「セキュリティ対策、何から始める?」 その答えはただ1つだ!:今日から始める「性悪説セキュリティ」(2)(2/2 ページ)
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。皆さんは、情報セキュリティ対策を始めようとしたら何をするだろうか。シンジによれば、まず行うべきことは1つしかないという……。
実はこの「情報資産リスト」は、国際的な情報セキュリティ監査でもあるISMS(ISO 27001)でも厳しく問われる部分です。ただし、これはSOC2レポートとは異なり、リストが存在していることが監査の目的となっており、正直あまり意味を成していません。さらに言えば、リストをでっち上げることも容易なので、監査を通すためだけにそれっぽいリストを作成した、という方もいらっしゃるのではないでしょうか。
前回の記事でSOC2レポートは外部に公開でき、取引先に対して提出可能な資料であると説明しました。これによって、セキュリティにとって非常に重要な「高い透明性」を確保できると同時に、そのレポートに会社は責任を負うことになります。記述書における表示の適切性、網羅性、正確性、記述書通りの業務が行われているか、内部統制が適用されたデザイン通りの業務および文章化にも責任を有することになるのです。
セキュリティに完璧はない、SOC2レポートにもそう書かれている
セキュリティ対策を行っていく上で、SOC2レポートには「固有の限界」として、次のようなことも書かれています。
記述書は、広範囲の会社に対して共通するニーズを満たすために書かれています。それらの会社が重要と考える全ての側面を評価したわけではありません。会社の内部統制は、その性質および固有の限界によって、監査基準を充足するように有効に機能しない可能性があります。また将来の予測もできませんし、システムの変更に伴って内部統制が不適切になったり、機能しなくなったりするリスクがあります。
前回もお伝えした通り、SOC2には更新審査の強制力はありません。逆に言えば、何度受けてもよいわけです。これはあくまで持論ですが、ITサービスが目まぐるしく進化しているのに、セキュリティ監査が1年に1回しかないのもおかしな話だと考えています。海外には、半年に1度のペースでSOC2レポートを更新している会社も存在しています。
とはいえ、外部の監査機関にお願いするのも費用がかかりますし、会社にとってセキュリティリスクに対してどこまでコミットするかもさまざまです。そこで、まずは自社の情報資産を洗い出そうというわけです。その後、具体的に何をどうすべきかはこの時点で理解する必要はありません。ここで最も重要なのは「危機感の可視化と意識の共有」です。
SOC2は自社の監査範囲を設定して監査できると書きましたが、それでも会社全体における大枠の内部統制デザインについては徹底的に調べられます。それは「セキュリティと関係あるの?」と思えるようなことまでさまざまです。
分かりやすい例を挙げれば、「社員の満足度調査を行っているかどうか(満足度が低ければ離職や事故による業務停止のリスクがあるため)」「顧客に対してもセキュリティトレーニングを行っているかどうか(意識やリスクの共有ができないこと、そのもののリスクがある可能性があるため)」などがあります。あなたの会社ではどうでしょうか?
次回は、実際に可視化された情報資産の一覧を元に、1人でもできそうなこと、多額の費用がかかること、いつまでにやりたいかなどの目標立て、そしてその結果得られるものとは何なのか、SOC2レポートを使って他社にまで公開できるレベルとはどの程度のものなのか、例を挙げながら具体的に解説したいと思います。
著者プロフィール:齊藤愼仁(さいとうしんじ)
アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ(cloudpack-CSIRT含む)にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。
情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。
関連記事
- “性善説”で考えるセキュリティ、もうやめませんか?
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。 - ウチの情シスはアルファブロガー!? cloudpackのシンジ流「情シスPDCA」
「パスワードの定期変更は無駄だし、もはやパスワードなんて覚える気もない」「シングルサインオン? やめとけやめとけwww」――。IT企業の一情シスが、自社の取り組みを赤裸々に出しまくるようになったのはなぜか。 - 勉強嫌い、元ゲーマーの「なりゆき情シス」が「スーパー情シス」になるまで
「大学も行ってないし、そもそもエンジニアじゃない。勉強嫌いで、本も読みたくない」――。元ゲーマー、勉強嫌いの情シスは、なぜ、周囲に信頼され、愛される情シス兼情報セキュリティ管理責任者になれたのか……。 - マイナンバーの“お漏らし第一号”になったら?
マイナンバー、お漏らししちゃったらどうなる? 発覚したらどんな対策をすればいい? そんな疑問を持っている人は要チェック!
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.