“ユーザー視点”の情報セキュリティ監査、普及のカギを握るのは？：企業セキュリティ古今東西（3/3 ページ）

[富永康信（ロビンソン），ITmedia]

ISMSは汎用的、保証型セキュリティ監査は個別的

　ここで改めて、ISMS（情報セキュリティマネジメントシステム）適合性評価制度と保証型情報セキュリティ監査の違いについてまとめると、表1のようになる。

表1●ISMS適合性評価制度と保証型情報セキュリティ監査の違い

制度	ISMS適合性評価制度	保証型情報セキュリティ監査
制度利用の目的	情報セキュリティマネジメントシステムの認証	顧客などが期待する情報セキュリティマネジメントの整備・運用状況の保証
目指すべきセキュリティ水準	経営者が目指す水準	顧客などが期待する水準
対象範囲	組織体（*1）を中心に特定業務・サービスなど	特定業務・サービスなどを中心に組織体（*1）
評価に用いる基準	JIS Q 27001（包括的）	情報セキュリティ管理基準などを参照し作成された個別管理基準（個別的）
評価者	審査員（第三者評価）	監査人（第三者評価）
評価のアウトプット	ISMS認証登録証	保証意見
*1：組織体とは、組織の全部／一部／複合組織を指す。複合組織とは、複数の連携した組織群をグループとして評価するケースを指す

　ISMS適合性評価制度は、組織の全部または一部を中心に、特定業務／サービスなどを対象範囲として認証の取得が可能だ。ISMS認証基準であるJIS Q 27001の要求事項に適合しているかどうかが評価され、認証取得する側の状況に応じてこの基準を作り変えることはできない。ただ、ISMS認証を取得するための要求事項には、必須のものと除外可能なものがあり、その際にはその管理策がなぜ必要で、なぜ不要かの根拠を、リスクアセスメントの結果に基づいて示すことが求められる。そして、経営陣や責任者が判断して正式に残留リスクの受容が決定されたことを示す証拠を、文書（適用宣言書）に記載する必要がある。

　一方、保証型情報セキュリティ監査では、特定の業務／サービスなどを対象範囲として監査が行われるが、評価に用いる基準は、顧客など監査報告書利用者の期待する情報セキュリティ水準に応じて被監査組織などが作成した個別管理基準である。監査ではこれに対応した個別の監査手続きが作成され、脆弱性対策やアクセス制御などの技術的部分についてより詳細な監査が、あるいは業界特有のリスクに対応した個別管理基準に対して監査が行われるものである。

　つまり、ISMS適合性評価制度は汎用的、網羅的、包括的な評価であるのに対し、保証型情報セキュリティ監査は、監査報告書利用者の期待に対応した、より詳細かつ個別的な評価（監査）が行われることになる。

　「情報セキュリティ監査では、制度自体に解を求めるのではなく、監査報告書を利用する利用者を明確にイメージする必要がある。取引先や顧客、ユーザーなどの視点から情報セキュリティ監査制度を有効に利用することを考えるべき」と下村氏は強調する。

　真に価値ある情報セキュリティ対策に向け、日本でも利用者視点の保証型監査を普及させることが重要になったといえるだろう。