アウトソーサにとっての情報セキュリティ標準

(1)　セキュリティ対策は行政機関における政策課題

昨今のインターネットの爆発的な普及に相応してウィルスやワームの急激な増加、また日常的な種々のサイバー攻撃等々、これらに対応するセキュリティ対策は行政機関にとって最重要にランクされる政策課題であるといっても過言ではない。

情報システムのセキュリティ確保には、｢脅威の発生を未然に防ぐ、あるいは最小限に抑える｣、及び｢実際にシステム障害などの問題が生じた際に迅速な対応及びシステム復旧を行う｣という2 点が重要である。このためにはセキュリティ対策を網羅的に、タイムリーに行うことが必要であり、事実上の国際標準となっている「BS7799」、または国内標準「情報セキュリティ管理適合性評価制度」 で定められている情報セキュリティ管理システム（Information Security Management System：ISMS）を構築し、PDCA（Plan-Do- Check- Actionの管理サイクル）を回すことが最も有効な手段である。

しかし、このISMS の構築と、構築したISMS を定着させて維持管理し、PDCA を回すまでには、情報セキュリティに関する高度な専門技術の涵養をはじめとして、多くの時間と労力がかかる。一般的にISMS の構築だけで1 年、状況によっては2 年以上もかかるため、ISMS が実現できず、情報システムのセキュリティ確保が不十分になっている場合が見うけられる。ここに、情報セキュリティを運営するという業務そのものも、信頼できるアウトソーサがあればアウトソーシングしてしまいたいというニーズが発生する。

(2)　情報セキュリティの国際標準「BS7799」と国内標準「ISMS適合性評価制度」

国際標準化動向としては、情報セキュリティ管理・運用に関する実践規範、またはガイドラインとして「BS7799」と「GMITS(Guidelines for the Management for IT Security：ISO/IEC TR 13335)」が注目されている。この中で「BS7799」は、すでに規格に基づく認証制度が確立されており、欧米では情報セキュリティ管理の規格として広く認知されている。BS7799の規格は2部で構成されており、第1部は「情報セキュリティ・マネジメント・システム(ISMS)の実施基準」、第2部は「情報セキュリティ・マネジメント・システムの仕様(認証システムを含む)」について記載されている。このうち第1部は、2000年、国際標準化機構ISOと国際電気標準会議IECより、ISO化(ISO/IEC17799)され、国際標準となった。第2部は2003年末を目指して、ISO化進行中である。

国内では、経済産業省が公表した情報セキュリティ管理に関する国際標準の導入に基づき、財団法人日本情報処理開発協会（JIPDEC）が平成14年4月から本格運用を始めた、情報セキュリティ管理に関する適合性評価制度「ISMS適合性評価制度」がある。この制度は、平成13年3月をもって廃止された「情報処理サービス業情報システム安全対策実施事業所認定制度(安対制度)」に代る民間ベースの第三者認証制度として位置付けられている。

なお、2002年には情報システムの開発過程と製品のセキュリティレベルを保証するセキュリティ評価基準ISO/IEC15408をすべての行政関連機関の物品及び役務調達における必須仕様とする指導がなされ、紆余曲折はあるが、既に一部機関での実施がはじまっている。

アウトソーサがセキュリティサービスを事業として行うとき、コンサルティングからカスタマイズ、日常的な運用サービスなどの網羅性に加えて、こうした国際的規格へ素早く対応できる能力も問われることになる。

（参考：次世代アウトソーシングサービス「情報セキュリティへの取り組み」ページ → http://www.unisys.co.jp/outsourcing/security.html もご参照下さい。）

津村　正彦 日本ユニシス株式会社 アウトソーシング事業部／事業推進室 シニアコンサルタント

提供：日本ユニシス