プレスリリース

BS7799を始めとする複数のグローバルガイドラインに準拠した
セキュリティポリシー策定平準化ツール「M@gicPolicy」Ver.2を発表
～BS7799等の認証取得を強力にサポート～

2002年1月18日
株式会社アズジェント

ワールドクラスのセキュリティソリューション提供を主業務とする株式会社アズジェント（代表取締役社長：杉本隆洋所在地：東京都中央区日本橋）は、BS7799を始めとする複数のグローバルガイドラインに準拠したセキュリティポリシー策定平準化ツール「M@gicPolicy」Ver. 2.0を発表します。
また、今回新たにISO/IEC JTC1/SC27 WG1（ISOで情報セキュリティ技術に関するサービス及びガイドラインを担当するワーキンググループ）のチェアマンなど、国内外のセキュリティ関連第一人者による「セキュリティポリシーアドバイザリ」を開設いたしましたので、併せてご案内いたします。

【背景】

我が国においてもインターネット利用による電子政府や大手企業による電子商取引などが実用段階に入っております。しかしながら、不正アクセスやウィルスなどの脅威も現実的な問題となっており、情報セキュリティ対策の重要性が認識されつつあります。しかしながら、現在普及しているセキュリティ対策の多くはアンチウィルスやファイアウォールなど一般的に認知度の高い商品を導入するポイントソリューションでしかなく、脅威を未然に防ぐには不充分です。企業や組織が必要とする強度の高いセキュリティインフラストラクチャーを構築する為には認知されている技術的な対策のみならず、非技術的な対策も含めたセキュリティポリシー策定とその運用が必須となります。

一方、セキュリティポリシーを策定する上での基準として、英国規格であるグローバルガイドラインBS7799が国内外において、ディファクトとしての位置付けを確立しつつあります。国際的な動向としてはBS7799パート1にISO/IEC 17799という番号が付与され、認証制度としてパート2の整備が行われています。国内の動向としてはBS7799を日本語化したJIS X5080が日本規格協会により来年春に向けて整備されています。また、認証制度として情報セキュリティマネジメントシステム(ISMS)適合性評価制度のパイロット運用が財団法人日本情報処理開発協会（JIPDEC）により今秋から既にスタートしています。

【セキュリティポリシー平準化ツール「M@gicPolicy」】

アズジェントはこのようなトレンドを予測し、1997年の会社設立時よりグローバルガイドラインに準拠したセキュリティポリシー平準化ツール「M@gicPolicy」を開発してまいりました。
「M@gicPolicy」はセキュリティポリシー策定における問題点 [(1)ポリシーを作成できるところが少ない－ノウハウがない－、(2)策定に時間がかかる、(3)費用がかかる] を解決するためのセキュリティポリシー策定平準化ツールです。
「M@gicPolicy」は2000年6月に発足した「セキュリティポリシーアライアンス」（セキュリティポリシーの策定を主目的としたビジネスアライアンス）においてSIパートナーがエンドユーザ向けに提供するセキュリティポリシー策定に利用されてきました。Ver. 2.0でも引き続き、同形態で利用されます。尚、アライアンスによるセキュリティポリシー策定は200万円（ファーストドラフト）からとなっています。

今回のバージョンアップにより、セキュリティポリシーを策定する上での実務に則した操作性の改善と機能を追加しました。また、BS7799など準拠させたいグローバルガイドラインの選択の他、策定企業が属する業種などの属性選択、ポリシーの策定範囲、など様々な条件やアプローチ方法からセキュリティポリシーを策定できるようにフレキシビリティを格段に向上させました。更に、セキュリティポリシー策定において重要な項目であるリスクアセスメントのための情報資産登録やBS7799推奨のリスクアセスメント手法に基づくリスクアセスメントモジュール（オプション）とのデータ交換といった機能を新たに追加することで、BS7799、ISO/IEC 17799、ISMS適合性評価制度などの認証を受ける際に必要なドキュメンテーションの作成をもカバーすることができます。

その上、策定したセキュリティポリシーを強制させるためにサードベンダーから市場で販売されている各種セキュリティ商品へ策定ポリシーに基づくルール（プロダクトレベルポリシー）をスクリプトとして、API（アプリケーションインターフェース）経由で引き渡すことが可能となりました。
これらの機能追加により、BS7799等に準拠したセキュリティポリシーを短期間で効率よく作成できるだけでなく、認証取得の為に必要なドキュメントやレポートを作成することで、認証取得を求める企業に対して強力なサポートを行うことが可能となります。また、策定後のポリシーの強制実行ができるようにサードベンダー製セキュリティ商品へルールを引き渡すことで強度の高いセキュリティを構築、メンテナンスすることが可能となります。なお、「M@gicPolicy」Ver. 2.0は2002年2月のリリースを予定しています。

【Ver.2.0の主な強化ポイント】

BS7799（ISO/IEC 17799、ISMS適合性評価制度）に適合したセキュリティポリシー策定
セキュリティポリシーを策定する上での実務に則した操作性の改善と機能の追加
フレキシビリティを向上（様々な条件やアプローチ方法からセキュリティポリシーを策定可能）
リスクアセスメントのための情報資産登録機能追加
BS7799推奨のリスクアセスメント手法に基づくリスクアセスメントモジュール（オプション）とのデータ交換機能追加
API機能追加（策定ポリシーに基づくルールをスクリプトとしてセキュリティ商品へ引き渡す）
認証取得の為に必要なドキュメントやレポートの作成機能追加

【セキュリティポリシーアドバイザリー】

今回新たに、セキュリティポリシーアライアンスにセキュリティポリシーアドバイザリを開設しました。ISO/IEC JTC1/SC27/WG1（ISOで情報セキュリティ技術サービスおよびガイドラインを担当するワーキンググループ）の議長を務めるテッド・ハンフリー氏、「国際セキュリティ標準 ISO15408のすべて」（日経BP社）や「国際セキュリティ標準 ISO/IEC 17799入門」（オーム社）の著者であり、ISO15408 の作成に参画された経験をもつ田渕治樹氏など4名で構成されています。これにより、国内外の質の高い情報をアライアンスパートナー及びポリシー策定を行うエンドユーザに提供することが可能となりました。

アドバイザリー経歴