シマンテックは10月27日、企業の情報管理レベルを評価する「情報セキュリティ総合評価サービス(STSA)」を11月1日から開始すると発表した。システム的なセキュリティだけでなく、情報管理規定やその運用、社員のセキュリティ意識などのレベルを総合的に評価する。同社の松田義巳コンサルティングサービス部シニアマネージャは、「多くの企業はシステム以外のセキュリティ評価が実施できていない」と語る。
同社はこれまでもシステムのぜい弱性や運用の問題点などを指摘するサービスは個別に提供してきたが、「経営層は個別の問題を指摘されるだけでは満足しない。新サービスでは、経営層向けのレポートに加え、アドバイスや改善策までを提供する」(松田シニアマネージャ)という。
具体的には「情報セキュリティ運用」、「情報セキュリティ意識」、「情報セキュリティシステム」の3つの観点から評価を行う。「ISMS認証(情報セキュリティマネジメントシステム適合性評価制度)基準」や「FISC安全対策基準(金融機関等コンピュータシステムの安全対策基準)」といった公的な基準に沿った評価テンプレートを提供する。シマンテック独自の評価テンプレートを含めると、テンプレートの数は10種類以上ある。
システムの評価は、シマンテックのシステム監査ツール「Symantec Enterprise Security Manager」を使う。運用と意識の評価については、OSK(東京都墨田区、原田要市社長)の評価手法を利用する。運用については550個以上のチェック項目を管理者に、意識については50項目のアンケートを従業員に回答してもらう。
多くの企業は、今年4月に完全施行された個人情報保護法に対処するため、情報保護対策をあわてて実施した。そのため、「半年がたって経営者は、情報保護対策が本当に有効に働いているかどうかを確かめたくなっている」(OSK・ソリューションセンターの鈴木英樹ITコンサルタント課シニアマネージャー)。こうした需要も期待する。
新サービスのメインターゲットは、従業員1000人以上の大企業。料金は都度見積もりだが、参考料金は、従業員数5000人、サーバー30台の場合で約700万円である。基本的にはシマンテックが直接サービスを提供するが、要望があればパートナーによるサービス提供やOEM(相手先ブランドによる生産)提供も可能という。
