COLUMN COLUMN
2022.12.1 /
情報資産の安全管理に不可欠な「情報セキュリティ監査」とは
企業では個人情報や取引先情報など様々な情報を扱っており、その社会的価値から「情報資産」とも呼ばれます。
また個人情報保護法の施行により、企業も情報資産の取り扱いについて重視するようになったものの、実際にセキュリティに関する具体的な対策は進んでいるとは言い難い状況です。
そんな中で昨今情報資産の取り扱い方を見直す方法として「情報セキュリティ監査」が注目されています。
「情報セキュリティ監査」とは、企業や組織内のシステムが社内の情報資産を保護できる適切なレベルでなされているか、その安全性や信頼性などを外部の専門家などの第三者によって検証及び評価してもらうことをいいます。
「情報セキュリティ監査」とはどのような基準をもって実施し、どのようなポイントを重視するべきかについて解説します。
情報セキュリティ監査の必要性
日本国内では、情報セキュリティ監査を実際におこなう組織はまだまだ少なく、特に中小企業においてその傾向は強いです。
IPA(独立行政法人 情報処理推進機構)の「2016年度中小企業における情報セキュリティ対策の実態調査」報告書では、中小企業における情報セキュリティ監査(外部監査)の実施率は3.1%に過ぎず、企業規模が小さいほど実施率が下がる傾向となっています。
一方、最近発生している情報セキュリティインシデントでは、適切な情報セキュリティ対策が取られていないことが原因となっていることも多く、最新のセキュリティパッチが適用されていれば防げていたかもしれない、セキュリティホールを突いたサイバー攻撃により個人情報漏えいや不正アクセスによる機密情報が盗まれるなどの事故が発生しています。
こうした問題は大企業だけの問題ではありません。
近年ではサプライチェーンに対する攻撃が活発となっていて、大企業と提携している中小企業の情報セキュリティの脆弱性を突くことで大企業への攻撃の踏み台とされるなど、企業規模に関わらず適切な情報セキュリティ対策を徹底する必要があります。
そういった情報セキュリティ対策の状況を検証・確認する手段として注目されているのが「情報セキュリティ監査」です。
情報セキュリティ監査の実施は、テレワークの普及など近年の業務環境の変化に対応して適切な情報セキュリティマネジメントができているか外部から評価を受けるために有効な手段でもあり、第三者に対する安全性のアピールにもなります。
さらに、情報セキュリティに対する社内スタッフの意識を高めることにも繋がることから、情報セキュリティ監査は、企業規模に関係なく実施する必要性・有用性の高い監査といえます。
情報セキュリティ監査制度のポイント
経済産業省が進める「情報セキュリティ監査制度」は政府・地方自治体等だけでなく一般企業での情報セキュリティ対策の監査を目的としており、以下の4つをポイントとしています。
1.監査対象及び監査する上での視点
情報システムにとどまらず、情報資産全体に対するセキュリティ管理が監査の対象とし、かつ監査対象に対する適切なセキュリティマネジメントサイクルが構築され、対策がなされているかに視点を置き監査を実施する必要があります。
- 監査の対象
情報セキュリティ関連の脅威は、攻撃技術や社会の労働環境の動向などにより日々変化し続けるものです。
また、発生する情報セキュリティインシデントは組織内のスタッフが原因となっていることも多く、組織外からの攻撃だけでなく組織内での行動にも注目する必要があります。
そのためまず組織内の情報セキュリティマネジメントサイクルを設計し、実施・検証をもとに修正しながらさらに再設計していく、というPDCAサイクルを回し続けることが重要となります。
情報セキュリティ監査は、このマネジメントサイクルが適切に構築されているか、サイクルの中に改善のプロセスが含まれているかなどの視点から実施する必要があります。
組織内の情報資産へのリスクアセスメントやその結果をもとに対策の実施状況が適切におこなわれているかなどの監査がおこなわれます。
また、リスクアセスメントそのものが適切かつ効果的なものとして構築されているかについても監査をおこないます。
2.監査方式が多彩
情報セキュリティ監査をおこなうべき組織には、大企業から中小企業、中央省庁から地方自治体などその組織の規模、情報システムの種類、情報資産の量、予算規模などがあり、一口に情報セキュリティ監査といっても様々な条件が考えられます。
情報セキュリティ監査にはそれらの条件にあわせて保証型監査や助言型監査、組織全体や一部の部署での監査など、ニーズに合わせた多様な監査の方法を選択できます。
- 助言型監査
監査対象の組織の情報セキュリティ関連のマネジメントや管理方法の改善を目的として、監査対象のセキュリティ上の問題点を探し出し、必要に応じて改善提案をおこなう監査形態を「助言型監査」といいます。
