情報セキュリティ監査基準に必須の報告基準ガイドライン：情報セキュリティマネジメントシステム基礎講座（最終回）

» 2004年04月17日 00時00分公開

[駒瀬彰彦，アズジェント]

　「第9回情報セキュリティ監査の実施手順」では、情報セキュリティ監査実施上の手順についてお分かりいただけたと思う。今回は、「報告基準ガイドライン」について紹介し、提出する報告書の内容などについて説明する。

情報告基準ガイドラインの前提

　「報告基準ガイドライン」は、「情報セキュリティ監査基準」のうち、報告基準にかかわる基本的な考え方を踏まえ、特に留意すべき事項および情報セキュリティ監査報告書のひな型について示したもので、次の5つの章から構成されている。

I. 監査報告書の意味と記載事項

II. 助言報告書作成上の留意事項

III. 助言報告書のひな型

IV. 保証報告書作成上の留意事項

V. 保証報告書のひな型

I. 監査報告書の意味と記載事項

　監査報告書を作成するに当たって、必須の項目に関して紹介する。

　1．監査報告書の定義

　まずは情報セキュリティ監査報告書について、以下のように説明している。

監査の結果を関係者に伝達する手段であること。
情報セキュリティ監査人が自らの役割と責任を明確にする手段であること。

　ポイントとしては、以下のようなことが挙げられる。

情報セキュリティ監査の目的に応じて監査人が必要と認めた事項を明瞭に記載すること。
監査の結果が誤解なく、伝わるものであること。
監査報告書に記載した事項については情報セキュリティ監査人が全面的に責任を負うこととなることに留意すること。

　2．監査報告書の記載事項

　情報セキュリティ監査報告書の記載区分は、内部利用であっても、外部に開示されることを前提に作成される場合であっても、基本的には、次の記載区分によって構成される。

導入区分（実施した監査の対象などを記載する）
概要区分（実施した監査の内容などを記載する）
意見区分（保証意見または助言意見を記載する）
特記区分（必要に応じてそのほか特記すべき事項を記載する）

　この際、監査報告の明瞭性という観点から、導入、概要、意見の3つの記載区分は、情報セキュリティ監査の目的または実施形態を問わず、必ず設ける必要がある。

　監査報告書が外部へ開示される可能性がある場合、監査責任者は、被監査主体者と以下のような事項について十分検討する必要がある。

監査報告書の開示方法および開示時期
開示する個所（監査報告書のすべてを開示するか、あるいは監査報告書のどの部分を開示するか）

　このような事項が十分に検討されていないと、監査人が予測していない方法やその個所を開示されることにより、監査人の信頼を著しく損ねることがあることに留意する。

　3．監査意見の種別

　情報セキュリティ監査報告書には、情報セキュリティ監査の目的または契約の内容によって、以下の報告書が作成される。

助言型の監査報告書（助言報告書という）
保証型の監査報告書（保証報告書という）

　ここで、助言報告書とは、ある尺度に照らしたときに、そのあるべき姿との乖離（かいり）を指摘し、改善の方向性を示すものである。監査対象となる組織の情報セキュリティに関するマネジメントや、マネジメントにおけるコントロールの改善を目的として、監査対象の情報セキュリティ上の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を行う「助言型監査」で用いられる。

　一方、保証報告書とは、監査の対象となる組織体の情報セキュリティに関するマネジメントや、マネジメントにおけるコントロールが監査手続を実施した限りにおいて適切である旨（または不適切である旨）を伝達する「保証型監査」で用いられる。

　保証型監査は、自らの情報セキュリティ対策についての「お墨付き」を得ることを目的とする際は有用である。例えば、ECサイトを運営する企業が、加盟店に対して自らの情報セキュリティ対策が安全であることを提示したい場合などが典型的な事例である。このような場合、監査の対象となる組織体は、監査主体組織と保証型監査の契約を事前に取り交わし、監査結果として、保証報告書の提出を求めることになる。なお、「保証」といっても、結果としてインシデントが発生しないという絶対的な保証ではなく、一定の判断の基準（クライテリア）に従って、監査手続を行った範囲における合理的な保証となる。

　情報セキュリティ監査制度では、保証型監査と助言型監査を自由に選択できる制度となっている。無論、一部分の保証、保証と助言の混合型といった形態も認められる。

　従って、被監査主体は、自らのセキュリティマネジメントシステムの構築の度合いに応じて、監査主体との契約を決定すべきである。監査の在り方として、まずは、助言型監査によって徐々にそのレベルを向上させ、また必要に応じて一部分の保証を加えながら、ある段階に来たときに保証型監査を行うといった利用が想定される。

