活用したい企業は少ない
経産省の期待に反して、今回のガイドをセキュリティ管理や内部監査の仕組みに活用できる一般企業は多くない。このガイドは、そのまま使えるという便利なものではなく、活用したいと思う企業に、それなりのセキュリティ管理能力と努力を要求するからだ。確かにBS7799などに基づいたセキュリティ監査の仕組みを作る際、何もないよりは雛型(ひながた)として使えるガイドがあったほうがよい。しかし、実際に自社に合った管理項目やポリシーに落とし込むところが、やはり難しいままなのである。
例えば、「(情報の)各分類について、言葉による伝達に適用する取り扱い手順を定めること」という項目がある。この内容を理解するためのセキュリティ管理に関する基礎知識と、「取り扱い手順」を定める努力がなければ、自社向けには落とし込めない。「重要と分類される情報を含むシステム出力には、適切な分類ラベルを(出力に)付けること」に対しては、「重要と分類される情報」はどのレベルのものを指し、「適切な分類ラベル」は具体的にどのようなものにすべきなのか。これらを自らの業務や保持する情報に合わせて決めていく作業が必要だ。
あるセキュリティ・ベンダーは、「結局、内部監査を実施しようとする一般企業の多くは、この制度だけでは実質的な監査ができないことがすぐにわかる。そうなれば我々にセキュリティ管理や監査の仕組み作りを頼んでくる」と言う。台帳ができれば受注が増えるのではないかという問いに、あるセキュリティ・ベンダーの社長は、「確かに、経産省の“お墨付き”で、一般企業にセキュリティ監査を提案できるのは喜ばしい」と答える。そのため、「セキュリティ・ベンダーが利益を得るための制度といわれても仕方がない」という批判すら出てくる。
では、セキュリティ・ベンダーが手放しで喜んでいるかというと、そうではない。「だれでも登録できるので、きちんとした監査能力を持たない安易な考えのベンダーが出てくると、業界全体の信用度が落ちる」ことになりかねないからだ。また、政府が進めているので大きな声は出てこないが、ガイドの実用性についても否定的だ。今回話を聞いた約10社のベンダーは一様に、「これまで自社で進めてきた監査の範囲を超えないので、参考にする必要はない」という。
せめてセキュリティ・レベルの指標を定めてくれれば、情報セキュリティ監査制度は利用される、という声は多い。統一指標があれば、自分たちが他の企業と比較してどの程度のセキュリティが保てているのか、どの部分が弱いのかが判断できる。それはそのまま、企業のセキュリティ改善活動に役立つからである。しかし現状では、セキュリティ・レベルの定義や設定、ベンチマークの指標やデータの収集が個々のセキュリティ・ベンダーに任せられている。経産省が今後、この作業を行う予定はない。
