情報セキュリティ監査の重要性:情報セキュリティマネジメントシステム基礎講座(6)
前回まで(「第3回 企業のセキュリティリスクを査定するガイドGMITS」「第4回 ISMS構築で重要なリスクアセスメントの手法」「第5回 評価されたリスクへの管理策の選択」)は、ISMS認証基準やBS7799を通して、情報セキュリティマネジメントやリスクマネジメントに関する概要を紹介した。今回は、情報セキュリティマネジメントにおける監査、すなわち「情報セキュリティ監査」について紹介する。
情報セキュリティ監査のうちの「Check?点検」とは
本連載で、情報セキュリティマネジメントシステム(ISMS)とは、PDCA(Plan-Do-Check-Act)モデルに従い、計画-実施-点検-処置を行うことで、要求事項や期待をいかに的確にとらえ、それらを満たす結果を生み出し、向上させる運営管理をするかであると説明してきた。
図1 PDCA(Plan、 Do、 Check、Act)サイクルモデルISMS認証基準(Ver.2.0【案】)やBS7799-2:2002では、このPDCAモデルを以下の表のように定義している。
| PDCA | 内容 |
|---|---|
| Plan―計画 (ISMSの確立) | 組織の全般的な方針および目標に沿った結果を出すために、リスクマネジメントおよび情報セキュリティの改善に関連する情報セキュリティポリシー、目標、対象、プロセスおよび手順を確立すること。 |
| Do―実施(ISMSの導入および運用) | 情報セキュリティポリシー、目標、プロセスおよび手順を実施し、運用すること。 |
| Check―点検(ISMSの監視および見直し) | 情報セキュリティポリシー、目標および実際の経験に照らしてプロセスの実施状況を評価し、可能な場合これを測定し、その結果を見直すために経営陣に報告すること。 |
| Act―処置(ISMSの維持および改善) | ISMSの継続的な改善を達成するために、マネジメントレビューの結果に基づいて是正処置および予防処置を講ずること。 |
今回紹介する情報セキュリティ監査とは、これらのステージの中で「Check?点検」の段階に当たる。「Check?点検」は、実施された情報セキュリティに関する対策を、補強、修正および改善するために設けられる、いわゆる「見直し」の段階である。
この見直しの機会は、定期的間隔、保護対象となる情報資産が追加された場合、組織を取り巻くセキュリティ環境の変化があったときなどのさまざま場合があるが、次の「Act-処置」をかんがみても、予算などを含む経営資源の見直しをするのであれば、やはり年に最低1回の実施が必要になるであろう。
情報資産に対するマネジメントを監査するという視点
(マネジメントレビュー)
実施された情報セキュリティ監査を含む「点検」は、経営陣にとって、ISMSの有効性などを評価するうえで非常に重要な役割を果たすことになる。経営陣は、これらの報告を基に、目標が達成されたかどうかの判断や必要があればその結果に関する改善をしなければならない。このような決定(意思決定)は、経営陣にゆだねる以外なく、これら一連のプロセスを「マネジメントレビュー」という。
ISMS認証基準(Ver.2.0【案】)やBS7799-2:2002では、「6.ISMSのマネジメントレビュー」の中で、
【マネジメントレビュー】
一般経営陣は、組織のISMSが、引き続き適切で、妥当で、かつ、有効であることを確実にするために、あらかじめ定められた間隔でISMSをレビューすること。このレビューでは、ISMSの改善の機会の評価、セキュリティポリシーおよびセキュリティ目標を含むISMSの変更の必要性の評価も行うこと。また、このレビューの結果を明確に文書化しなければならず、その記録を維持すること。
としている。この際、これらのレビューを一連のプロセスと見なし、図2に示すように“マネジメントレビュープロセス”として説明している。
図2 情報セキュリティ監査を通して、情報セキュリティポリシーや必要となる経営資源を見直すこと、その一連の流れをマネジメントレビューへのインプット
このマネジメントレビューへのインプットには次の情報を含めることが定義されている。
- (ISMS)監査およびレビューの結果。
- 利害関係者からのフィードバック。
- ISMSの実施状況および有効性を改善するために組織において利用可能な技術、製品または手順。
- 予防処置および是正処置の状況。
- 前回のリスクアセスメントで適切に取り扱われなかった脆弱性または脅威。
- 前回までのマネジメントレビューの結果に対するフォローアップ。
- ISMSに影響を及ぼす可能性のある変更すべて。
- 改善のための提案。
マネジメントレビューからのアウトプット
マネジメントレビューからのアウトプットには、次の事項に関する決定および処置を含めることとしている。
- ISMSの有効性の改善。
