企業のセキュリティレベルを格付け、富士ゼロックスら18社が査定新会社を設立ITmediaエンタープライズより

企業などの組織が取り扱う技術情報や営業機密情報、個人情報などのセキュリティレベルを格付けする専門会社。マネジメントの成熟度やセキュリティ対策の強度、コンプライアンスへの取り組みなどを定量化し、記号や数値で指標化する。審査業務のほか、格付に関する調査や教育・出版などの事業も展開する。

世界初の情報セキュリティ格付専門会社を設立(FUJI ZEROXのプレスリリース)

世界初の試みのようだ。それは”その範囲”と”尺度”の数値化が難しかったからだろう。

格付けである以上、もちろんの基準となる明確な尺度をもって審査することになる。

企業の格付けにおいては、財務情報や売り上げ、予測される動向などの明確なものから予測されるものまで、数値で表せる尺度を使うことになる。数値化できないものでは、格付け基準がわからない。

そんな中、情報セキュリティの格付けをはじめたのだから、その基準が気になるところだ。

情報セキュリティの中でも、数値化出来るものと、出来ないものが存在する。 

出来るものとしては、技術的対策の状況や、策定されたポリシーに沿っているか。。。などなど。

出来ないものとして、”耐久性”があると考えている。

この耐久性テストとは、従来の企業評価であれば必要なかったはず。数値化された予測されたものを元にはじき出すからだ。その結果をもって判断基準となる。結果がすべてだからだ。

しかし情報セキュリティの場合、結果の1つとして漏洩がある。

情報漏洩について、レイティングする尺度に漏洩の耐久性ってのはあるのだろうか?これは、結果として漏洩になったら、何の対策もしていないのと同じ事になってしまう。

ただ単に何もしていないのとは、その発生頻度や体制に大きな違いはもちろんあってのことだ。

しかし、漏れたら漏洩は漏洩になる。これが結果だからだ。

では、この漏洩に関わる人たちの耐久性はどう調べるのだろう?
ファイヤーウォールやUTM(統合脅威管理)などの機器であれば、そのテストも出来る。それは機器であり、技術的に判断する尺度をもつからだ。

この機器の部分を人に置き換えた場合、その尺度はあるだろうか?耐久性のチェックは可能だろうか?技術的に実現できる部分と、人的にしなければ実現しない部分があるのである。

まさか、人に対して機器の耐久性チェックのような事はできないだろう。しかし、あるレベルではチェックしない限り、判断尺度も格付けに必要な基準値が定まらない。

限定された条件での判断であれば、こんなことも必要なくなる。しかし、情報セキュリティには、必ず漏洩は付いてきてしまうものである。

だからこそ、世界初の試みになるのだろう。最終的には”いかなる方法でも安全”にならなければ、ならないからだ。100%はない。より近くすることを目指すしかないのだ。

本当に安全である格付けまでは、難しい部分も多くあるだろうが、応援していきたい。

今後の活動に期待!

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサーオルタナティブ・ブログ
日々起きる目の前の「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て、考えるように意識しています。 人の「こころ」に興味を持ち、仏教と密教からヒントを得るべく現在研究中。