|
 | 2004/1/6 |  |
日本パープルはISMS適合性評価制度とBS7799-2:2002のダブル認証を取得しましたが、1997年のISO14001取得当時から、セキュリティ対策の評価制度が無いものかと考えていたことは先月号でもお伝えした通りです。2001年初頭にその評価制度が英国から発信されたと聞き、すぐさま取り組み始めたにも関わらず、取得まで2年半もの歳月を費やしてしまった要因はなんだったのでしょう?
一つは、規格の求める内容が情報ネットワーク、つまりIT関連のセキュリティ対策を主体にしていたことです。
これはISMS適合性評価制度が「安対制度(情報処理サービス業情報システム安全対策実施事業所認定制度)」という旧通商産業省(現経済産業省)の制度の延長線上に創設されたものでもあり、創設時は情報処理業者のみがその認証対象範囲という解釈があったためです。
これを日本パープルの業務にどのように置き換えて判断すればよいのかという点が、認証機関にとってもかなり難しい作業だったようで、認証の取得が可能か否かという次元で難航するといった事態にもなりました。
しかし認証機関を当初予定していた先から日本情報セキュリティ認証機構(JACO-IS)に変更することにより、その後は順調に推移することとなります。これは決して手心を加えてもらったという事ではなく、JACO-ISの母体である日本環境認証機構(JACO)が、日本パープルの顧客であり、業務の特質をよく理解されていることから、IT関連セキュリティが主体である規格の要求事項を、同社に置き換え、的確な判断と判定を下して頂けたからで、2年の遅れを挽回する上でも非常に幸運なことであったと考えています。
|
二つ目は、社員が犯行を企てても未然に防ぐ「性悪説」に添った対策への取り組みが必要だったからです。
日本パープルの社員がお客様からデータをお預かりする場合、保護(まもる)くんデータプロテクターに封緘された状態で回収、搬送するスタイルが主流になっていますが、保存文書に代表される「段ボール」に箱詰めされただけの状態で回収するケースも数多く残されていました。実はこれが集荷途中に文書を抜き取ることが可能な回収作業という、「性悪説」上のセキュリティホールとして、改善すべき大きな項目として浮上することになります。
厳しい規定の下で教育を受け、機密保持適格審査というハードルをクリアした社員が取り扱うことで、すでにユーザーからは厚い信頼を受けており、今のままで充分だという声が多数ある一方、今後の事業展開をも左右しかねない大きな路線変更をせまられる事態に、議論を含め検討にはかなりの時間を要しましたが、最終的に経営トップが下した判断は「全ての回収をデータプロテクターにて執り行う」というものでした。
その後プロジェクトを組み、運用開始まで各種準備と顧客への主旨ご理解の通知も含め、体制が整うまでにはかなりの時間を要することとなったのです。
「性悪説」という考え方に正面から向き合うことは、これまで社員教育の徹底を計り、意識レベルを誉れとしてきた経緯を振り返ると、社内の反発も予想されるところで、最大のハードルであると言えます。ここをどう考え、如何に取り組んだかについては次号にて詳しくお伝えしたいと思います。
|
結城 寛
潟Zキュリティクリニック 所長
鞄本パープル
SEマネジメント開発室 マネージャー |
 |
 |
|
|
