情報セキュリティ監査の実施手順:情報セキュリティマネジメントシステム基礎講座(9)(2/2 ページ)
情報セキュリティ監査の実施手順
第I章「情報セキュリティ監査実施上の前提事項」では、情報セキュリティ監査を実施するに当たり、監査人が事前に準備または設定しておくべき項目について解説してきた。「実施基準ガイドライン」の第II章「情報セキュリティ監査の実施手順」では、情報セキュリティ監査の実施手順について解説する。
1.監査実施のフレームワーク
情報セキュリティ監査の実施手順は、下図のようになる。情報セキュリティ監査は、その目的または実施形態を問わず、監査計画の立案、監査手続の実施(監査証拠の入手と評価)、監査報告書の作成を経て実施される。監査報告書の内容などは次回に説明する。
図1 情報セキュリティ監査の実施手順ここでは、上図の点線で囲まれた手続きに関して、おのおの説明していく。
2.監査計画の立案
情報セキュリティ監査人は、情報セキュリティ監査を有効かつ効率的に実施するために、監査の基本的な方針を立案し、それに基づいて、実施すべき監査手続を具体的に決定し、必要な監査体制を整える必要がある。情報セキュリティにかかわるリスクは常に変動するため、監査計画は、適切なリスクアセスメントの結果を反映し、リスクの変動に応じて適時に修正されなければならない。
- 監査基本計画の立案
まず、情報セキュリティ監査人は、監査の基本的な方針として、次の事項を立案する。
| ・監査対象とする範囲 | |
| ・監査対象とする期間または期日 | |
| ・監査対象とする段階(例えば、運用段階) | |
| ・監査対象にかかわる監査目標(例えば、機密性の維持) | |
| ・監査業務の管理体制 | |
| ・ほかの専門職の利用の必要性と範囲 | |
| 表9 監査基本計画の立案事項 | |
情報セキュリティ監査の基本的な方針は、通常の業務監査との連携を視野に入れ、事業活動上のリスクを考慮に入れて立案する。立案された監査の基本的な方針は、監査基本計画書として文書化される必要がある。
監査基本計画書は、内部監査として情報セキュリティ監査を実施する際には原則として年度計画として策定されるが、必要に応じて、長期計画、中期計画、および年度計画に分けて策定される。長・中期的な監査計画の下で継続的あるいは定期的にセキュリティ監査を実施することは、セキュリティの維持およびその効果を測定するうえで重要である。このことは、情報セキュリティ監査の実施を外部に委託する場合も有効であり、長・中期的な基本計画に基づいて監査契約を締結することを推奨する。
- 監査実施計画の立案
次に、情報セキュリティ監査人は、監査の基本的な方針に基づいて、実施すべき監査手続についての詳細な計画として、次の事項を立案する。
| ・監査手続の実施時期 | |
| ・監査手続の実施場所 | |
| ・監査手続の実施担当者およびその割り当て | |
| ・実施すべき監査手続の概要(必要に応じて、監査要点、実施すべき監査手続の種類、監査手続実施の時期、および試査の範囲を含む) | |
| ・監査手続の進ちょく管理手段または体制 | |
| 表10 監査実施計画の立案事項 | |
実施すべき監査手続を効果的に実施するために、いつ、どこで、誰が、どのような監査手続を実施するかを体系的に立案し、併せて監査手続の進ちょく管理を行うための手段または体制を計画に織り込み、適切に監査が実施されていることを確実にすることは重要である。
これらのことを考慮に入れた監査手続の詳細な計画は、監査実施計画書として文書化する必要がある。内部監査を実施する場合、通常は内部監査部門の長などの監査依頼者が情報セキュリティ監査計画を承認することが必要となる。
- 監査計画立案における監査対象のリスクアセスメント
監査目的を有効かつ効率的に達成するため、情報セキュリティ監査人は、リスクアセスメントを実施する。監査計画立案段階におけるリスクアセスメントは、重要な監査対象の戦略的決定にとって有益であるばかりでなく、リスクアセスメントの結果を実施すべき監査手続に反映させることによって、優先順位や、監査項目など全体としてメリハリのある監査を実施することが可能となる。
