情報セキュリティ監査の概要・必要性・基準や具体的な実施方法を解説
目次
情報セキュリティ監査の考え方や基準について理解を深めたい方もいるのではないでしょうか。情報資産を守るためには、セキュリティ対策が適切に運用されているかを確認し、必要に応じて改善へとつなげる監査が不可欠です。
この記事では、情報セキュリティ監査の必要性や守るべき基準、具体的な実施方法について解説します。内部監査を適切に行う体制を整え、自社にとどまらず、サプライチェーン全体のサイバーリスク低減を目指しましょう。
情報セキュリティ監査とは?
サイバー攻撃や情報漏えいの被害に遭うと、自社の経済的損失や信用失墜を招きます。顧客や株主など外部のステークホルダーの不利益も重大な懸念点です。こういったサイバーリスクを想定して情報資産を保護する取り組みを情報セキュリティと呼び、情報セキュリティ監査によって、適切なセキュリティ対策が運用されているかを確認します。
監査が求められる情報セキュリティ
情報セキュリティとは、情報資産をサイバー攻撃、情報漏えい、自然災害などから守るための取り組みを指します。具体的には、情報資産の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3要素を確保することが目的です。これらは「情報セキュリティの3要素(CIA)」と呼ばれています。
- 機密性の確保:許可された者だけが情報にアクセスできる状態を維持すること
- 完全性の確保:情報そのものや、その処理方法が正確で完全であるように維持すること
- 可用性の確保:許可された者が、必要なときに、確実に情報にアクセスできる状態を維持すること
これらの要素を維持するには、アクセス権限の適切な設定・管理、ファイルの暗号化、システムの冗長化、バックアップの整備など、さまざまな対策が求められます。情報システムの内容やリスクの特性は企業によって異なるため、監査を通じて適切なリスクマネジメントが実施されているかを確認し、経営判断に役立てることが重要です。
【関連記事:【2023年版】情報セキュリティ対策の具体例やポイントを徹底解説】
第三者が実施する情報セキュリティ監査
情報セキュリティ監査とは、情報セキュリティにおけるリスクマネジメントが効果的に行われているかを確認するために、ルールや運用状況を客観的に検証・評価・報告する活動です。セキュリティ対策の担当者による自己点検ではなく、第三者である情報セキュリティ監査人が客観的な基準に基づいて評価を行い、被監査主体に対して適合・不適合や改善すべき点を報告します。
監査は外部のセキュリティサービス事業者に委託することも可能ですが、客観性を保てる立場であれば、社内の人材を監査人とすることもできます。評価基準は通常、ISO規格などの国際基準に基づいて設定されますが、社内規定が妥当であると認められる場合には、それを用いることも可能です。
情報セキュリティ監査の必要性
現在、事業継続を脅かすサイバー攻撃は増加しており、攻撃手法も日々高度化・多様化しています。不正アクセスやランサムウェアによる被害は、大企業に限らず中小企業や小規模事業者にも広がっており、高額な損害賠償や長期の事業停止に至る事例も少なくありません。取引先の中小企業を経由して、最終的に大手企業が攻撃対象となるケースも多く、サプライチェーン全体でのセキュリティ対策が欠かせません。
こうした複雑化するサイバーリスクに対応するには、経営層がリーダシップを発揮することが不可欠です。そのためには、組織内での情報システム運用やセキュリティ対策の現状を正確に把握しておく必要があります。定期的に情報セキュリティ監査を実施することで、現場に即したルール改善や実効性の高い対策につながり、新たなリスクにも迅速に対応しやすくなります。
【関連記事:ランサムウェア対策にバックアップの保護が必要な理由と具体的な対策】
情報セキュリティ監査に関する2種類の基準
情報セキュリティ監査に関する基準は、経済産業省が「情報セキュリティ監査基準」「情報セキュリティ管理基準」という2種類の基準を公表しています。
情報セキュリティ監査基準に従った監査は、情報セキュリティ管理基準を監査上の判断の尺度として用いるのが原則です。企業によって運用する情報システムやセキュリティ対策などは異なるため、当該管理基準を基礎として、自社において必要な項目を追加または削除して活用できます。
