情報セキュリティ監査とはどのような手法なのか(前編):HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 情報セキュリティ監査とはどのような手法なのか(前編)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

永宮直史  公認情報セキュリティ主席監査人に聞く「情報セキュリティ監査とはどのような手法なのか(前編)」

公認情報セキュリティ主席監査人
永宮 直史
「情報セキュリティ監査とはどのような手法なのか(前編)」

企業が情報システムに依存する割合が増えていく一方で、個人情報や営業機密の漏洩、システムダウンのインシデントが数多く発生し、深刻なものとなっている。そんな中、注目されているのが企業の情報セキュリティ対策の有効性を評価する「情報セキュリティ監査」である。今回は監査の手法と、その可能性について特定非営利活動法人 日本セキュリティ監査協会(JASA)の永宮直史 公認情報セキュリティ主席監査人(CAIS-Principal Auditor)にお話をうかがった。


情報セキュリティ監査とは

―「情報セキュリティ監査」とは何でしょうか。その重要性についてお話ください。

情報セキュリティ監査について語る永宮氏
情報セキュリティ監査について語る永宮氏
永宮氏 情報セキュリティ監査は、情報セキュリティのマネジメント、つまり情報セキュリティの管理を対象として行う行為です。監査とは、監査の結果によって利害を受ける人、例えば株主や顧客などの利用者が要求する管理の水準になっているかどうかを、独立的で中立的な立場の第三者が専門的な視点から評価をして、その結果について意見を表明するものです。監査という概念は会計監査と変わりませんが、対象が情報セキュリティという所に特徴があります。

 例えば、ある取引で様々なデータを委託先の企業に渡す場合に、委託先の企業でそのデータがどう扱われているかまでは監視できません。監視できないままデータを渡し、それが漏洩すると、場合によっては会社の名誉が傷つけられてしまうなどの大変な被害を受けてしまうかもしれません。これを防ぐために依頼する企業は、安心して任せられるかを確認したいと思うはずです。そこで、委託先の企業に情報セキュリティに関してどのようにしているかを尋ねます。委託先が「うちはこういうところを守っています」と言ってくれればいいのですが、情報セキュリティに関して詳しい説明をすることは自分たちの弱点をさらすことにもなるため、話してもらうことはなかなか難しいのが現状です。また、情報セキュリティは、専門的な知識がないと、仮に説明を受けても理解できない可能性もあります。そこで第三者の機関が、専門的な知識を生かし利用者に代わって調べ、その結果を評価することが必要になるわけです。

 このようにすると、監査を受ける側は機密が保たれるので安心できます。また、監査を委託する側も自分の知りえないようなところまで詳細に見てもらい、的確な評価意見をもらうことができます。その結果、お互いに「信頼できる情報セキュリティ対策が行われている」という前提で取引ができることになります。このように、取引の前提となる信頼を築くという意味で、社会的な基盤になりうる重要性を持っているといえます。

―今まで情報セキュリティというと目に見えないものでしたが、第三者的視点を入れることでそのようなものを可視化していく、そういう企業側の努力も必要ですよね。

永宮氏 今の時代は、第三者に説明できるということが企業の信用に不可欠ですから、自分たちが厳密に説明責任を果たせるような内部の管理・マネジメントをしていかなければならない時代になっています。そういう意味で、企業は「自分たちの情報セキュリティがしっかりしている」と外に向かってアピールしたいわけです。ただそれをどのようにアピールするかが非常に難しいのが現状です。

第三者が評価するということ

―第三者が評価することで、決められた基準が正しく守られていくのでしょうか。

永宮氏 情報セキュリティ監査は経済産業省の「情報セキュリティ監査制度」に則って行うことが必要です。まず、監査をする人が「十分に技量があるか、本当にその人が信用できるか」が問われます。また、監査人がなすべき行為、守るべき規範も利用者が納得するかたちで決めなくてはなりません。そこで、日本セキュリティ監査協会(JASA)が、この制度に則り本人の技量などを判断するための監査人の資格基準を設け、厳格に運営しています。

 更に評価基準も、誰もが納得できるものでなくては社会的な意義を持たないと思います。そのため、国際的な基準と整合性が図られている「情報セキュリティ管理基準」が基礎として設けられており、それを判断の尺度として監査を行います。
 このように公的な制度に基づく評価には大変に重みがありますので、監査を受ける企業もその結果を尊重しなければ、事業に支障をきたすことになると思います。

―事業戦略にあった情報セキュリティを取るべきということについてはいかがお考えですか。

情報セキュリティ戦略について語る永宮氏
情報セキュリティ戦略について語る永宮氏
永宮氏 企業が業績を上げるために情報セキュリティ戦略を行うのですから、その方法は事業の戦略に沿っていなくてはいけないわけです。
 情報セキュリティについては、システム部や、人事部などの、現場ごとに方法を確立していく場合が多く見られます。現場の担当者では、情報セキュリティに対して自分の部署や部門などの責任範囲を超えられないので、全社的な戦略立案が難しくなるということが出てきやすいと思います。

 全社的に戦略を立案するには、「情報セキュリティに伴うリスクをどの程度まで、会社として許容できるか」をはっきりさせることが重要です。許容できるリスクに基づいて管理のレベルが決まってきます。
 金融業や通信業のように個人の情報を完璧に守り、一切の漏れが許されない場合は、精巧で厳格な管理が求められます。一方、一般の事業会社にはそこまで厳密なセキュリティは求められません。事業に応じたメリハリが必要になってきます。

 企業として許容できるリスクを明確にするためには、まず企業として「守るべき情報資産」を明確にしなくてはいけません。この「守るべき情報資産」への脅威や脆弱性を分析し、リスクを評価します。そしてそのリスクを企業経営に問題のない水準にするために、「守るべき情報資産」をどのように管理するのかを決定する必要があります。情報セキュリティ対策には人やシステム投資などの負担がかかるので、すぐにできないこともあります。現状でどこまで行うのか、そして、将来どのようにセキュリティ対策の水準を上げていくのかを考えて「情報セキュリティ戦略」としてまとめていくことが望ましいと思います。
 許容できるリスクを決めるのは経営的な観点で行います。会社に顧客がデータを預ける場合、会社が持つリスク許容水準と顧客が考える許容水準が合っていれば取引は成立します。仮に顧客が会社の許容水準が低いと思えば水準を引き上げる要求を出すでしょう。顧客からそのような要求が出されたとき、経営者側には葛藤が生まれるはずです。「顧客を得るためにもっと投資をしてセキュリティ水準を引き上げる」か、あるいは「そこまで投資するのは無理なので、その顧客との取引をあきらめる」か、という判断が求められます。これは経営判断に他ならないでしょう。

Next


お問い合わせ

  コラムトップページへ▲