- 必要に応じて、ISMSに影響を与える可能性のある内部または外部の事象に対応するために加えられる、情報セキュリティを実現する手順の修正。それらの事象には、次の事項に対する変更が含まれる。
- 事業上の要求事項。
- セキュリティ要求事項。
- 既存の事業上の要求事項を満たす業務手続き。
- 規制環境または法的環境。
- リスクの水準およびリスクを受容できる水準。
- 必要となる経営資源。
このアウトプットにもあるように、経営陣は、情報セキュリティ監査を通してマネジメントレビューとして、情報セキュリティポリシーや必要となる経営資源を見直すことになる。このことからも、このマネジメントレビューは少なくとも年に1回は実施することになるであろう。
上記のマネジメントレビューへのインプットとして、「(ISMS)監査」というキーワードがあるが、これは言葉こそ違えども「情報セキュリティ監査」と同様と理解していただいてもよい。この監査には、内部監査と外部監査があり、ここでの監査では必ずしも「内部」でなければならないというわけではなく、必要があれば「外部」を監査として利用しても構わない。ISMS認証基準では「(ISMS)内部監査」に関して次のような点を重要として挙げている。
「ISMS内部監査」
ISMS内部監査の目的は、ISMSのすべての点が意図したとおりに機能していることを定期的に行われる監査で点検することにある。そのため、組織は、当該ISMSの管理目的、管理策、プロセスおよび手順が次の事項を満たしているか否かを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施する必要がある。
| (a) | この規格の要求事項に適合している。また、関連する法令または規制に適合していること。 |
|---|---|
| (b) | 識別した情報セキュリティ要求事項に適合していること。 |
| (c) | 効果的に実施され、維持されていること。 |
| (d) | 期待どおりに実施されていること。 |
このように、ISMS内部監査は、単に組織が構築したISMSが情報セキュリティ要求事項を満足しているかを監査するだけではなく、選択した管理策などが効果的に実施されているかなどを点検することも重要であるとしている。効果的に実施されているかどうかなどの監査に関しては、選択した期間の中で、監査業務が一様に行き渡るように、十分な回数の監査を計画することが重要になることがある。一連の監査を複数回、実施することでのみ、その有効性を測れないことは多々あることである。
また、おのおのの監査において、監査員は、その監査報告を確実にするためにも、次のような事項を裏付ける証拠を入手することが重要になってくる。
| (a) | 情報セキュリティポリシーが、依然、事業の要求事項を正しく反映していること。 |
|---|---|
| (b) | 適切なリスクアセスメントの方法が採用されていること。 |
| (c) | 文章化された手順などが、ISMSの適用範囲内で守られていること、またそれらが期待された目標を満たしていること。 |
| (d) | 技術的な管理策(例:ファイアウォール、物理的アクセス制御など)が設定されていること。また正しく構成されていて、意図したとおりに動作していること。 |
| (e) | 残留リスクが正しくアセスメントされており、依然、組織の経営陣が受容できるものであること。 |
| (f) | 前回までの監査や見直しで合意された処置が実施されていること。 |
| (g) | ISMSがISMS認証基準やBS7799-2:2002に適合していること。 |
このため、ISMS認証基準の「ISMS内部監査」の項目内には、監査プログラム、監査の実施、および監査員に関して次のように記載されている。
- 組織は、監査の対象となるプロセスおよび領域の状態と重要性、並びにこれまでの監査結果を考慮して、監査プログラムを策定すること。
- 監査の基準、範囲、頻度および方法を規定すること。
- 監査員の選定および監査の実施においては、監査プロセスの客観性および公平性を確保すること。
- 監査員は自らの仕事は監査しないこと。
- 監査の計画および実施、結果の報告、記録の維持に関する責任、並びに要求事項を文書化された手順の中で規定すること。
- 監査された領域に責任をもつ管理者は、発見された不適合およびその原因を除去するために遅滞なく処置が講じられることを確実にすること。
- 改善には、講じた処置の検証および検証結果の報告を含めること。
監査員の資質については、また別の機会に紹介するが、上記で重要なことは、監査結果に対して、客観性および公平性を確保するために、監査員自らが運用管理しているようなプロセスを監査してはいけないことである。これは、監査の立場からすれば当然のことかもしれないが、容易ではない。
技術面や情報セキュリティに関する知識の吸収が困難であり、これらを把握した監査員の確保は難しい。そういう意味で、組織内で、情報セキュリティ監査員を育成することが遅れぎみだが、その際は、専門家に相談することをお勧めする。専門家は、情報技術に詳しいのみならず、リスクアセスメントの手法などもよく研究しているからだ。