図1 典型的な情報セキュリティ監査の在り方（助言型と保証型の位置付け）なお上記0〜5はイメージであり、正式な定義ではない。

II. 助言報告書作成上の留意事項

　では、助言型監査報告書に関する主なポイントを紹介する。

　1．助言意見の表明方法

　助言意見の表明に当たり、次のポイントについて記載が必要となる。

情報セキュリティ管理基準を監査上の判断の尺度として利用する場合、助言の内容は情報セキュリティ監査人の自由裁量で行われるものではなく、あくまでも情報セキュリティ管理基準など適当な管理基準に照らして検出された問題点の指摘と改善提言であることに留意する。
助言意見は、情報セキュリティ管理基準などに照らした欠陥および懸念事項を検出事項として提示することに留まらず、当該検出事項に対応した改善提言があって、はじめて効果的なものとなることに留意する。その際、実現にかかわる改善提言の意思決定に関与することがあってはならない。助言意見は、情報セキュリティ監査報告書の内部利用を前提とした場合に有効な意見表明方式である。

　2．助言意見記載上の留意事項

　助言意見記載上の留意点として、次のポイントを押さえる必要がある。

検出事項の記載は、あくまでも被監査側による継続的な改善活動を前提とした助言として行われる。情報セキュリティ対策の重大な欠陥などに基づく監査意見の限定とは異なることに留意すること。
助言事項に基づいて是正措置を採用するか否かは、あくまでも被監査側の判断である。情報セキュリティ監査人はそれを強制することはできない。
情報セキュリティ対策にかかわる成熟度に応じて助言意見を表明する場合、監査報告書においてどのような成熟度モデルを利用して監査を実施したのか、その場合に用いた成熟度の水準の判定基準について記載しなければならない。

III. 助言報告書のひな型

　1．助言意見のみを記載する場合のひな型

　通常、助言報告書は、保証を付与するものではなく、具体的な検出事項と改善提言の伝達が目的であることから、そのフォーマットなどにおいて、厳密性を必要とされない。助言報告書では、何よりも、検出事項が明確であり、検出事項に対し、効果的な改善提言をそれぞれ、重要性の高いものから記載していくことがポイントである。

　助言型監査報告書のひな型については、「情報セキュリティ監査基準　報告基準ガイドライン」を参考にしていただきたい。

IV. 保証報告書作成上の留意事項

　では、保証型の監査報告書に関する主なポイントを紹介する。

　1．保証意見の表明方法

　保証意見の表明に当たり、次のポイントについて記載されている。

情報セキュリティ管理基準やそのほかの適切な管理基準などを監査上の判断の尺度として利用する場合、当該管理基準などに照らして慎重に監査手続を実施した限りにおいて、情報セキュリティ対策について重大な欠陥がないこと（またはあること）を保証するものであること。
保証意見は、情報セキュリティ監査報告書の内部利用を前提とした場合にも有効な意見表明方式である。監査報告書の外部開示を前提とした場合には原則としてこの意見表明方式による。

　2．保証意見の類別

　保証意見は、以下のいずれかの意見として表明される。

肯定意見（情報セキュリティ対策のすべてに重大な欠陥がなく、適切である旨の保証
限定付き肯定意見（情報セキュリティ対策の一部に欠陥があるか、または情報セキュリティ監査人が必要と認めた監査手続が制約されたがその部分を除けば適切である旨の保証）
否定意見（情報セキュリティ対策に重大な欠陥があり、情報セキュリティ管理状況が全体として適切とはいえない旨の保証がある）

　限定付き肯定意見および否定意見は、情報セキュリティ対策に無視し得ない欠陥があることを監査意見として表明する場合に用いる。情報セキュリティ監査報告書の外部開示が想定される場合、以下の対応を取る必要がある。

肯定意見の表明が困難であると判断されるときは、助言型の監査に切り替える。
一定期間をおいて被監査側による改善が図られた段階で監査に着手する。

　3．保証意見記載上の留意事項

　保証意見記載上の留意点として、次のポイントについて記載されている。

情報セキュリティ対策に対して一定の保証を付与するため、曖昧な表現を避け、助言意見と混同されることがないようにしなければならない。情報セキュリティ監査人が負う可能性がある責任には十分に留意する。
情報セキュリティ対策に無視し得ない欠陥があることを監査意見として表明する場合、情報セキュリティ監査人は、監査報告書の外部開示または非開示を考慮し、必要に応じて法律専門家に助言を求めるなどして、監査報告書の記載方法、表記方法、ならびに取り扱い方法を慎重に検討したうえで監査報告書を作成し、提出する。
情報セキュリティ対策にかかわる成熟度に応じて保証意見を表明する場合、監査報告書の導入区分において、どんな成熟度モデルに基づいて監査を実施したかを記載する。
情報セキュリティ対策にかかわる成熟度モデルを利用せず、監査報告書を作成する場合、被監査側における情報セキュリティ対策が適切に整備かつ運用され、高度なセキュリティが確保されていることを確認するための監査が行われたものと推定されることに留意する。