情報セキュリティ監査基準
情報セキュリティ監査基準は、監査業務の品質確保と効率的な実施を目的とし、監査人の行動規範を定めたものです。「一般基準」「実施基準」「報告基準」の3つの基準から構成されています。
- 一般基準:監査人の適格性と業務上の順守事項を規定。監査の目的・範囲や監査人の権限・責任の明文化、外観上・精神上の独立性、注意義務・守秘義務など
- 実施基準:監査実施上の枠組みを規定。監査計画の立案、監査証拠の入手・評価、監査調書の作成・保存、監査業務の体制など
- 報告基準:監査報告の留意事項と記載方法を規定。報告の提出と開示、根拠・記載事項・責任、改善指導など
実施・報告基準については、各ガイドラインで留意事項や手順・ひな形が解説されています。
(参考:『情報セキュリティ監査制度|経済産業省』)
情報セキュリティ管理基準
情報セキュリティ管理基準は、情報セキュリティ監査人が監査において判断の尺度とする基準です。国際標準規格やISMS適合性評価制度との整合性が図られており、情報セキュリティマネジメント体制の確立に資する内容となっています。
この管理基準は「マネジメント基準」と「管理策基準」の2つで構成されており、マネジメント基準については原則として全て実施することが求められます。具体的には、情報セキュリティマネジメントの確立・運用・監視・レビュー・維持・改善、および文書化された情報の管理について定められています。
一方、管理策基準では、管理目的と具体的な管理策が提示されており、経営陣の方針、テレワーキング環境の整備、アクセス制御、暗号化、バックアップなど、多岐にわたる取り組み内容が示されています。
情報セキュリティ監査を実施するには目的設定が必須
情報セキュリティ監査を実施する際には、あらかじめ監査の目的を明確に設定しておく必要があります。実施目的に応じて、「保証型監査」と「助言型監査」に分類されます。
現状の情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とするのか、あるいは改善に役立つ助言を得ることを目的とするのかによって、実施すべき監査の種類が異なります。どちらか一方を選択することも、両者を併用して実施することも可能です。
保証型監査
保証型監査は、情報セキュリティマネジメントが監査手続きを実施した範囲において適切(または不適切)である旨を、監査意見(保証意見)として表明する監査形態です。保証意見には、肯定意見・限定付き肯定意見・否定意見の3種類があり、改善提案は含まれません。情報セキュリティ対策が有効に機能していることに対する「お墨付き」を得ることを目的として実施されます。
ただし、この監査における保証は、あくまで情報セキュリティ監査基準などの客観的な指標に従って、監査手続きを行った範囲内での合理的な保証に過ぎません。適切であると表明されたとしても、セキュリティインシデントが発生しないことを絶対的に保証するものではありません。
助言型監査
助言型監査は、情報セキュリティマネジメントの改善を目的として実施されます。監査対象組織のセキュリティ対策における欠陥や懸念事項などの問題点を検出し、必要に応じて改善提言を監査意見(助言意見)として表明します。
助言意見は、情報セキュリティ対策に一定の保証を付与するものではありません。監査人の立場から、改善が必要な事項や具体的な提案を意見として提示するものです。ISO規格などの客観的な尺度を用いてギャップを指摘し、セキュリティ対策の強化につなげたい場合には、助言型監査の実施が適しています。
情報セキュリティ監査の外部目的・内部目的の違い
情報セキュリティ監査には、外部目的の外部監査と内部目的の内部監査という分類があります。これは、「保証意見」や「助言意見」のような意見の種類の違いではなく、株主などへの説明を目的とするか、あるいは社内での評価・改善を目的とするかという違いです。
外部監査(外部目的)
外部監査は、組織外の報告書利用者に対して監査結果を提示することを目的に実施されます。顧客や株主などの外部ステークホルダーに対し、情報セキュリティ対策の有効性などを説明するための手段です。
