経済産業省(経産省)は1月29日,企業や組織のセキュリティを高めるためのガイドライン案を公開した。セキュリティを高めるために実施すべき内容や,情報システムがセキュリティ上満たすべき要件をまとめている。現在はガイドライン“案”であり,2月26日までパブリック・コメントを募集し,3月に最終的なガイドラインとする。ガイドライン完成後は,このガイドラインに従ってシステム構築やセキュリティ検査を実施できるベンダーを登録した「情報セキュリティ監査企業台帳」を作成,公開する予定である。
今回の発表資料には「情報セキュリティ監査制度」と記されているが,ISMS認証やBS7799といった,情報セキュリティ管理の認証制度とは異なる。そういった認証が取得できるレベルにまでセキュリティを高めるためのガイドラインである。
ただし,BS7799などが取得できるレベルに至らなくても,達成できた段階に応じて,ベンダー(発表資料では「情報セキュリティ監査を行う主体」)などが,企業や組織に認証を付与することはありうる。経産省では,「セキュリティ・レベルを高めること」と「段階に応じて認証を付与(取得)すること」を合わせて,「情報セキュリティ監査」と呼んでいるようだ。
経産省では,今回のガイドラインに従ったサービスを提供できるベンダーを「情報セキュリティ監査企業台帳」に登録して,Webなどで公開する予定である。ただし,商務情報政策局 情報経済課 情報セキュリティ政策室 課長補佐の山崎琢矢氏によれば,登録時には審査などは行わず,申請すればどのベンダーでも登録することになるという。もちろん,問題などが発生した場合には,そのベンダーは台帳から削除される。
同ガイドライン(制度)の“ファースト・ユーザー”は経産省になる予定である。2003年4月から,ガイドラインに従って組織のセキュリティ・レベルを高める。その後,政府および地方自治体にもガイドラインを利用させていくという。
◆情報セキュリティ監査制度について~「情報セキュリティ監査研究会報告書」のパブリックコメント募集開始~
◆「情報セキュリティ監査研究会報告書 中間とりまとめ」に対する意見募集
(勝村 幸博=IT Pro)
