「情報セキュリティサービス審査登録制度」とは
経済産業省により策定される制度で、情報セキュリティサービスに関する技術要件と品質管理要件を示し、サービスの品質維持・向上を目的としています 。
本稿では、中小企業がこの制度を利用するための留意点などをまとめています。
詳細は経済産業省「情報セキュリティサービス審査登録制度」ページをご参照
本基準で定義される情報セキュリティサービス
本基準で定義される情報セキュリティサービスは、以下の6つに分類されます 。
- 情報セキュリティ監査サービス: 独立した専門家が、国際的に整合性のとれた基準に従ってリスク管理の状況を検証・評価し、助言や保証を提供するサービス
- 脆弱性診断サービス: システムやソフトウェア等の脆弱性について、ウェブアプリケーション、プラットフォーム、スマートフォン/タブレット端末アプリケーションなどの診断を行うサービス
- ペネトレーションテスト(侵入試験)サービス: 脆弱性診断の定義を満たすサービスの一種で、攻撃者と同様の手法でシステムのセキュリティ機能を回避できるかを試験し、助言を行うサービス
- デジタルフォレンジックサービス: 不正使用や法的紛争などに対応するため、電磁的記録の保全、調査、分析を行うサービス
- セキュリティ監視・運用サービス: システムやソフトウェアの情報セキュリティを確保するための監視・運用サービス
- 機器検証サービス: IoT機器をはじめとするネットワーク通信機能を持つ機器や、それに関連するアプリケーションから構成されるシステム(IoTシステム)を対象に、機器検証や脆弱性診断などを行うサービス
情報セキュリティサービス提供事業者には、反社会的勢力に該当しないことや、反社会的勢力に便益を供与しないことなどの審査基準が設けられています 。
中小企業これらのサービスを活用するには
中小企業がこれらのサービスを活用する際には、以下の点を参考にすると良いでしょう。
まず、自社の現状を把握することが重要です。
どの情報セキュリティサービスが必要かを判断するために、現在の情報資産(顧客情報、技術情報など)がどこにあり、どのようなリスクに晒されているかを洗い出しましょう。
例えば、自社でWebサービスを提供している場合は「脆弱性診断サービス」が、重要な機密情報を扱っている場合は「情報セキュリティ監査サービス」が有効です。
情報セキュリティサービスを導入することで、サイバー攻撃のリスクを低減し、取引先や顧客からの信頼を獲得することができます。
次に、サービス提供事業者の選定にあたっては、本基準に沿った事業者を参考にすることが賢明です。
各サービスの「技術要件」と「品質管理要件」が定められており、専門性を有する者の在籍状況や、品質管理マニュアルの整備、継続的な教育・研修実施などが求められています 。
本基準では、サービス仕様の明示やアウトプットの管理についても言及されています 。
契約前にどのようなサービス内容(診断範囲、方法、期間など)で、どのような結果報告がされるのかを明確に確認しておくことが大切です。
これにより、サービスの効果を最大限に引き出すことができます。
品質維持・向上のための手続きとして、顧客情報の保護手続きを設け、担当者以外による監査を実施して実効性を確保することが求められています 。
中小企業では、予算やリソースが限られていることが多いため、費用対効果を考慮して必要なサービスをピンポイントで活用することが重要です。
まずは無料の相談会や簡易診断サービスなどを利用して、自社に最適な対策を検討することから始めると良いでしょう。
情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示(令和 7 年 3 月版)には各サービスに従事するにふさわしい資格要件等が記載されています。
営業に来た担当者の名刺に「システム監査技術者」、「情報処理安全確保支援士」等の資格が何も載っていないようであれば、その会社の技術レベルを疑ってみた方がよいかもしれません。
中小企業診断士として経営相談、小さなIT対応相談もOKです!
- Excelでデータ管理しているけど、もっと効率化したい
- システム導入したいけど何から手をつけてよいか……
- ITや経営で気軽に相談できる相手がいれば などなど
|
|
社長のお悩みお聞かせください!
