第１１回　「情報セキュリティ監査の重要性」

　この監査は、内部監査と、第三者機関等を活用した外部監査の大きく２つに分かれる。また、更に細かくみると、同じ組織内でも、図２のようになっている。

　システム管理者は、ユーザがシステムを適切に使用しているか、またシステム自体が正常に運用されているかを、またシステム管理責任者は、システム管理者がユーザやシステムを適切に管理運用しているかを監査し、さらに内部の監査実施者は、その対象システムや対象組織が、ポリシーや基準、手順書に従い、確実に対策を実施しているか、あるいは効果的に業務が実施されているか等も監査する。

　また、第三者機関は、内部監査の実施状況が適切であるか、各指摘事項が確実に改善されているか、その対象組織全体として情報セキュリティマネジメントが適切に実施できているか等を、高度な専門知識を元に、客観的な立場で監査する。

　各監査ごとに、問題点を明示し、改善していくことで、セキュリティレベルを適切に保ち、かつ向上していくのである。また、第三者機関に監査を依頼することで、より高度で専門的な監査が行え、同時に他組織の状況との比較や最新動向等の、内部監査だけでは分析されにくい客観的な評価結果も判明するのである。

情報セキュリティ監査制度とは

　専門家による監査実施の利点は、情報セキュリティマネジメントサイクルの確立ができていない組織に対しても、監査実施による的確な現状把握の為や、今後自組織が行うべき情報セキュリティ対策実施検討の参考情報収集の為などに、非常に有効なものである。しかし、その監査を実施できる高度な専門知識や技術をもった要員を、各組織で確保するのが困難な場合も多い。

　こうした外部監査実施のメリットを活発に活用できるように、経済産業省では２００３年４月から、「情報セキュリティ監査制度」を開始した。

　この制度では、情報セキュリティ監査を、「情報セキュリティに係わるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人（情報セキュリティ監査を行う主体）が独立かつ専門的な立場から、国際的にも整合性の取れた基準に従って検証または評価し、もって保証を与えあるいは助言を行う活動」と定義。そして、その目的を「情報技術」（IT）に関連するいわゆる情報システムのセキュリティだけではなく、より広く「情報資産」（information assets）全体のセキュリティを確保することとしている。

　この制度では、２つの基準と３つのガイドライン、そして２つのモデル（想定システムモデル）を定めている。

　その基準の１つである「情報セキュリティ管理基準」には、コントロール（JIS X 5080の管理策）とサブコントロール（JIS X 5080の管理策のガイダンス）があり、監査を実施するに当って、非常に具体的な監査ガイダンスも記載されている。従って、これまで各組織が情報セキュリティの監査を第三者委託しようとする場合の課題だった、監査項目や実施レベルのバラツキも抑制され、期待する監査内容と結果が得られ易くなっている。さらに、この結果、単なる価格優先での監査委託とは異なった選択指標となることも期待されている。

まとめ

　情報セキュリティ監査制度は始まったばかりで、これから企業台帳が整備される状況ではあるが、この制度の制定を機に、電子政府を構成する中央省庁や各自治体はもとより、情報セキュリティマネジメントが必要な民間組織でも、監査の検討・実施のニーズが増大することは必至である。

　情報セキュリティ監査の実施は、適切な情報セキュリティマネジメントの推進には必要不可欠なものである。また、その監査結果をもとに、情報セキュリティ対策を見直し、改善を行って、各組織が目指すセキュリティレベルに向上する必要がある。情報セキュリティ対策は、一朝一夕では実現するのは難しく、現状を的確に把握し改善を施しながら、スパイラルアップで実現するものである。