Share

再び見直されているセキュリティ認証制度

  • 2022年8月3日

ISMSなどに代表される第三者機関によるセキュリティ認証制度。
“ISO”という言葉が流行った2004-2006年頃、
企業において盛んに取得されていました。

その会社のセキュリティを第三者がチェックして、
ISOの仕組みとして担保するという、良い制度(というか必要な制度)なのですが、
リーマンショックを機に下火になっていきました。

「取得しても儲からない」
「自社ルールでセキュリティは担保されているから認証は不要」

などなど、リーマンショック後によく言われていた言葉です。(マジな話です)
現在の感覚からするとだいぶ古い感じがしますね。

また、一旦は取得したものの、継続をやめてしまう会社もありました。
理由は前述同様。
要はセキュリティに投資できなくなったんですね。

ただ、業務委託の際には”セキュリティ認証を取得していること”
なんて要件を求められる場合もあり、
”取得してまで受注すべき案件か?”なんて、
寒い議論も行われていました。

そんなセキュリティ認証ですが、
最近のセキュリティ事故などの影響で再び注目されつつあります。
その要素の一つが、「セキュティチェックの実施」です。

顧客(受注元)から一定期間ごとに依頼がくる「セキュリティチェック」
この セキュリティチェックの内容を確認し、回答するには、
結構な工数がかかります。

この工数のかかるセキュリティチェックを、
セキュリティ認証取得企業に対しては実施しないとする動きが出てきています。

セキュリティチェックを依頼する側にとっても、
依頼をしたり、回答の内容をチェックしたり、改善を要求したり
という工数がなくなるので、大きな工数削減になりますね。

ようやくセキュリティ認証制度が市民権を得てきたということでしょうか。

セキュリティに限らず、日本企業は”第三者による標準化”
というものを受け入れるのが苦手です。
すぐに「ウチはウチは」と言いだして、
”カスタマイズ”や”最適化(→現場or人)”の名目で、
複雑怪奇なものにしてしまいがちです。

今回のように、まずはセキュリティからでも、
共通認識を基にした対応、標準化が進めば、
企業/業務/対応へのより正確な評価や
ジャッジができるのではないでしょうか。