「第6回 情報セキュリティ監査の重要性」では、情報セキュリティマネジメントの視点から、ISMS認証基準Ver2.0(案)やBS7799-2:2002で要求されている「情報セキュリティ監査」の重要性について紹介し、さらに、内部監査やマネジメントレビューといったプロセスにおけるポイントについて述べた。そこで、今回は、「情報セキュリティ監査制度」について紹介する。
情報セキュリティ監査制度の概要
情報セキュリティ監査を実施する際、組織内で監査員(内部監査員)を養成することは、技術面や情報セキュリティに関する知識の吸収が困難なため容易ではないことに前回触れた。
セキュリティ監査項目を立案し、行ったセキュリティ対策の正当性や有効性を客観的に評価し、セキュリティ上の不適合があれば、その個所に対して是正処置を計画していくことは容易なタスクではないからだ。
このような理由から、独立したかつセキュリティ分野に専門的知識を有する専門家が、客観的に組織のISMSの取り組みを評価するニーズが高まってきている。このニーズにこたえるべく、平成15年4月に情報セキュリティ監査制度を経済産業省が告示した。今回は、この制度の概要について説明する。
経済産業省が公表した「情報セキュリティ監査研究会報告書」では、情報セキュリティ監査を
「情報セキュリティに係わるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人(情報セキュリティ監査を行う主体)が独立かつ専門的な立場から、国際的にも整合性の取れた基準に従って検証または評価し、もって保証を与えあるいは助言を行う活動」
と定義し、その目的を「情報技術」(IT)に関連するいわゆる情報システムのセキュリティだけではなく、より広く情報資産」(information assets)全体のセキュリティを確保することとしている。
また、「情報セキュリティ監査」を実施する際に準拠する基準(2つの基準、3つのガイドライン、2つのモデル)を大きく以下の3階層の構成に分けられるとし、発表した。
基準 | 情報セキュリティ管理基準 | 情報セキュリティ監査基準 |
---|---|---|
ガイドライン | 個別管理基準(監査項目)策定ガイドライン | 情報セキュリティ監査基準 実施基準ガイドライン |
情報セキュリティ監査基準 報告基準ガイドライン |
||
モデル | 電子政府情報セキュリティ管理基準モデル | 電子政府情報セキュリティ監査基準モデル |
「基準の区分」
この表からも分かるように、本制度は、「情報セキュリティ管理基準」と「情報セキュリティ監査基準」の2つの基準を合わせていることが特徴であり、これらの概要は以下のとおりである。
基準 | 概要 |
---|---|
「情報セキュリティ管理基準」 (監査の判断の尺度) |
各組織体が自らの管理基準等を規定する場合の拠り所であり、同時に「情報セキュリティ監査」の際には判断の尺度となる基準である。 |
「情報セキュリティ監査基準」 (監査人の行為規範) |
監査の際に監査を行う主体が従うべき行為規範を示す基準である。 |
これらの基準やガイドについては、後に解説する。
だれにどんなメリットを与えるだろうか?
さて、この制度は、だれにどんなメリットを与えるか考えてみる。
本連載で数回にわたって説明したように、情報セキュリティに対しては組織的な取り組みが必要であり、日々目まぐるしく変わる脅威に対しては、“リスクアセスメント”を実施し、適切な管理策を選択する“リスクマネジメント”が必須である。
情報セキュリティ監査制度では、情報システムにかかわる設備などの強度だけでなく、該当する組織においての情報資産に対するリスクマネジメントが効果的に実施されているかを判断できるという点で、当該組織体からの期待も高まっている。これは、当該組織体において、情報産業に対するリスクアセスメントが実際に行われているかどうかを判断し、さらにそのリスクアセスメントの内容が適切なものであるかを判断するため、監査主体が当該組織体に対するリスクアセスメントを実施し、監査を行うことが要望されていることを意味する。
期待されるユーザー側の効果
さて、当該組織体が期待している効果としては、次の3点が考えられる。これらは、本制度の定義にもあるように、情報セキュリティにかかわるリスクのマネジメントが効果的に行われているかをセキュリティ分野に専門的知識を有する専門家が検証または評価することからくる期待である。
- 自らでは気付きにくい情報セキュリティの欠陥の指摘を受けることが可能
- 自らでは構築が難しい情報セキュリティマネジメントの確立が可能
- 第三者(取引の相手方や国民など)からの信頼の獲得