- 被監査側においてリスクアセスメントが行われている場合
情報セキュリティ監査人は、被監査側で実施されたリスクアセスメントの適切性を確認したうえで、実施されたリスクアセスメントの結果を監査計画の立案に活用する。この場合、情報セキュリティ監査人の被監査側におけるリスクアセスメントの適切性の判定がポイントになる。適切性の判定に関しては、リスクアセスメント手法の厳密性を検証するのではなく、リスク・マッピングなどの工夫によって、リスクアセスメントの結果が実装されたセキュリティ対策と関連付けられたものであることを確認することが重要である。
その際、最も重要なことは、リスク情報などの収集と評価である。情報セキュリティ監査人は、情報セキュリティにかかわるリスクを網羅的に把握し、かつリスクの派生を見極めるため、リスク情報の収集と評価を行わなければならない。収集と評価に当たっては、関連する事業または業務部門の関係者を一堂に会した組織横断的なワークショップ形式による自由な討議または自己評価を効果的に利用することが有用である。この手法は、RSA(Risk Self Assessment)またはCSA(Control Self Assessment)と呼ばれ、これらの手法では、被監査側にリスク自己評価表を配布し記入を求め、その結果を基に情報セキュリティ監査人が必要なヒアリングなどを組み合わせる簡便法を利用することがある。その際、リスク自己評価表の記入においては、現状を正確に、また客観的に記入できるように、質問項目の内容、記入環境に注意しながら実施する必要がある。この手法の利点は、情報セキュリティにかかわるリスク情報を被監査側全体で共有することができ、また関係部署への教育的効果などの付随的効果などが挙げられる。
- 被監査側で情報セキュリティにかかわるリスクアセスメントが行われていない場合またはリスクアセスメントが不適切である場合
被監査側によるリスクアセスメントが行われていない場合、またはリスクアセスメントが不適切な場合は、必要に応じて情報セキュリティ監査人がリスクアセスメントを行う必要がある。助言型の監査において、当該事実、および情報セキュリティ監査人によるリスクアセスメントの結果とそれに応じたリスクマネジメントやセキュリティ対策の実装の整備および運用に対する助言が重要な指摘事項となることがある。
3.監査手続の実施(監査証拠の入手と評価)
情報セキュリティ監査人は、監査の実施に当たり、自らの監査意見を裏付けるに必要かつ十分な監査証拠を入手しなければならない。監査証拠は、保証型、助言型の監査に応じるための保証意見または助言意見の根拠となるものである。監査証拠の入手は、状況に応じて最適な監査手続を選択し、適用した結果から得られたものでなければならない。監査証拠を入手する方法としては、 以下の方法などが挙げられる。
| ・関連書類の閲覧および査閲 | |
| ・担当者へのヒアリング | |
| ・現場への往査および視察 | |
| ・システムテストへの立ち会い | |
| ・テストデータによる検証 | |
| ・ツールによるホストスキャン | |
| ・システム侵入テスト(ペネトレーションテスト) | |
| 表11 監査証拠を入手する方法 | |
情報セキュリティ監査人は、入手した監査証拠の必要性と十分性の判断に当たって、被監査側から提出された資料、監査人自ら入手した資料、監査人自ら行ったテスト結果などを総合的に勘案して、相互に矛盾があるか否か、異常性を示す兆候があるか否かを評価しなければならない。
妥当性が確認された監査証拠の評価に当たっては、リスクアセスメントの結果との関連付けがポイントになる。被監査側が実装しているセキュリティ対策が適切であるか否かの判断は、リスクに応じたものでなければならないからだ。対象となる複数のシステムから同等の監査証拠が入手された場合でも、おのおののシステムが保有するリスクの度合いが異なれば、セキュリティ対策の適切性は異なるものになる。
4.監査調書の作成と保存
情報セキュリティ監査人が実施した監査手続の結果と、監査手続に関連して入手した資料などは、監査の結論に至った経過が分かるように監査調書として作成し、情報漏えいや紛失などを考慮し、適切に保管しなければならない。
