みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。皆さんは、取引先から「セキュリティチェック」を求められたことがありますか?受注前や契約直後、契約期間中の監査etc., 特に大きな法人との取引において「セキュリティチェック」という名の巨大なエクセルを渡されたことがある方もいらっしゃると思います。今回は、「受注前にセキュリティチェックきたら、どないしたらええんやーーー!」というお話です。そもそもセキュリティチェックとは?現代の商取引においては、業務の委託や発注に先立って、その取引先のチェックを行うのが慣例になりつつあるかと思います。コンプライアンスの観点から、近年は反社チェック(反社会的勢力ではないことの確認)財務状況チェック(発注内容の遂行まで資金ショートなどが生じないか等のチェック)体制チェック(発注内容の遂行能力を確認するチェック)保険加入チェック(発注内容の遂行に生じるリスクヘッジのチェック、公共工事請負保険など)など様々な事前チェックが存在します。その中でも、面倒といっても過言ではないチェックの1つが、いわゆる「セキュリティチェック」です。何をチェックされるの?セキュリティチェックは、千差万別で、チェック内容が標準化されていないこともあり、業界や会社によってそのチェック内容は様々です。筆者も、以前に取引先のセキュリティチェックに対応する業務を回していたことがありますが、あまりにもそのバリエーションの多くに頭を悩ましたものです。慣れてくると「お、このセキュリティチェック、同じ雛形からカスタマイズされたものか!?」と気づけるようになりますが、そもそも各社カスタマイズされた内容なので、一律の対応が難しいのには変わりありません。よくチェックされる内容としてセキュリティ体制情報管理体制(個人情報や委託する顧客情報)ITガバナンスやクラウド利用の有無従業員セキュリティ教育事故発生時の対応や報告といったものが挙げられます。さらっと書きましたが、問われる内容は本当に多岐に渡るため、営業担当者が対応することはもちろん、管理担当者であっても記載するのが大変すぎる!という現場もあるのではないでしょうか。どう対応すればいい?基本的には、もらったエクセルに書かれている質問に1つ1つ回答していくことになります。すでに対応していたり、対策されている内容は、そのまま記載しましょう。回答が難しいものの対応一方で、中には「これ対策してないわ!」「いやウチは予算的にこの対応は無理」という内容もあるかと思います。その場合には、虚偽を書くことなく、未対応や検討中である旨を記載しましょう。リスクが低いと考えている場合には、その理由を追記しておくのがベターです。また、「対応したいんだけども、今は厳しい・・・」といった場合には、「現在検討中:来期に対策予定」など対策の予定時期を明記しておくことが重要です。これは、まだ決まっていなかったとしても記載しておきましょう。よくある質問と回答をまとめておこうセールス・営業担当者が記載することは難しいため、管理部門や情報システム部門が記入することが多いとは思います。事前によくある質問などをまとめておくと作成しやすく、リードタイムが短ければセールス・営業担当者にとっても安心材料になります。セキュリティチェックをスキップしやすいISMSこれらのセキュリティチェックでは、セキュリティ認証などを取得してれば細かい回答は不要となるケースが多く見られます。最も一般的なのはISMS(ISO27001)認証を取得しているケースです。この場合、情報セキュリティマネジメント体制があると見做され、基本的な社内の状況についてはOK扱いとなるケースがよく見られます。また、PマークやISO27017認証取得が対象となる場合もあります。ISMSって何って方はこちらの記事をご覧ください。%3Cdiv%20class%3D%22iframely-embed%22%3E%3Cdiv%20class%3D%22iframely-responsive%22%20style%3D%22height%3A%20140px%3B%20padding-bottom%3A%200%3B%22%3E%3Ca%20href%3D%22https%3A%2F%2Fwww.skygate-tech.com%2Fblog%2Fisms-certification-overview-jp%22%20data-iframely-url%3D%22%2F%2Fiframely.net%2FkRwna6X%3Fcard%3Dsmall%22%3E%3C%2Fa%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cscript%20async%3D%22%22%20src%3D%22%2F%2Fiframely.net%2Fembed.js%22%3E%3C%2Fscript%3EISMS認証とPマークの違いはこちらの記事に書いています。%3Cdiv%20class%3D%22iframely-embed%22%3E%3Cdiv%20class%3D%22iframely-responsive%22%20style%3D%22height%3A%20140px%3B%20padding-bottom%3A%200%3B%22%3E%3Ca%20href%3D%22https%3A%2F%2Fwww.skygate-tech.com%2Fblog%2Fwhat-is-iso27000-series%22%20data-iframely-url%3D%22%2F%2Fiframely.net%2FumCwQDQ%3Fcard%3Dsmall%22%3E%3C%2Fa%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cscript%20async%3D%22%22%20src%3D%22%2F%2Fiframely.net%2Fembed.js%22%3E%3C%2Fscript%3E実際、ISO27001ベースのISMSのカバー範囲は広く、ほとんどのケースで十分なセキュリティ要件保証となります。また、第三者の審査をクリアしなければ認証を取得することはできないため、セキュリティの自己宣言書などと違って一定の信頼性があると評価されているとも言えます。加えて、これは筆者の主観ではありますが、日本では官公庁・自治体や大企業を中心に、ISO27000シリーズやISMS認証に対する信頼が強い傾向にあります。世界にはその他の多くの標準規格や認証がありますが、入札条件やコンペ条件で記載されるのはISMSが最も多いのではないかと思われます。ISMSの取得には体制づくりから審査まで含めると半年〜1年程度かかりますし、コストも相応にはかかります。ただ、大企業との取引が多い場合や官公庁・自治体入札が多い場合には、面倒なセキュリティチェックを大きくスキップできますから、取得するメリットはそこそこ大きいのではないかと思います。まとめセキュリティチェックは、取引先チェックの1つ。内容は千差万別。回答するときは対策を書いていく。未対応であれば正直に書いて、将来やる旨を書く。ISMSをとっておくとスキップできる場合が多いので検討する。以上、いかがだったでしょうか?セキュリティチェック本当に悩ましいですよね。おそらく多くの業界で一度は「標準化しよう」という話が出たことがあるのではと思います(金融機関のFISC基準などが有名ですね)。とはいえ、2022年現在、まだまだ標準化する兆しはありません。弊社では、特に法人取引が急激に増え始めた成長企業様にはISMSの取得などをお勧めしています。取得コストと実効性のバランスは、Pマークやその他の認証に比べると非常にバランスがよく、効果も絶大です。単に認証取得するだけでなく、認証を維持する方法や、セールス活動の中でセキュリティチェックを効率よく捌く方法・体制づくりなんかもサポートしています。セキュリティチェックでお困りの方は、以下からぜひ一度ご相談ください。過去に1000件ぐらいはセキュリティチェックを捌いた経験のあるチームが愚痴を聞きます相談に乗ります!%3Cdiv%20class%3D%22iframely-embed%22%3E%3Cdiv%20class%3D%22iframely-responsive%22%20style%3D%22height%3A%20140px%3B%20padding-bottom%3A%200%3B%22%3E%3Ca%20href%3D%22https%3A%2F%2Fwww.skygate-tech.com%2Fprofessional-service%22%20data-iframely-url%3D%22%2F%2Fiframely.net%2FdhbdHNG%3Fcard%3Dsmall%22%3E%3C%2Fa%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cscript%20async%3D%22%22%20src%3D%22%2F%2Fiframely.net%2Fembed.js%22%3E%3C%2Fscript%3E