ISMS適合性評価制度、BS7799等の認証取得をサポートするエンドユーザ向け
ソフトウェアパッケージ商品2種類を販売開始
~「M@gicPolicyスタートアップ」及び「RAソフトウェアツール」を発表~
2002年10月24日
株式会社アズジェント
ワールドクラスのセキュリティソリューション提供を主業務とする株式会社アズジェント(代表取締役社長:杉本 隆洋 所在地:東京都中央区日本橋)は、ISMS適合性評価制度、BS7799、ISO/IEC 17799(以下、認証制度)の認証取得をサポートするエンドユーザ向けソフトウェア・パッケージとして、セキュリティポリシー策定支援ツール「M@gicPolicyスタートアップ」とPD3002※に準拠したリスクアセスメントツール「RAソフトウェアツール」の販売を11月5日より開始いたしますので、ご案内いたします。
現在、セキュリティポリシーを策定する上での基準として、英国規格であるグローバルガイドラインBS7799が国内外において、ディファクトとしての位置付けを確立しつつあります。国際的な動向としてはBS7799パート1にISO/IEC 17799という番号が付与され、認証制度としてパート2の整備が行われています。国内の動向としてはBS7799を日本語化したJIS X5080が日本規格協会よりスタートしています。また、JIS X5080の認証制度としてISMS(情報セキュリティマネジメントシステム)適合性評価制度が財団法人日本情報処理開発協会(JIPDEC)により行われています。
現在、多くの企業、組織が認証取得に向けて検討を行っていますが、認証取得の為のエンドユーザツールを求める声が上がりはじめています。認証制度に基づく認証を取得するには、情報セキュリティポリシーの策定はもちろんのこと、それらの策定や変更の根拠、ガイドラインとの準拠性がどれだけあるのか、などを把握し、第三者である外部審査登録機関に説明できなければなりません。このためには、適用範囲内の情報資産の特定→リスクアセスメント→コントロール(管理策)の選択→運用手順書の策定、更新といった手順を明確に踏む必要があり、必要に応じて根拠を明確に提示することが求められます。また、情報セキュリティポリシーは一度策定すれば、完成するというものでなく、企業のビジネス戦略、セキュリティインシデント、世情の変化等に応じて、見直し、修正、改訂を加えていかなければなりません。この為、仮にセキュリティポリシー策定担当者が変わった場合でも対応できるよう、様々な情報を継承する必要があります。
アズジェントはこれらの問題を解決するためのエンドユーザ支援ツールとして、「M@gicPolicyスタートアップ」と「RAソフトウェアツール」を販売開始いたします。
【M@gicPolicy スタートアップ】
アズジェントは、1997年の会社設立時よりグローバルガイドラインに準拠したセキュリティポリシー平準化ツール「M@gicPolicy」を開発し、2000年6月よりセキュリティポリシーアライアンスのSIパートナー向けに提供してまいりました。今回、発売するスタートアップは、「M@gicPolicy R. 2.0」のエンドユーザ向けパッケージです。インタビュー画面から情報セキュリティに関する質問に回答していくことで、現状の問題点を分析し、企業のセキュリティ方針のドラフトを作成することができます。また、作成したドラフトは認証制度との準拠性をレーダチャートで把握したり、何故このようなポリシーになったのかバックトレースすることができます。また、「M@gicPolicy スタートアップ」で作成されたデータは「M@gicPolicy R.2.0」に継承することが可能ですので、本格的なセキュリティポリシー策定を行う際のファーストステップとして使用することができます。
■主な機能・特徴
- ISMS適合性評価制度、BS7799(ISO/IEC17799)、JIS X5080、FISC、ISO/IEC 15408に準拠したポリシーを作成
- ISO/IEC 17799への準拠性を示すレーダーチャートを用いたレポートを作成
- 作成したレポートのエビデンスを示すバックトレース機能
- 職責や独自ルールを適用し、多数の回答を組織の回答として抽出する競合解消機能
- 作成したポリシーレポート部位に対して、関連するガイドライン(ISO/IEC 17799、ISMS適合性評価制度等)を表示する機能
- 複数のPCで登録した回答結果を統合する機能
【RAソフトウェアツール】
BS7799の参考書であるPD3000シリーズが推奨するリスクアセスメント手法を採用しているリスクアセスメントツールです。当該推奨手法はISO/IEC JTC1/SC27/WG1 (ISOで情報セキュリティ技術に関するサービス、ガイドラインを担当するワーキンググループ)のチェアマンを務めるテッド・ハンフリー氏(XiSEC Consultants 取締役)、ISO/IEC TR13335(GMITS)編集に参加したアンジェリカ・プレート女史(AEXIS Consultants 取締役)によって作成され、「RAソフトウェアツール」も彼らによって開発されました。
リスクアセスメントは、BS7799やISMS適合性評価制度の認証取得において重要なステップです。企業内の情報資産を全て洗い出し、その脅威、脆弱性を識別し、具体的な管理策をあてはめていく必要があります。情報資産は、情報そのものの他に情報を印刷している紙や保存をしてあるコンピュータ等も含まれる為、膨大な量となります。この作業を手作業で行うことは時間かかり、矛盾も生じやすくなります。また、適切な管理策の適用により、どの程度リスクが軽減されるのか等のシミュレーションを行うことが手作業では非効率です。 「RAソフトウェアツール」は収集した情報資産をその性質やリスクに応じてグループ化し、解析することで作業を効率よく実施することを可能とします。また、認証制度の認証取得の際に必須となる「リスクアセスメント、リスクマネジメントの結果レポート」や「適用宣言書」を作成することも可能です。
- ■主な機能・特徴
-
- BS7799の参考書であるPD3000シリーズ及びISO/IEC TR13335が提唱するリスクアセスメント手法を採用
- 登録した膨大な情報資産の特性及び評価を配慮したグルーピング機能
- 情報資産の特性や問題点に配所した管理策を推奨
- 認証取得に必要なドキュメントや適用宣言書を作成可能
- ■開発元
- XiSEC Consultants/AEXIS Consultants
- ■国内総販売元
- 株式会社アズジェント
- ■販売予定時期他
- 販売開始時期:2002年11月5日
- 価格:
M@gicPolicy スタートアップ: 50万円(1ライセンス 1年間使用可能)
RAソフトウェアツール: 55万円(1案件あたり)