ISO14001やISO9000sなどISO(国際標準化機構)規格の国内審査機関である日本環境認証機構(JACO)が,日本で初めて情報セキュリティの運用管理基準を定めた標準ガイドライン「BS7799」(British standard 7799)に基づく認証審査を開始した。認証第一号は,富士ゼロックスのエクストラネット「Xnet」である。1月24日,認証を受けた富士ゼロックスが発表した。
BS7799は,人や組織が守るべき情報セキュリティの運用管理対策について英国規格協会が1995年に制定したセキュリティ対策手法集と認証制度の国家規格。サーバーなど通信機器の情報セキュリティにはある程度対策を立てる企業も,内部の人や組織の管理については対策が進んでいない状況に対応するため策定された。すでに,欧州の事実上の標準規格になっている。2000年9月には,BS7799のパート1であるセキュリティ対策手法の部分がISO/IEC17799として国際標準規格になった。
現在は,BS7799のパート2である「情報セキュリティマネジメントシステム適合性審査制度」(ISMS制度)と呼ぶ認証制度のISO標準化が進められている。2003年初頭の標準化を目指す。これに伴い,各国での認証機関の設立が進み,英国の標準化機関「UKAS」(the United Kingdom Accreditation Service)を中心にした組織化も始まっている。今回,富士ゼロックスを認証したJACOもこうした認証制度の具体化の動きに乗ったものだ。
もっともJACOはまだ,UKASから審査・認証登録機関としての正式な認定を受けていない。同社は,今春に正式認定を受けると同時に,認証のための新会社を設立する予定。富士ゼロックスが取得した認証も,UKASがJACOを正式認定した時点で正式な認証となる。
情報セキュリティの国際標準基準は,通信機器について定めたISO/IEC15408や,運用ガイドラインの大枠を定めたISO/IEC13355(GMITS)など整備が進んできた。今後は日本でも,こうした客観的な基準を情報セキュリティのアピールに利用する企業が増えてきそうだ。
