あなたの企業のセキュリティ対策を評価する「新基準」：企業セキュリティ古今東西（1/2 ページ）

国際標準の成熟度モデルや内部監査のノウハウを取り入れ、経産省の肝いりでスタートした情報セキュリティ監査制度。その目的は、情報セキュリティ対策の有効性を実証し、ステークホルダーの信頼を裏付けることだ。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　情報セキュリティの強化は、今や企業や官公庁、自治体などにおいて最優先の課題の1つだが、Winny利用による顧客情報の流出や内部関係者による重要情報の不正持ち出しなど、依然として内外の脅威による情報漏えいは止むことがない。

　そんな情報資産保全に最適解を見いだせない中、組織が導入してきたウイルス対策やファイアウォール、アイデンティティ管理やアクセス制御、データ証跡管理などの情報セキュリティ対策が効果的に実施されているかを客観的に判断・評価するための「情報セキュリティ監査」が注目されている。

セキュリティ監査制度の4つのポイント

　2002年9月に経済産業省に設置された「情報セキュリティ監査研究会」は、情報セキュリティ監査のあり方についての検討を行い、2003年3月に「情報セキュリティ監査研究会報告書」と「情報セキュリティ監査のための基準」などを公表。これら報告書の提言を受け経済産業省は同年4月、「情報セキュリティ監査制度」を開始した（図1）。

図1●情報セキュリティ監査制度の概要（出典：経済産業省）

　民間企業や政府、地方自治体などの情報セキュリティ対策の監査を目的とした情報セキュリティ監査制度には、以下の4つのポイントがある。

　1つは、情報システムをはじめとする情報資産全体のセキュリティマネジメントを監査の対象とすること。2つ目は、組織内部に役立てる「助言型監査」と、外部の利害関係者に向けた「保証型監査」の2通りの監査、さらに組織全体の監査や一部の監査などの方式を選択できること。

　3つ目は、国が客観的に定めた2つの基準である「情報セキュリティ管理基準」と「情報セキュティ監査基準」によって監査が行われること。そして4つ目は、「情報セキュリティ監査企業台帳」に任意登録された一定の要件を満たす独立した専門家である監査主体によって監査がなされる点である。

内側の助言型監査、外側の保証型監査

　情報セキュリティ監査においては、組織内の情報セキュリティマネジメントサイクルを回す継続的改善が重要視されているため、そのPDCA（plan-do-check-act）サイクルが構築されているか、あるいは改善のプロセスが存在するかなどの視点で監査が行われる。また、自社の情報資産に対してリスクアセスメントが実施されているか、その結果に基づく適切なコントロールがなされているか、といったことなども問われる。

　さらに注目すべきは、助言型監査と保証型監査の存在である。助言型監査とは、組織の情報セキュリティに関するマネジメントや、コントロールの改善を目的として、監査対象の情報セキュリティ上の問題点を検出し、必要に応じて課題についてのアドバイスや改善提言を行う監査の形態をいう。ある一定の基準と比較した際のギャップを指摘する監査などもそれに当たる。助言型監査においては、情報資産のリスク全般を対象とすることが多く、その関係者は想定利用者と被監査対象、監査人の三者である。

　一方、保証型監査とは、対象となる組織の情報セキュリティに関するマネジメントのコントロールが適切である旨を表明する監査の形態のこと。ここでいう「保証」とは、一定の判断の尺度に従って監査手続きを行った範囲における合理的な保証（assurance）のことであり、結果としてインシデントが発生しないことを保証（guarantee）する“お墨付き”的な意味合いではない。

　この保証型監査では、対象とする情報資産や情報システムを限定的に扱う場合が多く、関係者は被監査対象と監査人に加え、監査結果の利用者といった非特定の第三者も対象となる。よって、監査報告書も第三者の利用を前提としなければならない。