自分の会社でもセキュリティ診断を実施している。
(社内リソースでやるのはスキル的に無理があるので、ベンダー選定をして、選定した某ベンダーにいつもお願いしている)
んでせっかく標準化したので、おとなしくそこを使ってくれればいいのに、
「開発ベンダーさんでやってくれると言っているので・・・」
とか
「選定ベンダーじゃない別の会社のほうが安いので・・・」
とか、いろいろ意見してくれる人が出てくる。
基本的にセキュリティ診断は、ツールを使って実施するが、これもオープンソースから有償ツールまでピンキリである。
かけるコストが異なれば、当然価格にもピンキリの差が出てくるので、雑な診断結果だけど安いという、安かろう悪かろうのベンダーが存在する。
んで、個人的にはこういう安かろう悪かろうのベンダーは排除したいのだが、排除すべきか否かの判断基準が結構難しく、これまでは「しっかりとレポート出してくれる(具体的にどこに脆弱性があり、どう改善すれば治るのかまで説明してくれる)会社」とか言いつつ、それなりに規模が大きかったり、業界的に有名な企業であれば黙認してきた。
んで、これらの一助になろうであろうドキュメントがIPAからリリースされた。
それが、情報セキュリティサービス基準適合サービスリスト
以前、経済産業省が、情報セキュリティサービス基準というドキュメントをリリースしたのですが、この基準を満たした企業をIPAが認定して公表しましょうというのが、サービスリスト。
分野は下記の4つ
・情報セキュリティ監査サービス
・脆弱性診断サービス (※セキュリティ診断サービスにしてほしかったな・・・)
・デジタルフォレンジックサービス
・セキュリティ監視・運用サービス
んで、2018年7月時点で、脆弱性診断サービスの領域で掲載されているのは以下の会社。
・エヌ・ティ・ティ・データ先端技術株式会社
・株式会社ラック
・株式会社ユービーセキュア
・株式会社サイバーディフェンス研究所
・株式会社ディアイティ
・NECソリューションイノベータ株式会社
・NRIセキュアテクノロジーズ株式会社
・アビームコンサルティング株式会社
・株式会社インフォセック
・株式会社シーイーシー
・デロイト トーマツ リスクサービス株式会社
・三菱電機インフォメーションネットワーク株式会社
・株式会社日立システムズ
・富士通株式会社
現在採用中の会社が含まれていたのが不幸中の幸い、いや、渡りに船。
今後はこのリストにある会社の脆弱性診断であれば許可する方針。
ではでは。
【参考】
情報セキュリティサービス基準及び情報セキュリティサービスに関する審査登録機関基準を策定しました(経済産業省)
情報セキュリティサービス基準適合サービスリストの公開及び情報セキュリティサービスの提供状況の調査における審査登録機関の募集について(IPA)