コラム
第三者評価・認証制度の活用実績
経済産業省が推進している情報セキュリティ政策のひとつに企業における情報セキュリティ報告書の開示があります。同省によれば、“情報セキュリティ報告書は、企業の情報セキュリティの取組みの中でも社会的関心の高いものについて情報開示することにより、企業の取組みが顧客や投資家などのステークホルダーから適正に評価されることを目指すものです”(引用:経済産業省「情報セキュリティガバナンスとは」)。これを受けて各企業では毎年情報セキュリティ報告書を開示しています。
同省が作成した「情報セキュリティ報告書モデル」では情報セキュリティ報告書の基本構成を提示しており、各企業はこのうち必要な項目を選択して記載することになります。基本構成には、経営者の情報セキュリティに関する考え方、情報セキュリティガバナンスなどの他に「第三者評価・認証等」という項目があります。この項目は主にISMS適合評価制度やプライバシーマーク制度などの第三者評価制度による認証取得例を記述するものですが、ITセキュリティセンターが評価機関/試験機関となっているITセキュリティ評価及び認証制度(JISEC)や暗号モジュール試験及び認証制度(JCMVP)の認証実績も含まれますので、各企業におけるJISECやJCMVPの活用実績を知ることができます。
各企業の情報セキュリティ報告書を見るとJISECやJCMVPの認証実績を記述している例が多く見られます。それだけではなく、これらの制度を活用することによって製品共通の開発プロセスを確立することができ、他の製品においても同等のセキュリティ水準を確保できることを強調している例もあります。また、JISECの認証を取得することによってそのメーカーが開発から、製造、配送、設置までのプロセスを含むセキュアな体制を有していることを強調している例もあります。
サイト検索ツールで「情報セキュリティ報告書」を検索すると多くの報告書を見ることができますが、これらのうちJISECやJCMVPについて記載している報告書のうちいくつかを以下に示します(以下の報告書の選択と順番は任意です。B社以下は参考図を省略します。)。
図1 JISEC認証活用の例(引用:A社「情報セキュリティ報告書 第三者評価・認証制度の活用/製品のセキュリティ(pdfファイル)」
≪その他の情報セキュリティ報告書の例≫
- (B社「情報セキュリティ報告書 第三者評価・認証制度の活用(pdfファイル)」)
- (C社「情報セキュリティ報告書 第三者評価・認証制度の活用/複合機に保存されている機密情報の漏えい対策(pdfファイル)」)
- (D社「情報セキュリティ報告書 第三者評価・認証制度の活用/ISO/IEC15408の認証取得状況(pdfファイル)」)
- (E社「情報セキュリティ報告書 第三者評価・認証制度の活用/ITセキュリティ評価認証の取得状況(pdfファイル)」)
- (F社「情報セキュリティ報告書 第三者評価・認証制度の活用/ISO/IEC15408による評価・認証の実例(pdfファイル)」)
≪関連サイト≫