情報セキュリティ格付け会社が発足<=その範囲と尺度

企業のセキュリティレベルを格付け、富士ゼロックスら18社が査定新会社を設立ITmediaエンタープライズより

企業などの組織が取り扱う技術情報や営業機密情報、個人情報などのセキュリティレベルを格付けする専門会社。マネジメントの成熟度やセキュリティ対策の強度、コンプライアンスへの取り組みなどを定量化し、記号や数値で指標化する。審査業務のほか、格付に関する調査や教育・出版などの事業も展開する。

世界初の情報セキュリティ格付専門会社を設立(FUJI ZEROXのプレスリリース)

世界初の試みのようだ。それは”その範囲”と”尺度”の数値化が難しかったからだろう。

格付けである以上、もちろんの基準となる明確な尺度をもって審査することになる。

企業の格付けにおいては、財務情報や売り上げ、予測される動向などの明確なものから予測されるものまで、数値で表せる尺度を使うことになる。数値化できないものでは、格付け基準がわからない。

そんな中、情報セキュリティの格付けをはじめたのだから、その基準が気になるところだ。

情報セキュリティの中でも、数値化出来るものと、出来ないものが存在する。 

出来るものとしては、技術的対策の状況や、策定されたポリシーに沿っているか。。。などなど。

出来ないものとして、”耐久性”があると考えている。

この耐久性テストとは、従来の企業評価であれば必要なかったはず。数値化された予測されたものを元にはじき出すからだ。その結果をもって判断基準となる。結果がすべてだからだ。

しかし情報セキュリティの場合、結果の1つとして漏洩がある。

情報漏洩について、レイティングする尺度に漏洩の耐久性ってのはあるのだろうか?これは、結果として漏洩になったら、何の対策もしていないのと同じ事になってしまう。

ただ単に何もしていないのとは、その発生頻度や体制に大きな違いはもちろんあってのことだ。

しかし、漏れたら漏洩は漏洩になる。これが結果だからだ。

では、この漏洩に関わる人たちの耐久性はどう調べるのだろう?
ファイヤーウォールやUTM(統合脅威管理)などの機器であれば、そのテストも出来る。それは機器であり、技術的に判断する尺度をもつからだ。

この機器の部分を人に置き換えた場合、その尺度はあるだろうか?耐久性のチェックは可能だろうか?技術的に実現できる部分と、人的にしなければ実現しない部分があるのである。

まさか、人に対して機器の耐久性チェックのような事はできないだろう。しかし、あるレベルではチェックしない限り、判断尺度も格付けに必要な基準値が定まらない。

限定された条件での判断であれば、こんなことも必要なくなる。しかし、情報セキュリティには、必ず漏洩は付いてきてしまうものである。

だからこそ、世界初の試みになるのだろう。最終的には”いかなる方法でも安全”にならなければ、ならないからだ。100%はない。より近くすることを目指すしかないのだ。

本当に安全である格付けまでは、難しい部分も多くあるだろうが、応援していきたい。

今後の活動に期待!

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。