実施にあたっては、情報セキュリティに関する社内規定などのルールに基づき、順守状況や情報セキュリティマネジメントの有効性を、文書審査・インタビュー・エビデンス(証跡)によって確認します。
監査主体は、一般的に情報セキュリティサービス事業者や認証機関の審査員など、外部の専門機関が担います。なお、「外部監査」という言葉は、単に監査を外部に委託することを指すのではなく、監査の目的が外部に向けられていることを意味します。
内部監査(内部目的)
外部目的の外部監査に対し、社内の評価や改善を目的とする監査が、内部目的の内部監査です。これは、情報セキュリティ対策の有効性を社内向けに評価し、必要に応じて改善へつなげるために実施されます。
文書審査やインタビューなどの手法は外部監査と共通していますが、監査結果の利用者は組織の経営層など内部の関係者です。監査は、外部監査人に委託する場合もあれば、被監査組織の内部人材が内部監査人として実施することもあります。
内部監査人として任命されるのは、総務部門や企画部門など、監査対象の業務から独立した立場にある人材です。内部監査人は、役員や情報セキュリティ担当者の求めに応じて、事業部門のルール順守状況を確認し、必要に応じて改善の提案を行います。
情報セキュリティ内部監査の具体的な実施方法
情報セキュリティ対策のPDCAサイクルをスムーズに回すには、内部監査の仕組みを持つのが有効です。ここでは、内部監査の流れを解説します。また、セキュリティ対策としてアンチウイルスソフトを導入・運用しているケースを例に、内部監査の具体的な実施方法を解説します。
情報セキュリティ内部監査を実施する流れ
情報セキュリティ内部監査は以下のような流れで実施します。
1.内部監査の指示と監査人の任命:組織の長の通達により、内部監査の指示や監査人の任命を行う
2.内部監査計画書の作成:監査の目的や実施内容・期間などを計画書にまとめる
3.被監査組織への通知と日程調整:監査実施の際は事業部門の人材などにヒアリングを行うため、業務への支障を抑えられる日程を調整する
4.内部監査の実施:情報セキュリティ規則など組織内のルールが順守されているか、各種ログの確認やインタビューを行い、結果を記録する
5.報告書の作成:調査結果を内部監査報告書としてまとめる
6.内部監査の結果報告:内部監査の指示をした組織の長に結果を報告する
7.改善の指示:ルールを逸脱している事項などについて、組織の長から改善を指示する
8.改善計画の作成:内部監査の結果を受け、改善計画を策定する
情報セキュリティ内部監査の実施例
ランサムウェアなどのマルウェア感染から組織を守ることは、セキュリティ対策における基本的な施策です。例えば、セキュリティ規則において、事業部門の全てのPCにアンチウイルスソフトをインストールし、定義ファイルを常に最新の状態に保つことや、毎週末にフルスキャンを実施することが定められているとします。
このルールの順守状況を確認するために、総務の人材などを内部監査人に任命し、各PCの状態や従業員へのインタビューを通じて監査を実施します。
ルールが形式上は適切に見えても、実際には無理のある運用となっており、現場とルールとの間に乖離が生じている場合もあります。ルールから逸脱しているPCが確認された場合には、その原因をヒアリングし、例えばフルスキャンの実施時刻を業務時間外に変更するなど、現場に即した是正措置を行います。
情報セキュリティ監査に関する資格制度
特定非営利活動法人 日本セキュリティ監査協会(JASA)は、経済産業省による情報セキュリティ監査制度を着実に浸透させていくための運営体です。JASAが主催する資格制度として、「監査人資格制度(CAIS)」と「情報セキュリティ内部監査人能力認定制度(QISEIA)」があります。
監査人資格制度(CAIS)
監査人資格制度(CAIS)は、情報セキュリティ監査人として必要とされる知識・経験・技術の水準に応じて、主に以下4つの資格を認定する制度です。
- 情報セキュリティ監査アソシエイト:監査チームリーダーの要請を受け、チームの一員として専門知識に基づく助言を行う。資格認定要件は特定分野の専門資格を保有することなど
