セキュリティー認証、読み間違えれば選定ミスに

2026年4月7日 (火)

>> [pdf]この記事を印刷する（PDF）[/pdf]

話題委託先がセキュリティー認証を取得しているかどうかは、荷主がベンダーを選ぶ際の判断材料の一つになっている。だが「認証あり」だけで安心すれば、判断を誤る。

認証制度にはそれぞれ評価の対象と範囲がある。個人情報の管理だけを見るもの、組織の体制だけを見るもの、特定サービスの運用実態を第三者が検証するもの、IT製品の安全機能を評価するもの。一つの認証が全てをカバーすることはない。制度の違いを知らずにWMS（倉庫管理システム）やシステムの委託先を選べば、認証で保証されていない領域のリスクを見落としたまま契約することになる。

主な認証制度を比較した。

▲認証制度の比較表（クリックで拡大）

Pマーク（プライバシーマーク）は、日本情報経済社会推進協会（JIPDEC）が運営する個人情報保護の認証制度だ。物流企業が顧客の配送先情報を扱う場面では意味がある。だがWMSの可用性やネットワークの堅牢性は評価の範囲外だ。Pマークがあるからシステムが安全だとは言えない。

ISMS（情報セキュリティーマネジメントシステム）は、ISO/IEC 27001に基づく国際規格で、組織全体の情報セキュリティー管理体制を認証する。機密性、完全性、可用性の3つの観点からリスクを管理する仕組みが整っているかを審査する。物流ITベンダーの間では取得が広がっている。ただし対象が「組織全体の管理体制」であるため、WMSという個別のサービスが実際にどう運用されているかまでは踏み込みにくい。

では、個別のサービスの運用実態まで第三者が検証する仕組みはあるのか。それがSOC2だ。

SOC2は、米国公認会計士協会（AICPA）の基準に基づき、特定のサービスやシステムを対象にセキュリティー統制の設計と運用を検証する。独立した監査法人が評価し、保証報告書として発行する。Type1は特定時点の設計の適切性、Type2は一定期間にわたる運用実績まで検証する。ISMSでは見えない「そのサービスの統制が実際に動いているか」を第三者が確認する仕組みだ。

新制度でも埋まらない認証の空白

組織の体制、サービスの運用。ここまでは「人と仕組み」を評価する制度だ。だがIT製品そのもののセキュリティー機能を評価する層は、また別にある。

コモンクライテリア（CC）は、ISO/IEC 15408として国際標準化されたIT製品のセキュリティー評価基準だ。国内では情報処理推進機構（IPA）が認証機関を務める「ITセキュリティ評価及び認証制度」（JISEC）として運営されている。複合機、ICカード、スイッチ、ルーター、ネットワークカメラなど、IT製品のセキュリティー機能が設計どおりに実装されているかを第三者の評価機関が検証する。

2001年に創設され、03年には国際相互承認協定（CCRA）に加盟した。認証された製品は加盟国間で通用する。JISECは主に政府調達で活用されてきた制度だが、WMSが稼働するサーバーやネットワーク機器など、システムの「部品」の安全性を客観的に確認する手段になる。組織の管理体制を見るISMS、サービスの運用を検証するSOC2とは、評価の層が違う。

ここまでを整理すると、認証制度の評価対象は3つの層に分かれる。逆に、複数の認証を取得していても、それは一定の時点や期間の評価であり、取得後の運用を恒久的に保証するものでもない。

▲セキュリティー認証の3層構造のイメージ

一つの認証で3つの層は埋まらない。逆に、複数の認証を取得していても、それは一定の時点や期間の評価であり、取得後の運用を恒久的に保証するものでもない。

本年度末には、経済産業省と内閣官房が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）の運用が始まる見通しだ。サプライチェーンを構成する企業のIT基盤を対象に、対策水準を3つ星から5つ星の段階で可視化する。まず3つ星と4つ星から始め、5つ星は27年度以降に検討する方針だ。各社がばらばらのフォーマットで運用してきたセキュリティーチェックシートに代わる共通の「ものさし」になる可能性がある。

だが、この新制度も万能ではない。SCS評価制度の対象はサプライチェーン企業のIT基盤（クラウド環境を含む）であり、OTシステム（工場の制御システムなど）は範囲外だ。IT基盤全体の対策水準は測れても、WMSのような個別サービスの運用統制が実際に機能しているかまでは踏み込まない。WMSの安全性を見るには、SOC2やCC/JISECなど別の制度を組み合わせるしかない。経産省自身もISMSとの「相互補完的な発展」を想定している。新しい制度ができたから安心だ、とはならない。

認証制度は、委託先の安全性を確認するための道具であって、安全そのものではない。どの認証がどの層を評価しているのかを理解せずに「認証あり」で選べば、保証されていない領域のリスクをそのまま抱え込むことになる。止まっては困るWMSを選ぶ場面で、その認証が本当にWMSの運用まで見ているかどうか。そこを見極めずに契約すれば、認証のある委託先を選んだのに物流が止まる、という事態は十分に起こりうる。