Scribble at 2024-07-12 11:35:09 Last modified: 2024-07-12 11:44:57
OpenID Foundation の理事長をやっていたりする、国内ではデジタル・アイデンティティなり認証技術の、いまや「重鎮」と言ったほうがいい崎村氏は、こういう会合にも顔を出すようになったらしい。僕は、この白浜あたりで何かゴソゴソとやってる活動については昔から知ってるけれど、ここも情報セキュリティ大学院大学と同じで、社会に向けて何か有益な情報なり提言を掲げるという活動がまったくない、しょせんは業界人の茶飲みクラブだと思っている。仕事の融通とか、意見交換(や牽制)とか、それなりに意味はあるんだろうけど、多くのネット・ユーザやコンピュータの利用者、そして僕ら情報セキュリティの実務家にとっても、こう言っては気の毒だが殆ど存在価値がない組織の一つである。学会でもなければ資格保有者の互助会でもないんだから、世の中に何かフィードバックするものがない、あるいはその意欲がない団体というのは、そのへんのジジイがやってる将棋の集まりと同じだよ。
ということなので、おそらくはそれが分かっているはずの崎村さん(面識はないが、いちおう Twitter や Google Plus でやりとりしたことがある)が顔を出すという大人の事情があるのだろう。なにせ、彼がこの記事で紹介している内容を読んだら、僕らのような ISMS とプライバシーマークの認証・認定に18年近くも対応してきている実務家なら唖然とするようなことが書かれている。そして、記事として書いてる崎村さんも、キーボードをタイプしながら困惑気味の表情を浮かべていたことだろう。
一例を挙げると、昨今はランサムウェアの被害が増えていて、KADOKAWA グループの話題は何度も報道されている。そして、保険会社や銀行や地方自治体や大企業がデータの運用を委託していた京都の企業で致命的な事案が起こり、大量の情報漏洩が確認されている。そこは ISMS やプライバシーマークの認証・認定を受けていたわけで、これでは認証制度の信頼性が損なわれるというわけである。そんなことを情報セキュリティの実務家だからといって真っ先に心配するという根性が俺には気に食わないんだけど、そこはそれとして、ともかく話題として認証制度の信頼性を損なわないようにするにはどうあるべきかという問いについて、
・ともすればチェックリスト的になるが、それは本質ではなく、経営者のリーダーシップとリスク認識が重要
・認証取得自体が目的化してはいけない
・特定の業務に特化した認証制度が必要で、認証制度の役割と限界を理解し、より実効性のある対策が求められている
・・・こんなことが、いまさら提言されてるんだってさ。いや、これ情報セキュリティ・マネジメントの実務家として驚かない(あるいは呆気にとられない)人がいたら、あんた真面目に仕事してないだろうと言いたいよ。だって、こんなことは弊社が初めて ISMS の認証監査を受けた17年くらい前にも審査員が口にしていたことだからだ。弊社は2019年に ISMS の認証はコスト節約ということで取り下げたのだが(ISMS はサーベイランス監査と再認証監査を含めて毎年の監査が実施される。弊社のような50名以下の事業者でも、だいたいサーベイランス監査で70万円くらい、更新監査だと90万円ほどかかる。これは BSI Japan を利用したときの費用だ)、17年くらい前の ISMS の監査でも、その当時は BSI Japan ではなくドイツ系の TÜV Rheinland という審査会社だったが、チェックリストを確認することだけで終わりではないとか、認証を維持するために納得も理解もせずに対策を行うことは逆に危険であるとか、あるいはマネジメント・システムを確認するだけで安全というものではないので、情報システムの IT 監査など色々なアプローチの監査を受けたり、それらの観点をマネジメント・システムにとりいれる必要がある、なんてことはマネジメント・システムの実務責任者の基本的な心得みたいなものとして言われたものである。それを、2024年にもなっていまだに繰り返しているということは、その白浜でお喋りしてる人々って ISMS の審査員でもなければ監査機関の人でもなく、あるいは規格に関与してる人でもないんじゃないかね。産業規格や認証に関わってる人なら、そんなことはとっくに分かってることだからだ。もし関係者として、そんなことを十年一日のごとく繰り返して内輪で発表して業績みたいなことになってるなら、もうそれは深刻な状況だと思うよ。