ITmedia エンタープライズ：有効性を左右するのは監査受け手の積極性――情報セキュリティ監査制度

ニュース
2004/02/20 20:47:00 更新

有効性を左右するのは監査受け手の積極性――情報セキュリティ監査制度

2003年4月から経産省は「情報セキュリティ監査制度」を設けている。法的根拠のない監査制度だが、どのような意味を持っているのだろうか？

　「この制度は自己責任の世界。経産省は情報を開示するだけ。この方が自分たちで勉強するようになり、セキュリティレベルがおのずと向上する」。コシダテックとエス・エス・アイ・ジェイ（SSIJ）が主催する第5回情報セキュリティ対策セミナーで、日本セキュリティ監査協会（JASA）の顧問を勤める弁護士の北沢義博氏は、情報セキュリティ監査制度をこのように評価する。

　情報セキュリティ監査制度は昨年4月、経産省によって制度運用が開始された。情報資産のマネジメントの有効性を評価するための制度で、民間企業を問わず国や自治体も利用できるよう、経産省が客観的な基準を定めた。ISMS適合性評価など情報セキュリティ評価の仕組みは整ってきたものの、専門家に有効性を評価させ継続的にセキュリティ対策を向上させる監査制度の整備が遅れているためだ。

　この制度の中で一番のポイントとなるのが、「情報セキュリティ監査企業台帳」と呼ばれる制度。監査主体となりたい企業を任意登録できる仕組みだ。

　「登録要件はすごく低い」と北沢氏が指摘するように、基本的には（1）独立かつ専門的な立場から情報セキュリティ監査を行う企業であることを自己宣伝し、（2）他人の求めに応じて、定められた基準に従って情報セキュリティ監査を行えれば、台帳登録を申告できる。制度スタートとなった昨年は2度の登録受付が行われたが、今年からは年に1回、6月に登録を受け付ける。Webで公開されている台帳を見ると、現在200社近い登録が行われている。

　「監査する第三者を経産省がオーソライズしただけで、台帳に載っていても何の保証もない」のだが、その分、監査を受ける側が真剣に監査主体を選び、セキュリティレベルについての意識も強まるというのが北沢氏の見方だ。

保証型よりも助言型

　経産省および財団法人日本情報処理開発協会（JIPDEC）がお墨付きを与えるISMS適合性評価と比べて、この監査制度には合格／不合格がないため段階的にセキュリティレベルを上げていことができる。この制度が保証型ではなく、助言型を重視しているのにはこのような理由がある。

　北沢氏に続いて講演したSSIJの小林達司取締役によると、情報セキュリティ監査制度は、結果を外部公表するためや適正な助言を求めるために企業は利用できるという。ISMS認証取得レベル（成熟度レベル3）以上であれば、リスク管理体制を積極的に公開することでメリットを得ることができ、セキュリティポリシーがなかったり、未熟な場合は、ポリシーを策定することと同じ意味を持ってくる。

　ただ監査というのは、受け手側がいかに積極的に取り組むかで意味が変わってくるものでもある。監査する第三者は、監査する側のことをよく知らないからだ。「情報を出し方が重要になってくる」と北沢氏は指摘する。

　「監査というのは、弱いところをさらすことで助言をもらうことに意味があるのです」

　小林氏も「被監査主体の取り組み姿勢によって、監査の有効性が大きく左右される。積極的に取り組む必要がある」と同様の指摘をしている。

関連リンク

[堀哲也，ITmedia]