株式会社アイ・エス・レーティング 代表取締役常務
関 昭男 氏

弊社主催フェアでのご講演より抜粋
構成・文:X-Direct事務局

2008年5月、日本に世界初の情報セキュリティ格付け会社である株式会社アイ・エス・レーティングが誕生しました。政府が掲げる情報セキュリティガバナンス向上を民間から推進するこの事業は、高度情報化社会にどのような影響をもたらすのでしょうか。同社の代表取締役常務である関氏のお話から、情報セキュリティ格付けの意義とメリットを探ります。

	情報セキュリティをめぐる政府の施策
	民間主導の「情報セキュリティ格付け制度研究会」の活動
	世界初の情報セキュリティ格付け会社の誕生
	情報セキュリティ格付けの仕組み

情報セキュリティをめぐる政府の施策

高度情報化社会のいま、一企業が引き起こした情報セキュリティ事故によるトラブルが、社会・経済全体に波及する危険性が大きくなっています。そうした流れを受け、経済産業省では2004年9月から「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し、企業における情報セキュリティを抜本的に強化するための検討を進めてきました。そして、2005年3月には同研究会での検討結果をまとめた報告書を発表しています。

報告書は、企業における情報セキュリティ強化のために「情報セキュリティガバナンス」という新しい概念を示し、その定義を「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」としています。そして、現代社会においては、情報セキュリティガバナンスを確立・実装することが企業全体に求められていると分析しています。

企業における情報セキュリティガバナンス確立を促進するためのツールとして次の3つの施策を掲げました。

1. 情報セキュリティ対策ベンチマーク
2. 情報セキュリティ報告書モデル
3. 事業継続計画策定ガイドライン

「情報セキュリティ対策ベンチマーク」とは組織の情報セキュリティマネジメントシステムの実施状況を自己診断するツールで、2005年8月からIPA(独立行政法人 情報処理推進機構)のホームページで提供されています。
「情報セキュリティ報告書モデル」とは、企業が情報セキュリティへの取り組み状況を開示する際、顧客や投資家などのステークホルダーから適正な評価を得るために重要な項目の漏れや内容の深度に大きな差が生じないよう、報告項目や記載レベルについてのモデルを提示したものです。
「事業継続計画策定ガイドライン」は、IT事故が起きた場合でも事業運営を継続的に維持するための事業継続計画について、その策定手順や検討項目、事例などを紹介しています。

これら施策は、情報セキュリティマネジメントの世界基準である「ISO/IEC27001(ISMS)認証」や、2003年から開始された「情報セキュリティ監査制度」などの入口として連携させていくという方針も発表されました。また、情報セキュリティガバナンスを企業に普及させる方策として、「情報セキュリティ格付け」「政府調達への活用」「損害保険との連携」などを提示しています。

民間主導の「情報セキュリティ格付け制度研究会」の活動

こうした流れを受け、民間が動きはじめたのは2006年のことです。格付投資情報センターとNTTコミュニケーションズが中心となり、富士ゼロックスを含む計6社で情報セキュリティ格付けの試行が行なわれました。そして、この試行を経て、格付投資情報センターとNTTコミュニケーションズ、富士ゼロックス、松下電器を中心とした計11社で「情報セキュリティ格付け制度研究会」を発足したのが2007年7月18日のことです。

「2005年4月の個人情報保護法の施行により、情報セキュリティ対策に取り組む企業などの組織が増える中で、従来の情報セキュリティ認証などに加え、さらなる情報セキュリティガバナンスの進展に資する」ことが研究会設立の目的でした。そして、この目的に基づいて参加企業から情報セキュリティの専門家が集まり、研究がはじまったのです。その顔ぶれは、情報セキュリティ分野のトップクラスの人たちが一堂に会したと言ってもよく、専門家たちは4つのワーキングチームに分かれ、評価基準の確立や格付けの提供形態などの検討をつづけました。

研究会では、情報セキュリティ格付け制度が社会に普及することで「非効率の解消とコストの削減」が図れると考えました。現状では、発注者が仕入先・委託先と取り引きを開始する場合、発注者がそれぞれの仕入先・委託先に対して個別に情報セキュリティ調査を行なっています。仕入先・委託先の立場からはさまざまな発注者からのセキュリティ調査にその都度対応しなければならないわけです。これは非常に非効率ですし、調査・監査にかかるコストも膨大です。しかし、共通のクライテリア(評価基準)で仕入先・委託先が情報セキュリティ格付けを取得し、発注者はその格付けを閲覧するという仕組みが普及すれば、調査・監査にかかる膨大な手間とコストの削減が可能となるだけではなく、社会コストの低減にもつながるはずです(図1)。

図1:情報セキュリティ格付け制度への期待

また、情報セキュリティ格付けを取得した企業には、自社の情報セキュリティ・レベルの高さをアピールできる、ステークホルダーへの説明責任を果たすことができるなど、対外的にも社内的にも大きなメリットがあると考えられます(図2)。

