続けて、主に民間企業の視点から情報セキュリティ監査をどのように生かすかという観点のセッションが行われた。まず、JASA調査研究部会長の長尾慎一郎氏(新日本有限責任監査法人)が、NISCの監査のポイントを解説した。
もともと情報セキュリティ監査は、政府機関のセキュリティ対策の中に織り込まれてきた。一般的に、情報セキュリティ監査の種類は大きく2つに分けられる。組織のセキュリティポリシーの中に組み込まれ、PDCAの中で実施する「内部監査」と、組織の外部に向けた報告を目的とした「外部監査」だ。
今回、サイバーセキュリティ基本法の中に盛り込まれたNISCによる監査は外部監査に当たるが、「保証型監査ではなく、助言型監査という新しい取り組みだ。外部監査として制度の中に組み入れ、定期的・継続的に実施していくことになった点が極めて重要だ」(長尾氏)。NISCによる監査の基本方針では、サイバーセキュリティ戦略本部が定めた年次計画に基づいて、NISCの監査チームが監査を行い、発見された事項を取りまとめて報告することになっている。各府省庁はそれに基づいて改善計画を立て、NISCに報告するという流れだ。
一方、各府省庁が実施する内部監査は、各府省庁の監査責任者が約250項目に上る順守事項が記されている「政府機関の情報セキュリティ対策のための統一基準」に対する準拠性などについて実施する。府省庁の情報セキュリティ関連規定も参照しながら「セキュリティポリシーが統一基準に準拠しているか、実施手順はセキュリティポリシーに準拠しているか、実施手順に沿って実際に運用されているかを評価しつつ、必要に応じて妥当性も評価することになる」(長尾氏)。
こうした監査作業は、外部——具体的には民間事業者——に委託されることが少なくない。長尾氏はその際に留意すべきポイントも紹介した。
「政府機関の場合は、ISO27001などとは異なる観点で作られた統一基準が基本となる。加えて、監査人は各府省庁のセキュリティポリシーを理解することが大切だ。また、重要性や緊急性に応じて、リスクの高いものから選定していくリスクベースのアプローチも重要だ。危ないところの絞り込み方がうまければうまいほど、効果的かつ効率的な監査になる。これはつまり、監査対象の組織を深く理解することに他ならない」(長尾氏)
加えて、個々の監査人のスキルも問われることになると長尾氏は述べる。「例えば『デフォルトのパスワードが変更されていない』といった問題があれば、そこに組織的な根深い問題や似た事例が存在している可能性は高い。1つの問題を指摘したら、類似の問題や根本的な問題を併せてしっかり指摘することが大事だ」(同氏)。
さらに長尾氏は、長年監査業務に携わってきた経験を踏まえ、「悪い監査というのは、受ける側が『早く終わればいいな』と考え、重要な問題があっても『見つからなければいい』と隠してしまい、監査人も質問するだけで精いっぱいになってしまうものだ。こういう監査は避けるべき」と述べた。そして、効率的で、監査を受ける側にとっても監査人にとっても実のある(成長できる)監査を実現していくには、「相手の状況について深い理解を示し、相談に乗れるよう、経験を積んだ監査人を育成していくことこそが重要だ」とした。
その意味で、「今回の改正による独法などへの監査対象の拡大は、民間企業の受託機会の拡大でもあり、セキュリティマーケットが広がる大きなチャンスになる」と長尾氏は述べ、この機を、人材育成や民間企業への監査拡大のチャンスであると捉え、監査の機運を高めていくべきだと呼び掛けた。
ケーケーシー情報システムコンサルティング事業部部長の小柴宏記氏は、全国津々浦々で監査業務を行ってきた経験を踏まえ、主に地方自治体における監査の実情と、これからの課題を解説した。
地方自治体が置かれている状況は苦しい。マイナンバー制度の開始や情報システム強靱性向上モデルの策定に伴ってセキュリティ対策が求められる一方で、住民からのニーズは多様化している。そこに、人事異動や予算の削減といった現実がのし掛かる。「地方自治体は、かなり過酷な状況でセキュリティに取り組まなければならない。情報資産が増え、運用のやり方も変わる中、限られた人材で取り組むことを求められている」(小柴氏)。そこで同氏は、まず情報に対する責任を明確化することが必要だとした。
一方で、かつてのように「セキュリティの必要性を訴えても上が理解してくれない」というケースはかなり減っているそうだ。むしろ、下の人間が予算の関係を考慮して控えめに提案してきた対策について、上の方が「全面的に展開しよう」と返すなど、「自治体トップがかなり真剣な意識を持つようになっている」(小柴氏)という。
こんな状況で、トップに「うちは大丈夫か?」と尋ねられたとき、「大丈夫です」と安易に返せる担当者はあまりいないはずだ。適切な答えは、「大丈夫とはいえないが、問題点を見つけてこのように解決に取り組んでおり、残った問題点にはこのようなものがあります」といったより正確な報告だろう。つまり、意思決定、人やモノ、金といったリソースの配分につながる適切な報告がなされ、必要な情報が組織内に流通していることが大事だ。その意味でも、監査は重要となる。「問題点は組織によって異なり、現地で調査しなければ分からない。何が問題かが分かれば、対策のためのリソース配分もできる」(小柴氏)。
最後に小柴氏は、監査を実施する上でのポイントを幾つか紹介した。
1つは、中長期的な計画を立てること。「監査は、1回やって100点を取れるものではない。長期にわたり、継続的に実施していく必要がある」(小柴氏)。その際には、極力監査に掛かる負担を減らすため、特定個人情報保護評価書の見直しなどの作業とともに実施する方が、効率的で効果的だという。
また2点目として同氏は、「内部監査の監査人は、所属部門長が担当する」ことも勧めているそうだ。監査を実施するときには、ポリシーや手順書を精読することになるが、それによってポリシーに対する理解が深まり、どんなエビデンスが必要か分かることで、現場のセキュリティレベルが底上げされるメリットが期待できるのだという。
最後に、JASA事務局長の永宮直史氏が、あらためて監査の役割と人材育成の必要性について説明した。
永宮氏は、サイバーセキュリティにおける監査は「対策の有効性を示す」「説明責任を果たす」という2つの理由から必要だという。監査により自組織のリスクを認識して管理し、マルウェア感染などの事故が発生しても「鼻風邪」レベルで抑えられるよう対策をする。つまりISMSなどの認定制度が健康管理の枠組みを作るものだとすれば、監査は年に一度の健康診断に当たる。その両方を適切に実施していくことが、情報セキュリティの向上に不可欠だと同氏は述べる。
「監査とは、組織のどこに問題があって、どう解決すべきかを提案するものだ。そのためには、監査の品質を確保し、監査人のスキルを保つことが重要となる。リスクに応じた監査水準を設定し、きちんとレビューできる能力と倫理観を備えた監査人を育て、裾野を広げていくことが欠かせない」(永宮氏)
ただ、現在3つ用意されている監査人の資格のうち、最も取得の容易な「情報セキュリティ監査人補」でも資格取得者は415人。より高い知識や経験が求められる情報セキュリティ監査人は148人、主任監査人となると52人しか認定されていない。永宮氏はこの状況を打開する方法として、監査畑の人がIT関連知識を身に付けるよりも、「情報システムの知識がある人が、監査の知識を身に付ける方が比較的スムーズだ」と指摘。監査人の裾野を広げ、より効率の高い監査の実現につなげていきたいと呼び掛け、セミナーを締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.