V. 保証報告書のひな型

　保証型監査報告書のひな型については、「情報セキュリティ監査基準　報告基準ガイドライン」に以下のようなものが用意されているので、参考にしていただきたい。

肯定意見のひな型
限定付意見などのひな型
（ア）情報セキュリティ対策の重要な欠陥などに基づく限定
（イ）監査人が必要と認めた監査手続きの制約に基づく限定
合意に基づく監査手続とその結果のみを報告する方式による場合のひな型

監査報告書の発行

　ここまで報告基準ガイドラインを簡単に要約してきた。情報セキュリティ監査人は、上記のような点に留意して、被監査主体の責任者による最終確認で問題がなければ、監査報告書を提出する。この際、監査責任者は、監査報告書の提出のみにとどめるのではなく、被監査主体に対する報告会を開催するなど、再度、報告内容が正しく伝わるようにすることは重要である。

　報告会などにおいては、特に以下の事項について伝達することがポイントとなる。

事実と意見の明確化
根拠
改善提言（是正処置）

　監査の結果が、事実であるのかまたは監査人の意見であるのかを被監査主体に誤解なく伝え、内容の正当性を図るうえで、その根拠となる監査証跡を提示する必要がある。

　また、一連の監査手続の結果と、監査手続に関連して入手した資料などは、監査の結論に至った経過が分かるように監査調書として作成し、情報漏えいや紛失などを考慮し、適切に保管しなければならない。この監査調書とは、情報セキュリティ監査人が行った監査業務の実施記録であって、監査意見表明の根拠となるべき監査証拠、そのほか関連資料などをつづり込んだものをいう。情報セキュリティ監査人自身が直接に入手した資料やテスト結果だけでなく、被監査側から提出された資料などを含み、場合によっては組織体外部の第三者から入手した資料などを含むことがある。

　監査調書は、主として監査意見の根拠とするために作成されるが、それ以外にも次回以降の情報セキュリティ監査を合理的に実施するための資料として役立ち、また監査の品質管理の手段としても役立つ。さらには、情報セキュリティ監査人が正当な注意を払って監査業務を遂行したことの証左となる。

　この監査調書はさまざまな目的に役立つことから、監査調書の作成に当たっては、正確かつ漏れなく必要な事項をつづり込まなければならず、また、情報セキュリティ監査終了後も相当の期間、整理保存しておく必要がある。監査調書には被監査側の機密事項が含まれていることから、保管場所や保管責任者の特定など、監査調書の保管には慎重な注意が要求されることに留意すること。

情報セキュリティマネジメントシステムの構築のコツ

　さて、これまで10回にわたって、情報セキュリティマネジメントシステムや情報セキュリティ監査に関して概略を紹介した。情報セキュリティマネジメントは、今後一層、組織にとって重要な問題になってくるであろう。情報セキュリティに関連する、ISMS適合性評価制度、情報セキュリティ監査制度、個人情報保護を目的としたプライバシーマーク制度、IT製品やシステムのセキュリティ機能が正しく設計・実装されているかどうかを評価する「ITセキュリティ評価制度」などを利用し、組織にあった適切な情報セキュリティを管理し、維持することは重要である。このため、わが国としても、これらの制度を確実に推し進めていくことと同時に、制度間の互換性、整合性などがますます期待される。

　いかなる制度を用いる場合でも、情報セキュリティを向上させるには、組織内に明確な方向性を示し、その目標に向け、さまざまな階層において、適切なコミュニケーションをとり、漏れや考え方の相違がないよう、確実に遂行していくことが重要である。

　ここで筆者がよく質問される、情報セキュリティマネジメントシステムの構築のコツに対する回答として、2002年OECD（経済協力開発機構）によって採択された情報システムのセキュリティに対する9つの原則を紹介する（総務省発表資料：OECD情報セキュリティ・ガイドライン改訂版の公表について）。

（1）認識の原則（Awareness）

　情報システムおよびネットワークのセキュリティの必要性ならびにセキュリティを強化するために自分たちにできることについて認識すべきである。

　情報セキュリティを確保するためには、リスクと安全防護措置について認識することがまず必要である。情報システムやネットワークは常に組織内外のリスクにさらされており、セキュリティ面での障害は自らの情報システムのみならず、他人にも損害を与えることになることを認識するべきである。

　利用する情報システムの構成がどのようになっていてネットワーク内でどのような位置付けにあるのか、更新情報（ソフトウェアの修正パッチなど）をどのようにすれば利用できるのか、実施可能な対策はあるのか、ほかの参加者が何を求めているのかを認識するべきである。

