大手企業のセキュリチェックが意味ない話

セキュリティには、人並み以上に詳しいけど、知識は防御と考えている、下駄です。 先日仕事で、大手企業のwebシステム製作案件を受けたのですが、大手企業とのやり取りには、必ず「セキュリティチェックシートに記載してください」という担当者とのやり取りが発生します。 詳しく言うと、担当者というよりも、大手企業の情報セキュリティ部門の担当者ですね。 このセキュリティチェックシートがあまりにも出来レース的な要素だったので、こうした意味のないチェックをしている企業に考え直してもらいたい一心でブログを書いてみました。

セキュリティチェックって何？

ここで、こうしたセキュリティチェックを受けたことがない人や、ITに詳しくない人には、意味がわからないセキュリティチェックシートについて説明すると、 企業（特に大手企業）は、個人情報漏洩対策のセキュリティとして、自社で発信するインターネット情報やそれに関連する情報機器、それらを取り扱う社内担当者や、他会社に対して、その会社での必要とされるセキュリティ基準をリスト化したチェックシートを作っています。 これを「セキュリティチェックシート」として、ホームページの制作や、何かしらのITの作業前にチェックをするという事が一般的なやり取りになっています。

どんな内容が含まれているのかというと

webサイトを開設する場合は、そのサーバーのファイアウォールや、ウィルス対策ソフト、それぞれのモジュールのセキュリティ漏洩リスクがないかどうかという事を、○×で記載して、×の場合はその理由を記載するという非常に面倒くさい内容になっています。 また、その企業ではない、外部会社の場合は、「Pマーク」や「ISMS」などの、セキュリティ認証を持っているかどうか（必須ではないらしいです）、という内容も含まれます。 いわゆる、その会社で定める一定基準の項目がそのままチェックリストになっているわけですが、その量が半端なく膨大であるという状態がほとんどですね。 そうしたチェックシートを持って、取引ができるかどうかの判断をするという、いわゆるセキュリティ診断なのです。

個人的に思うこと

そもそも、こうしたチェックシートは、その会社がチェックをして記載するのではなく、作業をする担当者が自身で記載をする形式が取られていることが多く、 今回作業を依頼してきた企業からも、うちの会社で記載してほしいという要望がありました。 １時間ぐらい書けて記入したそのシートの内容は詳しく書けませんが、他のどの会社と同じ様な内容でした。 もちろん、弱小会社のうちとしては、PマークやISMSも撮っていなければ、納品システムの第三者診断などは行うはずがないので、全て×でつけておきました。 こうしたチェックを自社で記載することにあまり意味が無いと思われることとして、 例えば、サーバーのウィルス対策ソフトを導入していますか？という内容にインストールだけして、まともにチェックしていない状況を作ることは簡単だし、仮にサーバー内のファイルがウィルスに感染して居た場合、定義ファイルに適合していないという言い訳もなんとでもできてしまうわけです。 知りもしないのに、WAFを入れることを大前提にする企業も多く、サーバー性能を大きく損なうリスクの方が大きいことと、なんとなく対象サーバーがwindows serverっぽい内容に、非常にうんざりしてしまいます。

俺ならこーする

もちろん、こうしたセキュリティチェックシートが必要という事はagreeなのですが、少なくとも日本の企業はほとんどがExcelシートで送られてくるところを見ると、web-formにして利便性を高めてもらいたいという点と、 内容に関して、必須かどうかという記載をしてもらいたいと考えられます。 もちろん、案件に応じて、必須の内容も変わるかと思いますが、そこは、UXとして独自にアルゴリズムを組む必要がありますが、お互いにエクセルは生産性が低すぎるというのが個人的な感想なので、面倒くさいの一言につきます。 あと、一番サブい点としては、こうしたやり取りをする担当者が、「WAFって何？」っていう状態なところですね・・・ いったい何のための資料やねん・・・ておもた。