経済産業省では、現在、「情報セキュリティ監査研究会」という研究会を設置し、「情報セキュリティ監査制度」を制定すべく、情報セキュリティ監査研究会の報告書(中間取りまとめ)を経済産業省のWebサイト上に掲載し、パブリックオピニオンを求めている(編集部注:パブリックコメントを踏まえた最終報告書が2003年3月26日にhttp://www.meti.go.jp/policy/netsecurity/information_audit.htmlで公開されている)。その報告書の中に記載されている項目の一部の概要を紹介する。
【情報セキュリティ監査制度】
わが国における情報セキュリティに関する制度整備においては、情報セキュリティマネジメントの認証制度(ISMS適合性評価制度)の創設、ISO/IEC15408に基づくITセキュリティ評価認証スキームの創設、暗号技術の評価(CRYPTREC)、インシデント情報共有・相談体制(JPCERT/CC、IPAなど)の整備などが行われ、ますますセキュリティに関する関心を高めている。
こうしたなか、独立かつ専門的知識を有する専門家に、情報セキュリティ対策の有効性の評価を受ける、いわゆる「情報セキュリティ監査」の分野についてのニーズに応える制度の重要性が浮上してきた。
……(中略)……
情報資産に対するリスクのマネジメントを効果的に実施するに当たっては、情報資産に対するリスクアセスメントを行い、それに従って適切なコントロールを割り当てることが出発点となる。
従って、「情報セキュリティ監査」においても、監査人は、当該組織体において情報資産に対するリスクアセスメント自体がそもそも行われているかどうかを判断することが重要である。
さらに、当該組織体がリスクアセスメントを行っていた場合であっても、そのリスクアセスメントの内容が適切なものであるかを判断するため、監査人としても、当該組織体に対するリスクアセスメントを実施しながら監査を行うことが望まれる。
(参考 情報セキュリティ監査制度について:http://www.meti.go.jp/kohosys/press/0003614/1/030129security2.htm)
としている。本制度の詳細に関しては、次回以降に譲る。
さて、ISMS内部監査においては、設定した情報セキュリティポリシーや目標を達成するために導入した実際のプロセスを監視し、測定し、その結果を経営陣に報告することになる。
ここまでは、マネジメントレビューという大枠の中で、ISMS内部監査の重要性を説明してきたが、上記のように裏付けのための証拠を収集するとなると、日常の監視業務が重要になってくる。また、監視の結果、見直しをする個所が発見されれば、ISMS内部監査期間を待つまでもなく、改善しなければならない。 換言すれば、ISMS内部監査は、通常の監視、見直しの延長にほかならない。
このことに関して、ISMS認証基準(Ver.2.0【案】)やBS7799-2:2002では、PDCAのCheckに当たる「点検」でこの監視や見直しを下表のように定義している。
| 要求事項 | 要点 |
|---|---|
| (a)次の事項を行うため、監視のための手順およびほかの管理策を実施する。 次の事項を行うこと。 |
(1)処理結果から誤りを速やかに検出する。 (2)セキュリティ上の違反行為および事件・事故は未遂であっても、迅速に識別する。 (3)人または情報技術によって実施されるセキュリティ活動が意図したとおりに実施されているかどうかを、経営陣や管理者が判断できるようにする。 (4)セキュリティ違反の再発防止のためにとるべき処置を、事業上の優先順位を踏まえて判断する。 |
| (b)セキュリティ監査の結果、事件・事故、提案およびすべての利害関係者からのフィードバックを考慮に入れた、当該ISMSの有効性に関して定期的な見直しを実施する(情報セキュリティポリシーおよび目標を満たすこと、並びにセキュリティ管理策の見直しを含む)。 | |
| (c)残留リスクおよび受容可能なリスク水準の見直しを行う。 次の事項に生じる変化を考慮に入れ見直すこと。 | (1)組織 (2)技術 (3)事業の目標およびプロセス (4)識別された脅威 (5)外部の事象。例えば、法的または規制環境や社会環境の変化など |
| (d)あらかじめ定められた間隔でISMSの内部監査を実施する。 | |
| (e)適用範囲が引き続き適切であり、ISMSのプロセスにおける改善策が明確にされていることを確実にするために、定期的に(少なくとも年1回)ISMSのマネジメントレビューを実施する。 | |
| (f)ISMSの有効性または実施状況に影響を与える可能性のある活動および事象を記録する。 | |
ここで、点検の1つのプロセスとして、「(d)あらかじめ定められた間隔でISMSの内部監査を実施する」とあることに留意する。点検においては、内部監査に加えて、日常点検や、セキュリティ事件・事故からの学習が重要であることはいうまでもない。
