「資格をとった」は信頼につながらない？

北條氏：とはいえ一般的にセキュリティと信頼というのは、どうしても担当者が持っている知識の質と量に偏りますよね。 辻氏：セキュリティ事故が起きた時の体制のような「格付け」の方が僕は必要かなと思いますね。トレーサビリティーをきちんと確保しているかどうか、ログがあるないとか、そういうレベルの話。監査に近いかもしれませんが。 　ただ、監査とか基準を作って、外圧として最初は機能していても、中身が形骸化していく問題があります。ISMSもPマークも。 北條氏：多くの企業がそのような認証を取得していますが、それでもサイバー攻撃を受けて被害に遭っているわけですよね。そうすると、そもそもそのような認証の意義があるのかということと、本当に認証を取得できるレベルだったのかという審査を行う会社の信頼性が問われても良い状況なのではないかとも思っているんですよ。審査会社もたくさんの企業を審査しないといけない状況に陥ってしまっていて、審査が甘くなっているとかはないのでしょうかね。 辻氏：セキュリティサービスって、名前で見たら一緒なんですよ。「セキュリティ監視」と掲げていても、どこまでのことをしているかっていうのは、そのサービス名称からは読めない。 北條氏：SOC（Security Operation Center、システムへの脅威を常時監視・分析する）だからといって、24時間365日監視をしないサービスもある。それをSOCって称していいんですかね。 辻氏：同じようなテーブルに乗せるなということはありますよね。監視かもしれないけど、SOCではないように思える。 北條氏：確かにそうですね。SOCというからきちんと年中無休のセキュリティ対応をしてくれると思っていたらそうではなかったと、インシデントが起きてから気づいても後の祭りです。他にも、「脆弱性診断」といっていいのか分からないサービスがありますね。 辻氏：網羅的に調べて、その範囲で全部侵入できるものを洗いだすものと、何か見つけたらそこで終わりというものが、同じ「ぺネトレーションテスト」という名前で出ています。 　僕がやっていたのはもちろん前者ですが、後者の場合は1つの脆弱性だけを見つけて、残りの可能性を探らないので対象の組織にとっての安全にも安心にも繋がらない。そういったことがトラブルになった話などもいくつか聞いたことがあります。それが同じサービスとして扱われていましたもんね。