情報セキュリティ格付け会社が発足<=その範囲と尺度

企業のセキュリティレベルを格付け、富士ゼロックスら18社が査定新会社を設立ITmediaエンタープライズより

企業などの組織が取り扱う技術情報や営業機密情報、個人情報などのセキュリティレベルを格付けする専門会社。マネジメントの成熟度やセキュリティ対策の強度、コンプライアンスへの取り組みなどを定量化し、記号や数値で指標化する。審査業務のほか、格付に関する調査や教育・出版などの事業も展開する。

世界初の情報セキュリティ格付専門会社を設立(FUJI ZEROXのプレスリリース)

世界初の試みのようだ。それは”その範囲”と”尺度”の数値化が難しかったからだろう。

格付けである以上、もちろんの基準となる明確な尺度をもって審査することになる。

企業の格付けにおいては、財務情報や売り上げ、予測される動向などの明確なものから予測されるものまで、数値で表せる尺度を使うことになる。数値化できないものでは、格付け基準がわからない。

そんな中、情報セキュリティの格付けをはじめたのだから、その基準が気になるところだ。

情報セキュリティの中でも、数値化出来るものと、出来ないものが存在する。 

出来るものとしては、技術的対策の状況や、策定されたポリシーに沿っているか。。。などなど。

出来ないものとして、”耐久性”があると考えている。

この耐久性テストとは、従来の企業評価であれば必要なかったはず。数値化された予測されたものを元にはじき出すからだ。その結果をもって判断基準となる。結果がすべてだからだ。

しかし情報セキュリティの場合、結果の1つとして漏洩がある。

情報漏洩について、レイティングする尺度に漏洩の耐久性ってのはあるのだろうか?これは、結果として漏洩になったら、何の対策もしていないのと同じ事になってしまう。

ただ単に何もしていないのとは、その発生頻度や体制に大きな違いはもちろんあってのことだ。

しかし、漏れたら漏洩は漏洩になる。これが結果だからだ。

では、この漏洩に関わる人たちの耐久性はどう調べるのだろう?
ファイヤーウォールやUTM(統合脅威管理)などの機器であれば、そのテストも出来る。それは機器であり、技術的に判断する尺度をもつからだ。

この機器の部分を人に置き換えた場合、その尺度はあるだろうか?耐久性のチェックは可能だろうか?技術的に実現できる部分と、人的にしなければ実現しない部分があるのである。

まさか、人に対して機器の耐久性チェックのような事はできないだろう。しかし、あるレベルではチェックしない限り、判断尺度も格付けに必要な基準値が定まらない。

限定された条件での判断であれば、こんなことも必要なくなる。しかし、情報セキュリティには、必ず漏洩は付いてきてしまうものである。

だからこそ、世界初の試みになるのだろう。最終的には”いかなる方法でも安全”にならなければ、ならないからだ。100%はない。より近くすることを目指すしかないのだ。

本当に安全である格付けまでは、難しい部分も多くあるだろうが、応援していきたい。

今後の活動に期待!

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。