情報を基にしたリスク審査レポートを作成し、新規クラウドサービス利用時の審査を支援します
クラウド利用申請時のサービス評価をGRCSが代行することで、管理者の負荷を減らし客観的に評価します。
GRCSによる審査では、クラウド事業者の回答の代わりに第3者機関の評価機能 ( Netskope社CCI / CCL ) のスコアを参照して、安全性を確認します。
クラウドサービスリスク審査支援の利用シーン
プロセス | 組織・機能 | プロセスの概要 | ||
---|---|---|---|---|
利用者 | セキュリティ部門 リスク管理部門 |
リスク審査支援 サービス |
||
利用申請 | 〇 | 上長承認済み、利用アプリ名、利用目的、取り扱い情報、利用するメンバー情報など、利用申請を作成し申請を行います。 | ||
申請受領・内容確認 | 〇 | 利用申請を受領し、内容に不備がないかを確認します。内容不備の場合は、利用申請者へ差し戻し(修正依頼)を行います。 | ||
評価情報の確認依頼 | 〇 | 利用申請クラウドサービス名をGRCSに送付し、評価情報の取得・作成・回答の依頼を行います。 | ||
依頼受領・サービス名確認 | 〇 | 評価を実施するクラウドサービス名を受領・確認を行います。 | ||
リスク審査レポート作成、回答 | 〇 | 受領したクラウドサービスのリスク審査レポートを作成し、回答を行います。 ※未調査クラウドサービスについては、回答に時間が掛かる、もしくは「対象外」の回答になる場合があります。 | ||
利用可否判定 | 〇 | 受領したリスク審査レポートを基に、自社での利用判定を行います。 | ||
利用可否の通知 | 〇 | 利用判定結果を利用申請者に通知します。 |
リスク審査レポートの概要
項目 | 概要 |
---|---|
サービス概要 | 対象のサービス概要 |
サービス信頼度 | 調査結果から総合的に判断したサービスのリスク点数 |
カテゴリ | 分類されるサービスカテゴリ(Business, Cloud Storage等) |
GDPRへの対応 | サービスに関するプライバシーとデータ保存場所に関する評価 |
ドメインリスト | サービスとの通信で使用されるドメインリスト |
認証と規格 | コンプライアンスとデータセンター認定の対応状況 |
データ保護 | データ暗号化、ファイル共有等の対応状況 |
アクセス制御 | IP制限、パスワード制限、多要素認証等の対応状況 |
監査可能性 | 各種ログ管理機能等の対応状況 |
災害復旧と事業継続 | 変更通知、可用性、プロバイダ等の対応状況 |
法律とプライバシー | データ所有権、リージョン等の対応状況 |
脆弱性とエクスプロイト | 内包する脆弱性と最近の侵害 |
評価の高い類似サービス | 同じカテゴリのサービス信頼度が高いサービス |
リスク審査レポートのサンプル - サマリ
リスク審査レポートのサンプル - 詳細
クラウドサービスのリスク評価方法について
第3者的な立場でのクラウドサービスのリスク評価には、クラウドセキュリティ対策ソリューション(CASB、SWG、CSPM、ZTNA等)でトップレベルの導入実績を持つ、Netskope社のクラウドリスク評価機能(CCI、CCL)を利用します。
機能 | 概要 | 説明 |
---|---|---|
CCI (Cloud Confidence Index) |
Netskope社が客観的な基準に基づいてクラウドサービスを評価し、セキュリティリスクを測る指標となる総合的なスコアを付与します。 点数が高いほど、安全性が高いクラウドサービスと評価します。 |
Netskope社がクラウドセキュリティアライアンスガイダンスから採用された30以上の客観的基準に基づいて評価した41,000以上のクラウドサービスのデータベースです。 評価結果は 0 ~ 100 のスコアが割り当てられます。 |
CCL (Cloud Confidence index Level) |
CCIのスコアに応じてクラウドサービスの安全性を5つのレベルに分類します。 | CCIのスコアに基づき、下記5つのレベルに分類します。 Poor (点数低い) Low Medium ↓ High Excellent (点数高い) ※ 調査が完了していないクラウドサービスは「Unknown」に分類されます。 |
■ CCIとCCLの関係
CCI | 90-100 | 75-89 | 70-74 | 50-59 | 0-49 | 未評価 |
---|---|---|---|---|---|---|
CCL | Excellent | High | Medium | Low | Poor | Unknown |
クラウドサービス利用判定での使用例 -サンプル-
CCIとCCLのスコアリングを使用し、クラウドサービスの利用判定を実施する場合の例を下記に示します。お客様のご要件(システム/セキュリティ要件)、ポリシー、ガイドライン等に応じて、判定条件は個別にご検討が必要です。
CCI CCL |
利用判定 | 説明 |
---|---|---|
90-100 Excellent |
許可 | 社内ユーザおよびビジネスパートナーとの利用を許可します。 ただし、個人情報を取り扱う場合はビジネスパートナー(社外ユーザ)のアクセスを禁止とします。 |
75-89 High |
許可 | 社内ユーザおよびビジネスパートナーとの利用を許可します。 ただし、個人情報、機密情報を取り扱う場合はビジネスパートナー(社外ユーザ)のアクセスを禁止とします。 |
60-74 Medium |
条件付き許可 | 社内ユーザ利用のみ許可します。個人情報の作成や保存(アップロード)、編集、ダウンロードは禁止とします。 |
50-59 Low |
条件付き許可 | 社内ユーザ利用のみ、且つ、利用者の限定やアプリケーション操作の制限することで許可します。 (基本、参照、ダウンロードのみを許可) 個人情報、機密情報、社員情報、IT情報の作成や保存(アップロード)、編集、ダウンロードは禁止とします。 |
0-49 Poor |
却下 | スコアが改善されるまで、利用を許可しません。 |
未評価 Unknown |
却下 | 未評価のため、利用は許可しません。 |
スコア除外 個別許可 |
条件付き許可 | 業務要件など、ビジネスで必須な場合、利用者の限定やアプリケーション操作の制限することで許可します。 (可能であれば、システム的に制限や制御を行うことが望ましい) |
お問合せ・資料請求
クラウド利用申請時における評価代行
クラウドサービスリスク審査支援
第3者機関の評価情報を基にしたリスクレポートで、新規クラウドサービス利用審査を支援