セキュリティ診断サービスをやってくれる診断事業者を選定する一つの方法として、経済産業省の情報セキュリティサービス基準適合サービスリスト(情報セキュリティサービス事業者台帳)を活用する方法があります。
情報セキュリティサービス審査登録制度
企業の情報セキュリティを強化するには、セキュリティ製品を導入するだけでは不十分で、セキュリティ診断のようなセキュリティサービスを利用することが重要となってきましたが、多くのサービス事業者が多種多様の情報セキュリティサービスを提供しているが由に、専門知識をもたないサービス利用企業がサービス事業者のサービス品質を判断して選定することはたいへん難しいことです。
そのため、経済産業省では情報セキュリティサービスについて一定の品質の維持向上が図られていることを第三者が客観的に判断し、その結果を台帳等でとりまとめて公開することで、サービス利用企業が調達時に参照できるような仕組みを提供しています。 これが情報セキュリティサービス審査登録制度です。
この制度では、情報セキュリティサービスに求められる技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準を設けることで、情報セキュリティサービス事業者の普及を促進し、サービス利用企業が安心してサービス提供を受けることができることを目的としています。
どのような情報セキュリティサービスが対象なのか
情報セキュリティサービス審査登録制度で定義されている情報セキュリティサービスは以下の4領域です。
各領域について簡単に説明します。(*1)
脆弱性診断サービス
システムやソフトウェア等を調査し、セキュリティホールや様々なセキュリティリスクを洗い出すサービスです。
前回のコラムでも詳しく書きましたのでそちらを参照ください。
情報セキュリティ監査サービス
情報セキュリティ対策の正義状況および運用状況を、独立かつ専門知識をもった者が検証または評価し、保証や助言を行うサービスです。 セキュリティ監査については別の機会にコラムで詳しく説明する予定です。
デジタルフォレンジックサービス
不正アクセスや情報漏洩などのインシデントが発生した際に、原因究明やサイバー犯罪捜査に必要な機器やデータ、電子的記録を収集・分析するサービスです。
セキュリティ監視・運用サービス
システムやソフトウェア等について、サイバー攻撃や不正アクセスをお客様にかわって監視するサービスです。
(*1)詳しくは経済産業省が作成したユーザ企業向けリーフレットをご参照ください。
情報セキュリティサービス事業者台帳
情報セキュリティサービス審査登録制度により厳しい基準をクリアした情報セキュリティサービスは、一般公開されていますので読者の皆様もインターネットで参照することができます。
情報セキュリティサービス基準審査登録制度のホームページに情報セキュリティサービス事業者台帳のボタンがありますので、そちらから該当サービスを検索することができます。
この情報の中から品質の担保されたセキュリティ診断(脆弱性診断)サービスをお選びいただくことをお勧めします。