格付符号の付け方
格付審査の結果は、独立した格付委員会での審議を経て、符号の形で表されます。
それぞれの符号の定義は以下のように決まっています。
添え字の is は、Information Securityの頭文字を表します。
AAAis , Cis を除き AAis ~ Bis については+または-を含む3段階評価となるので、合計で17段階のランク付けとなります。
表の右側にある「要件」はどのような格付をつけるかの判断基準となるもので、 はマネジメントの成熟度に関する要件、 は対策の強度に関する要件です。コンプライアンスの視点は要件1・2それぞれに含まれます。この要件は、新たな脅威が生まれたり、それに対する有効な対抗策、対抗手段が出てきた場合など、必要に応じて変化することがあります。
符号 | 符号の定義 | 要件(定義の補足説明) |
---|---|---|
AAAis | リスク耐性は極めて高く、多くの優れた要素がある |
|
AAis | リスク耐性はかなり高く、優れた要素がある |
|
Ais | リスク耐性は高く、部分的に優れた要素がある |
|
BBBis | リスク耐性は十分であるが、将来環境が大きく変化する場合、新たな対策が必要である |
|
BBis | リスク耐性には注意すべき要素があり、将来環境が変化する場合、新たな対策が必要である |
|
Bis | リスク耐性に問題があり、絶えず注意すべき要素がある |
|
Cis | リスクが顕在化する可能性が極めて高い |
|
「格付の方向性」について
「格付の方向性」は、情報セキュリティ格付の中期的な方向性についてのアイ・エス・レーティングの意見です。
情報セキュリティ格付に関する見解をより明確な形で示すため、原則としてすべての格付に「格付の方向性」を付与します。
「格付の方向性」は、次の4種類の何れかの表記となります。
初回審査時 | |
---|---|
新規格付 | 最初の格付においては全て新規格付となります |
更新審査以降 | |
---|---|
ポジティブ | 今後、格上げの方向で見直す可能性が高いと判断する場合 |
安定的 | 当面変更の可能性が低い場合 |
ネガティブ | 格下げの方向で見直す可能性が高いと判断する場合 |
「格付の方向性」を「ポジティブ」あるいは「ネガティブ」としても、情報セキュリティ格付の変更を予告するものではありません。「安定的」としている審査対象部門についても、状況によっては、「格付の方向性」の変更なしに情報セキュリティ格付を変更することがあります。
「格付想定水準」について
「保有する情報資産の重要度に応じた格付想定水準」については、こちらをご覧ください。
格付の有効期間
情報セキュリティについては、対策の技術革新が進展する一方で、常に新たな脅威が生まれています。非常に影響の大きい新たな脅威が生まれた場合には、その対策をとらないと、以前のセキュリティレベルも維持できなくなります。このため、アイ・エス・レーティングの格付は、符号とともに格付取得日を明記し、その格付の有効期限は取得から1年間とします。従って、格付結果を公表し続けるためには、1年に1度、格付を受けなおしていただく必要があります。
格付結果の公表について
格付結果を公表するかどうかは、格付を受けた企業の自由な判断によりますが、以下の3つの方法が考えられます。
第1は格付結果を広く公表し、高い格付をPRすることで、外部の信頼を高めていく方法。
第2は格付結果を一般には公表しないが、取引先などから求められたら、その相手には結果を開示する方法。
第3は格付結果を外部には一切公表せず、現状認識と今後の改善のヒントとして社内で活用するという方法。改善後、次回の格付で高い評価が得られれば、公表することをお勧めします。