- 自らでは気付きにくい情報セキュリティの欠陥の指摘を受けることが可能
「灯台下暗し」ということわざがあるように、身近のなことは細部まで行き届かないものである。ましてや、情報セキュリティに関しては、自身で判断するよりは専門家に見てもらうことで、至らぬ点が見えてくるものである。
例えば、昨年末に世界中にその猛威を振るった「SQLスラマー」ワームも、どちらかといえば、既知の脆弱性(セキュリティホール)を狙ったものであり、事前に専門家からアドバイスを受け、最新パッチを導入しておけば、あれほどの被害には至らなかった。情報セキュリティ監査によってこのような点が補完されれば、被害の拡大の防止につながるであろう。
情報セキュリティ監査制度では、「不備はなかった」ということを示す“保証型監査”と、「不備な点は、ここ」ということを指摘する“助言型監査”がある。監査結果で不備を指摘されるだけでなく、助言による改善のための指摘も受けることが可能である(助言型監査)。これにより、自らでは気付かなかった脆弱性に対して適切な助言を受けられることが期待される。
- 自らでは構築が難しい情報セキュリティマネジメントの確立が可能
情報セキュリティ対策は、日々変化する脅威と技術に対応して、進化させる必要がある。また、情報セキュリティの事故の多くは組織内部の人的原因で発生するというのも事実である。従って、その組織内において情報セキュリティマネジメントを確立していくことが必要となる。情報セキュリティ監査は、この確立に対して的確な指摘を与えることが可能であると期待される。
情報セキュリティマネジメントの経験があまりない組織にとって、情報セキュリティマネジメントの実施状況がどのレベルにあるのかを自ら判断することは困難であると考えられる中で情報セキュリティ監査制度は、成熟モデルという枠組みを採用することにより、組織の情報セキュリティに対するマネジメントのレベルを測る仕組みを持つ。これにより、監査された組織は自組織のマネジメントレベルがどのレベルを満たしているのかを判断することができる(図1)。
そのほかにも「情報セキュリティ監査研究会 報告書」の中では、3つの成熟度モデルを紹介しているので参考にしてほしい。これは、単にレベルの判断に用いられるだけではなく、情報セキュリティマネジメントを構築し、レベルをアップさせていくことに非常に有用な仕組みでもあることが期待される。
- 第三者(取引の相手方や国民など)からの信頼の獲得
情報セキュリティ監査を受け、その結果を第三者(取引の相手方や国民など)に示すことで、その組織体が、適切な情報セキュリティ対策を行っているとの信頼を獲得することが可能になると期待される。
特に、国家においては、電子政府の本格的な運用に当たり、個人情報や企業情報などの保護に関する問題が指摘されている。情報漏えい事件が多発する現代社会において、国民からの不安感を払しょくすべく、情報セキュリティに対する取り組み姿勢を見直すことが急務であるとされている。そうした中、当該組織体にとって、この制度を利用することで部分的にも情報セキュリティに対する何らかの取り組みに対して「お墨付き」が付与されることで、第三者からの信頼を獲得できるとの期待もある。
これに対し、第三者にとっては、監査主体と当該組織体との独立性および監査主体の専門性が気になるわけだが、本制度では、基本的には、監査主体が当該組織体の監査対象範囲に対して独立性を証明し、当該組織体がそれを了承する流れになるが、「情報セキュリティ監査研究会報告書」において、モデルとして、電子政府の「情報セキュリティ監査」を行う外部の第三者である主体は、現在または過去において、当該組織体(***省)における当該監査対象となる情報システム(関連業務を含む)および、情報セキュリティのマネジメントやマネジメントにおけるコントロール(関連業務を含む)の企画、開発、運用、保守にかかわる業務を行ったことがないことを証明することが適当である、としている。また、監査主体側には、高い専門性が求められており、監査責任者は、システム監査技術者、情報セキュリティアドミニストレータ、ISMS主任審査員/審査員、公認システム監査員、公認情報システム監査人(CISA)のいずれかの資格を有す必要がある。≪≫情報セキュリティ監査を受け、その結果を第三者(取引の相手方や国民など)に示すことで、その組織体が、適切な情報セキュリティ対策を行っているとの信頼を獲得することが可能になると期待される。
だれに有効か!
上記のメリットは、民間市場においては大企業から中小企業まで、また政府関係市場においては、中央省庁から都道府県、市町村までであり、幅広く考えられる。
ISMS適合性評価制度とどんな関係にあるのだろうか?
