委託先リスク管理Blog

セキュリティチェックシートとは?必要な理由や課題、記載する項目、回答してもらう負担を軽減する方法を解説

お役立ち情報情報セキュリティ

「セキュリティチェックシートとは何か」「セキュリティチェックシートはなぜ必要なのか」「セキュリティチェックシートに回答してもらう負担を軽減するにはどうすればよいのか」など、疑問に感じている方もいらっしゃるのではないでしょうか?


本記事では、セキュリティチェックシートの概要から必要な理由、課題、記載する項目、セキュリティチェックシートに回答してもらう負担を軽減する方法について解説します。

 

 

目次
1. セキュリティチェックシートとは
■セキュリティチェックシートが必要な理由
■セキュリティチェックシートの課題
■セキュリティチェックシートの項目
2. セキュリティチェックシートに回答してもらう負担を軽減する方法
■分かりやすい設問にする
■扱いやすい形式で作成する
■委託先に合わせたチェック内容にする
3. まとめ
■「VendorTrustLink」でチェックシートのやり取りを効率化

1. セキュリティチェックシートとは

セキュリティチェックシートとは、委託先や取引先、自社が使用するクラウドサービスを提供する企業のセキュリティ体制をチェックするために使用するシートです。


委託先から自社が作成したセキュリティチェックシートへ記入してもらうことで、自社と取引しても問題ない企業・サービスなのか、自社のセキュリティ基準・ポリシーを満たしているかをチェックします。


セキュリティチェックシートは、サプライチェーンなど他社との取引が多い企業や業務でクラウドサービスを利用する企業で利用されるケースが多いです。

 

 

■セキュリティチェックシートが必要な理由

セキュリティチェックシートが必要な理由は、自社が使用するクラウドサービスのセキュリティ体制が十分でなかった場合、クラウドサービス経由で自社の機密情報や個人情報が漏えいする恐れがあるからです。


2010年には、経済産業省がクラウドサービスレベルのチェックリストを作成・公開しています。

参考資料:クラウドサービスレベルのチェックリスト「経済産業省」


また、委託先とメールのやり取りをする場合や同じシステムを共有する場合、自社が強固なセキュリティ体制を構築していたとしても、委託先のセキュリティ体制に不備があれば、被害が発生する恐れがあります。


上記のように、自社ではなく他社を起因としたリスクの発生を予防するために、委託先にセキュリティチェックシートをもらい、委託先のセキュリティ体制に問題がないかをチェックします。

 

 

■セキュリティチェックシートの課題

セキュリティチェックシートの課題は以下の通りです。

  • 委託先のリスクを十分にチェック出来ていない
  • 委託先のチェックに時間がかかる
  • セキュリティチェックシートへの回答に時間と手間がかかる

 

 

■セキュリティチェックシートの項目

セキュリティチェックシートの項目は利用するサービスや委託業務、業種等によっても様々で、それによってどのようなリスクが発生しうるか、という点から検討が必要です。

ここでは、参考までIPA 独立行政法人 情報処理推進機構が自社のセキュリティ確認のために提供している「5分でできる!情報セキュリティ自社診断」の項目を紹介します。

  • 脆弱性対策について
  • ウィルス対策について
  • パスワード管理について
  • 機器の設定について
  • 情報収集について
  • 電子メールのルールについて
  • 無線LANのルールについて
  • Web利用のルールについて
  • バックアップのルールについて
  • 保管のルールについて
  • 持ち出しのルールについて
  • 事務所の安全管理について
  • 情報の安全な処分について
  • 守秘義務の周知について
  • 取引先管理について
  • 従業員教育について
  • 私物機器の利用について
  • 外部サービスの利用について
  • 事故への備えについて
  • ルールの整備について

参考資料:5分でできる!情報セキュリティ自社診断「IPA 独立行政法人 情報処理推進機構」

 

 

2. セキュリティチェックシートに回答してもらう負担を軽減する方法

前述したようにセキュリティチェックシートへの回答は委託先の負担になっており、回答を依頼する企業にとっても時間や手間のかかる作業です。

委託先のセキュリティチェックをスムーズに進めるためには、自社が提供するセキュリティチェックシートを工夫する必要があります。


セキュリティチェックシートに回答してもらう負担を軽減する方法は以下の3つです。

  • 分かりやすい設問にする
  • 扱いやすい形式で作成する
  • 委託先に合わせたチェック内容にする

 

それぞれの方法について解説します。

 

 

■分かりやすい設問にする

セキュリティチェックシートに回答してもらう負担を軽減する方法の1つ目は、分かりやすい設問にすることです。


どのような意図の設問なのか分かりにくくなっている場合、設問への回答や意図の確認に時間がかかり、回答が後回しにされてしまう恐れがあります。


読み手によって受け取り方が異なるような表現は避け、分かりやすい表現を心掛けましょう。

また、補足等で説明をしておくことも有効です。

 

 

■扱いやすい形式で作成する

セキュリティチェックシートに回答してもらう負担を軽減する方法の2つ目は、扱いやすい形式で作成することです。


セキュリティチェックシートの形式によっては、ファイルを開くことが出来なかったり、ファイルを開くことを躊躇されてしまったりする恐れがあります。

見慣れない拡張子でセキュリティチェックシートが作成されていてファイルが開けない、マクロが有効になっていて回答ができない、といったケースがこれにあたります。


ファイルを開いてもらえなければそもそもセキュリティチェックシートに回答してもらうことはできないので、委託先にとって扱いやすい形式でセキュリティチェックシートを作成するようにしましょう。

 

 

■委託先に合わせたチェック内容にする

セキュリティチェックシートに回答してもらう負担を軽減する方法の3つ目は、委託先に合わせたチェック内容にすることです。


委託先にとって関係のない設問ばかりが並んでいると、セキュリティチェックシートへの回答を面倒に感じられてしまうかもしれません。


また、自社がセキュリティチェックシートへの回答内容を精査する際にも、関係のない設問が多いとチェックに時間と手間がかかります。


すべての委託先に対して同じセキュリティチェックシートを提供するのではなく、委託先にに合わせた設問にするようにしましょう。

 

 

3. まとめ

今回は、セキュリティチェックシートの概要から必要な理由、課題、記載する項目、セキュリティチェックシートに回答してもらう負担を軽減する方法について解説しました。

委託先のリスク管理には、委託先からセキュリティチェックシートへ回答してもらうことが欠かせません。


本記事で解説したセキュリティチェックシートに回答してもらう負担を軽減する方法を参考に、セキュリティチェックシートへの回答率を高めるようにしましょう。


■「VendorTrustLink」でチェックシートのやり取りを効率化

弊社では、委託先とのチェックシートのやり取りを全てプラットフォーム上で一元化できる委託先リスク管理サービス「VendorTrustLink」を提供しています。


チェックシートの作成、送信、ダッシュボードでの結果の確認までを自動化できるサービスです。

委託先リスク管理業務において以下のような課題を抱える事業者におすすめのサービスとなっています。

  • チェックシートの送信や回収が手間
  • 委託先一覧の管理や更新ができていない
  • 業務が属人化しており後継者がいない

 

委託先管理にお悩みであれば、製品についてお気軽にお問合せください。