bugbirdの日記: セキュリティと認証制度
表の方でいろいろ議論になっているけど自分なりに纏めておこうと思う。
くだんの Pマークはもともとは「EU 指令」に対応するつもりで整備した制度だったのだが、法的整備を期待していた EU には相手にしてもらえなかったので、急遽いわゆる「個人情報保護法」を制定する羽目となったいきさつがある。だから今となっては実態として「宙に浮いてしまっている」制度なのだ(まぁ、天下り先を作るのも目的のひとつだったのだろうから、当然の結果か :P )。
だが、その一方で "J-SOX" 対応とか「個人情報保護法」などの遵守を目的として ISMS の様な比較的新しい認証制度を導入することには相応の価値がある。
と、いうのも、まったくのスクラッチからこうしたセキュリティ管理技術のフレームワークを作るのに必要となるコストは、銀行とか大手製造業のような巨大な収益構造をもっている企業ならまだしも、大概の企業の収益ではおよそ非現実的な規模になってしまうからだ。
新しい認証制度ではそうしたフレームワーク(業種に依存しないような配慮もなされている)を提示してくれているから、企業はそれに従った実際のセキュリティ管理システムの実装構築だけに集中すれば良い。これだけで相当必要コストが下がるから現実性が出てくる。また、そうした管理システムの運用状況が機能していることを担保するエビデンスの作成についても同様の効果が期待できる。
とはいっても自助努力だけは必須なのであって、認証制度に「おんぶにだっこ」を期待してるとサクッと破綻します(為念)
だから、今回の問題は、そうした本来のメリットをユーザ側も認証側も(!)きちんと認識できていなかった… と、いうことに尽きるだろう。すなわち安全性の高い自動車を設計する事はできるが、それがその自動車が走行するときの安全性を担保しているわけではないという事を「地で逝ってくれた」わけね。
昨今の ITF(情報技術基盤)の普及が社会に対して与えている影響は、おっそろしく巨大なものなのだけど、そのことにちゃんと考えを巡らしてセキュリティを考える努力は未だ決して充分ではない(そもそもそうした「努力」が必要になるようなフレームワークというのはプロのためのそれであり、素人相手には更に咀嚼されて敷居が低くなっているフレームワークを用意することが必要なのだ)。そういう意味では今回の騒ぎも「氷山の一角」に過ぎないのであって、「社会」としてまだまだ痛い目をみなければ本質的な適応はできないだろうねぇ。
セキュリティと認証制度 More ログイン