図2:情報セキュリティ格付けへの期待

このように、情報セキュリティ格付け制度の普及は企業にとっても社会全体にとっても極めて有益なことといえるのです。

世界初の情報セキュリティ格付け会社の誕生

多数の企業や政府の期待を受け、2008年5月2日、世界初の情報セキュリティ格付け会社が誕生しました。それが、株式会社アイ・エス・レーティングです。「情報セキュリティ格付け制度研究会」発足から約1年後のことでした。

アイ・エス・レーティングの発起人・株主は30社(6月26日現在)。格付投資情報センター、富士ゼロックス、松下電器、野村総合研究所、富士通、ソニー、三井物産、三菱商事など、日本を代表する企業が名を連ねています。中には、株主同士が競合関係にある企業も多くあります。また、ドイツの製品検査機関であるテュフ・ラインランドの日本法人、アメリカのThe Goldman Sachs Group,Inc.といった外資系企業も株主になっています。

これだけの企業を発起人・株主としているのには理由があります。それは、情報セキュリティ格付け制度の中立性を確保するためです。格付けは中立機関が評価することに意味があります。大株主の意向が格付けに影響を及ぼすということでは、情報セキュリティ格付け制度そのものが死んでしまいます。民間主導で、しかも中立性を確保するとしたら、できるだけ多数の企業に株主になってもらうのが最良と考えたわけです。

また、私たちアイ・エス・レーティングの内部でも厳しい規範を設け、中立性確保に努めています。図3のように、会社には格付審査部や調査研究部、マーケティング部、企画部がありますが、これらとは独立した形で格付委員会を設置しているのです。これは格付符号の中立性を保つためで、格付委員会が出した符号については社長であっても異議を唱えることはできません。

図3:アイ・エス・レーティングの組織体制

アイ・エス・レーティング設立によって、日本に世界初の情報セキュリティ格付け会社が誕生したわけですが、世界の情報セキュリティ格付けを1社が独占するというのは健全ではありません。できうるならば、日本に1社、アメリカに1社、そしてヨーロッパに1社というような形で情報セキュリティ格付け会社が誕生してほしい。そして、互いに切磋琢磨しあう状況になることがいちばんよいと考えています。

情報セキュリティ格付けの仕組みとは

私たちアイ・エス・レーティングがご提供するサービスは次の3つです(図4)。

1. 自己診断カルテ
2. インディケーション評価
3. 格付審査

図4:3つのサービス

「自己診断カルテ」は、職場の情報セキュリティの現状をウェブ画面から自分で入力するとセキュリティ・レベルの点数が分かるというサービスです。また、私たちとしては企業の回答を蓄積・分析し、総体的な情報セキュリティ・レベルの水準や傾向を割り出すことによって、情報セキュリティガバナンスの推進に役立てたいと考えています。ただ、このサービスは前述したIPAの情報セキュリティ対策ベンチマークに似たところがありますので、最終的にどういう仕組みにするかを現在検討しているところです。

「インディケーション評価」は、格付審査項目のいくつかを使って企業の情報セキュリティマネジメントを審査し、セキュリティ・レベルを5段階で評価するというものです。例えるなら、TOEIC^® に似ているかもしれません。アメリカの大学院に留学したいと考えている人が自分の英語力を事前に知るためにTOEIC^® を受け、その点数が高ければ留学にチャレンジする。逆に、点数が低ければ1年勉強してから再度チャレンジする。TOEIC^® はそういった指標として活用されていますが、インディケーション評価もまた格付審査を受けるための指標として活用していただきたいと考えています。

最後の「格付審査」は、これまでお話ししてきた情報セキュリティ格付けです。企業の情報セキュリティ・レベルを「マネジメントの成熟度」「管理策の強度」「コンプライアンスへの取り組み状況」の3つの視点で定量評価し、その結果を16段階(AAA〜B)の格付符号でランク付けします(図5)。

図5:格付定義
(クリックすると拡大して表示します)

「格付審査」の評価手順はステップ1、ステップ2、ステップ3に分かれています。
ステップ1では、企業の情報セキュリティを統括する統制部門を対象に、基本的な情報セキュリティ管理体制が構築されているかどうかを確認します。つまり、情報セキュリティ管理の設計図がきちんと描かれているかを確認するわけです。
情報セキュリティ管理の設計図がすばらしくても、それが現場できちんと運用されていなければ意味がありません。そこでステップ2では、非統制部門を対象に、現場で情報セキュリティ管理が正しく実装・運用されているかを確認します。
ステップ3では、企業継続性に多大な影響を与えるような重要情報を取り扱っている部門をピンポイントで評価します。このステップ3では管理策の強度を徹底的に評価するわけです(図6)。

図6:格付けの評価手順

7月から営業を開始したばかりで、実際に格付符号を出した実績はまだありませんが(7月23日現在)、ぜひ格付審査を受けたいというお客様からお話をいただくようになりました。
世界初の情報セキュリティ格付け会社はスタートを切ったばかりですが、来年にはより高度なセキュリティ・レベルが要求される業種へも適応できる体制を整えたいと考えています。また将来的には、組織の記録管理や情報活用、食品などの実物に対する格付けなど、事業範囲を拡張していきたいと考えています。