ISMSとは何が違うのか？

我が国では、セキュリティというとISMSということで、ISO27001の認証を受けるということが必須要件になりつつあります。ISMSはあくまでも自己責任を前提にセキュリティを向上させるために、組織をあげて継続的にリスクマネジメントを行うことをコミットしているのですが、それでは認証を受けているところが高度なセキュリティ環境を維持できているという証にはなりません。極論を言うと、リスクマネジメントというのは、そのリスクを受け入れるということも含まれますので、リスクマネジメントができているという認証を受けるだけでは、客観的にも十分なセキュリティが確保されているということにはなりません。そのため、具体的な実装レベルでの要求を明らかにすることは、非常に重要になってくるわけです。

先程申し上げた通り、ISMSは自己責任を基本としている一方で、「PCIDSS」は契約上の要求事項と定義されているため、非常に強制力のある形でセキュリティ強化に取り組んでいかなければなりません。この考え方は、クレジットカード会社だけに限らず、一般企業にも十二分に通用するものです。

セキュリティに対する日米の違い

ISMSは自己責任だという表現をしたのですが、実は日本人は自己責任というものが非常に苦手です。J-SOXがいい例だと思いますが、コンサルタントやベンダーは盛んにはやし立てていくのですが、自己責任ということで、多くの企業が具体的に何をどこまでやればいいのかを悩んでいます。そのため、政府が示すガイドラインを渇望するわけです。そこがアメリカとの大きな文化の違いです。

アメリカでは、政府のガイドラインが発行される前に、自己規制を引こうというものが根底にあります。この「PCIDSS」は、アメリカ流の表現でいうと「セーフハーバー」の類です。政府が法律をつくる前に、業界団体でまず自主規制を行うのですが、そうすることで政府の介入を防ごうという考え方があります。
※「セーフハーバー」は、自主規制を順守することを企業が自己宣言するというもので、自己宣言した企業を米国商務省が認証し、企業名を「セーフハーバーリスト」に公示している。

日本では全く逆で、政府がガイドラインを作ればそれに従いますという風潮があります。「PCIDSS」に従うことで、ISMSの認証を取ったけれど、何をどこまでやればいいのか分からないという企業に対して、クレジットカード会社と同水準のセキュリティ対策を実装することができます。また、「PCIDSS」に従うことで、外部システム監査やセキュリティ監査を受けた時にも、クレジットカード会社並みのセキュリティ対策を実装していると説明することができます。このことは、株主をはじめとするステークホルダーにも、非常にわかりやすいというメリットもあります。このような観点からもクレジットカード関連会社以外にも、「PCIDSS」は広く普及するのではないかと考えています。

「PCIDSS」を活用したコンサルティングサービス

先の説明でお分かりいただけたと思いますが、当社は、クレジットカード番号を機密情報や顧客情報に置き換え、「PCIDSS」をそれらの機微な情報を保護するために実装すべきセキュリティ上の要求事項と捉えれば、「PCIDSS」は一般企業にも導入されるべき基準であると考えています。

そうした考えに基づいて当社では、セキュリティを強化するためのコンサルティングを行っています。当社のセキュリティコンサルティング・サービスには２つの大きな特長があります。

1つは、サプライチェーンにフォーカスしたリスク分析をやらせて頂きます。ISMSというのは、スコープが認証対象の組織に限定されているのですが、当社の場合は、お客様のビジネスモデルを鳥瞰した上で、一貫したセキュリティ水準を維持するためには、どうあるべきかということを、まずコンサルティングしていきます。

もう1つは、「PCIDSS」の要求事項と照らし合わせて、実装しているセキュリティ水準の評価を行います。つまり、「PCIDSS」がフォーカスしているクレジットカード番号を扱うデータセンターやインターネット上の商店を対象とした従来のISMSの認証取得コンサルティングに留まらないというのが、当社サービスの特徴だと考えています。実際に「PCIDSS」を元に、既に大手キャリア様で、ネットワークセキュリティの再設計を進めています。

現状、このような考え方でコンサルティング・サービスを展開している企業は、国内では当社以外に、見当たりません。また、当社ではコンサルティングだけではなく、「PCIDSS」に準拠した実装、構築までを行っており、「PCIDSS」の要求事項に適応した全ての製品ラインナップを用意しています。

是非RSA Conference Japan 2007にご来場頂き、当社「PCIDSS」ソリューションをテーマにしたカンファレンスと展示をご覧ください。

ネットワンシステムズRSA Conference Japan 2007 のご案内(終了しました)

－　次回は、RSA Conference Japan 2007で、ネットワンシステムズが行うカンファレンス内容についてご紹介します。