お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

第11回 「情報セキュリティ監査の重要性」

2003/06/18 10:00
  • このエントリーをはてなブックマークに追加

 情報セキュリティ対策を適切に実施するには、計画した内容が確実に導入され、適切に運用されているかをチェックする必要がある。第5回に取り上げたISMS認証基準(Ver2.0)では、図1のように「PLAN」「DO」「CHECK」「ACT」の、4つのフェーズでセキュリティ対策を行うべきとされている。今回取り上げる情報セキュリティ監査は、この3番目のフェーズに位置する「CHECK」にあたるものである。

図1.ISMSにおけるPDMSサイクル

情報セキュリティ監査とは

 「情報セキュリティ監査」は、ISMS認証基準(Ver2.0)や、そのベースとなっているBS7799-2:2002では、以下のように定義されている。

-------
各組織の情報セキュリティポリシーやセキュリティ対策目標、実施の実情、プロセスの実施状況を評価し、可能な場合これを測定し、見直しするために、その結果を経営陣に報告すること。
-------

 この監査は定期的に実施し、かつ必要に応じて行うことが重要である。そして、計画の見直しや実施策の為の予算申請、人員体制等を考慮すると、やはり年に1回は実施することが推奨される。また、システムの新規導入や更新、技術革新の動向変化や組織変更等が発生した時にも、臨機応変に対応できるよう、必要に応じて随時変更し、見直しが可能な仕組みにすることが必要である。

図2.監査対象と監査実施者の関係

 この監査は、内部監査と、第三者機関等を活用した外部監査の大きく2つに分かれる。また、更に細かくみると、同じ組織内でも、図2のようになっている。

 システム管理者は、ユーザがシステムを適切に使用しているか、またシステム自体が正常に運用されているかを、またシステム管理責任者は、システム管理者がユーザやシステムを適切に管理運用しているかを監査し、さらに内部の監査実施者は、その対象システムや対象組織が、ポリシーや基準、手順書に従い、確実に対策を実施しているか、あるいは効果的に業務が実施されているか等も監査する。

 また、第三者機関は、内部監査の実施状況が適切であるか、各指摘事項が確実に改善されているか、その対象組織全体として情報セキュリティマネジメントが適切に実施できているか等を、高度な専門知識を元に、客観的な立場で監査する。

 各監査ごとに、問題点を明示し、改善していくことで、セキュリティレベルを適切に保ち、かつ向上していくのである。また、第三者機関に監査を依頼することで、より高度で専門的な監査が行え、同時に他組織の状況との比較や最新動向等の、内部監査だけでは分析されにくい客観的な評価結果も判明するのである。

情報セキュリティ監査制度とは

 専門家による監査実施の利点は、情報セキュリティマネジメントサイクルの確立ができていない組織に対しても、監査実施による的確な現状把握の為や、今後自組織が行うべき情報セキュリティ対策実施検討の参考情報収集の為などに、非常に有効なものである。しかし、その監査を実施できる高度な専門知識や技術をもった要員を、各組織で確保するのが困難な場合も多い。

 こうした外部監査実施のメリットを活発に活用できるように、経済産業省では2003年4月から、「情報セキュリティ監査制度」を開始した。

 この制度では、情報セキュリティ監査を、「情報セキュリティに係わるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人(情報セキュリティ監査を行う主体)が独立かつ専門的な立場から、国際的にも整合性の取れた基準に従って検証または評価し、もって保証を与えあるいは助言を行う活動」と定義。そして、その目的を「情報技術」(IT)に関連するいわゆる情報システムのセキュリティだけではなく、より広く「情報資産」(information assets)全体のセキュリティを確保することとしている。

 この制度では、2つの基準と3つのガイドライン、そして2つのモデル(想定システムモデル)を定めている。

 その基準の1つである「情報セキュリティ管理基準」には、コントロール(JIS X 5080の管理策)とサブコントロール(JIS X 5080の管理策のガイダンス)があり、監査を実施するに当って、非常に具体的な監査ガイダンスも記載されている。従って、これまで各組織が情報セキュリティの監査を第三者委託しようとする場合の課題だった、監査項目や実施レベルのバラツキも抑制され、期待する監査内容と結果が得られ易くなっている。さらに、この結果、単なる価格優先での監査委託とは異なった選択指標となることも期待されている。

まとめ

 情報セキュリティ監査制度は始まったばかりで、これから企業台帳が整備される状況ではあるが、この制度の制定を機に、電子政府を構成する中央省庁や各自治体はもとより、情報セキュリティマネジメントが必要な民間組織でも、監査の検討・実施のニーズが増大することは必至である。

 情報セキュリティ監査の実施は、適切な情報セキュリティマネジメントの推進には必要不可欠なものである。また、その監査結果をもとに、情報セキュリティ対策を見直し、改善を行って、各組織が目指すセキュリティレベルに向上する必要がある。情報セキュリティ対策は、一朝一夕では実現するのは難しく、現状を的確に把握し改善を施しながら、スパイラルアップで実現するものである。

筆者略歴
宮地 章
株式会社 富士総合研究所
システムコンサルティング部 シニアコンサルタント

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社