インサイドセールス トレイル001

SaaS利用時のセキュリティチェック(1)

前提として、サービスリリースが近いこの事業では、客観的にリリースに足る品質を備えていることを確認しなければなりません。 この確認は、ステージ・ゲートプロセスの「出荷審査」にて担保します。

この審査には多数のクライテリア項目が存在しています。 エンジニアリングチームが参画した時点で、事業オーナーが各種クライテリアを満たすための 方針付けを行っていたのですが、課題があったのはサービスが内部で利用するSaaSに関するクライテリアでした。

本サービスでは外部のSaaSを利用しますが、品質の確認は当然このSaaSにも及びます。 「他社サービスを利用する」サービスをリリースする際、この品質のベースラインは 全社に展開されている「クラウドセキュリティチェックリスト」(以下、チェックリスト)に対応し、品質監理部門によるチェックを経て担保されます。

このチェックリストに対応していくためにはある程度のエンジニアリングスキルが要求されます。そこで本トレイルでは、このチェックリストに則って、 SaaSとの連携部分の品質をどのように担保するかという方針検討に取り組みました。

目標を達成するために取り組んだこと

我々が取り組んだのは以下の2点です。

  1. チェックリストの各項目が求めている内容の理解
  2. 本事業のサービスに対し、どのレベルでどのように対応していくかの方針付け

セキュリティルールの理解

当該のチェックリストは、会社としてのセキュリティルールを「クラウドを利用する」という点に焦点を合わせチェックリストとして整理したものです。 日本に住む私たちの多くが六法全書を通読することのないように、一般に会社の長大なセキュリティルールをつぶさに確認することは難しいものです。 チェックリストにより、「クラウドを利用するときはここに気をつける」という点はわかりやすくなり、大きな助けになりました。

一方で、それでもチェックリストの項目は多く、なぜそのチェックが必要なのかまで理解しなければ適切な対応は取れません。 それを理解するには、より上位の会社としてのセキュリティルール、関連文書を辿る必要があります。チェックリストでは、対応する上位文書へのポインタを示されており、この点についても助かりました。

対応の方針づけ

一般に、個々の事業が内在するセキュリティリスクは様々であり、そのリスクの大小によって、対応の仕方も異なります。 例えばいわゆる「要配慮個人情報」を預かるサービスには極めて厳重なセキュリティが必要になりますが、全てのサービスにそれを求めると、必要以上の品質コストはお客様に跳ね返ってしまいます。 一方で、会社の冠を背負うサービスである以上、最低限の品質は担保しなければなりません。

そこで我々は、事業オーナーから対象サービスのビジネスモデル、SaaS側に預けるデータの特性、求める品質を説明してもらい、その上での方針づけに取り組み始めました。

今回のイテレーションでの学び

まずはエンジニアリングチームにてチェック内容を読み込みながら、個々のチェック項目に対する方針策定を開始しました。 その過程でわかったことは、チェックリスト、およびその上位文書となる会社のセキュリティ規則には、リスクに見合った対応を自ら選択できる余地が元々考慮されていることです。

既に記述している通り、サービスにはそれぞれ必要とする品質があり、それ以上の過剰な品質を求めると、そのコストはお客様に跳ね返ってしまいます。 チェックリストはこれを考慮済みであり、以下のような対応が可能でした。

  • 必要に応じ、チェック項目への対応を見送ることは許容されている
  • 対応を見送る場合は、見送りに伴うリスクの洗い出しと、そのリスクを受容するという判断・承認が必要

このため、サービスの求める品質について事業オーナーと認識を一致させることで、必要以上のコストをかけて対応せずに済むはずです。

今回のイテレーションでは、チェックリストの内容を理解し、その上で事業オーナーとサービスレベルの視線を揃えることができました。 次に視線を揃えるべきは、SaaS事業者と、チェックリスト審査者である品質監理部門です。これについては、次のトレイルにて内容を記載できると思います。