文:福原 幸太郎 オリエントコーポレーション 業務監査部部長代理/日本セキュリィティ監査協会(JASA) 保証型監査促進プロジェクトLタスクリーダー
日本セキュリィティ監査協会(JASA)では、地方公共団体セキュリティ対策支援フォーラム(以下、LSフォーラム)と連携して、オーディットレディプログラムと保証型情報セキュリティ監査(社会的合意方式)について、その促進と実施の検討を2007年度から進めています(2007年度の報告書)。
オーディットレディ宣言とは、自治体がある一定の水準(=住民が納得する水準)を超えるようにセキュリティ対策を推進したうえで、首長が自ら「オーディットレディ(=監査の準備ができた)」と宣言することです(連載第3回などを参照)。社会的合意方式の保証型監査とは、監査テーマに関して監査意見を表明するのに十分な手続きを踏み、その結果をすべての利害関係者たり得る利用者に報告する方式です(連載第1回などを参照)。
LSフォーラムとJASAは、2008年度も引き続き連携活動をしています。具体的には、地方自治体の現状に合わせた監査の進め方の検討と、個別管理基準(監査基準)の作成準備を行っています。今回は、この活動の概要と今後の方向性についてお話します。
オーディットレディ宣言から外部監査へ
LSフォーラムのセキュリティ監査部会と、JASAの保証型監査促進プロジェクトに関するワーキンググループ「Lタスク」(「L」はLocal governmentの頭文字)では、両団体の連携作業における「目的」「策定方針」「目標」を次のように定めました。
【目的】
地方自治体における情報セキュリティ監査について、各々の実施者を下記のように明確にし、その手引きとなるガイドを作成する。
- 地方自治体が内部監査を実施する。
- 地方自治体が宣言したオーディットレディ宣言を、監査人が情報セキュリティ監査をするための個別管理基準と監査基準を準備(策定)する。
- 外部の監査人が地方自治体の情報セキュリティ外部監査を実施する。
【策定方針】
目標に掲げる成果物を策定する上での基本方針を次のように掲げています。
- 用語は分かりやすく(住民に分かりやすく、職員が業務とリンクしやすく)
- 例えば、「機密性・完全性・可用性(C・I・A)」「リスクを受容する」等は噛み砕いて表現する。
- 監査対象と表現を明確にする。
- 監査対象は「住民課(市民課)」「システム部」
- 地方自治体の本当に守るべきものは、住民の利益、住民の信頼、住民の財産であり、保証型監査(社会的合意方式)の監査対象範囲は、住民情報を取り扱う部署の「住民課(市民課)」と情報システムインフラを所管する「システム部」とする。
- 分かりやすい表現(ことば)
- 保証する内容・範囲についての表現は、情報セキュリティ対策において、「防ぐことができていること」「条件付き範囲内で防げること」「防げないこと」をできるだけ具体的に伝えられるようにする。
- それらを首長が住民に分かりやすく説明できるようにする。
【目標】
- 地方自治体が行う内部監査の基礎情報となるリスクアセスメント用の「脅威分析シート」を提供する。別途用意した「脅威対策表」と付き合わせることで、それぞれの自治体ごとに「個別管理基準」(仮称)を策定する。
- 監査人が使用する標準的な地方自治体の「個別管理基準」を策定する。
さて、ここには、「脅威分析シート」「脅威対策表」「個別管理基準」という(おそらく多くの人には)あまり聞き慣れない言葉が出てきます。まずはこの3つの言葉について説明します。
「個別管理基準」とは、地方自治体が自らリスクアセスメントを行うことができるようにするための基準です。JASAが策定した「情報セキュリティ管理基準Ver2.0マネジメント編:M-1情報セキュリティマネジメントの確立」で示されているリスクマネジメントを行う際などに活用します。
「個別管理基準」は、「脅威分析シート」と「脅威対策表」を付き合わせることで策定できます。「脅威分析シート」とは、業務プロセス中の脅威を特定しリスクアセスメントを実施するためのワークシートで、JASA(Lタスク)が作成しました。
「脅威対策表」は、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成18年9月版)、総務省「地方公共団体における情報セキュリティ監査に関するガイドライン」(平成19年7月版)をベースとし、さらに、JIS Q 27002:2006、経済産業省「情報セキュリティ管理基準」を参照して、JASA(Lタスク)が策定ました。現在、さらなる精度アップのための検討が進められています(資料ダウンロード)。
