どうも、サイバ課長サイよー。
1957年に設立し、今年で60周年を迎える「一般財団法人日本品質保証機構(JQA)」。第三者認証機関のフロントランナーとして長い歴史と日本最大級の認証実績を持つ団体サイよ。 JQAの認証制度でよく耳にするのは「JISマーク」サイね。土木や建築、一般機械、電子機器などの分野を対象に、日本工業規格に適合しているものを認証するサイ。
今回は、建物の品質をチェックしているJQAだからこその視点から、サイバーセキュリティについて聞いてみようと思うサイよ。取材に応じてくれたのは検査員の上野天徳(うえのたかなり)主査。
ごめんくだサーイ。
インフラストラクチャーの認証事業
JQAの歴史について教えてくだサイ。
上野天徳氏(以下、上野)
1957年に輸出検査法による指定機関として、「財団法人日本機械金属検査協会(JMI)」として設立されたのが始まりです。
通産省認可のもと、日本の輸出品における質を高めることを目的とし、製品検査を実施していました。1990年にISO9000シリーズの認証を開始し、1993年に名称を「財団法人日本品質保証機構(JQA)」へと変更、2011年に一般財団法人へ移行しました。
具体的な事業内容は?
上野
大きく分けて3つの認証サービスとサポートがあります。1つ目は「マネジメントシステム」。組織の持続的発展と社会的信頼の向上をサポートするもので、ISO9001やISO14001の認証件数は国内最多。合計の認証件数は約12,000件と、国内最大級の認証機関となっています。
2つ目は「製品・材料・設備」。信頼性と安全性の向上をサポートするもので、「JISマーク」の認証もこれに当たります。また、電気製品や医療機器の認証・試験、計測器の校正、計量器の検定、建設材料・機械製品の試験・検査、データセンター等の安全対策検査なども事業内容です。
3つ目は「環境への取り組み」です。気候変動対策といった社会課題の解決に取り組む組織が公表する環境情報を、国際的な基準等に基づいて第三者検証を行い、社会における信頼づくりを支援しています。
安定稼働が価値を生む
サイバーセキュリティについては、どのように保全してくサイか?
上野
当機構はあくまで「建物及び付帯設備」を軸に考えます。データセンターを運営する事業者に対して「データセンター安全対策適合証」を発行しています。
例えばどんなところをチェックするサイか?
上野
まず立地条件の確認です。火災、地震、津波、高潮、出水、重塩害、放射能汚染など、あらゆる災害が起きても情報システムを守ることが可能な立地が求められます。災害などの発生しやすい地域に立地せざるを得ない場合は、災害などに対する適切な対応策を講じることが必要となります。
鍵の管理も重要です。データセンターの建物の出入口の鍵、特に複数本存在するマスターキーをそれぞれ誰が管理しているのかを把握しておく必要があります。また、鍵を管理するキーボックスにも鍵があるのですが、キーボックスの鍵の管理まで行き届いているかが重要なポイントになります。
建物そのものでいうと、何に気を付けるべきか教えてくだサイ。
上野
建物は、建築基準法で規定する耐火建築物でなければなりません。また、建物の出入口の扉は十分な強度がある特定防火設備にする必要があります。これはテロ対策でもあり、例えば爆発物や車での突入を想定します。また、公道に面するような外壁等は強度を持たせる必要があり、外部から容易に接近できる1 階の窓ガラスには、防犯フィルムを貼付するなどの防犯対策が必要となります。
情報システムは水に弱いので、情報システムを設置するコンピュータ室の上階の床板を防水施工するなど、浸水を防ぐことも大事です。私たちは「情報システムの安定稼働が価値を生む」と考えています。コンピュータに電気が通らなくなることは決して安定稼働とはいえません。当然、電源対策として、UPSを設置したり、自家発電設備を設置したりする対策も必要ですが、それに加えて、塵埃対策やネズミなどの小動物対策も施さなければなりません。
17の事業所が適合証明取得
それだけしっかりした基準で認証すれば安心だけれど、建設には相当なコストがかかりそうサイね。
上野
そうですね。既存建物を改築して適合条件を満たすことは容易なことではありません。実際には、新築でデータセンターを建設する際に、条件を満たして建てるケースが多いという状況になっています。設計の段階から私たちも参加し、お手伝いすることもあります。
安全対策を継続する施策はあるサイか?
上野
はい。1年に1度、維持運用検査に合わせて設備変更検査も実施しています。その際には、運用基準の全ての項目と、設備に変更があった箇所のみを検査します。3年に1度は更新検査を実施しています。この時は情報システム安全対策基準の全て、つまり、設備基準及び運用基準の全ての項目を検査します。
建築基準法は「人と財産を守る」ことを目的としていますが、一方で情報システム安全対策基準は「人と情報システムを守る」ことを目的としています。建築基準法に加えて、情報システムをいかに安定稼働させるかという観点が重要なポイントになりますので、建築基準法の耐火建築物に準拠しているというだけでは、データセンター安全対策適合証明を取得できないということになります。
現在、データセンター安全対策適合証明事業所はいくつあるサイか?
上野
もっとも古い取得で2009年からです。北海道から沖縄まで、17の事業所が取得しており、25の適合証を発行しています。
なるほど。建物からサイバーセキュリティの安全対策をするから、より安全に情報システムを守ることができるサイね。
最後に
日本は災害の多い国。どんな状況でも情報を壊さないために、建物の対策は必要だと感じるサイよ。ありがとうございました!
団体概要
社名 | 一般財団法人日本品質保証機構(略称 JQA) Japan Quality Assurance Organization |
---|---|
所在地 | 〒101-8555 東京都千代田区神田須田町1-25 |
設立 | 1957年(昭和32年)10月28日 |
事業内容 | 公正な第三者認証機関として、マネジメントシステム・製品・環境等に関する認証・試験・検査等を実施。 |