例えばそれほどオカネをかけられない、中小企業規模の組織がサイトを運営して、そこで個人情報とかを取り扱わなければならなくなってしまったとき、どうやって情報の安全性を確保していったらいいんでしょうかねえ?主に委託先に任せる場合だと、
- きっと評価もチェックもできないから扱うのを止める(笑)
- 抽象的な努力目標(またの名をセキュリティ・ポリシーとも言う(笑))を提示させて、それに納得できたら任せる。ただし技術的評価はできないので、精神論のみ
- 重要な情報を取り扱う場合に押さえて置くべき技術的要件について、ちゃんと考慮しているかどうかチェックし、考慮されていれば任せる
- Webアプリ、CGIなどの一般的な脆弱性や、ファイアウォール、ネットワーク構成、IDSなどの要素について概要を知った上で、不可欠であると思われる要素を要求し、適切に実装されていると評価できたら任せる
選択肢はこんな感じでしょうかね?なんか結局どのレベルも難しそうに思えますが、ほんとにそうなんでしょうかねえ?
先日ACCSの久保田専務理事のプレゼンテーションを見たんですが、その内容を見る限り3番目あたりのレベルには到達しているように思えました。するってぇと何ですかね、裁判沙汰にでもなってやる気になれば、組織のエライさんであってもそのレベルまで到達可能ってわけでさぁねえ。そこまでにいくらかかってるのかわかりませんが、別にACCSさんに限ったことではなく、一般に、やればできるのにやってない=サボってる、という感じがしましたねえ。
サボらせないためにはどうしたらいいのかなあ?
