「セキュリティ対策、何から始める？」 その答えはただ1つだ！：今日から始める「性悪説セキュリティ」（2）（2/2 ページ）

[齊藤愼仁，ITmedia]

　実はこの「情報資産リスト」は、国際的な情報セキュリティ監査でもあるISMS（ISO 27001）でも厳しく問われる部分です。ただし、これはSOC2レポートとは異なり、リストが存在していることが監査の目的となっており、正直あまり意味を成していません。さらに言えば、リストをでっち上げることも容易なので、監査を通すためだけにそれっぽいリストを作成した、という方もいらっしゃるのではないでしょうか。

　前回の記事でSOC2レポートは外部に公開でき、取引先に対して提出可能な資料であると説明しました。これによって、セキュリティにとって非常に重要な「高い透明性」を確保できると同時に、そのレポートに会社は責任を負うことになります。記述書における表示の適切性、網羅性、正確性、記述書通りの業務が行われているか、内部統制が適用されたデザイン通りの業務および文章化にも責任を有することになるのです。

セキュリティに完璧はない、SOC2レポートにもそう書かれている

　セキュリティ対策を行っていく上で、SOC2レポートには「固有の限界」として、次のようなことも書かれています。

　記述書は、広範囲の会社に対して共通するニーズを満たすために書かれています。それらの会社が重要と考える全ての側面を評価したわけではありません。会社の内部統制は、その性質および固有の限界によって、監査基準を充足するように有効に機能しない可能性があります。また将来の予測もできませんし、システムの変更に伴って内部統制が不適切になったり、機能しなくなったりするリスクがあります。

　前回もお伝えした通り、SOC2には更新審査の強制力はありません。逆に言えば、何度受けてもよいわけです。これはあくまで持論ですが、ITサービスが目まぐるしく進化しているのに、セキュリティ監査が1年に1回しかないのもおかしな話だと考えています。海外には、半年に1度のペースでSOC2レポートを更新している会社も存在しています。

　とはいえ、外部の監査機関にお願いするのも費用がかかりますし、会社にとってセキュリティリスクに対してどこまでコミットするかもさまざまです。そこで、まずは自社の情報資産を洗い出そうというわけです。その後、具体的に何をどうすべきかはこの時点で理解する必要はありません。ここで最も重要なのは「危機感の可視化と意識の共有」です。

社員の満足度が低いと離職や事故で業務が停止するリスクがある、といった内部統制の問題までSOC2では問われます（写真はイメージです）

　SOC2は自社の監査範囲を設定して監査できると書きましたが、それでも会社全体における大枠の内部統制デザインについては徹底的に調べられます。それは「セキュリティと関係あるの？」と思えるようなことまでさまざまです。

　分かりやすい例を挙げれば、「社員の満足度調査を行っているかどうか（満足度が低ければ離職や事故による業務停止のリスクがあるため）」「顧客に対してもセキュリティトレーニングを行っているかどうか（意識やリスクの共有ができないこと、そのもののリスクがある可能性があるため）」などがあります。あなたの会社ではどうでしょうか？

　次回は、実際に可視化された情報資産の一覧を元に、1人でもできそうなこと、多額の費用がかかること、いつまでにやりたいかなどの目標立て、そしてその結果得られるものとは何なのか、SOC2レポートを使って他社にまで公開できるレベルとはどの程度のものなのか、例を挙げながら具体的に解説したいと思います。

著者プロフィール：齊藤愼仁（さいとうしんじ）

　アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ（cloudpack-CSIRT含む）にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

　情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。

• ブログ：「ロードバランスすだちくん」