“ユーザー視点”の情報セキュリティ監査、普及のカギを握るのは？：企業セキュリティ古今東西（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

情報セキュリティ監査品質を担保する監査人資格制度

　情報セキュリティ監査制度が社会に普及・浸透するためには、その啓発活動に加え、監査主体による公正・公平な情報セキュリティ監査の実施を支える、標準的な監査手法や監査技術の確立、さらには高い倫理観や専門的能力による監査の質を一定水準以上に維持するシステムが必要になる。

　そこで、JASAでは「公認情報セキュリティ監査人」（CAIS；ケイズ）資格制度を設置。「公認情報セキュリティ主任監査人」「公認情報セキュリティ監査人」「情報セキュリティ監査人補」「情報セキュリティ監査アソシエイト」の4階層のスキルレベルに応じて資格を認定している。

「JASAの役割は情報セキュリティ監査の正確性や公正性を確立すること」と語る下村氏

　2004年11月から運用が開始されたCAISの資格登録者は、2007年11月現在519となっている。CAISの資格保有においては、IT分野で4年、情報セキュリティ分野で2年以上の業務経験が必要とされる（主任監査人および監査人）。なお、CAISは永続的資格ではないため、監査実績や教育機会への参加、社会貢献活動など、資格維持プログラムによる年間20ポイント以上、3年間で120ポイント以上の規定ポイントを取得することが監査人以上で必須という、厳しい制度となっている。

　CAIS資格は、情報セキュリティ監査の実施をサービスとして提供する企業やコンサルティングを実施する企業が資格認定のために取得することが多いが、企業の監査部門などが独自に取得することで、情報セキュリティに対する知識や技能の向上のほか、取引先との契約をスムーズに運ぶことができる、内部監査および外部監査の監査計画立案から実施までの基本的な行動目標が立てやすくなるといった効果が期待できる。

　「自治体での情報セキュリティ監査人への要求が高まりつつある中、例えば世田谷区では情報セキュリティ監査の公募に際し、CAISの有資格者が監査チームに最低1名参加すること、また監査チームのリーダーは公認情報セキュリティ主任監査人であることが条件になっている」（下村氏）

　またJASAでは、各種業界団体との連携や国際標準の調査研究、改善提言のほか、情報セキュリティ監査への異議申し立てを受け付ける「紛争審査制度」の設置準備にも取り組み、より幅広く情報セキュリティ監査の普及に努めていくという。

保証型監査の普及に向けて

　ところで、日本の情報セキュリティ監査は、そのほとんどが助言型監査というのが現状だ。一方、海外では保証型の情報セキュリティ監査制度が主流となっており、現在も試行錯誤を継続しながらその有効性を高めつつある。

　そこで、日本でも保証型情報セキュリティ監査を普及させるため、その概念をより具体的に提示することを目的に、JASAでは1年半をかけて保証型情報セキュリティ監査の概念フレームワークを作成。次の3つの方式に区分して提示している。

（1）社会的合意方式

　情報セキュリティの管理基準や監査基準に沿い、監査テーマに関して社会的に合意された基準に基づき、必要かつ十分な監査手続きを踏んで監査する方式のこと（図2）。委託先の監査結果を記載した監査報告書を、顧客や取引先などの利害関係者のほか、特に制限を設けることなく広く社会に公表することができる。

図2●社会的合意方式（出典：JASA）

（2）利用者合意方式

　委託先（被監査主体）と利害関係にあり、その情報セキュリティ対策の適否や有効性に影響を受ける、あるいは一定の水準を要求する利用者（一次利用者）が、監査人が採用する監査手続きの十分さについて暗黙、または明示的に合意している場合の監査方式のこと（図3）。監査人は被監査人の監査結果を、直接の利害関係者である一次利用者のみに報告する。

図3●利用者合意方式（出典：JASA）

（3）被監査主体合意方式

　被監査主体が特定の監査テーマを決め、その監査手続きを監査人と合意の上で定める場合で、かつそれらについて監査報告書の利用者の確認がある場合の保証型監査方式（図4）。監査人はその手続きに従って、被監査主体の情報セキュリティマネジメントの実態が存在するかを監査し、その結果を報告する。委託先が、委託元から求められている情報セキュリティ対策の実施状況について保証を得たい場合に利用される。

図4●被監査主体合意方式（出典：JASA）