「第8回 セキュリティ監査人に必須の実施・報告ガイドライン」では、情報セキュリティ監査基準とそれに関連するガイドラインやモデルについてお分かりいただけたと思う。今回は、「実施基準ガイドライン」について紹介し、情報セキュリティ監査の実施手順などを説明する。
情報セキュリティ監査基準の実施基準ガイドラインは、監査実施に当たり、特に留意すべき事項、および情報セキュリティ監査実施上の手順について示したものである。
このガイドラインは下表に示す2章から構成されている。
章 | タイトル |
---|---|
I | 情報セキュリティ監査実施上の前提事項 |
II | 情報セキュリティ監査の実施手順 |
表1 情報セキュリティ監査基準 - 実施基準ガイドラインの構成 |
情報セキュリティ監査実施上の前提事項
表1に記したようにI章では、実際に監査を実施するうえで、監査人が事前に準備または設定しておくべき項目について解説している。これらの項目は、下表に示す3項目である。
項目 | 項目内容 |
---|---|
1 | 情報セキュリティ監査における準拠規範 |
2 | 情報セキュリティ監査の目的設定 |
3 | 情報セキュリティ監査における成熟度モデルの利用 |
表2 監査人が事前に準備または設定しておくべき項目 |
では、おのおのの項目について概要を説明していく。
1.情報セキュリティ監査における準拠規範
ガイドラインでは、本項目に関して、11個の項目が示されているが、その内容は、以下の3つのポイントに絞ることができる。
ポイント | ガイドライン中の関連項目番号 |
---|---|
1. 判断尺度の明確化の重要性 | 1.1〜1.3 |
2. 「情報セキュリティ管理基準」による監査 | 1.4〜1.7 |
3. そのほかの管理基準などによる監査 | 1.8〜1.11 |
- ポイント1.判断尺度を明確化する
監査人は情報セキュリティ監査の実施に当たって、監査対象が情報セキュリティ対策にかかわる一定の条件を満たしているか否か、あるいは情報セキュリティ対策の実施状況が適切であるか否かについて検証、評価する際のよりどころとすべき判断の尺度が必要であり、それらは、監査の目的又は監査契約によって決定しておくことが重要である。
このことは、至極当たり前のことだが、事前に、監査上の判断の尺度とすべき基準などを被監査側と明確に合意しておかなかったために、監査結果が大きくぶれてしまうことがある。
また、監査上の判断の尺度に関しての事前合意は、以下に記すように監査の実施における骨格を担うことになるので、十分に検討しておくことが重要である。
・ 情報セキュリティ監査人にとっては、監査手続と監査意見表明の基礎を確立する | |
・ 情報セキュリティ監査人にとっては、監査手続と監査意見表明の基礎を確立する | |
表3 監査上の判断の尺度に関しての事前合意 |
- ポイント2.「情報セキュリティ管理基準」による監査
ポイント1の内容を踏まえたうえで、情報セキュリティ監査においては、すでに解説した「情報セキュリティ管理基準」を監査上の判断の尺度として用いることを原則としている。
ただし、情報セキュリティ監査の目的、契約内容、被監査側の特性又はリスクの程度などを考慮して、当該管理基準の一部の管理項目(例えば、外部委託契約に係る管理項目など)を監査の対象とすることができる。その場合は、情報セキュリティ監査の対象として選択された管理項目が、選択されなかったほかの管理項目と有機的に結び付いて初めて監査の有効性が証明できるという点に留意しなければならない。
監査人は、当該基準において管理項目ごとにその目的を記述した管理目的を達成するための統制目標を記述した「コントロール」を判断尺度の枠組みとして用いる場合、当該基準において「サブコントロール」として記述された事項は、統制目標を具体的に達成するための統制手段の例示を記述しており、被監査側のリスクなどを考慮して監査手続を具体的に実施する局面で適宜取捨選択すべき事項であることに留意する必要がある。
また、管理目的、統制目標自体が不足している、統制目標を達成するために必要な統制手段が不足していると組織体が判断した場合は、管理目的、統制目標、統制手段を適宜追加することが必要となることに留意する。