監査調書とは、情報セキュリティ監査人が行った監査業務の実施記録であり、監査意見表明の根拠となるべき監査証拠やそのほか関連資料などを綴り込んだものであり、以下のような資料を含む。
| ・情報セキュリティ監査人自身が直接に入手した資料やテスト結果 | |
| ・被監査側から提出された資料 | |
| ・場合によっては組織体外部の第三者から入手した資料など | |
| 表12 監査調書の例 | |
監査調書は、主として監査意見の根拠とするために作成されるが、それ以外にも次回以降の情報セキュリティ監査を合理的に実施するための資料としても役立つ。また、情報セキュリティ監査人が正当な注意を払って監査業務を遂行したことの証左となることもある。そのため、監査調書の作成に当たっては、正確かつ漏れなく必要な事項を記入しなければならない。そのうえで、情報セキュリティ監査人は、監査の結論に至った経過が秩序整然と分かるように、さまざまな方法を用いて整備していかなければならない。
監査調書は、情報セキュリティ監査終了後も相当の期間、整理保存しておく必要がある。監査調書には被監査側の機密事項が含まれていることから、情報セキュリティ監査人は、保管場所や保管責任者の特定など、監査調書の保管には十分留意しなければならない。
5.適切な監査業務の体制整備
情報セキュリティ監査人は、前図に示したように、監査計画の立案、監査手続の実施、監査証拠の入手と評価、監査報告書の作成、監査報告に基づくフォローアップからなる一連の監査業務の遂行において、監査業務を効率的に実施し、かつ重要な問題点の見落としなど監査業務上の瑕疵(かし)が生じないよう、監査業務の全体を管理しなければならない。
監査業務は、少ないコストで最大限の効果が期待できるよう実施されるべきであるが、そのためには監査業務の品質確保が最も重要な要件となる。監査業務の品質管理は、適切な監査計画の立案、監査マニュアルの整備、および監査調書のレビューなどを通じてなされる。
情報セキュリティ監査が監査チームによって実施される場合には、監査業務上の瑕疵が生じないよう、適切な職務の分担に配慮し、監査担当者間における相互チェックが機能するような体制を整える必要がある。このことは、監査計画の立案段階において想定しなかった状況変化(リスクの変化を含む)、すなわち経営方針の変更、事業プロセスの変更、情報システムの新規開発、突発事象の発生などにも柔軟に対応するためにも必要である。
必要かつ十分な監査証拠を入手するために、情報セキュリティ監査人が必要と認めた場合には、ネットワークセキュリティスペシャリスト、システムアナリスト、ビジネスコンサルタント、技術士、弁護士、公認会計士などの専門職の支援を仰ぐことも監査実施において十分に考慮すべき事項である。
ただし、当該専門職からのアドバイスや監査手続の補助または、代行があったとしても、監査の結果についての責任は情報セキュリティ監査人にあることを常に念頭にいれ、その職務を遂行しなければならない。
次回は「情報セキュリティ監査基準」の報告基準に伴う、「報告実施ガイドライン」について紹介し、情報セキュリティ監査人が作成する監査報告書を説明する。
「第10回」へ
著者紹介
駒瀬 彰彦(こませ あきひこ)
セキュリティ・ポリシー事業部 取締役事業部長 シニアコンサルタント。ISMS適合性評価制度 技術専門部会 主査。英国BSi(British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会 セキュリティ研究部会 副部会長。2003年4月より立教大学大学院ビジネスデザイン研究科 非常勤講師。
暗号技術を用いた機密情報保護、認証システムの設計、開発などを担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツールである「M@gicPolicy」の開発やリスクアセスメント・リスクマネジメントのための「RAソフトウェアツール」の日本語化やISMS構築のためのコンサルティング業務や情報セキュリティ監査に携わっている。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。