- 情報セキュリティ監査人補:監査制度の知識・経験を有し、OJTとして監査に参加する。資格認定要件は情報技術分野で3か月以上の業務経験があることなど
- 公認情報セキュリティ監査人:監査計画の立案や監査の実施・報告、上位の監査人の指導の下でOJTとして監査チームリーダーを務める。資格認定要件は情報技術分野で4年以上の業務経験があることなど
- 公認情報セキュリティ主任監査人:監査チームの編成や監査チームリーダーを担い、下位の監査人がOJTとして監査チームリーダーを務める場合は指導・評価を行う。資格認定要件は監査チームリーダーとしての監査実施経験など
情報セキュリティ内部監査人能力認定制度(QISEIA)
情報セキュリティ内部監査人能力認定制度(QISEIA)は、情報セキュリティ内部検査に必要な知識を有し、標準的なプロセスを定められる能力を認定する制度です。認定を取得するには、外部研修や教科書を通じて必要な知識を習得し、外部研修実施機関や協会指定の会場で能力認定試験を受けます。資格認定委員会の審査を経て、能力認定要件を満たしていると認められれば、認定証が発行されます。
この制度によって認定を受けた監査人が、質の高い内部監査を実施することで、経営判断の根拠や対外的な信頼性の向上に貢献できます。また、組織内やサプライチェーン全体で共通の監査手続きを持つことで、監査レベルの均一化を図れる点も大きな利点です。
情報セキュリティ内部監査にも役立つ情報システム整備ならイッツコム!
内部監査のプロセスでは、セキュリティ対策の運用状況を適切に把握し、場合によっては改善計画につなげることが必要です。イッツコムが提供する「モバイル閉域接続」や「Box」を活用すると、モバイル端末やファイルのマネジメント・監査をより適切に行え、より確実なセキュリティ対策につなげられます。
「モバイル閉域接続」でモバイル端末のマネジメントや監査を容易に
リモートワーク導入企業などにおいて、従業員が個人契約したインターネット回線を使用すると、ルールの設定や利用実態の把握は難しくなるでしょう。安全性の低いフリーWi-Fiに接続するなどのセキュリティリスクを排除しにくい他、情報セキュリティのマネジメントにも監査にも支障が生じます。
「モバイル閉域接続」なら、インターネットを経由せずに社内LAN・社内情報へ直接アクセスでき、セキュリティ強化に役立ちます。社外利用時も社内LANを経由した通信を行うため、組織内で通信ログを取得し、より詳細な監査に活用できることも魅力です。
サプライチェーン全体のセキュリティ強化に役立つ「Box」でファイル管理
ファイルが各従業員のデバイス内など多くのストレージに分散して保存されていると、不正アクセスやマルウェア感染などのリスクが高くなります。また取引先とファイルの送受信などがある場合、いずれか一方のセキュリティ対策の不備により、サプライチェーン全体をサイバーリスクにさらす恐れもあります。
こういったサイバーリスクの軽減に役立つのが、容量無制限のコンテンツクラウド「Box」です。7段階のアクセス権限の設定や強力な暗号化など、充実したセキュリティ機能にも定評があり、取引先とのファイル共有・共同編集やワークフロー構築なども安全に行えます。1,500以上の業務アプリと連携でき、日常的に使用する情報システム全体のファイルを安全に一元管理できることも魅力です。
全てのファイルは50世代以上のバージョン履歴を自動保存し、アクセス履歴などに関する70種類以上のログも取得できるため、監査証跡として必要な情報を整理することにも役立ちます。
【関連記事:クラウドストレージ「Box」の魅力は?使い方やメリットを徹底解説】
まとめ
情報セキュリティ監査は、セキュリティ対策の運用状況の把握と社内外に向けた説明はもちろん、改善の指針を得るという意味でも重要です。事業活動を取り巻くサイバーリスクが複雑化する昨今、情報セキュリティについて、より適切なマネジメントと監査が求められます。
イッツコムが提供する「モバイル閉域接続」や「Box」を活用すると、内部監査をより適切に行えるようになり、取引先やパートナー企業へのサイバーリスクの波及を抑止することにも役立ちます。
情報セキュリティについてより適切な施策をお探しなら、ニーズに合ったアプローチで課題解決をサポートできるイッツコムにご相談ください。