次に、情報セキュリティ監査はISMS適合性評価制度とどんな関係にあるのだろうか? ISMSの認証基準においては、組織に対して、図2のような情報セキュリティに関するマネジメントシステムの構築を要求している。
図1に示したとおり、情報セキュリティ監査制度は、情報セキュリティ監査を実施することによって、組織の情報セキュリティ対策のレベルが向上し、結果的にISMS認証取得レベルにまで到達するような仕組みとなっている。
本制度は、情報セキュリティ管理基準の項目の一部のみの監査を受けることも可能である。例えば、技術的な部分について、客観的に評価をしてもらいたいと思えば、「アクセス制御」の部分についてのみ、重点的に監査を受けることも可能である。またこれらの積み重ねでISMS準拠性監査を行い、ある段階でISMS認証を取得するといったことも考えられる。
従って、情報セキュリティ監査の普及は、ISMS認証取得組織体のすそ野を広げ、結果として認証取得組織体も増加していく相乗効果を生むものと期待される。
情報セキュリティ管理基準とは
冒頭で本制度は、2つの基準で構成されていると述べた。ここでは、そのうちの情報セキュリティ管理基準について説明する。情報セキュリティ管理基準は、以下の特徴を有す基準である。
1.「情報システム」ではなく「情報資産」を対象とする
2.リスクのマネジメントが有効に行われているかどうかという点を評価する
また、国際的な整合を図ることが望ましいことから、JIS X 5080:2002(情報技術−情報セキュリティマネジメントの実践のための規範)を基に策定された。加えて、ISMS適合性評価制度の認証基準も、JIS X 5080:2002を参照して策定されていることから、情報セキュリティ監査とISMS適合性評価制度の判断の尺度は、整合が図られることとなる。
情報セキュリティ管理基準の読み方
この管理基準は、以下のような体系になっている。
1.目的
2.コントロール
「JIS X 5080:2002の管理策(コントロール)」において、管理すべき内容が複数ある場合はそれを細分化する。
3.サブコントロール
「JIS X 5080:2002の管理策(コントロール)のガイダンス」の内容を項目化し、内容に応じて上記のコントロールごとに振り分けする。
上記の体系は、JIS X 5080:2002を参照するだけでは、
- 管理策(コントロール)が複数化している
- 管理策(コントロール)のあいまい度が高い
などの場合があり、監査に利用しにくいための配慮からである。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
すなわち上記の例(表1)のように、情報セキュリティ管理基準は、JIS X5080:2002を利用しやすいように細分化したものにすぎない。
従って、この情報セキュリティ管理基準は、すべてのケースにおいて網羅的に利用するものではなく、あくまでも個別組織体の管理基準(監査項目)を策定するに当たっての参照元であるにすぎない。組織に合った管理基準(監査項目)を策定する必要があり、策定のためのガイドが、「個別管理基準(監査項目)策定ガイドライン」である。
個別管理基準(監査項目)策定ガイドライン
このガイドラインは、情報セキュリティ管理基準に従って、組織体ごとに具体的な管理基準(以下、「個別管理基準」)を策定する際の手順について示したものである。情報セキュリティ管理基準を各組織体の実情に見合ったものとする際のガイドラインであるから、情報セキュリティ監査において監査人が監査項目(「監査要点」ともいう)を選択する際のガイドラインとしても有用なものである。
個別管理基準(監査項目)策定の流れ
個別管理基準の策定に当たっては、
1.情報セキュリティ管理基準の参照・項目の抽出
2.当該組織体に必要と思われる項目の追加
3.組織内規定との整合を図る
4.関連法令の参照
5.ほかの規定の参照
6.必須項目と推奨項目の選別
7.技術的検証項目の追加といった手順を踏むこと
といったステップを踏むことを推奨している。この際、上記1から7の手順は、組織体の情報資産の洗い出しとリスクアセスメントに基づいて行わなければならない。
1.情報セキュリティ管理基準の参照・項目の抽出
(1) | 個別管理基準(監査項目)を策定するに当たって、情報セキュリティ管理基準を参照し、当該組織にとって必要とされる項目を抽出する。 |
---|---|
(2) | 項目の抽出後、項目中の文言を当該組織にとって適切な表現に修正を行う。また、必要に応じて、項目を分割または、統合を図る。 |
(3) | それぞれの作業の後には、監査人への説明、あるいは後任の担当者への引き継ぎのため、修正理由を記述しておくこと。 |
2.当該組織体に必要と思われる項目の追加
