監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・大溝裕則(ジェイエムシー 情報セキュリティ統括役員〔CISO〕)


 情報システムは、急激に変化を遂げています。一人一台のパソコンは当たり前になってきており、ネットワーク環境もインターネットの使用で利便性は大きく前進しました。反面、セキュリティ上の問題も出てきているのが現状です。情報セキュリティ監査の実施状況(表1)を見ても、大企業でも実施状況は20%。それ以外の企業や団体では、実施している方が稀であるということが見て取れます。

■表1 情報セキュリティ監査の実施状況
  実施している 実施していない 無回答
大企業(N=541) 20.0% 79.7% 0.4%
中小企業(N=951) 7.2% 91.7% 1.2%
地方公共団体(N=172) 4.7% 95.3% 0.0%
病院(N=109) 4.6% 95.4% 0.0%
大学(N=175) 9.1% 90.3% 0.6%
その他学術/研究機関(N=70) 11.4% 88.6% 0.0%
資料:総務省「情報セキュリティ対策の実施状況調査結果」(2002年)

 ただ、自治体にせよ企業にせよ、一概に情報セキュリティ監査に無関心だというわけではないと思います。調査が実施された2002年の段階では、情報セキュリティの専門会社が「情報セキュリティ監査」というメニューを掲げていても、それは各社独自のメニューであり、サービス内容も一律ではありませんでした。つまり、情報セキュリティ監査を実施しても、実施したことを対外的にアピールしづらく、内部に対しても効果を説明しづらいという状態だったのです。

 そんな現状を踏まえ、日本においても2003年度より、経済産業省主導で情報セキュリティ監査制度がスタートしました。

■情報セキュリティ監査の基本的な3つの視点

 情報セキュリティ監査の詳細については、経済産業省のWebサイトにファイルが置いてありますので、ここでは基本的な視点だけを説明します。


(1)監査の対象は情報システムではなく情報資産

 情報システムのセキュリティという観点ではなく、もっと広く情報資産のセキュリティがいかに確保されているのかを監査するというのが、第一の視点です。「情報資産」とは書類、データ、情報システム、またそれらを取りまくすべてのものが含まれます。ですからサーバーにあるデータ以外に皆さんがお使いのパソコンのデータ、紙に印刷された情報、またそれらが保管されている建物や、出入りする人も対象になるのです。


(2)情報資産に対するマネジメントを監査

 第二の視点は情報セキュリティの強度、例えば「どんなファイアウォールが設置されているのか」であるとか、「アンチウィルスソフトが導入されているのか」という視点ではなく、新たに情報セキュリティ上の脅威が発生したり、変化していく中で、どのように情報セキュリティをマネジメントしているのかを監査するということです。

 例えば、カメラ付き携帯電話の普及も、情報の漏洩という側面では、大きな脅威となります。最近使用されることが多くなったUSBメモリーに関しても、新しい保存媒体、運送媒体としての運用上のルールを決めることも必要でしょう。


(3)情報資産に対するリスクアセスメントから始まるマネジメントサイクルの視点

 まず、適切なリスクアセスメント(情報資産に対して、想定される危険性の可能性を評価すること)が大事であり、その結果を基に効果的な対策を立て、その対策が実施されているかどうかを評価する、という視点です。

 定期的または大きな環境の変化があった場合には、リスクアセスメントからのサイクルを再度実施しなければいけません。つまり、(2)でも述べたように、新たな脅威の発生に対しては、定期的にリスクアセスメントを実施することで新たな脅威に対するセキュリティ対策を立てます。また、組織変更や新事業への進出など大きな環境の変化があった場合には、新しい情報資産が増えることが考えられるので、情報資産の洗い出しを再度実施した上でリスクアセスメントが必要になるわけです。

■情報セキュリティ監査基準と管理基準

 経済産業省が発表している基準には、「情報セキュリティ監査基準」と「情報セキュリティ管理基準」があります。

 「情報セキュリティ監査基準」とは監査を実施する際に監査主体(監査を行う者)が従うべき規範を定めたものです。「情報セキュリティ管理基準」は、監査を実施する際の判断の尺度になる基準であり、監査のチェック項目の位置づけとも言えます。この管理基準は、JISX 5080:2002をベースに作られています。

 実際に監査を実施する際には、この管理基準をすべてチェックする訳ではなく、必要に応じて選択して使用します。また、情報セキュリティ監査制度では、監査対象をすべての組織ではなく一部だけに実施することも認められていますので、外部に公開したWebサーバのみを監査するということもあります。そういった場合には、その監査を受ける部分に関連する管理基準のコントロール(管理策)やサブコントロール(管理策の具体的項目)を選択するわけです。

■次回以降のこのコラムについて

 私たちが所属しているNPO日本ネットワークセキュリティ協会(JNSA)のセキュリティ監査ワーキンググループは、情報セキュリティ監査制度がスタートするより以前の2001年7月に発足しました。メンバーの多くは、深く情報セキュリティに携わってきた人達で構成されています。このコラムは、JNSAのセキュリティ監査ワーキンググループの有志により執筆していきます。次回からは情報セキュリティ監査制度の管理基準にあるコントロール(管理策)をいくつか抜き出し、なるべく具体的に、分かりやすく説明していきます。どういう管理策を取れば情報セキュリティが確保できるか、また過去の情報セキュリティ事故から学ぶ対策例などで構成しようと思っております。このコラムを読まれている皆さんの所属する組織の情報セキュリティに、多少でもお役に立てれば幸いです。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。