セキュリティの向上について。

セキュリティ技術を向上させる、ということは、小さな企業にとっては直接利益には繋がらず、冗長なことだと思われがちですが、大きな企業はセキュリティに関する技術を極めていくことで、戦略的な対策を練りやすい環境を作ることができるようになります。貴重な情報が流出しない、という絶対的な事実があれば、どんな仕事でも行っていくことができますし、多少踏み込んだ開発を進めることも可能です。

ISO15408は情報セキュリティ技術に対する基準の国際規格ですが、それを細かく分類していくと、品質保証レベルにたどり着きます。具体的な内容は、情報システムや製品に組み込まれている情報システムの質についてです。品質保証レベルは最低のEALが1、最高は7まであり、EAL1は機能に対する保証、レベルが上がるごとに物理的なシステムの保証から論理的なシステムの保証に移り変わります。物理的な技術の品質が保証されるのは、日本では当たり前のことになっていますが、EALが上がるごとに、保証することに対する証明の仕方が難しくなっていくのではないか、と感じました。実際にそのような業務に携わったわけではありませんが、物理的な機能をチェックすることは容易に想像できても、論理的なことを正しい、品質が良い、と証明することは一体どういうことなのか、頭をひねってしまいました。