セキュリティーチェックシートという闇への防衛術 - Qiita

といった感じです。（この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。） "No.～基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20～500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす

[quality1]

今まさにこんなもんなんの役にも立たんやろと思いながら作らされてます(白目)。社会の害悪ですいません、項目は削ぎ落として20個ぐらいにしました許してください。マジで意味はないです。

[khwarizmi]

わかる。これクソ / 日本の「大企業」のITセキュリティ部門が素人だけで構成されている無能揃いというところに最大の問題がある。多分。

[myaoko]

セキュリティチェックシートを無くしてくれる魔法かと思ったらセキュリティチェックシートと向き合う方法だった…これのせいで国内営業のない海外SaaSを利用するハードルがめちゃくちゃ高いというかほぼ不可能なんよ

[maninthemiddle]

「セキュリティに関する主張には反証可能性がない」のが大きな原因なんよね。ある規則を無くしたときに安全だと言い切れる人はこの世に存在しないし効果の統計も個社レベルでの調査はほぼ不可能

[daiksy]

SaaSなのに受託開発用のチェックリスト送ってくるのはマジでやめてくれー！

[nikoli]

対応していません、と回答した項目を営業が勝手に書き直して客先に提出して、翌年揉める、という闇はどう対処しますか

[hintoku]

Backlogのやり方賢い〜。よくあるやつかーってなるけどそもそもなんで必要なんだっけって見直したいもの…

[u_mid]

知らない方に解説すると、冒頭の ”ちゃーんちゃちゃちゃちゃちゃらららーん、ちゃららー、ちゃーん、ちゃらららー （オープニング曲、斉唱終わり）” は水曜どうでしょうネタです（必要ない解説）

[kunta201020]

官公庁はこういうの大好きだからなくならないどころか、これから項目がさらに増していく。役所のお偉いさんは受注させてやってるんだからって感覚だから手間がかかることは問題にしない。

[orehajikoranai]

前職では「セキュリティ観点から回答できません」だった。今は真面目に答えてるけど、実際発注元も多分わかってる人いなかったりシートが形骸化してるので、適当に答えてもリスクは低いと思ってる

[ckom]

チェックシートはチェックしたいのではなく責任を負わせたい為の言質シート。「ちゃんとしてる？」「ちゃんと、とは？」「ちゃんとしてるかって聞いてるんだ」「ちゃ・・ちゃんとしてます」「よし、聞いたからな」

[rx7]

違和感が綺麗に言語化されている... (以降、自粛)

[tmatsuu]

闇その3はできるだけやりとりを減らしたいので「ここはこういう暗号化をしている。ここも暗号化している、これはやってない」と思いつく限り書いてしまう方針にしている。

[utsuidai]

わかりりみが強い。でも残念ながら日本だけの問題でもない。両記事貼っとこう。https://www.conoris.jp/blog/security-check-sheet-in-japan-and-foreign-countries

[als_uz]

有名パッケージの脆弱性が報告されるたびに導入サービスのベンダーに手当たりしだいに影響確認の問い合わせを投げまくる仕事がこの世の中には存在するらしいよ

[oooooooo]

プロトコルとして定義できないものか。資格有無とかで

[yug1224]

うっ…あたまがっ…

[yuno001]

経産省の元ネタが消えてるのが闇なんだよなあ。今晩を作っておいて、なんで消してるのか。 元々民間に任せれば良かったものを官僚が作るから民が育たないしビジネスも減ってしまう。

[findup]

発注部門が何も考えず丸投げするのが問題。しかも費用請求しようとすると怒るし。

[kasahannra]

後で読む

[knjname]

暗号化とかヌルいこと書かれてたらTDEがどこかしら入るなら○にするよ

[nilnil]

見ていて強くうなづくとともに胃が痛くなってきた。言いたいことは山ほどあるが(自粛)

[baca-aho-doji]

これって発注側（担当者）が購入するものの内容を把握するつもりがないからこんなことになってるんだと思ってる。いい加減購入者の責任はもう少し重くした方がいい。

[arguediscuss]

ISMSも、会社がセキュリティ上のリスク対策のPDCAを回している（ことになっている）ことの証明にはなるけど、その対策がどの程度のレベルかは基本問わないから、ISMS取ってれば書かなくていい、はチェックとしては微妙。

[heppokopg2013]

わかりみが強い。チェックシートがなければ安心できない人たちがいるんだよなぁ（そういう企業はUIにも反映されている）

[picora]

古いままだったり、リモートワーク対応になってないことがあるな。オフィスの物理セキュリティについて回答を求められるけど実態がないし、USBメモリーとかFDとかが登場することもある

[mak_in]

大手を相手にしてるが、クラウドやSaaS使ってても困ったことないな。条件付で使ってるとかちゃんと説明すると簡単に通る。今は発注側もこなれてる。リードタイムが短い、答えられない≒NGは別の問題。

[Xray]

セキュリティチェックシートの闇って、費用を払わないで相手に仕事させてるところだと思うけど違うんだ。普通の神経だと頼めないよねこれ。

[hoozuki37]

FMEA,PPAP,SPC……うっ、頭が……

[masa8aurum]

初めて聞いた。闇その2（内容・契約形態にそぐわないチェック）は不毛すぎるが、セキュ部門が無能なんだろうな。「if SaaS」みたいな分岐をシートに含めるだけでいいはずなのに。

[geonoize]

オープニング、寅さんかと思った。しっくりこないはずだ笑

[cive]

お気持ちセキュリティ

[Shalie]

あとで読む。これ、対応求められる背景はわかるけど苦行なのよね。。

[kazukan]

解釈の余地ありすぎて意味ないよね。

[minemuracoffee]

backlogの対応なるほど

[fops]

チェックシート自体が曖昧になりがちで大体面倒。細かい規約があって最終段階で補助的に使うとか、単体ならすごく具体的にするとかじゃないと、あまり意味ないと思う。

[EastHop]

策定したりチェックしたりする仕事してたけど、実際にヤベェ実装見つかったりしたので無駄と言い切れないのが悲しいところ。オレオレフレームワークじゃなくて、ちゃんとしたフレームワーク使ってくれー！

[k146]

これホント分かりみと闇が深過ぎて底が見えない…発注元としては訴訟沙汰になった場合の武器に出来るから何とか書かせたいってのは分かるんだけど、法務チェックが入らないなら結局全く意味を為さないんだよなぁ。

[trade_heaven]

押し付けてくる方が、さも当たり前だろみたいな顔で200項目くらいのシートを明後日までにお願いします、とか送ってくるんだよな。30万になりますって返すとそれ以降返事が来なくなるけど

[tinao]

GoogleやAmazonなどはどうせ回答しないからスルーして、その他特に下請けは必ず提出させるやつだw