（2）責任の原則（Responsibility）

　情報システムおよびネットワークのセキュリティに責任を負う。

　相互接続された情報システムやネットワークのセキュリティに関する自らの責任を理解するとともに、個々の役割にふさわしい方法で責任を負うべきである。またセキュリティの方針、手段などは定期的に見直し、それらが適切か否かを評価するべきである。

　IT製品やサービスの開発者などは、情報システムやネットワークのセキュリティに取り組むとともに、利用者が製品やサービスのセキュリティ機能とセキュリティに関する自らの責任をよりよく理解できるように、更新情報を含む適切な情報をタイムリーに提供するべきである。

（3）対応の原則（Response）

　セキュリティの事件に対する予防、検出および対応のために、時宜を得たかつ協力的な方法で行動すべきである。

　情報システムやネットワークが相互接続されていることにより急速で広範な被害が生じるおそれがあることを認識し、セキュリティ上の事件（不正アクセスなど）に対してタイムリーに協力するべきである。また参加者は、脅威や脆弱性の情報の共有や不正アクセスの予防、検出、対応のための協力関係を築くべきである。

（4）倫理の原則（Ethics）

　他者の正当な利益を尊重するべきである。

　情報システムやネットワークが社会に普及していることから、自らの行為が他人に損害を与えるおそれがあることを認識する必要がある。それゆえに倫理的な行動が極めて重要であり、参加者はベストプラクティスの形成と採用に努め、セキュリティの必要性を認識するとともに、他人の正当な利益を尊重することに努めるべきである。

（5）民主主義の原則（Democracy）

　情報システムおよびネットワークのセキュリティは、民主主義社会の本質的な価値に適合すべきである。

　セキュリティは、思想や理念を交換する自由、情報の自由な流通、情報・通信の秘密、個人情報の適切な保護、公開性・透明性といった、民主主義社会において認められる価値と合致するような方法で実践されるべきである。

（6）リスクアセスメントの原則（Risk assessment）

　リスクアセスメントを行うべきである。

　リスクアセスメントとは、セキュリティ上の脅威と脆弱性を識別し、リスクの許容できるレベルの決定やリスクを管理するための措置の選択を支援するものである。リスクアセスメントは、技術、物理的・人的な要因、セキュリティの方針（ポリシー）、セキュリティとかかわりを持つ第三者のサービスといった、内外の要因を広く含むものであるべきである。また、他人から受ける、または、他人に対して与える、潜在的な損害についても考慮するべきである。

（7）セキュリティの設計および実装の原則（Security design and implementation）

　情報システムおよびネットワークの本質的な要素としてセキュリティを組み込むべきである。

　情報システム、ネットワークおよびセキュリティの方針は、セキュリティを最適なものとするために、適切に設計され、実装され、かつ調和が図られる必要がある。適切な安全防護措置や解決策の設計・採用が重要で、これらは情報の価値と比例するべきである。セキュリティは、すべての製品、サービス、情報システムやネットワークの設計・構造に不可決な部分であるべきである。

　一方、エンドユーザーの場合は、自分が使用するシステムのために、適切な製品やサービスを選択し、構成するべきである。

（8）セキュリティマネジメントの原則（Security management）

　セキュリティマネジメントへの包括的アプローチを採用するべきである。

　情報セキュリティマネジメントは、参加者の活動のすべてを含む包括的で、動的なものであるべきである。また情報セキュリティマネジメントには、セキュリティ上の事件の予防、検出、対応やシステムの復旧、保守、レビュー、監査などが含まれるべきである。セキュリティの方針、手段などは、首尾一貫したセキュリティシステムを構築するために調和が図られ、統合されるべきである。

（9）再評価の原則（Reassessment）

　情報システムおよびネットワークのセキュリティのレビューおよび再評価を行い、セキュリティの方針、実践、手段および手続に適切な修正をすべきである。

　新たな脅威や脆弱性が絶えず発見されている。参加者は、これらのリスクに対処するために、セキュリティのすべての面におけるレビュー、再評価を行うとともに、セキュリティの方針、手段などを適切に修正する必要がある。

　経済産業省は2003年10月10日、「情報セキュリティ総合戦略」として、情報セキュリティに関する総合的な戦略を打ち出し、経済、文化国家日本の強みを活かした「世界最高水準の高信頼性社会の構築」を戦略の基本方針とした。情報セキュリティを浸透、継続させるためには、セキュリティ対策に対する参加や発言を促す社内評価の体制を是非検討し、情報セキュリティの重要性を広く認識させるために、「セキュリティ文化」という新しい概念を根付けていただきたい。その際に、今回の連載記事が何らかの形で活用していただければ幸いである。

（今回で連載は終了です。ご愛読ありがとうございました）