内部監査を実施するための規格を利用したガイドライン
ここでは、BS7799-2:2002にある「附属書B(参照)規格の利用のための手引き」に記載されている日常点検や関連する項目をいくつか紹介する。
日常点検
日常点検の手順は、通常の業務プロセスの一部として定常的に実施されるものであり、処理の結果から誤りを検出できるように設計される。この種の点検は、発生するあらゆる誤りからの被害も抑えられるように実施するためにシステムの中に明確に組み込む必要があるとしている。
さらに近代的なシステムでは、点検の中に次のような事項を含むことが望ましいとして、2例が示されている。
例1
ソフトウェアの動作を制御するパラメータが意図しない変更や無許可の変更がないことの点検。Web上のデータに意図しない変更や無許可の変更がないことの点検。
例2
サイバースペース上のバーチャル組織間のデータ転送が完全であり正確であることの確認。
他者からの学習
組織の手順が最適かどうかを判定する方法に、ほかの組織の問題解決方法と比較して判断することができる他者から学ぶという方法は、技術的な対応と運用管理の活動の双方に適用できる。技術やソフトウェアに関する脆弱性を発見する材料はいくつもあり、組織はそれらを絶えず参照し、必要とされる更新をすることが望ましい。
また、多くのフォーラムや会議、専門家の会合などにおいて、運営管理の技法に関する情報が交換され、また議論されており、技術および運用管理に関連する出版物が取り上げる多くの記事もある。このような交流によって、ほかの組織が同様な問題を取り扱っているかなどを学ぶことができる。
傾向分析
定期的に行う傾向分析は、改善の必要性が示されている領域を組織が識別することを助けるものであり、継続的改善のサイクルにおいては必須である。
自警手順
自警手順とは、システムの作動中に侵害、誤り、不具合を迅速に検出する方法を備えた管理策のことである。
例
ネットワークの装置の故障や誤りなどを監視して警報を発する装置。警報はその問題を担当する責任者に対して出され、これにより、責任者は原因を究明して解決に当たることができる。
このように「点検」の段階を詳細に見ていくと、次の段階である「Act-処置」の課題が挙げられていることに気付くであろう。点検では、リスクアセスメントの前提や適用範囲にかかわるいかなる変化をも考慮することが重要であり、その際、管理策が不十分であると判明したときは、必要な是正処置を行うことが必要になってくる。
是正処置
是正処置とは、「Act-処置」におけるプロセスの1つである。処置は、是正処置と予防処置に大別される。予防処置は事故を予測し、事前に防ぐための対策であると予想できるだろうが是正処置とは具体的にはどのようなことだろうか? ISMS認証基準では、是正処置を次のように記述している。
【是正処置】
組織は、再発防止のため、ISMSの導入および運用に関連する不適合の原因を除去するための処置を講ずること。是正処置に関する文書化された手順では、次の事項に関する要求事項を規定すること。
- ISMSの導入または運用についての不適合の識別。
- 不適合の原因の特定。
- 不適合の再発防止を確実にするための処置の必要性の評価。
- 必要な是正処置の決定および実施。
- 実施した処置の結果の記録。実施した是正処置の見直し。
是正処置においては、前述した「セキュリティ事件・事故からの学習」がポイントになる。上記の不適合が顕在化したものが、「セキュリティ事件・事故」であるが、これらから学習できることは数多くある。
なぜ、このようなことが生じたかの原因を特定することは、単にシステム上の脆弱性などを特定するだけでなく、リスクアセスメントの手法やリスクマネジメントの見直しにもつながる。もちろん不本意なことであるには間違いないが、これらをどのように取り扱い、改善に向けての行動を取るかが最も重要である。加えて、前述した、傾向分析も非常に重要なプロセスである。傾向分析を通して、事件・事故の兆候を特定しておくことは、何よりもの予防策になるからである。いうまでもなく、予防処置の方が、是正処置に比べて、その費用対効果は高いからである。
次回は「情報セキュリティ監査制度」について触れる。
著者紹介
株式会社アズジェント セキュリティポリシー事業部
駒瀬 彰彦(こませ あきひこ)
取締役事業部長、ISMS適合性評価制度技術専門部会委員副主査、英国BSi (British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会セキュリティ研究部会 副部会長。
トータルセキュリティソリューションプロバイダ。ファイアウォールなどセキュリティ商品提供を始め、コンサルティングや各種トレーニングを開催している。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。