(1) | 情報セキュリティ管理基準から項目を抽出した後、当該組織体にとって必要と考えられる項目を追加する。特に、個別管理基準(監査項目)の適用範囲内において非常に重要な情報資産が存在し、脅威の発生頻度が高く、発生し得る被害が大きなものとなる場合、通常の情報セキュリティ対策に加えて、厳重な対策を追加することが想定される。 |
---|---|
(2) | 項目を追加する際は、ほかの項目における表現の抽象度を参照しつつ、表現を検討し、対策の詳細については、技術的検証項目(後述)、実施手順書などに記述するなど、適切な表現での項目を追加する。 |
3.組織内規定との整合を図る
(1) | 個別管理基準(監査項目)の策定以前に組織内規定が存在し、情報セキュリティ管理基準の中には記述されていない組織内規定の項目について、個別管理基準(監査項目)に追加または、その組織内規定との関連が理解できるように記述する。 |
---|---|
(2) | 組織内規定と個別管理基準(監査項目)との整合を図り、両者に矛盾が生じないようにそれぞれを修正する。 |
4.関連法令の参照
(1) | 関連する法令の要求する事項の中で特に重要と考えられる事項について追加する。 |
---|---|
(2) | 法令の順守については、当然であり、情報セキュリティ管理基準の中にも記述されているが、その内容について個別管理基準(監査項目)に記述されることによって、情報セキュリティ関連の規定を整理することが可能となる。 |
5.ほかの規定の参照
(1) | そのほかウイルス対策基準、不正アクセス対策基準、ISO/IEC TR13335(GMITS)など情報セキュリティ管理を行ううえで参考になる基準が存在する。これらを適宜参照して、適切なコントロールの下位にサブコントロールとして項目を追加あるいは、修正を行う。 |
---|---|
(2) | これまでに当該組織が利用してきたセルフチェックリスト、当該組織が属する業種において利用されている基準を追加・修正する。 |
6.必須項目と推奨項目の選別
(1) | 個別管理基準(監査項目)においては、当該組織が必ず順守すべき必須項目とともに、可能であれば実行すべき項目が存在する。そのような項目に対して、それぞれ「○」、「△」を付し、「必須項目」と「推奨項目」の区別を行うことによって、経済的で効率のよい情報セキュリティ対策を行うことが可能となる。 |
---|
7.技術的検証項目の策定
(1) | 追加・修正すべき項目の中には、技術的に高度な内容のため、個別管理基準として記述することが、適当でない場合がある。特にIT製品のシステムの設定を行うといった専門的で、技術的に高度なコントロールの場合には、サブコントロールとは別途、技術的検証項目として策定することが適当である。技術的な設定・手続きについて、それぞれのサブコントロールの下位に、技術的な検証項目を策定しておくことが適当である。 また、このような技術的コントロールは陳腐化が激しい場合があり、サブコントロール以上の項目とは別に、比較的頻繁にメンテナンスを行っていく必要がある。 |
---|
このようなステップを踏んで、電子政府における一般的な庁内ネットワークシステムを想定して、策定されたものが、「電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)」である。
電子政府情報セキュリティ管理基準モデル
この電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)は、情報セキュリティ管理基準を基礎として、電子政府用の主体別・業種別管理基準として利用可能なモデルを提示することを目的としている。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
上記の例(表2)は、電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)を想定して策定されたものだが、組織において、リスクアセスメントを基に、各組織がこのような監査項目を策定し、自分の組織に合った内容で監査していく必要がある。
政府では、各業界別にこのような業種別管理基準が策定されることを期待している。これには、業界内でアライアンスなどを設置し、管理基準を検討する仕組みが不可欠になるであろう。
次回は、情報セキュリティ監査基準について、説明する。
著者紹介
株式会社アズジェント セキュリティポリシー事業部
駒瀬 彰彦(こませ あきひこ)
取締役事業部長、ISMS適合性評価制度技術専門部会委員副主査、英国BSi (British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会セキュリティ研究部会 副部会長。
トータルセキュリティソリューションプロバイダ。ファイアウォールなどセキュリティ商品提供を始め、コンサルティングや各種トレーニングを開催している。
Copyright © ITmedia, Inc. All Rights Reserved.