昨今のサイバー攻撃の増加に伴い、多くの企業から情報セキュリティサービスが提供されています。その一方で、専門知識をもたないサービス利用者が、サービス事業者の選定時にそのサービスの品質を判断することは容易ではありません。
そうした背景により、2018年2月28日 経済産業省より、「情報セキュリティサービス基準」が制定されました。
本基準では、情報セキュリティサービスについて一定の品質の維持向上が図られていることを第三者が客観的に判断し、利用者が調達時に参照できるような仕組みを提供することで、情報セキュリティサービスを安心して活用できる環境を醸成することを目的に制定されたとのことです。
基準では、「情報セキュリティ監査サービス」「脆弱性診断サービス」「デジタルフォレンジックサービス」「セキュリティ監査・運用サービス」の4つのセキュリティサービスのそれぞれについて、サービス内容や品質を測る指標が定められています。
具体的には次のような内容です。
技術要件 | ・専門性を有する者の在籍状況 ・専門コミュニティの在籍状況 ・対応実績数 など |
品質管理要件 | ・品質管理者の割当状況 ・品質管理マニュアルの整備状況 など |
品質維持・向上 | ・品質の維持・向上に関するプロセス整備 ・サービス提供内容に対する有効性評価 など |
技術要件の「専門性を有する者の在籍状況」の指標では、主にセキュリティに関する資格取得者にて判断されています。特に「情報処理安全確保支援士」「CISSP」の資格が複数サービスの基準に登場し、特に目立ちます。
情報処理安全確保支援士は前回の「もっと身近にセキュリティ」でも触れた資格ですが、登録・維持するためにはそれなりの費用がかかってしまうため、たびたび「登録するメリットは何なのか?」と議論になる資格でした。
しかしながら、今回のセキュリティサービス基準が制定されたことにより、ようやく資格の意義が見いだされたのではないでしょうか?
なお、情報処理安全確保支援士の前身である、「情報セキュリティスペシャリスト試験」および「情報セキュリティアドミニストレーター試験」の資格は、2018年8月までに情報処理安全確保支援士の申請を行わないと失効となってしまいます。資格所有者はご注意を。