セキュリティ事業者のサービスを利用する際、どこに依頼をすればいいのか悩んだことはないでしょうか?何かよい指標はあるのでしょうか?
経済産業省は2018年2月、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示した情報セキュリティサービス基準(以下、サービス基準)を発表しました。
サービス基準に適合する事業者は「情報セキュリティサービス基準審査登録」することが出来、利用者はその状況をホームページなどで確認することが出来ます。
今まではサービス利用者がセキュリティ事業者を選定する場合、利用者側自身で事業者に関する情報を収集する必要があり、技術レベルや想定されるコストが期待通りにならない恐れがありましたが、今後はサービス基準を参考にすることで利用者側が良質のサービスを提供している事業者を選定しやすい環境が出来上がることが期待されます。
※参考:情報セキュリティサービス基準及び審査登録機関基準(METI/経済産業省)
http://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html
サービス基準では現在、4つのサービスを定義しています。
・情報セキュリティ監査サービス
・脆弱性診断サービス
・デジタルフォレンジックサービス
・セキュリティ監視・運用サービス
#あれ?自分の仕事がない!と思われる方もいらっしゃるかもしれません。
#確かにこの4つだけというのは少ないと思います。
#弊社もセキュリティのトレーニングサービスを提供していますが、トレーニングサービスは上記4つに含まれないので今後に注目しています。
サービス基準では4つのサービス別に必要な「技術要件」および「品質要件」を定義しています。例えば「技術要件」としては専門性を有する者の在籍状況、サービス仕様の明示、「品質要件」としては品質管理者の割り当て、品質管理マニュアルの整備、品質の維持、向上の手続きが具体的に求められています。
サービス基準では「技術要件」、「品質要件」を満たしていることを明示するための方法として、セキュリティの認定資格やトレーニング受講が提示されています。
次回からはサービス基準で定義しているサービスを1つずつ考察し、サービス基準で求めている技術や品質を満たしていくためのヒントやお勧めのトレーニングコースを見ていきたいと思います。
トレノケートでは、これからセキュリティに携わる方への基礎的なコースから、セキュリティを専門に扱う技術者の方が最新技術に対応するための学びなおしや資格取得を目的としたコースなど、幅広いコースをご用意しています。ぜひご活用ください。