対策強度×保証強度
こんにちは、丸山満彦です。特定の対象のセキュリティの強度を外部の第三者が信頼しようとする場合、単にその対象に対して行われている対策の内容についての情報だけでなく、その情報がどの程度信頼できるかという情報があればより信頼できるようになりますね。
つまり、第三者からみた場合、情報セキュリティ強度=対策強度×保証強度
対策強度は、どのようなセキュリティ対策を採るかによって変わってきます。
保証強度は、どの程度それを確かめるかによって変わってきます。
いろいろな制度で考えて見ます。
●ISMS制度
・対策強度は決めていない
・保証強度は決めている
●CC
・対策強度は原則きめていない
・保証強度は7段階
●米国連邦政府
・対策強度は3段階
・保証強度は3段階
ただし、リスクが低いものには低い対策強度に低い保証強度、高いものには高い対策強度に高い保証強度となっている。
●クレジット情報(PCIDSS)
・対策強度は1段階
・保証強度は3段階(取引量に応じる)
●財務諸表監査の世界では、
・対策強度は2段階(期末に適用される会計規則と4半期に適用される会計規則)
・保証強度は2段階(期末の監査と4半期のレビュー)
日本では、対策の強度に目がいきがちだが、保証の強度とセットで考えるのがよいようですね。
Comments