適切なセキュリティ・ポリシーを作成して,きちんと運用できているかを第三者に審査してもらう「情報セキュリティ管理の認証」を取得する企業が現れ始めた。認証を取得することで,自社のセキュリティ管理が適切であることを確認できるとともに,顧客や取引相手に対してセキュリティ・レベルが示せる。

 セキュリティ・レベルは定量化することが難しい。そのため,「セキュリティ・ポリシーを作成して運用を開始したが,ポリシーや運用体制が“妥当”かどうかが分からない」,「自社のセキュリティに関する取り組みを顧客や取引先に示したい。しかし,説明してもなかなか分かってもらえない」――といった問題が付きまとう。これらを解消するための手助けとなる制度が,「情報セキュリティ管理(マネージメント)認証制度」である(表1)。

 2001年後半,情報セキュリティ管理認証である「BS7799」や日本情報処理開発協会(JIPDEC)による「ISMS認証」を取得する国内企業が登場し始めた(表2)。

 誤解してはならないのは,認証制度はセキュリティ・レベルを向上させる直接的な手段ではない,ということだ。セキュリティ・ホールのチェック・サービスやコンサルティングとは根本的に異なる。コンサルティングなどは,現状の不備を指摘してもらって,セキュリティの強化に役立てるものである。それに対して,認証制度は現状が適切かどうかを第三者に評価してもらうための制度であり,ポリシーの作成や運用,必要なセキュリティ対策を既に施していることが前提となる。

 認証の審査対象は幅広い。オフィスへのアクセス制限や建物の強度をはじめとする,物理的なセキュリティが対象になることはもちろん,「社内の文書が,その重要度に応じてきちんと管理されているか」,「コンピュータのパスワードは適切に設定されているか」,「ウイルス対策を適切に施しているか」,「データのバックアップを取っているか」など,セキュリティに関するすべての事項が対象となる。認証を取得するためのポイントは,セキュリティ対策を日々実施していく体制(システム)ができているかどうかである。

認証の名称 認証機関(審査登録機関) 認定機関 認証の取得対象者 参考資料
BS7799 英BSI,英KPMG Cert-tificate Servicesなど*1 UKAS *2 など すべての
事業者		 「(BS7799 )Information Security Management 」*3
ISMS パイロット認証*4 日本品質保証機構,日本検査キューエイ,KPMG審査登録機構 日本情報処理開発協会(JIPDEC) 情報処理
サービス
事業者		 「ISMS ガイドVer.0.8 」*5
表1●国内で取得可能な情報セキュリティ管理に関する認証
*1:日本では,BSIジャパンおよびKPMG審査登録機構を通して,それぞれBSI,KPMG Certificate Servicesの認証を取得できる
*2:United Kingdom Accreditation Serviceの略。英国の認定機関
*3:日本規格協会(http://www.jsa.or.jp/)が英和対訳版を販売。Part1が4万円,Part2が1万1000円
*4:現在はパイロット期間で,2002年4月から正式な認証制度を開始する予定
*5:URLは,http://isms.jipdec.or.jp/pr/20011101-2.html
認証名 企業名 認証を取得した部門,範囲 取得した部門,
範囲の業務内容		 認証の対象となる従業員数 取得日
BS7799 DNPファシリティサービス 総務部や経理部,システム部など オフィスや福利厚生施設の管理や旅行代理業など およそ100人 2001年9月
NTTデータ ITセキュリティ推進センター 社内および社外へのセキュリティ・サービスの提供 およそ100人 2001年9月
ミツエーリンクス 全社 Webコンテンツの作成およびシステムの構築 およそ100人 2001年9月
日本ユニシス ハイ・セキュリティ・アウトソーシング・サービス アウトソーシング事業 25人 2001年10月
ISMSパイロット認証 NRIデータサービス I-STARサービス アウトソーシング事業 40人 2001年11月
表2●情報セキュリティ管理認証を取得した企業の例

コストはかかるが意義は十分

図1●認証を取得する意義
既に認証を取得した企業の多くは,社内のセキュリティを客観的に評価してもらうことを主な目的に挙げる。情報セキュリティ管理の認証制度は,まだ広く知られていないため,対外的な意義はそれほど大きくないのが現状である

 ベンダー,ユーザーを問わず,すべての企業にとって,認証取得は自社のセキュリティ・レベルを確認するために役立つ(図1[拡大表示])。

 実際,認証を取得した企業のほとんどが,その意義として,「自社のセキュリティ・ポリシーがきちんと守られているかどうかを第三者に審査してもらえる」(ミツエーリンクス 代表取締役 高橋仁氏)ことを挙げている。

 セキュリティ・レベルの向上を検討しているユーザー企業にとっては良い目標になるだろう。「セキュリティ対策にはきりがなく,どこまでやればよいのか分からないという声をよく聞く。そのような企業にとっては有用な目安だ」(NTTデータ インフォブリオ ・セキュリティコンサルティング 代表取締役社長 高橋洋介氏)。

 また,セキュリティ対策への投資を引き出す“きっかけ”にもなる。「単に『セキュリティを高めたい』という名目では,経営陣を説得することは難しい。認証を取得できるとなれば,必要な費用を支払うだろうし,セキュリティにお金がかかることも理解されるはずだ」(ラック 常務取締役 コンピュータセキュリティ研究所所長 三輪信雄氏)。

 さらにベンダーにとっては,自社製品やサービスを差別化するための“武器”になる。日本ユニシス アウトソーシング事業部 市場開発室 シニアコンサルタント 津村正彦氏は,「認証を取得することで,自社サービスのセキュリティは大丈夫だということをアピールしたかった」と語る。ユーザー企業にとっては,ベンダーを選択する際の指標になり得る。

 審査に必要な費用は,認証の対象となる企業や事業部,サービスの規模や内容によって異なる。料金は,審査に必要な工数によって決まるからだ。

 BS7799を取得した4社によると,いずれも200万円から300万円かかったという。ISMS認証については,「対象が200人規模の場合,標準的な工数は9人日としており,費用はおよそ200万円から300万円」(JIPDEC 情報セキュリティ対策室 ISMS事務局 事務局長 高取敏夫氏)。

 これを安いと見るか高いと見るかはそれぞれだが,取得した企業はいずれも満足している。「認証取得のプロセスを踏むことで,全社的にセキュリティ意識は高まった。『研修費用』と考えれば,十分見合う金額だ」(DNPファシリティサービス 取締役社長 大月弘行氏)。

(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro)