最終回 システム監査と情報セキュリティ監査を学ぶ：対策に最適な制度を活用する（3/3 ページ）

[丸山満彦，ITmedia]

　監査のタイプとしては、「情報セキュリティ監査」「システム監査」とも、保証型監査、助言型監査が想定されている。また、情報セキュリティ監査基準 報告基準ガイドラインにおいては、最後に「合意された手続き」を説明しているのでそれについても検討する。

1.保証型監査

1）特徴

　監査の対象となる組織体の情報セキュリティに関するマネジメントや、マネジメントにおけるコントロールが、一定の判断基準（例えば、情報セキュリティ管理基準）と照らして適切であること（または不適切であること）を示す監査形態が「保証型監査」だ。

　ただ「保証」といっても、結果としてセキュリティ事故が発生しないという絶対的な保証ではなく、一定の判断の尺度に従って監査手続を行った範囲における保証である。なお、ISMS適合性評価制度も、判断基準がISMS評価基準とした保証型監査であるといえる。また、公認会計士が実施しているTrustサービスも保証型監査となる。

2）利用場面

　保証型監査の場合、ある組織の取引先（潜在的な取引先も含め）に対して、自らの情報セキュリティ対策の十分性を監査人に保証してもらい、取引を円滑に進めるというシーンを想定できる。その際の判断基準は、取引先にとって意味のあるものでなければならない。したがって、情報セキュリティ管理基準のコントロールレベルを判断基準とした監査を行う必要がある。

2.助言型監査

1）特徴

　監査の対象となる組織体の情報セキュリティに関するマネジメントや、マネジメントにおけるコントロールの改善を目的として、監査対象の情報セキュリティ上の問題点を一定の判断基準（例えば、情報セキュリティ管理基準）と照らして検出し、必要に応じて当該検出事項に対応した改善提言を行う監査の形態が「助言型監査」だ。

2）利用場面

　助言型監査の利用場面としては、ある組織が自らの情報セキュリティの対策レベルがどの程度であるのかを把握し、自らの組織のセキュリティレベルを向上させることを目的としたものが考えられる。いわば、社内の内部監査の一環、または自らの組織の自己チェックとして行われることが想定される。

3.合意された手続

1）特徴

　選択適用すべき検証手続を監査依頼者と協議の上で決定し、それに対する結論のみを報告するものを「合意された手続」と呼ぶ。合意された手続きは、全体としてのコントロールが適切に整備・運用されていることを保証するものではなく、監査対象組織、依頼者、監査人が合意した手続きのみを実施し、その結果のみを依頼者に報告する点で保証型監査と異なる。

2）利用場面

　データセンターなどのサービスプロバイダーが契約条項を遵守していることを確かめるために実施されることが考えられる。保証型監査と異なり、依頼者が確認してほしい部分のみを検証するということで、保証型監査より安価に目的に適合した監査を実施することができる。なじみが薄い監査方法であるが、非常に有用な監査手続きといえる。

丸山満彦（監査法人トーマツ）

公認会計士　シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務する。