このような監査方法は世界的にみても一般的とされています。
- 保証型監査
監査対象の組織の情報セキュリティ関連のマネジメントや管理方法、が設定した基準に基づいた監査を実施した限りにおいて適切であることを通知する監査形態を「保証型監査」といいます。
例えば、取引相手などからの要望や取引条件から、実施している情報セキュリティ対策の有効性にお墨付きを得たい場合、実現すべき条件や対策レベルに合わせた監査をおこなうのが保証型監査といえます。
国内の様々な組織の情報セキュリティ対策の状況を考えると、最初は助言型監査をおこないながら徐々にレベルを向上させ、また必要に応じて部分的に保証を出しつつ、あるレベルに達したら組織全体に対して保証型監査を行うという流れが必要と考えられます。
- 外部目的と内部目的の監査
「情報セキュリティ監査」を実施する(受ける)目的には、経営者などが自社の経営判断の指標として利用する場合(内部目的)と、経営者などが外部の取引先などの利害関係者に対して監査結果を示したい場合(外部目的)の2つがあります。
前述の助言型監査は主に内部目的に利用され、保証型監査は主に外部目的に利用されることが多いとされています。
一般に、外部目的の監査は外部の者によって行われることが原則となりますが、内部目的の監査を行う場合の監査主体は外部でも内部でもよく、原則としてその選択は被監査主体に委ねられます。
とはいうものの、政府や地方自治体など公共性の高い組織や大量の個人情報を取り使う大企業などでは、国民の権利等を守るという必要性から、たとえ内部目的の監査であっても、外部監査を受けるべきといえます。
3.標準的な監査基準
「監査基準」とは、「情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範」と定義され、国の基準に定められています。
情報セキュリティ監査をおこない際の判断基準となる「情報セキュリティ管理基準」は、「JISX 5080:2002(情報技術-情報セキュリティマネジメントの実践のための規範)」をベースにして、132のコントロール(管理策)とさらにそれらを細分化した952のサブコントロールから成り立っています。
監査主体は監査対象の組織のセキュリティ管理状況を情報セキュリティ管理基準に沿って確認・検証します。
「情報セキュリティ管理基準」はあくまでも対象となる組織ごとの管理基準を策定する際のリファレンスとして使用するもので、監査すべき内容などと合わせて検討し、項目の追加や削除をして、組織に合った管理基準を策定・活用します。
また、対象となる組織に既に情報セキュリティに関する管理基準などがある場合は、現状その管理基準などに準拠しているかの監査と、監査人が策定した理想的とされる管理基準と現状の管理基準などとの差を確認・検証するという2つの監査が行われることが多くあります。
また、監査基準では監査方法や管理方法だけでなく、報告基準も規定しておく必要があります。検証の結果分かった問題点などについてどのような形式で報告するか、問題点の解説や対策案などについてもどのように報告するかも将来的な改善に活かせるよう、事前に検討し決定しておくべきでしょう。
4.独立した監査主体
経済産業省が主導して作成した「情報セキュリティ監査企業台帳」(台帳制度は令和2年3月31日で廃止となり、以降は情報セキュリティサービス審査登録制度に切り替え)に登録された一定の要件を満たした独立した企業や団体などの専門家が監査をおこなっています。
「情報セキュリティ監査」を実施できる人材を確保し、監査主体の質を向上させていく、またその流れを継続するための仕組みづくりについて日本はまだ遅れており、いまだその途中といえます。
経済産業省では以下のような点に注意して進めています。
・監査担当者のための教育の継続
・監査ノウハウの蓄積
・監査企業に対するレビュー
・監査基準類の改訂や改善
・監査関連で発生する紛争の処理
- 情報セキュリティ監査に従事する個人の質の確保
また、監査セキュリティ監査をおこなう担当者の質を確保するには、資格制度を作ることが有効な仕組みと言えますが、資格の乱立はあまり望ましくないため、既存の国家資格(システム監査技術者、情報セキュリティアドミニストレータ)や民間の資格(公認システム監査人、ISMS主任審査員、公認情報システム監査人)などとの親和性も含めて、実務的かつ新たな技能を教育し続けられるような方法を検討しています。
最後に
情報セキュリティ監査は、サイバー攻撃が激化・高度化した現代社会では組織の規模に関わらず実施すべきものですが、その実施形態や規模は組織ごとに検証が必要です。できれば専門の知識を持った企業などにコンサルティングを受けて、適切な監査を実施するためにどのような準備が必要なのか相談し、監査方法を構築していくことが必要です。