「認定を取得」 [雑記]
いささかご無沙汰しておりましたが、ちょっと気になる記事を見つけました。
ITpro "Microsoft、クラウド型サービス・スイート「BPOS」の政府機関向け専用サービス開始"
当該記事で気になる点は2つ。
1つは、身許調査に関する部分です。
---
アクセス可能な人物は少人数に限定し、国際武器取引規制に従って厳しい審査を受けた米国民のみとする。
---
CISAやCISMの勉強をしていると、セキュリティ対策の一つとして「従業員の身許の確認」が重視されることに気づきます。
出自や過去の犯歴等を確かめてからでなければ、うかうかとアクセス権を与えられないということで、テロや犯罪を防ぐためには当然の措置と云えましょう。
しかし日本の政府機関では、要員の国籍や身許をどこまでチェックしているでしょうか。
そもそも日本で身許確認なんて云うと、人権問題が絡んでしまい、取扱いが難しい。
さらに日本の場合は、外資系企業が政府機関のシステム構築に係わることもあります。
米国では、ハード、ソフト、サービス等のどこをとっても自国で賄えて当たり前でしょうが、日本ではそうではありません。
その善し悪しはともかく、日米の違いが端的に表れているところでしょう。
もう1つは、サービスについて説明している部分。
---
セキュリティ管理の認証基準ISO 27001、内部統制の認証基準SAS70タイプIおよびII、暗号モジュールのセキュリティ要件FIPS 140-2などの認定を取得しているほか、家族教育権とプライバシ法、電子記録・電子署名に関する規制などに準拠している。
---
「内部統制の認証基準SAS70タイプIおよびII…の認定を取得している」って言葉づかいはヘンですね。
SAS70は認定したり認証したりするものではありません。監査人が内部統制を評価してレポートを発行することについて定めているだけで、評価結果はレポートを読まなければ判りません。レポートには内部統制が適正ではないと書いてあるかもしれないし、たとえ適正でも前提条件が付いているかもしれません。
ISMSのように審査をクリアしたことを「認定」しているわけではないので、「取得」するものでもありません。
あえて云えば、「SAS70タイプIおよびIIのレポートを受領した」という表現になるのでしょうが、受領だけでは何かを達成した感じがしませんから、「認定を取得」なんて書いてしまうのでしょう。
Microsoftの発表資料によれば、原文には次のように書かれています。
---
Business Productivity Online Suite meets a wide variety of industry standards and certifications, including International Organization for Standardization (ISO) 27001, Statement on Auditing Standards (SAS) 70 Type I and Type II
---
SAS70 を certifications に含めてしまっているようなので、日経BP社の記者が間違えたわけではないですね。
Microsoftの発表資料が、あまり正確ではないようです。
もっとも、SAS70についてこのように表現するのは、何もMicrosoftに限ったことではありません。
米国ではどこもかしこも…ですね。
IT系資格ブログ
ITpro "Microsoft、クラウド型サービス・スイート「BPOS」の政府機関向け専用サービス開始"
当該記事で気になる点は2つ。
1つは、身許調査に関する部分です。
---
アクセス可能な人物は少人数に限定し、国際武器取引規制に従って厳しい審査を受けた米国民のみとする。
---
CISAやCISMの勉強をしていると、セキュリティ対策の一つとして「従業員の身許の確認」が重視されることに気づきます。
出自や過去の犯歴等を確かめてからでなければ、うかうかとアクセス権を与えられないということで、テロや犯罪を防ぐためには当然の措置と云えましょう。
しかし日本の政府機関では、要員の国籍や身許をどこまでチェックしているでしょうか。
そもそも日本で身許確認なんて云うと、人権問題が絡んでしまい、取扱いが難しい。
さらに日本の場合は、外資系企業が政府機関のシステム構築に係わることもあります。
米国では、ハード、ソフト、サービス等のどこをとっても自国で賄えて当たり前でしょうが、日本ではそうではありません。
その善し悪しはともかく、日米の違いが端的に表れているところでしょう。
もう1つは、サービスについて説明している部分。
---
セキュリティ管理の認証基準ISO 27001、内部統制の認証基準SAS70タイプIおよびII、暗号モジュールのセキュリティ要件FIPS 140-2などの認定を取得しているほか、家族教育権とプライバシ法、電子記録・電子署名に関する規制などに準拠している。
---
「内部統制の認証基準SAS70タイプIおよびII…の認定を取得している」って言葉づかいはヘンですね。
SAS70は認定したり認証したりするものではありません。監査人が内部統制を評価してレポートを発行することについて定めているだけで、評価結果はレポートを読まなければ判りません。レポートには内部統制が適正ではないと書いてあるかもしれないし、たとえ適正でも前提条件が付いているかもしれません。
