あなたの企業のセキュリティ対策を評価する「新基準」:企業セキュリティ古今東西(2/2 ページ)
「管理」と「監査」、2つの基準
一般的に、企業などの情報セキュリティマネジメント体制が確立するまでは、ベストプラクティスに照らし合わせ、未熟な部分を見える化する助言型監査でレベルを向上させ、必要に応じて保証型監査を行っていくという段階的プロセスが取られる(図2)。経営者が内部目的(自組織の情報セキュリティ対策が実施・運用されているかを確認する)で助言型監査を自社の経営判断に利用したり、外部の利害関係者に監査結果を示す必要が生じた際に外部目的(情報セキュリティ対策状態を外部の利害関係者に開示する)で保証型監査を利用したりするケースが考えられる。
また国が示した基準のうち、「情報セキュリティ管理基準」は、国際標準ISO17799:2000(JIS X 5080:2002、技術・情報セキュリティマネジメントの実践のための規範)をベースに策定され、全体で132のコントロール(管理策)と、それを詳細化した952のサブコントロールから構成されている。
ただし、そのコントロールと体系はベストプラクティスを示したものとなるため、保証型監査では肯定的な保証の範囲が限定される場合や助言型監査では、理想と現実がかい離してしまうこともある。そのため、当面は、監査を行う主体の判断によって、国際的にも認知されている米国商務省のNIST特別報告書800-26「ITシステムのためのセキュリティ自己評価ガイド」(図3)や、COBIT(*1)、SSE-CMM(*2)などの成熟度モデルを適用することが望ましいとされる。
一方、「情報セキュリティ監査基準」は、監査を行う側の適格性と監査業務上の順守事項を示す「一般基準」、監査計画の立案と監査手続き実施の枠組みを規定する「実施基準」、監査報告書の記載方法を規定する「報告基準」の三部で構成されている。これらは、内部監査人協会(IIA)の基準、ISACA(旧情報システムコントロール協会)の基準などを参考にして策定されている。
特に実施基準においては、情報セキュリティ管理基準の位置付けや、保証型監査と助言型監査の選択、リスクアセスメントの実施、成熟度モデルの利用といった、「実施基準ガイドライン」を策定している部分として重要である。
気になるISMS適合性評価制度との関係
ところで、情報セキュリティ監査制度と、現在人気の高いISMS(情報セキュリティマネジメントシステム)適合性評価制度との使い分けが気になるところだが、このISMSの管理基準もJIS X5080:2002を参照して策定されていることから、双方を排他的にとらえる必要はないとされている。
ISMS認証は、国際的に定められた認証基準に対して認証するため、その認証基準は汎用的である一方、情報セキュリティ監査は基本的に被監査主体の選択の自由度が高く、組織の監査ニーズに応じて情報セキュリティ管理基準項目の一部に限り監査を受けることや、前述の助言型監査や保証型監査を目的に応じて使い分けることも可能となっている。
例えば、アクセス制御の部分についてのみ客観的に監査を受け、それらの積み重ねでISMS準拠性監査を行い、ある段階になったらISMS認証を取得する方法や、助言型監査を利用してマネジメントレベルを次第に高めていき、ISMS認証取得レベルに向上させていく利用法もある。
反対に、ISMS認証取得後も取引先などの特定の相手方から技術的なコントロールについての監査結果を求められた場合、情報セキュリティ監査で部分的なコントロールについての重点的な保証型監査を受けるといったケースもあり、互いに補完的に利用することが賢明といえるだろう。
ただし、情報セキュリティ監査で、ISMSと同様な広範囲のスコープで保証を得るためには、大きな負荷や工数がかかってしまい、経済的合理性が認められない場合もあるので注意が必要だ。
次回は、日本の情報セキュリティ監査制度を支える組織と、監査主体による校正かつ公平な情報セキュリティ監査を行うための「情報セキュリティ監査人制度」について言及する。
*1 COBIT:Control Objectives for Information and related Technology。米国の情報システムコントロール協会(ISACA)が提唱するITガバナンスの熟成度を測るフレームワーク。
関連記事
「Pマーク取得祭り」の次に来るもの
情報セキュリティは企業の普遍的かつ最大の悩み。そこで、企業はこぞってPマークを取得したが、それでも情報漏えい事件は後を絶たない。
審査員が明かす、ISMSを定着させる必須ポイント
セキュリティマネジメントを実現する具体的な方法をイメージできるだろうか? ここでは、ISO27001を取得するための重要なポイント、PDCAサイクルに必要な要素をISO27001の審査員がアドバイスする。
「うちは大丈夫」「資金がない」が招く情報漏えい
今やセキュリティ対策は、過酷な企業競争に打ち勝つ上で必要不可欠なファクターだ。しかし実際には、その存在を軽視したばかりに多大な損害を被った企業も数多く存在する。- 自社のセキュリティ対策は大丈夫? Webサイトでぜひチェックを
- 情報セキュリティを取り巻く各種制度
- 【特集】運用管理の過去・現在・未来
システム管理者がノウハウを蓄積し、自らの評価につなげるために「システムアナリスト」としてステップアップする道を探る。システム管理者よ、今こそ起て!
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。