法律の勉強は人並み以上にやっているつもりでも、そこから少し外れるとボロがでる。法務パーソンにとって、情報セキュリティの分野はそういう穴が生まれがちなトコロではないでしょうか(言い訳)。しかし、弁護士とは違う私たちは、そういった“外縁”も含めたサービスでお客様から対価を頂きご飯をおいしく頂いている限り、「専門外」と逃げるわけにはいきません。

ということで、ソニー事件を教訓に情報セキュリティについてのお勉強を。


情報セキュリティの実装保証とマネジメント情報セキュリティの実装保証とマネジメント
著者:瀬戸 洋一
販売元:日本工業出版
(2009-04)
販売元:Amazon.co.jp



情報セキュリティという広大なテーマについての理解を、プライバシーマークやISMSのレベルからもう一歩深めるのに丁度良さそうということで、遙か昔に買ったこの本。ソニー事件についての先日のエントリをアップした後、セキュリティの技術要求水準を客観的に評価・ランクする基準って、どこかで見たことあるような・・・と蔵書を漁っていたら、この本にそれが書いてありました。

情報セキュリティマネジメントシステム(ISMS)はセキュリティ確保のための、人的側面も含めた運用管理面からのアプローチ、仕組みであると言える。一方、組織の情報セキュリティ実現のためには、今や組織における業務遂行の基盤となっている情報システムにおけるセキュリティ対策の実現も重要な要素である。
ISMSへの要求事項を規定した国際標準がISO/IEC27001であるが、技術面でのセキュリティ対策が適切に設計され実装されていることを評価、認証するための国際標準としてISO/IEC15408がある。


s-IMG_4409


プライバシーマークやISMSは、運用管理面での(しかもかなり形式的な)評価でとどまっているにもかかわらず、これらの認証をもっている事業者は情報セキュリティに関してはほぼ信頼できる、というような世間一般からの評価を得られていたと思います。しかしそんな時代もこれまで。今般のソニー事件の発生によって、個人情報を扱う企業は、“情報システムのセキュリティ機能の設計・実装”がどの程度のレベルなのかという技術的な分野についても、より細かく・シビアに説明責任が求められるようになっていくことでしょう。

その意味で、この国際標準ISO/IEC15408は、先日のエントリで問題提起した
大規模個人情報データベースへの不正アクセスという脅威に対し、果たして技術的に何をどこまで施せば「合理的な安全管理措置」をとっていたと言えるのか?
の問いに、ヒントを与えてくれそうな気がします。
 
参考:
評価認証制度(JISEC)概要(独立行政法人情報処理推進機構)