ISMSのように審査をクリアしたことを「認定」しているわけではないので、「取得」するものでもありません。
あえて云えば、「SAS70タイプIおよびIIのレポートを受領した」という表現になるのでしょうが、受領だけでは何かを達成した感じがしませんから、「認定を取得」なんて書いてしまうのでしょう。
Microsoftの発表資料によれば、原文には次のように書かれています。
---
Business Productivity Online Suite meets a wide variety of industry standards and certifications, including International Organization for Standardization (ISO) 27001, Statement on Auditing Standards (SAS) 70 Type I and Type II
---
SAS70 を certifications に含めてしまっているようなので、日経BP社の記者が間違えたわけではないですね。
Microsoftの発表資料が、あまり正確ではないようです。
もっとも、SAS70についてこのように表現するのは、何もMicrosoftに限ったことではありません。
米国ではどこもかしこも…ですね。
IT系資格ブログ
2010-02-25 21:55
nice!(0)
コメント(2)
トラックバック(0)
これまでの訪問者数
携帯からアクセス(QRコード)
> 「ISMSのように審査をクリアしたことを「認定」しているわけではない」
ちょっと SAS70 について、誤解があるように思います。
ISMS は、経営者がやっていると言明していることを実際に経営者が
実施しているかを確認し、SAS70 は、監査人自身が統制内容を記述
確認する点で違いはあるものの、どちらも、特定規制(たとえば、
個人情報保護法や HIPAA や PCI-DSS など) に準拠したレベルに
あることを保証している訳ではないことに変わりはありません。
また、SAS70 を出す AICPA も、証明するに足らない内容を証明する
ことは、職業倫理規定で禁止されています。また、SAS70 は、流通力が
非常に高いので、受託している業務リスクに対して妥当性のない管理策でその
証明書を受領しても、信用上マイナスになり、もの笑いになるだけです。
規則ではなく、ビジネスプラクティスが、そのレベルを保証していると
考えればよいと思います。
by 通りすがり (2010-06-23 13:52)
通りすがりさん、コメントありがとうございます。
>どちらも、特定規制(たとえば、個人情報保護法や HIPAA や PCI-DSS など) に準拠したレベルにあることを保証している訳ではないことに変わりはありません。
そのとおりですね。
ISAE3402及びSSAE16では、経営者はどの規準に準拠したかを明らかにすることになりますが、SAS70(日本では18号)ではその必要もありませんしね。
ところでSAS70と比べたときのISMSの特徴ってなんでしょう?
いろいろ意見はあると思いますが、私はISMSの特徴の一つとして「認証を取得したかしないかの、いずれかしかない」ことが挙げられると思います。
情報マネジメントシステム推進センターのWebサイトを見れば、ISMS認証取得組織を知ることができますが、次のような情報は公開されません。
・当該組織がどのようなマネジメントシステムを構築しているのか
・審査員は何をどう調べて結論を出したのか
・審査員の目から見て、当該組織はギリギリセーフだったのか、余裕でクリアだったのか
審査においては、「条件付きで合格」なんてこともあるかも知れませんが、これは(ちょっと意地の悪い言い方をすれば)審査機関と認証取得組織との内緒バナシです。
だから、審査の当事者でない者には、「認証を取得したかしないか」しか判らないわけです。
まぁ、こういった点はみんなが気になるところなので、「情報セキュリティ格付」等が登場したのだと思います。
それに対してSAS70(あるいは日本の18号)のレポートには、当該組織の統制内容はもとより、監査人のテスト内容も書いてあります。
そして、テストの結果として発見されたことや、当該組織の内部統制が有効かあるいは一部に有効でないところがあるか、といったことが記載されています。
つまり、ISMSと違って、レポートを読めばいろいろなことが判るわけですね。
逆にいえば、レポートを読まないと、内部統制が有効かどうかも判らない。監査人がSAS70/18号のレポートを発行したという事実だけでは、何を保証しているか判らないわけです。
ISMSとは、このような違いがありますから、上の記事のように「ISO 27001、…SAS70…などの認定を取得」という括り方はおかしいなと思うわけです。
その意味では、通りすがりさんが書かれている、
>ビジネスプラクティスが、そのレベルを保証している
という書き方もちょっと危うい気がします。
もちろん、SAS70/18号のレポートに妥当性のない管理策が書かれてはいない(と期待してもいいかも知れない)でしょうが、建付けとしては、レポートを受け取った委託会社監査人が吟味した上で結論を出すべきことですから。
ところで、コメント中に「証明」「証明書」という言葉を使ってらっしゃいますが、それぞれ「保証」「報告書」の書き間違いですよね…。
by トレッグ (2010-06-26 08:04)