- ポイント3.そのほかの管理基準などによる監査
「情報セキュリティ管理基準」以外の管理基準を用いる場合は、監査の目的などに照らして、管理基準としての体系性、標準性、適用可能性などについて、情報セキュリティ監査人は慎重に検討しなければならない。
情報セキュリティ対策に係る管理項目を含む管理基準などで政府機関が公表している国内基準の一部を下表に示す。
発行機関 | 基準 |
---|---|
経済産業省 | 「システム監査基準」「情報システム安全対策基準」「コンピュータウイルス対策基準」「コンピュータ不正アクセス対策基準」など |
総務省 | 「情報通信ネットワーク安全・信頼性基準」など |
警察庁 | 「情報システム安全対策指針」など |
表4 国内基準(一部抜粋) |
また、国際基準の一部を下表に示す。
発行機関 | 基準 |
---|---|
内部監査協会(IIA) | 「eSAC」 |
情報システムコントロール協会(ISACA) | 「COBIT」 |
アメリカ公認会計士協会(AICPA)/カナダ勅許会計士協会(CICA) | 「Trust業務原則および規準」 |
表5 国際基準(一部抜粋) |
これら以外に想定される基準としては、下表のようなものがある。
発行機関 | 基準 |
---|---|
各種公的機関 | 管理基準など |
監査サービス会社 | 管理基準など |
組織体独自 | 管理規定、 セキュリティポリシー |
CPS(認証局運用規定) | |
SLA(サービス水準合意書) | |
表6 そのほかの想定される基準 |
しかし、上表の組織体が独自に定めた規定類を基準として監査を行う場合は、その規定自身の適切性が監査対象になり得ることに注意する必要がある。
2.情報セキュリティ監査の目的設定
事前に準備または設定しておくべき項目の2番目として、本ガイドラインは「監査の目的」を挙げている。情報セキュリティ監査では、監査の目的を2つに大別し、組織体が採用している情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と、情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)、としている。ガイドラインでは、保証型の監査と、助言型の監査を以下のように定義している。
監査の目的 | 定義 |
---|---|
保証型の監査 | 保証型の監査とは、監査対象たる情報セキュリティのマネジメント又はコントロールが、監査手続を実施した限りにおいて適切である旨(又は不適切である旨)を監査意見として表明する形態の監査をいう。 |
助言型の監査 | 助言型の監査とは、情報セキュリティのマネジメント又はコントロールの改善を目的として、監査対象の情報セキュリティ対策上の欠陥および懸念事項などの問題点を検出し、必要に応じて当該検出事項に対応した改善提言を監査意見として表明する形態の監査をいう。 |
表7 情報セキュリティ監査の目的設定 |
これらの目的設定に関しては、組織が実際に採用しているセキュリティ対策の内容と水準を考慮して、助言型の監査とするか、保証型の監査とするかを基本的には被監査側が決定すべきである。特に、この2つの目的は排他的なものではないため、保証と助言の2つを併用し、監査の目的として設定することも可能である。決定した監査目的は、監査前に監査人との同意を得ておくことが重要である。双方の考え方に相違があれば、提出された報告書は期待外れのものになるからだ。
- 助言型の監査と保証型の監査の選択
どちらの監査目的を選択すべきであるかは一概にはいえないが、セキュリティ対策の導入初期段階では、助言型の監査を受け、情報セキュリティ対策が一定水準に達した段階で保証型の監査に切り替えるという方策が無難であると考えられる。
