« 「次世代の情報セキュリティ政策に関する研究会中間報告書(案)」公表 | トップページ | 世界ITランキング、日本は19位 »

2008年4月11日 (金)

情報セキュリティ格付専門会社、いよいよ設立

NIKKEI NETの記事「富士ゼロックスなど18社、情報セキュリティ格付専門会社「アイ・エス・レーティング」を設立」からです。

4/8に会見が行われ、世界初の情報セキュリティ格付専門会社「株式会社アイ・エス・レーティング」の設立が発表されました。

世界初の情報セキュリティ格付専門会社を設立
「株式会社アイ・エス・レーティング」18社が出資 

企業の情報セキュリティのレベル(信頼度の水準)を評価し、格付する世界初の「格付専門会社」(注1)が5月に誕生します。新会社の発起人である株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社など18社(注2)は、5月2日付けで「株式会社アイ・エス・レーティング」(本社東京、中村哲史[てつふみ]社長、資本金2億8千万円)を設立することに合意しました。  

情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。新会社はこの情報セキュリティ格付の審査業務のほか、格付に関連する調査・教育・出版等を事業目的としています。  

(中略)

なお、「株式会社アイ・エス・レーティング」の会社概要および出資会社の構成は、以下の通りです。  

注1:世界初の「格付専門会社」
「株式会社アイ・エス・レーティング」は、複数の会社および各業界に適用可能な評価基準を用いて、組織等の情報セキュリティのレベルを格付評価する「格付専門会社」であり、このような取り組みは世界にはまだ例がありません。 

注2:情報セキュリティ格付会社発起人18社
「株式会社アイ・エス・レーティング」の発起人は下記の通りです。
株式会社格付投資情報センター、松下電器産業株式会社、富士ゼロックス株式会社、富士通株式会社、株式会社野村総合研究所、キヤノンマーケティングジャパン株式会社、綜合警備保障株式会社、テュフ・ラインランド・ジャパン株式会社、凸版印刷株式会社、株式会社日本経済新聞社、株式会社北洋銀行、株式会社みずほコーポレート銀行、三井住友海上火災保険株式会社、株式会社三井住友銀行、三井物産株式会社、三菱商事株式会社、株式会社三菱総合研究所、株式会社ワコールホールディングス 

関連資料

さて、注目はその「格付け」の方法です。
「マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化」ということですが、成熟度や対策の強度をどう相対的・客観的に、しかもどう定量化するのか、興味深々です
これは、(間違いなく)かなり難しいことだと思っていますが、ぜひともやり遂げてもらいたいと個人的にはかなり期待しています

<関連記事>
「松下、富士ゼロックスなど18社が情報セキュリティ格付け専門会社設立」~日経ITpro

「企業のセキュリティレベルを格付け、富士ゼロックスら18社が査定新会社を設立」~ITmedia

|

« 「次世代の情報セキュリティ政策に関する研究会中間報告書(案)」公表 | トップページ | 世界ITランキング、日本は19位 »

ニュース」カテゴリの記事

コメント

これは興味のある記事でした。
今まではきちんとした指標がはっきりしていなかったため、各企業もどれをどのように取り組めばいいのか...という状態だったと思います。
また、格付けに関連する教育や出版を行う、というところも気になりました。どんなことを行うのでしょうか...。今後も注目です。

投稿: hase_tetsu | 2008年4月11日 (金) 06時12分

>hase_tetsuさん

これから、どのように指標が作られ、どう活用されていくか、注目ですね。

「教育」は、評価や分析をする人(つまり監査人やアナリスト的な人)を育てないといけないということですから、難しいと思います。でも、やんなきゃいけないですよね。

投稿: Hase | 2008年4月11日 (金) 13時11分

セミナーで入手した資料では、格付クライテリアとして、ISO27001をベースに133分野、評価項目の個別要件500-1000項目、08/04版で評価基準のレベル判定基準4段階、09/04版で5~7段階程度を予定しているということです。
このレベル判定基準の策定が難しそうです。

投稿: カッチン | 2008年4月14日 (月) 09時25分

>カッチンさん

どんなセキュリティが必要で適切かは組織によって違いますので、それをどう基準に当てはめ、判定するのか…

そのあたりが難しいですよね。

投稿: Hase | 2008年4月14日 (月) 22時20分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/20089728

この記事へのトラックバック一覧です: 情報セキュリティ格付専門会社、いよいよ設立:

» 情報セキュリティ格付専門会社「アイ・エス・レーティング」設立 [情報セキュリティコンサルタントのお気楽Blog]
4月8日、ある企業の設立が発表されました。世界初といわれる、情報セキュリティの格付専門会社「アイ・エス・レーティング」です。テレビ東京... [続きを読む]

受信: 2008年4月12日 (土) 17時27分

» 情報セキュリティ格付け [V.S.A. III]
こんにちは、五十嵐智です。企業の情報セキュリティの格付けが始まるようです。当初、経済産業省が行おうとしていた制度ですね。民間企業で格付けを行うようになるようです。 リンク: 企業のセキュリティレベルを格付け、富士ゼロックスら18社が査定新会社を設立 - ITmedia エンタープライズ (2008/...... [続きを読む]

受信: 2008年4月14日 (月) 10時32分

« 「次世代の情報セキュリティ政策に関する研究会中間報告書(案)」公表 | トップページ | 世界ITランキング、日本は19位 »