テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術統括部

【適合してみた】テリロジーの脆弱性診断サービスを情報セキュリティサービス基準に適合させてみた【安心安全対策】

エンジニア部隊へのお問い合わせはこちらまで


みなさま、こんにちは。C&S技術統括部 s.izuです。

 

この度、当社が提供している脆弱性診断サービス(安心安全対策サービス)が経産省(とIPA)が公開している情報セキュリティサービス基準適合サービスリスト(長い)に登録されました。

 

情報セキュリティサービス基準適合サービスリスト(長い)とは、民間企業が提供している脆弱性診断等の情報セキュリティサービスが登録されているリストです。耳の早い皆様なら既にご存知かとは思いますが、本邦はサイバーセキュリティ対策に国を挙げて取り組んでおります。

 

その政策の一環として経産省は民間企業が提供する情報セキュリティサービスの高度化に取り組んでおり、サービスの利用者と提供者のマッチングを円滑にするため、情報セキュリティサービス基準適合サービスリスト(長い)を作成・公開しております。

 

当社が提供している安心安全対策サービスプラットフォームとネットワークの両方のセキュリティレベルを診断するサービスです。お客様のIT環境にてお使いいただいているサーバーやアプリケーションの脆弱性を検出するとともに、ネットワーク機器の設定を分析することにより通信経路を全て棚卸して、不正な経路や想定外の経路を発見いたします

 

~ここまで前置き~

 

当社が提供する安心安全対策サービスを情報セキュリティサービス基準適合サービスリスト(長い)へ登録するにあたって、当社の技術部内にて有志を募り、プロジェクトチームを立ち上げました。

 

情報セキュリティサービス基準適合サービスリスト(長い)への登録にあたっては技術要件と品質管理要件を満たす必要があります。技術要件を満たせることはかなり早い段階で確認できたのですが、品質管理要件を満たせるかどうかが中々確認できませんでした。かくして「品質管理要件を満たしていることの確認」が当プロジェクトの成否の分水嶺となったのです。(結論から言うと当社の業務フローは情報セキュリティサービス基準適合サービスリスト(長い)が要求する品質管理要件を満たしていました。)

 

技術者である私にとっては品質管理という分野自体「重要であることは認識しているものの馴染みは薄い世界」でしたので右も左も分からない状態からスタートでした。調査の結果、情報セキュリティサービス基準の品質管理要件はISO9001をベースにしていると推測されたので、当社の管理部門の方々に教えを請いつつ不慣れな手つきでISO9001の入門書のページをめくり、品質管理に対する朧気な理解と当社の業務フローと突き合わせることにしました。このような格闘の末、なんとか当社の業務フローが品質管理要件に適合していることを確認できたのです。

 

当プロジェクトは非常に困難でした。大きい会社さんなら外部のコンサルさんに外注することが出来るんでしょうが、なぜかウチでは技術部がやることになった…なぜ…why…思い出しても思い出せない…。しかし私は今回のプロジェクトを通じて、世界の見方が変わりました。なぜなら品質管理に携わる方々へナフリスペクトを抱くに至ったからです。

 

─────品質管理。それはありとあらゆる業務のマスターピース。
──────ビジネスの基本はここにあり。そしてそれは…

 

おしまい

お問い合わせはこちらまで
エンジニア部隊に直接つながります
コンタクト