一方、不特定多数の利害関係者が関与する公共性の高いシステムや、不特定多数の利害関係者の情報を取り扱うシステムなどについては、保証型の監査を定期的に(例えば、1年ごと)利用し、その監査の結果を開示することによって利害関係者の信頼を得ることになる。その際、保証型の監査では、継続して情報セキュリティ監査を受けることによってはじめて効果が得られることを念頭に置いておく必要がある。例えば、「わが社のシステムは5年前に監査人から保証を受けている」といっても、変化の激しいIT環境下においては、ほとんど意味をなさないからだ。
3.情報セキュリティ監査における成熟度モデルの利用
事前に準備または設定しておくべき項目の3番目として、本ガイドラインは「成熟度モデルの利用」を挙げている。簡略的に説明すると、監査の前に適切な保証水準を設け、双方同意のうえ決定しておくということである。
組織体が採用している、または採用すべき情報セキュリティ対策の内容は、組織体のセキュリティ対策の成熟度によって異なっていることが多く、一律の固定的水準を前提とした情報セキュリティ監査を行うことは現実的でない場合がある。このような場合、監査対象の範囲または実施すべき監査手続の内容などによって、異なった保証水準の付与または段階的な保証の付与が可能である。
例えば、設定または運用する情報セキュリティ対策の実施水準を5段階などにレベル分けし、監査において、被監査側はレベル3のセキュリティ対策を施していることに対し、保証を得るといったことが可能である。
また、情報セキュリティ対策上の欠陥などにかかわる検出事項および改善提言の内容においても組織のセキュリティ対策の成熟度に応じて、差異を付けることが可能である。助言を行う場合など、現に採用されている情報セキュリティ対策に基礎を置いた合理的な範囲での改善提言でなければ意味がないからだ。
このように、情報セキュリティ対策の成熟度に応じた監査を行うことによって、保証型の監査においては保証の水準を明確にでき、助言型の監査においては段階的な情報セキュリティ対策の導入を推進することになる。
- 成熟度レベルに応じた保証または助言
このように、組織の身の丈に合ったセキュリティ監査を受け、何らかの保証が得られることは確かに魅力ではあるが、情報セキュリティ対策の適否について保証を付与する限りは、監査報告書の利用者(経営陣、利害関係者など)がその保証水準に合理的な範囲で信頼を置き、情報セキュリティ監査人にとっては監査責任を全うできるだけの保証水準が要求される。つまり、いいかげんなレベル分けをしてしまえば、被監査側は、何らかの保証を得たとしても本質的には何の意味もなさないのである。
従って、被監査側は、適切な情報セキュリティの成熟度を計るための適切な成熟度モデルを決定しなければならない。情報セキュリティ対策の成熟度モデルとは、被監査側における情報セキュリティ対策を段階的に向上させることを目的に、設定または運用する情報セキュリティ対策の実施水準を区別する考え方をいう。このような成熟度モデルを利用する場合、情報セキュリティ監査人は、事前にどのような成熟度モデルを利用するのか、成熟度を示すレベルの判断基準はどのようなものであるのかについて被監査側と十分に協議したうえで決定しなければ、監査の有効性を示すことができない。
- 成熟度モデルの応用局面
適切な成熟度モデルを決定するにはどのようにすればいいのであろうか? ガイドラインでは、被監査側が作成した自己評価表を基にモデルを決定することが紹介されている。例えば、管理項目ごとに下表8のように、レベルを分けて被監査側に記入してもらい、情報セキュリティ監査人は情報セキュリティ対策の状況を把握し、レベル分けされた管理項目ごとに保証または助言を付与していくことになる。
レベル | 判断基準 |
---|---|
0 | 該当しない |
1 | 整備していない |
2 | 整備している |
3 | 運用している |
4 | 継続的に改善されている |
表8 自己評価表の例 |
この際、情報セキュリティ監査人は、当該被監査側が作成した自己評価表への回答およびその適正性を被監査部門の長または必要に応じて被監査側の長が認めた旨を記載した文書(適正言明書という)を入手しておけば、当該適正言明書を監査意見表明の対象とすることが可能である。
Copyright © ITmedia, Inc. All Rights Reserved.