クラウドリスク審査｜株式会社GRCS

クラウドサービス利用判定の課題

近年、殆どの企業でクラウドサービスが利用されており、今後のビジネス成長には更なるクラウドサービスの活用が必要となってきています。しかし、利便性のみを優先して簡単にクラウドサービス利用を許可してしまうと様々なリスクを伴うため、企業としてそのクラウドサービスを利用していいかどうか、ビジネス面、安全面等、様々な観点で審査、判断をした上で利用可否を決める必要があります。

現状、企業内部でクラウドサービスの利用判定を行う場合、判断するための情報収集や一定基準での可否検討等で多大な時間、工数がかかっており、クラウドサービスをより安全に利用するために評価業務の形骸化を防ぐための取り組みが重要となります。

事業部門からのクラウドサービスの利用許可依頼に対して、利用させて良いのか、利用許可時のリスクが把握できない
クラウドサービスの情報収集や情報不足などから、利用判定までに時間がかかる
情報収集の為にクラウド事業者に情報提供を依頼するが、期待する情報が開示されない
クラウドサービスの利用を却下する場合の説明が難しい（評価基準がない）
社内で利用しているクラウドサービスの安全性やリスクについて、経営層や外部への説明が難しい
日々のクラウドサービス利用申請に追われ工数が増大し、本来やるべき業務への支障がでている

1. 構築支援

クラウドサービスリスク審査
プロセス構築支援

クラウド利用申請からリスク審査を経て利用可否の判断に至るまでのプロセスの構築を支援

2. 審査支援

クラウドサービスリスク審査支援

煩雑になりがちなクラウド利用申請時のサービス評価において、クラウドサービス事業者へのチェックリスト送付等を代行

3. レポート

Netskope CCI
レポーティングサービス

評価情報を基にしたリスクレポートを作成し、新規クラウドサービス利用時の審査を支援

煩雑になりがちなクラウド利用申請時のサービス評価において、クラウドサービス事業者へのチェックリスト送付等を弊社が代行することで、やり取りや記入不備、確認の手間を減らします。
クラウドサービスレベルチェックリストが自社で準備できていない場合は、弊社チェックリスト（経済産業省や総務省のガイドライン等をベース）で審査を代行します。ご要望に応じてチェックリストのカスタマイズも可能です。

■ クラウドサービス利用判定プロセスと本リスク審査支援サービスの活用例

プロセス	組織・機能			プロセスの概要
プロセス	利用者	セキュリティ部門リスク管理部門	リスク審査支援サービス	プロセスの概要
利用申請	〇			上長承認済み、利用アプリ名、利用目的、取り扱い情報、利用するメンバー情報など、利用申請を作成し申請を行います。
申請受領・内容確認		〇		利用申請を受領し、内容に不備がないかを確認します。内容不備の場合は、利用申請者へ差し戻し（修正依頼）を行います。
評価情報の確認依頼		〇		利用申請クラウドサービス名をGRCSに送付し、評価情報の取得・作成・回答の依頼を行います。
依頼受領・サービス名確認			〇	評価を実施するクラウドサービス名を受領・確認を行います。
リスク審査レポート作成、回答			〇	受領したクラウドサービスのリスク審査レポートを作成し、回答を行います。 ※未調査クラウドサービスについては、回答に時間が掛かる、もしくは「対象外」の回答になる場合があります。
利用可否判定		〇		受領したリスク審査レポートを基に、自社での利用判定を行います。
利用可否の通知		〇		利用判定結果を利用申請者に通知します。

項目	概要
サービス概要	対象のサービス概要
サービス信頼度	調査結果から総合的に判断したサービスのリスク点数
カテゴリ	分類されるサービスカテゴリ(Business, Cloud Storage等)
GDPRへの対応	サービスに関するプライバシーとデータ保存場所に関する評価
ドメインリスト	サービスとの通信で使用されるドメインリスト
認証と規格	コンプライアンスとデータセンター認定の対応状況
データ保護	データ暗号化、ファイル共有等の対応状況
アクセス制御	IP制限、パスワード制限、多要素認証等の対応状況
監査可能性	各種ログ管理機能等の対応状況
災害復旧と事業継続	変更通知、可用性、プロバイダ等の対応状況
法律とプライバシー	データ所有権、リージョン等の対応状況
脆弱性とエクスプロイト	内包する脆弱性と最近の侵害
評価の高い類似サービス	同じカテゴリのサービス信頼度が高いサービス

