インターネットを利用したオンラインバンキングやオンライン証券取引等、オープンなネットワークを活用した新しい金融サービスを提供する金融機関が増えており、金融ネットワークのオープン化が進展している。このため、金融分野では、暗号技術等を利用した情報セキュリティ対策の実施が喫緊の課題として位置付けられている。
金融機関が情報セキュリティ対策を検討する場合、ISOやIEC等の国際標準化団体によって策定された標準規格や技術文書が参考になる。例えば、欧米では、金融業務における情報セキュリティ対策の指針ISO/TR 13569が、金融機関による情報セキュリティ対策に関する有用な資料として利用されている。
最近では、第三者機関による情報セキュリティ製品・システムやその管理・運用体制に対する評価・認定の枠組みが整備されつつある。情報セキュリティ製品やシステムの評価基準ISO/IEC 15408が1999年6月に国際標準化されており、現在、本標準に基づく評価スキームとしてCEMの検討が進められている。
また、情報セキュリティ管理に第三者機関による評価制度を導入した、英国国内の情報セキュリティ対策の指針であるBS 7799は、従来から欧州の金融機関をはじめとして幅広く利用されていたが、1998年には、BS 7799に基づく評価・認定スキームとしてc:cureが発足している。
このように、情報セキュリティに関する指針に加えて、情報セキュリティ製品・システムやその管理・運用体制に対する評価・認定の枠組みが整備されつつある。情報セキュリティ評価・認定のスキームは、企業が情報システムのセキュリティ対策を検討する際の有効な手段であり、今後幅広い分野において利用されるようになると考えられる。金融分野においても、有効なセキュリティ対策の実現に向けて、情報セキュリティ評価・認定のスキームを活用していくことも考えられる。
キーワード:情報セキュリティ、国際標準、ISO/TR 13569、ISO/IEC 15408、BS7799、コモンクライテリア、CEM、c:cure
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。