「情報セキュリティ管理基準Ver2.0マネジメント編」の序文に記述してある通り、ISO/IECの国際規格では情報セキュリティマネジメントについて、
「組織の情報資産に着目し、そのリスクアセスメント活動に基づく手法であり具体的な情報セキュリティマネジメントのプロセスは計画、実行、点検、処置(PDCA)を通じたマネジメントサイクルとして機能するように留意しなければならない」
と規定しています。このリスクアセスメント活動の「資産の特定」「脅威の特定」「リスクの確定」において「脅威分析シート」を使用します。
下の図1にある表は「脅威分析シート」と「個別管理基準」がマネジメントプロセスのPDCAのどの段階で使用されるかについてまとめたものです。さらに、図1下部には、マネジメントプロセスが一巡した後の、オーディットレディ宣言と外部監査の関連を示しました。
 |
| 図1●マネジメントプロセスとオーディットレディプログラム * 図中のM-X、M-X.Xの情報セキュリティ管理基準Ver2.0マネジメント編の項番を示しています。各項番の詳細内容については、情報セキュリティ管理基準Ver2.0マネジメント編マネジメント基準&マネジメントポイントをご参照ください。 【参照ページ】序文:p.112、マネジメント基準:p.121-p.122 マネジメントポイント:p.128-p.137 |
脅威分析シートを使っての脅威の特定
リスクアセスメントは、各業務機能で使用する情報資産に着目し「脅威分析シート」(表1:資料ダウンロード)を使って以下の手順で実施していきます。
- 情報資産を特定する。
- 情報資産に対する脅威を特定する。
- 情報資産のリスクを確定する。
なお、「脅威分析シート」で分析対象とする業務の業務範囲は、総務省「業務参照モデル(総務省標準第一版)」の住民情報:住民基本台帳を対象としました。(総務省のこちらのページを参照)。機能分析表(DMM)、機能情報関連図(DFD)における「階層1」の業務単位で記述します。
リスクアセスメントでの脅威の特定は、米国カーネギメロン大学のOCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)を採用しました。このOCTAVEで定義されている脅威の構造を業務の処理形態と関連付けて地方自治体で脅威の特定がしやすいように脅威分析シートの構成(項目と並び)を策定しました。現在、LSフォーラムとJASAでは、地方自治体の協力の下、脅威分析シートを使用して現在の処理形態(プロセス)ごとの脅威の特定を進めている。
 |
| 表1●脅威分析シートの構成項目と項目説明 |
リスクアセスメントによる管理策の選定
「個別管理基準」の管理策の選定は、図2の流れで「脅威分析シート」で特定された各業務機能の脅威に対する管理策を、「脅威分析シート」の許容できる水準に応じて策定します。許容できる水準は、「脅威分析シート」で洗い出された業務処理形態ごとの脅威と、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」の「対策基準に示されている趣旨」を照らし合わせて決めていきます。この許容できる水準を維持するための管理策を脅威対策表から選択して「個別管理基準」を策定します。
ここでは、地方自治体が「脅威分析シート」と「脅威対策表」を使うことによって日常の業務の用語でリスクアセスメントを行うことができるように考慮しました。また、「個別管理基準」の管理策は、各業務の脅威に対応したものが作成されるため、業務担当職員の理解が得やすくなります。
 |
| 図2●リスクアセスメントによる個別管理基準作成の流れ |
オーディットレディ宣言のための個別管理基準の策定
「個別管理基準」を策定した自治体は、この基準に沿った管理策が整備され運用されているかどうかを内部監査では確認し評価します。内部監査の評価結果を基に、首長はオーディットレディ宣言を行うことになります(図3)。
 |
| 図3●オーディットレディ宣言と個別管理基準の関連 |
今後の取り組み
今後、LSフォーラムで「脅威分析シート」による脅威の特定を継続し、同時にJASA(Lタスク)は「脅威対策表」のレビューを継続するとともに、モデルとなる「個別管理基準」を策定していきます。
また、パートナーとなる地方自治体を選定しての共同事業も予定しています。まず、その自治体の「個別管理基準」に基づいて内部監査を行い、首長がオーディットレディ宣言を行うことになります。JASA(Lタスク)では監査人を派遣し、「個別管理基準」に基づいて、オーディットレディ宣言された宣言内容を社会的合意方式による保証型情報セキュリティ監査(パイロット監査)で評価します。そのフィードバックは、2008年度末に公開の予定です。
|
