効果的なセキュリティ対策は自社製品の品質要求の把握から【第4回】

　多種多様なセキュリティガイドラインや、それに添うセキュリティ機器やセキュリティソフトウェアが多数、開発され製品として販売されている。それぞれがセキュリティを強化したい利用者にとっては有効なコンテンツだ。

　だが、果たして読者の皆様は、これらのセキュリティガイドラインやセキュリティ製品の中から、自社の方針や目的に合わせたものを適切に選択できているだろうか。選択肢が多すぎて、どれを選び活用すれば良いのかで悩んでいる方も少なくないはずだ。そうした場合は以下の観点から選択すればよい。

観点1 ：公開されているセキュリティガイドラインは、何を目的に作成されており、それは自社の目的に合致しているのか
観点2 ：セキュリティ機器／ソフトウェアは、価格の高低だけでなく、何を目的に、どのような保護・検証ができるのか。それは自社の目的に合致しているのか

“適切で効果の高い”セキュリティは事業会社各社で異なる

　セキュリティ効果という意味では、各種のセキュリティガイドラインやセキュリティ製品に大差はない。それぞれがセキュリティに対する視点は異なるものの、セキュリティ対策として何らかの有益な効果を与えてくれる。

　しかし「“適切で効果の高い”セキュリティガイドラインやセキュリティ製品とは何か」を問えば、その答は利用各社によって異なるだろう。各社の顧客ニーズ、すなわち「品質要求事項」に合致しなければならないからだ。

　例えば、あるセキュリティガイドラインが指示する内容であっても、顧客ニーズに合わなければ実施すべきではない。逆に指示がなくても顧客ニーズを法令化したPL法（製造物責任法）のような要求事項には対応しなくてはならない。従って、自社に適したセキュリティガイドラインやセキュリティ製品の選択ではまず、自社が果たすべき品質要求事項を認識することが重要である。

　自社の品質要求事項に関係なく、「他社が利用しているから」を理由に、十分に検討しないままに他社のやり方を真似る“信仰”にも似た選択をしては、自社が求める品質とセキュリティに乖離（かいり）が生じてしまう。結果、十分な効果が得られず無駄なコストも発生することになる（図1）。

図1：セキュリティガイドラインやセキュリティ製品は“信仰”の対象ではなく活用するもの

　セキュリティガイドラインを例に考えてみよう。NIST（National Institute of Standards and Technology：米国立標準技術研究所）のガイドラインは北米市場向けに適しており、Webで無料公開されており取り組みやすい。

　一方、ISO（International Organization for Standardization：国際標準化機構）やIEC（International Electrotechnical Commission：国際電気標準会議）のガイドラインはグローバル市場向けに適しており、公的認証などのサービスが提供されていることが多く第三者証明にも対応できる。

　また総務省や経済産業省、IPA（Information-technology Promotion Agency：情報処理推進機構）のガイドラインは国内市場向けに適しており、日本語で記述されWebで無料公開されていることから、海外のガイドラインより取り組みやすい。

　これらのガイドラインがある中、例えば第三者証明を欧州やアジアの市場に示さなければならない場合、NISTに沿っていくら対応しても、その施策は無駄なコストになってしまう。また極力低コストかつ日本国内のみの製品展開であれば、NISTやISO、IECのガイドラインに沿うまでのコストをかける必要はない。