情報セキュリティ監査とはどのような手法なのか(後編):HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 情報セキュリティ監査とはどのような手法なのか(後編)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

永宮直史  公認情報セキュリティ主席監査人に聞く「情報セキュリティ監査とはどのような手法なのか(後編)」

公認情報セキュリティ主席監査人
永宮 直史
「情報セキュリティ監査とはどのような手法なのか(後編)」

「情報セキュリティ監査」について、前編ではその手法と可能性について特定非営利活動法人 日本セキュリティ監査協会(JASA)の永宮直史 公認情報セキュリティ主席監査人にお話をうかがった。後編では引き続き、「情報セキュリティ監査」について実際に現場で感じたことや理想像などについて、語っていただいた。


企業の情報セキュリティの取り組みの差

―実際セキュリティ監査をされて、企業の情報セキュリティの取り組みについては、企業によってそれぞれ差があるのでしょうか。

企業の情報セキュリティについて語る永宮氏
企業の情報セキュリティについて語る永宮氏
永宮氏 情報セキュリティの取り組みは企業によって異なります。ベースラインアプローチを生かし、しっかりと組織全体のリスクを把握している会社もあります。
 一方でPDCA、すなわちプラン・ドゥ・チェック・アクトのサイクルを回すだけに必死になって、なかなか現場技術レベルまで降りてこないことも多々あります。あるいはもっとひどい例ですと、ISOの認証をとるためだけの仕組みになってしまっているものもあります。最初はリスク把握に基づき適切な情報セキュリティマネジメントシステムを行い、結果として認証も受けられるのですが、何年も経つと最初の精神を忘れてシステムだけが形骸化してしまうこともあるのです。
 このようにうまくいかない場合に、それを内部の人間が気付くことが難しい。外部の、例えばユーザの立場でシステムを再評価し、問題が明らかになることがよくあります。

―そのあたりも含めて厳密に見ていくことが、重要だということでしょうか。

永宮氏 会社側から見て、最も重んじるべき人、例えばお客様の立場で評価していくというような考え方が必要です。会社側にとって重要な人間の立場に立って、企業自身を見ることは、企業が成長する1つの手段なのではないでしょうか。

何が重要かを考える

―最初の頃は理解していたものが、だんだんとずれてきてしまって、それが取り返しのつかないものになってしまうという例も確かにありますよね。

リスク管理について語る永宮氏
リスク管理について語る永宮氏
永宮氏 それはあります。大切なことは、「何がリスクで、何を管理して、だからここまでやる」ということを見極めることです。方法だけ踏襲するというのは非常に楽なのです。でも、その方法の根本にあるリスクやその対応の基本的な考え方も、方法と同時に引き継がなくてはいけないと思います。今の担当者が行っている業務内容が前の担当者と同じでも、時代の変化に伴いリスクが変わり、その業務に伴うリスク管理方法を変えなければいけないかもしれません。

 例えば、アプリケーションを考えてみましょう。近年、情報の多くは、PCのアプリケーションを使ってやりとりされます。もし、新しいアプリケーションを入れるのであれば、情報セキュリティの仕組みやルールを新しくするように考えないといけません。ここを忘れてしまうと仕組みやルールは結局時代に合わない、役に立たないものになってしまいます。それを一所懸命守って「うちは真面目にやっています」と安心してしまうことは大変危険です。ところが情報セキュリティの世界はそういうことが多いのです。

 また、新しい技術に対応していくことも大切です。例えば、最近の携帯端末の急速な進歩に伴い、今までとは全く異なる方法でセキュリティ管理をしなくてはなりません。iPhone1個でどれだけのことができるかということを考えると、新しい情報セキュリティ対策の必要性がよくわかると思います。
 組織、業務、人、そして技術は常に変化していきます。その変化が生じた時々に、「何がリスクで、何を管理して、だからここまでやる」ということをしっかり見直さないと、新しい脅威に対応できなくなってしまいます。 

―本当に数年、数ヶ月単位で変わってくるという世界ですよね。

永宮氏 望ましくは、過去の経緯を調べることで、放置されていた問題がわかるようになってほしい。情報セキュリティの現場では、技術的な対応が遅れてしまったことのツケが何月後、下手をしたら数年後に出るということがあります。脅威や脆弱性の情報を得たら、それがいつ発見されたものであるかを確認し、手当が適切な時期に行われていたかを確認することが必要です。「組織全体がしっかりしています」という自信があっても、「技術の細かいところで、本当に問題がなかったのか、それがいつ管理されていたのか」を把握しなければならないのです。

 しかし、このような詳細な目配りを組織全体のすべての要素に対して行うことは不可能です。だからこそ、対象を絞ることが必要なのです。重要性の高い情報に絞って、常に監視するようにすれば、致命傷になることはありません。対象を絞ることによって、安心感が得られるわけです。

―やはり公認情報セキュリティ監査人のような立場の方がいないと、恐ろしいことになるというのは痛感しますね。

永宮氏 マネジメントから技術までの全体像を把握することは非常に難しいものです。
 公認情報セキュリティ監査人は少なくとも、全体像ということを理解しています。全体像把握が重要とわかっており、そのための基礎的な知識があれば、特定部分の深い知識がなくても、その部分の専門家と共同で作業することにより、適切な評価ができます。例えば、監査人が自分でファイアウォールの細かい設定やログが見られなくても、設定やログの重要性がわかっている人を用いれば、フォローできます。情報セキュリティに関する幅広い専門性と、理解力と、様々な危険性を知っている人間――すなわち公認情報セキュリティ監査人が、しっかりと顧客の代わりにチェックすることが必要です。

Next


お問い合わせ

  コラムトップページへ▲