アウトソーサにおける情報セキュリティの実践

この記事のURLhttp://japan.internet.com/public/technology/20021225/1.html

(1)アウトソーシングと情報セキュリティ

行政機関のアウトソーシングに対するニーズは単なるコスト削減にとどまらず、ますます広範かつ複雑化してきており、行政機関のサービス課題を解決する戦略パートナーとしてのアウトソーサ選別が本格化してきている。一方、アウトソーシングに対する不安の最大要因として「セキュリティの不十分さ」(情報白書2001)が挙げられており、アウトソーサに対し情報セキュリティ管理のレベルが厳しく問われている。
日本ユニシス「アウトソーシング事業部」では、アウトソーシングの最重要項目に情報セキュリティ管理を位置付け、昨年10月1日、フルアウトソーシング事業を展開する企業として世界で初めて「BS7799」認証を取得、また本年5月28日に「ISMS適合性評価制度」の認証を取得した。この認証取得で得たノウハウに加えてアウトソ−シングに関する経験と技術を活用し新たなサービスを提供している。

(2)セキュリティ対策を短期間で実現する「ハイセキュリティ・アウトソーシング・サービス」

情報システムのセキュリティの確保には、セキュリティ対策を網羅的に、タイムリーに行うことが重要である。この為にはISMSを構築し、PDCA（Plan-Do-Check-Action）の管理のサイクルを回すことが最も有効な手段である。
日本ユニシスはセキュリティポリシーの策定や、リスク評価及び災害時におけるビジネス継続プラン（Business Continuity Plan：BCP）の策定に関するノウハウを持つKPMGビジネスアシュアランス株式会社と提携し、セキュリティポリシーやBCPの作成から、ISMSや災害時に備えたバックアップシステムの構築、更にはISMSの運用と維持管理、及びバックアップシステムの維持管理及び有事における、バックアップシステムへの切替、有事運用などのディザスタリカバリーまでの一貫したサービスを、アウトソーシングで提供している。
このサービスを導入したユーザは、ISMSに関する専門的な知識を必要とすることなく、従来の40%〜50%という短期間、低労力で国際標準である「BS7799」に基づくISMSの提供を受けることができる。さらにユーザにとって困難が予想される定着化と維持管理の部分をアウトソーシングで行うので、ユーザは、労力を掛けることなくPDCAサイクルを回すことができる。また、高度な専門技術が必要とされる有事におけるディザスタリカバリーも、アウトソーシングによるサービスで労せずに実現できる。

(3)情報セキュリティ技術の探求

かたわらアウトソーサとして、より安全・確実なセキュリティソリューションの整備を続けている。その一環として、高度化・複雑化するセキュリティサービスの技術的品質を「定義された、測定可能な、成熟したサービス技術領域」として確立するために、セキュリティ評価基準（ISO/IEC15408）やソフトウェアプロセス改善のための新たな規格（セキュリティCMM：ISO/IEC21827） への早期対応とサポート、サービスへの適用を視野に含めた情報セキュリティ技術の探求がある。
もはや「情報セキュリティ対策」は「外部の専門能力を有効に活用すること」と同等と見なしてよい時代へ突入しているのかも知れない。適切なアウトソーサを選択することが、行政機関（及び企業）の運営課題・経営課題達成に直結するようになってきているのだ。

津村 正彦 日本ユニシス株式会社 アウトソーシング事業部／事業推進室／シニアコンサルタント

提供：日本ユニシス