機能	概要	説明
CCI (Cloud Confidence Index)	Netskope社が客観的な基準に基づいてクラウドサービスを評価し、セキュリティリスクを測る指標となる総合的なスコアを付与します。点数が高いほど、安全性が高いクラウドサービスと評価します。	Netskope社がクラウドセキュリティアライアンスガイダンスから採用された30以上の客観的基準に基づいて評価した41,000以上のクラウドサービスのデータベースです。評価結果は 0 ～ 100 のスコアが割り当てられます。
CCL (Cloud Confidence index Level)	CCIのスコアに応じてクラウドサービスの安全性を5つのレベルに分類します。	CCIのスコアに基づき、下記5つのレベルに分類します。　Poor　　　　（点数低い）　Low 　Medium　　　　　↓ 　High 　Excellent　　（点数高い） ※ 調査が完了していないクラウドサービスは「Unknown」に分類されます。

CCI	90-100	75-89	70-74	50-59	0-49	未評価
CCL	Excellent	High	Medium	Low	Poor	Unknown

※ レポーティング時にNetskope社へ情報更新を別途依頼するため、一次報告から点数が変更になる場合がございます。
※ 評価対象サービスが未調査である場合はGRCSよりNetskope社へ登録依頼を行います。その場合、審査レポート作成まで時間がかかる場合があります。場合によっては、評価対象外の回答になる場合がございます。
※ Netskope CCIレポーティングサービスはNetskopeライセンスのご契約が必要となります

シャドーIT調査支援サービス

リモートワークの普及により、従来の境界型セキュリティだけではクラウド利用を制限することが難しくなっています。
また、適切に管理されていない認可サービスの中にもユーザーに不正利用されるリスクが存在します。
シャドーIT調査支援サービスでは、クラウドリスク審査サービスと併せて、または単体でも受け付けておりますのでご相談お待ちしております。

リアルタイム分析

分析機能を備えたクラウドプロキシによる可視化レポートを作成して企業に潜むシャドーITリスク調査を支援

クラウドプロキシを通過したアクセスログを分析してシャドーIT可視化とサービスカタログによりスコアリングされたレポートを作成します。可視化を行うことで、ユーザによるアクティビティや利用ID等、詳細を把握することができます。

詳細はこちら

断面調査

ネットワークログ分析による可視化レポートを作成して企業に潜むシャドーITリスク調査を支援

ネットワークログを分析してシャドーIT可視化とサービスカタログによりスコアリングされたレポートを作成します。可視化を行うことで、ユーザによるサービス利用やデータ通信量等を把握することができます。

詳細はこちら

製品紹介

コンサルティング

クラウドリスク審査

クラウドサービス利用判定の課題

■ クラウドサービスの利用判定における課題：

クラウドリスク審査サービスのご案内

クラウドサービスリスク審査プロセス構築支援

評価情報を基にしたリスクレポートを作成し、新規クラウドサービス利用時の審査を支援します

クラウドサービスリスク審査支援

組織としてクラウドサービス利用可否を判断するための、チェックリストによるリスク審査業務の負担を軽減します

■ クラウドサービス利用判定プロセスと本リスク審査支援サービスの活用例

Netskope CCIレポーティングサービス

評価情報を基にしたリスクレポートを作成し、新規クラウドサービス利用時の審査を支援します

■ リスク審査レポートの概要

■ クラウドサービスのリスク評価方法について

■ CCIとCCLの関係

シャドーIT調査支援サービス

リアルタイム分析

断面調査

お問合せ・資料請求

クラウドリスク審査

関連リンク