情報セキュリティ対策の成熟度によって企業を格付けする動きが始まった。きっかけは,NTTコミュニケーションズ,松下電器産業,富士ゼロックス,格付投資情報センターの4社が,「情報セキュリティ格付け制度研究会」を7月18日に設立したこと。その目的は,情報セキュリティ対策の進捗度合いやコンプライアンスへの取り組み状況などを定量化するための指標を策定し,それに基づいて企業を格付けする制度を確立することにある。

 格付けした企業のレベルは,財務状況の格付けと同様,「AAA-」や「B+」といった記号で表す予定である。研究会の設立メンバーである4社は,格付け制度を運用する第三者機関(団体または法人)を2008年初頭にも立ち上げる考え。これに賛同し,すでに各業界の大手企業7社が参画を予定している。

 企業の情報セキュリティ対策状況を第三者が認証する制度としては,プライバシーマークやISMS(Information Security Management System)などがある。ただこれらは,情報セキュリティ対策がある一定のレベルをクリアしているかどうかを認証する制度。これに対して格付け制度では,企業の情報セキュリティ対策がどのレベルにあるかを多段階できめ細かく認証する。

 格付けを受ける企業にとっては,企業間取り引きにおいて,自社のセキュリティ対策のレベルが高いことをアピールできるメリットがある。また,取引先や業務委託先が格付けを受けていれば,「コストは多少高くても,セキュリティ対策のレベルがより高い企業に業務を委託したい」といった場合の目安にもなる。設立発起会社である格付投資情報センターの三好眞 経営企画室 新規事業開発部長は,「情報セキュリティの観点で,広く企業を格付けする取り組みは,世界にも例がない」という。

実験では6段階で企業を格付け

 NTTコミュニケーションズと格付投資情報センターは,06年1月に共同研究を開始。1年間かけて,格付けのための基準作りや格付け情報報告書の内容などについて検討した。この7月には,財務状況の格付けを模した調査レポートも試験的に作成した(写真)。この共同研究の結果をベースに,格付け制度を実際に利用できるようにする。

図のタイトル
写真 情報セキュリティ格付けの調査レポートの例(試行版)

 研究会が検討するのは,主に3つのポイントである。(1)情報セキュリティ格付けのための基準,(2)認定作業に必要な資格制度や業務フローの確立,そして(3)格付け制度を運用する団体または法人の事業計画,である。

 いずれも「具体的な議論はこれから」(格付投資情報センターの三好部長)だが,大きな方針は固まっている。例えば(1)の格付け基準については,格付投資情報センターとNTTコミュニケーションズによる実験をベースに,基準としての的確さや,業種や企業規模,取り引き形態を踏まえた基準にする必要があるかどうか,などを検討する。

 実験時に策定した格付け基準では,評価手法のベースとして,米カーネギーメロン大学が開発したシステム開発の品質に関する成熟度モデル「CMM(Capability Maturity Model)」を用いた。具体的には表1に示した11分野のそれぞれについて,業務現場に対する調査,文書のチェック,トップ・インタビューなどを実施し,評価を下した。

1 組織風土の醸成,リーダーシップの発揮
2 リスク・コミュニケーション1(共通概念化)
3 リスク・コミュニケーション2(情報開示)
4 リカバリー力(脆弱性が顕在化した場合のリスク耐久力)
5 第三者評価(監査・検査・認証など)
6 情報セキュリティ・マネジメント・システムの確立
7 教育・訓練,認識および力量
8 リスクアセスメント
9 情報セキュリティ・マネジメント・システムの導入および運用
10 コンプライアンス1(個人情報保護法)
11 コンプライアンス2(不正競争防止法)
表1 NTTコミュニケーションズと格付投資情報センターの実験で,評価の対象とした11分野

 これを見ると,単に情報漏洩対策やウイルス対策を講じているか,といったことだけでなく,企業として情報セキュリティに関して取り組むべき事案を,様々な角度から幅広く評価していることが分かる。例えば,組織の風土や体制,リスク情報の共有や開示といった観点から見たコミュニケーションのあり方,情報セキュリティのマネジメント・システム構築・運用の状況,個人情報保護法や不正競争防止法といった情報セキュリティに関連する法律に照らしたコンプライアンス,などである。

 実験では,各分野を評価するために,それぞれ数十~数百の詳細なチェック項目を設けている。「コンプライアンス1(個人情報保護法)」と「コンプライアンス2(不正競争防止法)」だけでも,合計186の項目があったという。チェックした結果に基づき,11分野のそれぞれを「☆(業界標準)」「☆☆(平均以上)」「☆☆☆(優位または充実)」の3段階で評価した。

 最終的には,11分野の評価を集計して総合的に評価し,表2に示した6つのレベルで企業を格付けした。各レベル内において上位または下位のレベルにある場合はそれぞれ,「+」「-」を付与する。レベル3の下位であれば,「A-」となるわけだ。

レベル 内容
レベル5(AAAISM) 最適化 統合されたプロセスを用いて,
高水準の管理状態を維持発展している状態
レベル4(AAISM) 目標管理 客観的な指標を用い,品質を高めるための
目標管理を実施している状態
レベル3(AISM) 組織的管理 明確に定義した手順書などに基づき,
組織的な管理を実施している状態
レベル2(BBBISM) 静的管理 文章化した手順に基づく計画策定や結果追跡が
可能な管理を実施している状態
レベル1(BBISM) 簡略的管理 特定の人員に依存して,イベント対応型の
管理を実施している状態
レベル0(BISM) 初期段階 プロセスを確立していない初期段階,など
表2 実験で用いた格付けレベルの定義

 なお,ここで示した基準や評価方法は,あくまで昨年の実験で用いたものであり,研究会で検討した結果,修正される可能性はある。