「2008年度 情報セキュリティ監査シンポジウム東京 in Winter」が開催:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート >「2008年度 情報セキュリティ監査シンポジウム東京 in Winter」が開催
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

「2008年度 情報セキュリティ監査シンポジウム東京 in Winter」が開催

 日本セキュリティ監査協会(JASA)は、東京国際交流館で「2008年度 情報セキュリティ監査シンポジウム東京 in Winter」を開催した。


 JASAは、監査対象の企業における情報セキュリティマネジメントやガバナンスが機能しているかを監査する「情報セキュリティ監査」を促進している非営利団体。今回は、日本の情報セキュリティ政策の動向を指し示すとともに、経済産業省委託事業である保証型情報セキュリティ監査のパイロット監査結果、情報セキュリティ監査における手続作成ガイドラインの解説などの講演が行われた。

関氏から情報セキュリティに関する政策の説明があった
関氏から情報セキュリティに関する政策の説明があった
 基調講演として、内閣官房情報セキュリティセンター参事官の関啓一郎氏が、国が示している「第2次情報セキュリティ基本計画」を軸に、国内の情報セキュリティの現状と今後の取り組みについて説明した。  2006年から2008年にかけて行われた第1次情報セキュリティ基本計画では、情報セキュリティ政策の組織・体制立ち上げや枠組み作りなどが中心だった。これを受けて2009年から施行される第2次計画では、第1次計画で行われた枠組みを基本に、政策の継続と発展を打ち出している。  また第1次計画と同様「ITを安心して利用できる環境」の構築を目標に据え、国民や社会あるいは官民連携といった国全体を挙げた取り組みの必要性を訴えた。

保証型監査について各企業から注目が集まった保証型監査について各企業から注目が集まった
 続いてJASAからは「保証型監査」を中心に実例を挙げながら、解説が行われた。監査対象となる組織体の情報セキュリティに関するマネジメントや、コントロールの改善を目的として、情報セキュリティ上の問題点を検出して改善提言を行う「助言型監査」と異なり、保証型監査は「(情報セキュリティのマネジメントやコントロールなどが)監査手続を実施した限りにおいて適切である」と監査意見を表明する監査だ。  監査対象組織の情報セキュリティの取り組みの有効性に対して専門的な第三者が保証することにより、監査報告書の利用者と被監査主体の信用が深まるところに意義がある。  保証型監査は、一般にコストがかかると思われがちだが、実際は保証型監査の前段階での準備がしっかりなされていればコストの軽減は可能であることが分かった。公認情報セキュリティ主席監査人の永宮直史氏は、「保証型監査を利用するのは、リスクが一番大きい部分や、顧客などの要件に合致する部分に絞り込んで実施するのが現実的」とした。

質疑応答では活発な意見交換が行われた
質疑応答では活発な意見交換が行われた
 質疑応答では、会社の情報マネジメントの証明手段として情報セキュリティ監査を取り入れようとしている企業から、保証型監査についての質問が殺到。「監査費用はどの程度なのか」「保証型監査の実際の手順は」など、実務的な内容の質問が多く寄せられた。

 J-SOX法施行を機に、今年度より各企業は手探りの状態でガバナンス・内部統制に対応しているが、来年度以降はより精緻なものが求められると考えられる。  企業ガバナンスが構築されていることの客観的証明を求めている企業から、「情報セキュリティ監査」に対し高い関心が寄せられていることをうかがわせるシンポジウムとなった。


公認情報セキュリティ主席監査人 永宮直史氏のインタビュー記事はこちら

「情報セキュリティ監査とはどのような手法なのか(前編)」

「情報セキュリティ監査とはどのような手法なのか(後編)」



※この講演とセキュリティプラットフォームは一切関係ありません。



お問い合わせ

  コラムトップページへ▲