クラスメソッド標準セキュリティチェックシートを公開しました

江口佳記

2019.09.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

オペレーション部江口です。私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。

具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。

作成・公開の目的

当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。

ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。

そうしたお問い合わせの一助として、当社標準のセキュリティチェックシートを作成し、そのような確認に役立てていただければと考えた次第です。

当社のサービスに対する取り組みについては、これまでもSOC2報告書を提供させていただいていました。報告書内のシステム記述書で、詳しく当社のサービスを運用する体制や管理のプロセス、セキュリティの取り組みについて確認いただくことができます。

ただ、SOC2報告書は詳細を記載しているぶん、当社から提供するにはNDAを締結いただく必要があります。

それよりはもう少し手軽に、お客様に当社のセキュリティに対する取り組みを広く知っていただきたいということで、この標準セキュリティチェックシートについては公開させていただくことにしました。

チェックシートは2つご用意しています。

当社サービス「クラスメソッドメンバーズ」は、サービス情報ページでご紹介しているように、構築支援・運用まで総合的にお客様を支えるサービスですが、このクラウドサービスレベルチェックシートでは、

といった基本サービスとして提供している範囲にフォーカスしていますのでご留意ください。例えばコンサルティングサービスなどはこのチェックシートでは範囲外とさせて頂いています。

項目については、なるべく客観的な方が良いだろうと思い、それぞれ第三者が作成したチェックシートを利用することとしました。

全社セキュリティ対応についてはIPA作成の中小企業の情報セキュリティ対策ガイドラインの付録7、「リスク分析シート」に含まれている「対策状況チェック」をベースにしています（当社独自の設問も含めています）。もともと自社のセキュリティ対策状況を確認することを目的としたチェックシートですが、各種項目を網羅しており対外的に公開するにも良いだろう、ということで採用しました。
一方クラウドサービスレベルチェックシートは2010年に経済産業省が作成した同名のチェックシートをベースとしています。若干古い資料ではあるのですが、クラウドサービスで自社のサービスレベルを公開する際に広く利用されていることから、当社でも採用しました。