情報セキュリティ格付け会社が発足<=その範囲と尺度
企業のセキュリティレベルを格付け、富士ゼロックスら18社が査定新会社を設立:ITmediaエンタープライズより
企業などの組織が取り扱う技術情報や営業機密情報、個人情報などのセキュリティレベルを格付けする専門会社。マネジメントの成熟度やセキュリティ対策の強度、コンプライアンスへの取り組みなどを定量化し、記号や数値で指標化する。審査業務のほか、格付に関する調査や教育・出版などの事業も展開する。
世界初の情報セキュリティ格付専門会社を設立(FUJI ZEROXのプレスリリース)
世界初の試みのようだ。それは”その範囲”と”尺度”の数値化が難しかったからだろう。
格付けである以上、もちろんの基準となる明確な尺度をもって審査することになる。
企業の格付けにおいては、財務情報や売り上げ、予測される動向などの明確なものから予測されるものまで、数値で表せる尺度を使うことになる。数値化できないものでは、格付け基準がわからない。
そんな中、情報セキュリティの格付けをはじめたのだから、その基準が気になるところだ。
情報セキュリティの中でも、数値化出来るものと、出来ないものが存在する。
出来るものとしては、技術的対策の状況や、策定されたポリシーに沿っているか。。。などなど。
出来ないものとして、”耐久性”があると考えている。
この耐久性テストとは、従来の企業評価であれば必要なかったはず。数値化された予測されたものを元にはじき出すからだ。その結果をもって判断基準となる。結果がすべてだからだ。
しかし情報セキュリティの場合、結果の1つとして漏洩がある。
情報漏洩について、レイティングする尺度に漏洩の耐久性ってのはあるのだろうか?これは、結果として漏洩になったら、何の対策もしていないのと同じ事になってしまう。
ただ単に何もしていないのとは、その発生頻度や体制に大きな違いはもちろんあってのことだ。
しかし、漏れたら漏洩は漏洩になる。これが結果だからだ。
では、この漏洩に関わる人たちの耐久性はどう調べるのだろう?
ファイヤーウォールやUTM(統合脅威管理)などの機器であれば、そのテストも出来る。それは機器であり、技術的に判断する尺度をもつからだ。
この機器の部分を人に置き換えた場合、その尺度はあるだろうか?耐久性のチェックは可能だろうか?技術的に実現できる部分と、人的にしなければ実現しない部分があるのである。
まさか、人に対して機器の耐久性チェックのような事はできないだろう。しかし、あるレベルではチェックしない限り、判断尺度も格付けに必要な基準値が定まらない。
限定された条件での判断であれば、こんなことも必要なくなる。しかし、情報セキュリティには、必ず漏洩は付いてきてしまうものである。
だからこそ、世界初の試みになるのだろう。最終的には”いかなる方法でも安全”にならなければ、ならないからだ。100%はない。より近くすることを目指すしかないのだ。
本当に安全である格付けまでは、難しい部分も多くあるだろうが、応援していきたい。
今後の活動に期待!
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。