https://community.isc2.org/t5/Japan-Chapter-Discussion-Forum/SaaS%E5%88%A9%E7%94%A8%E5%AF%A9%E6%9F%BB%E5%9F%BA%E6%BA%96%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%AE%E6%84%8F%E8%A6%8B%E5%8B%9F%E9%9B%86/m-p/47805#M12 <P>私が担当する顧客企業のうちの日本企業1社にて、SaaS利用審査基準の見直しを支援しております。そのことについて、皆様のご意見を賜りたく、投稿しました。</P><P>&nbsp;</P><P>その企業では、各組織から様々なSaaSの利用が情報セキュリティ部門に申請されてきます。情報セキュリティ部門では、用途と自社のセキュリティ・ポリシー、そしてプロバイダーからのアンケート回答やSOC2レポートから、そのSaaSの利用を許可するか審査をします。</P><P>&nbsp;</P><P>しかし、その申請の数が多く、十分に審査をすることができていません。SOC2レポートをプロバイダーから入手しても、中身を読み込むことまで手が回らないことがよくあります。適切に審査できる能力を持った担当者は1名で体制の継続性に不安があります。</P><P>&nbsp;</P><P>そこで、次のように審査基準を単純化し、審査の省力化し審査の難易度を下げようと考えております。具体的には、以下いずれかの基準を満たせば、例外なく利用を許可しようと考えています。</P><P>&nbsp;</P><OL><LI>ISMAPまたはFedRAMPによって認定されている。</LI><LI>1年以内に発行された最新のSOC3レポートにて、監査人の意見にネガティブな見解がないか、ネガティブな意見をSOC2レポートで具体的に確認し、自社のポリシーと用途から問題ないことが確認できる。</LI><LI>CASBのスコアリング・サービスにて、非常に高いレベル（たとえばNetskopeならExcellent）である。</LI><LI>最高機密に分類されるデータを保持させない場合、ISO/IEC 27001および27017（個人情報を扱う場合は27018も）の認証を3年以内に受けている。</LI><LI>最高機密に分類されるデータを保持させない場合、CASBのスコアリング・サービスにて、高いレベル（たとえばNetskopeならHigh）である。</LI><LI>機密性の低いデータを保持する場合、CASBのスコアリング・サービスにて、中程度のレベル（たとえばNetskopeならMedium）である。</LI><LI>完全性や可用性については、4～6の機密性を読み替える。</LI></OL><P>&nbsp;</P><P>そこで質問です。</P><P>&nbsp;</P><OL><LI>貴社または貴社の顧客でも同様の課題を抱えている場合、上記の基準での審査へ移行すること賛同できますか？またその理由は何でしょうか？</LI><LI>貴社または貴社の顧客で同様の基準で運用されている場合、どのような課題がありますでしょうか？</LI><LI>いずれにも当てはまらない方、私の考えについてどのようにお考えになりますか？</LI></OL><P>&nbsp;</P><P>以上、感想でもかまいませんので、何等かコメントいただけると、うれしいです。</P><P>&nbsp;</P> Mon, 09 Oct 2023 10:00:11 GMT Masahiro 2023-10-09T10:00:11Z https://community.isc2.org/t5/Japan-Chapter-Discussion-Forum/SaaS%E5%88%A9%E7%94%A8%E5%AF%A9%E6%9F%BB%E5%9F%BA%E6%BA%96%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%AE%E6%84%8F%E8%A6%8B%E5%8B%9F%E9%9B%86/m-p/47805#M12 <P>私が担当する顧客企業のうちの日本企業1社にて、SaaS利用審査基準の見直しを支援しております。そのことについて、皆様のご意見を賜りたく、投稿しました。</P><P>&nbsp;</P><P>その企業では、各組織から様々なSaaSの利用が情報セキュリティ部門に申請されてきます。情報セキュリティ部門では、用途と自社のセキュリティ・ポリシー、そしてプロバイダーからのアンケート回答やSOC2レポートから、そのSaaSの利用を許可するか審査をします。</P><P>&nbsp;</P><P>しかし、その申請の数が多く、十分に審査をすることができていません。SOC2レポートをプロバイダーから入手しても、中身を読み込むことまで手が回らないことがよくあります。適切に審査できる能力を持った担当者は1名で体制の継続性に不安があります。</P><P>&nbsp;</P><P>そこで、次のように審査基準を単純化し、審査の省力化し審査の難易度を下げようと考えております。具体的には、以下いずれかの基準を満たせば、例外なく利用を許可しようと考えています。</P><P>&nbsp;</P><OL><LI>ISMAPまたはFedRAMPによって認定されている。</LI><LI>1年以内に発行された最新のSOC3レポートにて、監査人の意見にネガティブな見解がないか、ネガティブな意見をSOC2レポートで具体的に確認し、自社のポリシーと用途から問題ないことが確認できる。</LI><LI>CASBのスコアリング・サービスにて、非常に高いレベル（たとえばNetskopeならExcellent）である。</LI><LI>最高機密に分類されるデータを保持させない場合、ISO/IEC 27001および27017（個人情報を扱う場合は27018も）の認証を3年以内に受けている。</LI><LI>最高機密に分類されるデータを保持させない場合、CASBのスコアリング・サービスにて、高いレベル（たとえばNetskopeならHigh）である。</LI><LI>機密性の低いデータを保持する場合、CASBのスコアリング・サービスにて、中程度のレベル（たとえばNetskopeならMedium）である。</LI><LI>完全性や可用性については、4～6の機密性を読み替える。</LI></OL><P>&nbsp;</P><P>そこで質問です。</P><P>&nbsp;</P><OL><LI>貴社または貴社の顧客でも同様の課題を抱えている場合、上記の基準での審査へ移行すること賛同できますか？またその理由は何でしょうか？</LI><LI>貴社または貴社の顧客で同様の基準で運用されている場合、どのような課題がありますでしょうか？</LI><LI>いずれにも当てはまらない方、私の考えについてどのようにお考えになりますか？</LI></OL><P>&nbsp;</P><P>以上、感想でもかまいませんので、何等かコメントいただけると、うれしいです。</P><P>&nbsp;</P> Mon, 09 Oct 2023 10:00:11 GMT https://community.isc2.org/t5/Japan-Chapter-Discussion-Forum/SaaS%E5%88%A9%E7%94%A8%E5%AF%A9%E6%9F%BB%E5%9F%BA%E6%BA%96%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%AE%E6%84%8F%E8%A6%8B%E5%8B%9F%E9%9B%86/m-p/47805#M12 Masahiro 2023-10-09T10:00:11Z