著者

菅野 泰子

出版者

国立研究開発法人 科学技術振興機構

雑誌

情報管理 (ISSN:00217298)

巻号頁・発行日

vol.48, no.6, pp.320-332, 2005 (Released:2005-09-01)

参考文献数

44

---

情報システムと情報通信網が重要な社会インフラとなり,政治,経済,社会,生活を支えている現在,情報セキュリティ対策は必要不可欠である。企業や情報システムの抱える脆(ぜい)弱性(情報セキュリティにおける弱点)が,最悪の場合,企業の存続を脅かすほど巨大になる可能性は現実のものとして存在しており,経営者は,自社の情報セキュリティにおける脅威と脆弱性とリスクを見極め,適切なリスクマネジメントを行うことが不可欠である。そして,導入され,運用されている対策が有効であるかどうかは評価される必要がある。評価無くして,対策の実効性は担保できない。セキュリティ対策における評価には,「ISMS適合性評価制度による認証」「情報セキュリティ監査」「脆弱性検査(または脆弱性診断,脆弱性監査)」「セキュリティ対策ベンチマーキング」などが挙げられる。また,セキュリティ製品やシステムを評価・認証する制度として「ITセキュリティ評価及び認証制度」がある。このそれぞれについては,膨大な規格群と研究報告書,解説が公表されている。これらのキーワードに示される「情報セキュリティ評価」の全体像を,各評価の違いを明らかにしつつ,ベースとなる標準や規格等も紹介しながら,その概要を提示する。