文:大木 栄二郎=工学院大学情報学部教授/日本セキュリティ監査協会(JASA)顧問
日本セキュリティ監査協会(JASA)では、コラム「情報セキュリティ監査の基本とトレンド」をこちらで連載することになりました。市民の利害関係者に対する説明責任の一環として外部監査、特に「保証型情報セキュリティ監査」(以下、保証型監査)の実施が求められるようになってきました。第1回目となる今回は、「保証型情報セキュリティ監査」とはどのようなものであるのかについて、まずは簡単に説明をしたいと思います。併せて、地方自治体における情報セキュリティのキーパーソンによる座談会も公開します(座談会はこちらから)。ぜひご一読ください。
保証型監査の3方式
情報セキュリティ監査には、情報セキュリティの問題点を検出し、その改善を提言する「助言型」と、情報セキュリティ対策が一定の基準を満たすことにお墨付きを与える「保証型」の二種類があります。いずれも、監査であるからには、一定の力量を持つ独立の監査人が、定められた基準に従って情報セキュリティ対策やそのマネジメントを、情報リスクを判断の尺度として評価し、専門家としての意見を定められた報告書式に従って表明することに変わりはありません。
これまでの情報セキュリティ監査は、ほとんどが助言型で行われてきました。しかし、情報セキュリティへの取り組みが進むと同時に、利害関係者から情報セキュリティ対策の有効性に対して保証型監査の要請が強くなっています。情報セキュリティ監査は情報リスクを判断の尺度として情報活動を監査します。
日本セキュリティ監査協会(JASA)では、監査が果たす社会的役割や価値などから、保証型情報セキュリティ監査を「社会的合意方式」「利用者合意方式」そして「被監査主体合意方式」の3方式に分けて定めています。監査の目的や監査を受ける組織と監査報告書を読む利用者との関係で、適切な方式を選択することになります。
社会的合意方式とは、監査に用いる情報セキュリティ管理基準や監査基準に社会的な合意が存在するという意味をこめて命名したもので、監査テーマに関して監査意見を表明するのに十分な手続きを踏み、その結果をすべての利害関係者たり得る利用者に報告する方式です。監査を受ける組織の責任者が「情報セキュリティ対策を基準に従って実施している」旨の主張をし、監査人はその主張が実態を表しているかどうかを調べ、その結果「信じるに足る」との結論を報告書に記載する方式です。地方公共団体の情報セキュリティ対策が一定の基準を満たしていることを住民に説明する場合などに用いることのできる方式です。この例として、地方公共団体セキュリティ対策支援フォーラム(LSフォーラム)が進めている「オーディットレディプログラム」があります。
利用者合意方式は、監査対象の情報セキュリティ対策に直接の利害関係を持ち、その適否や有効性に特定の期待や要求水準を示している監査報告書の利用者が、監査人が採用する監査手続きの十分性について、暗黙または明示的に合意している場合の保証型監査を言います。利用者とは監査報告書を読む人のことです。この方式の具体例は、重要な情報の処理を業務委託で外部の事業者に任せる場合などがあり、外部の事業者が監査対象で委託元が監査報告書の利用者となります。この場合、委託元の期待する水準の情報セキュリティ対策が委託先で行われていることを保証の対象とします。地方公共団体においても、重要情報にかかわる業務委託を行う場合は、利用者合意方式が有効でしょう。
被監査主体合意方式は、監査対象(被監査主体)が、監査報告書の利用者に向けて説明するために、特定の監査テーマを定め、その監査手続きを監査人と相談し合意の上で定める場合で、かつ、監査テーマと監査手続きについて監査報告書の利用者の確認がある場合の保証型監査です。この具体例は、業務委託にかかわる情報セキュリティの検証で、委託元が委託先に具体的な管理策の実施を要求し、その実施状況について委託先が委託元に説明したい場合などが挙げられます。委託先が中小企業などで、実施すべき管理策を委託元が定めて要求する場合などに向いています。
※ 本稿は『日経BPガバメントテクノロジー』第16号(2007年10月1日発行)に掲載されたものに一部修正を加えたものです。また、保証型監査についてさらに詳しくは、JASA「保証型監査概念フレームワーク」「保証型監査ガイド(中間報告)」などを参照のこと。
