今日、必要に迫られて、経済産業省の情報セキュリティ関連政策である情報セキュリティ監査制度における「情報セキュリティ管理基準」というのを読んでいたら、なんというか、不思議な項目に出会った。

情報セキュリティ監査制度

http://www.meti.go.jp/policy/netsecurity/audit.htm

情報セキュリティ管理基準

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf

8.5.4 隠れチャネル（Covert channels）及びトロイの木馬（Trojan code）の危険性から保護するために、ソフトウェアの購入、使用及び修正を管理し、検査すること
8.5.4.1 プログラムは定評のある開発元のものだけを購入すること
8.5.4.2 コードの確認ができるようにソースコードでプログラムを購入すること
8.5.4.3 評価された製品を用いること
8.5.4.4 使用前にすべてのソースコードを検査すること

この第 8 項は「システムの開発及び保守」に関する項目なのだが、情報セキュリティという観点からすると、業務アプリケーションの開発だろうが、いわゆるオフィスアプリケーションであろうが同等に取り扱われて構わないはずである。

とすると、上記の全ての項目を満たすためには、定評のある開発元が開発したオープンソースを、ソースコードで購入して、評価・検査して使いましょうということになる。つまり、マイクロソフトだめじゃん、ということだ。

ホントにこれで、いいのか？