自社のセキュリティ対策が適切であるかどうかを第三者によってチェックしてもらえるのが、情報セキュリティ監査です。この情報セキュリティ監査には、自社内で監査人を立てる内部監査と、自社外の監査人による外部監査の2通りがあります。
この記事では情報セキュリティ監査の概要と、監査で得られるISMS認証について解説します。
また、LRMでは、内部監査を実施する際に使えるチェックリストを無料で配布しています。ダウンロードしておくと便利です。
情報セキュリティ監査についておさらい
情報セキュリティ監査とは、組織が保有する情報資産を守るために正しく対策がとれているかを、第三者的な目線でチェックすることです。
企業や組織の情報システムについて、セキュリティ対策を正しく実施し機能しているかを実際に検証や評価を行います。
監査を行う際には、セキュリティルール、組織のガイドラインや「JIS Q 27002(情報セキュリティ管理策の実践のための規範)」といった基準にも照らし合わせながら確認します。
具体的には、計画の立案、手続の実施、監査報告書の作成と保存、結果のフォローアップの順に実施され、まず監査計画に関する方針の立案や監査対象の範囲を決め、監査に要する期間や期日を決定します。その際、監査対象に関する目標(機密性の保持など)も忘れずに設定します。
セキュリティにおける監査であることから、システムのセキュリティホールの発見と洗い出し、脆弱性の分析や重要なデータの保存方法が妥当か、技術的な側面から監査していきます。
特にサービス実施中またはカットオーバー前のシステムについては特に念入りに監査されます。
情報セキュリティ監査が重要視される背景
企業において、企業にとって、個人情報や機密情報の保持は事業活動を左右するものであり、重要な資産の一つです。セキュリティ体制が不十分であるとサイバー攻撃によるセキュリティインシデントのリスクが高まります。
近年では取引先企業を乗っ取り、そこを踏み台にしてメインターゲットとなる企業にサイバー攻撃を仕掛ける「サプライチェーン攻撃」も頻発しており、被害が拡大しています。
しかし、情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているかどうか確認でき、不十分な点を洗い出して迅速に対処可能です。
さらに顧客や取引先にもセキュリティ対策を適切に行っていることがアピールできるでしょう。
情報セキュリティの管理基準と監査基準
情報セキュリティの管理・監査において経済産業省は2つの基準を発表しています。
情報セキュリティ管理基準
情報セキュリティ管理基準とは、マネジメントサイクルの構築から管理までの適用範囲を定めたものです。
この管理基準は「マネジメント基準」と「管理策基準」の2項目からなります。
マネジメント基準では情報セキュリティマネジメントの計画・実行・点検・処置・実施事項・留意事項が提示されており、管理策基準ではマネジメント基準が提示するポイントを実現するための選択肢を提示されています。
情報セキュリティ監査基準
一方、情報セキュリティ監査基準とは、監査を行う監査人の行動・行為規範を示したものです。
監査の品質を一定の水準に保ち、有効かつ効率的に実施できるように「一般基準」「実施基準」「報告基準」の3項目を提示しています。
- 一般基準
- 監査人の適性や監査業務における遵守項目を定義
- 実施基準
- 監査計画の立案から監査手続きの適用までを提示
- 報告基準
- 監査後の報告にかかわる留意事項や報告
情報セキュリティ監査は、これらの基準に基づいて実施されます。
情報セキュリティ監査に対応するにはマネジメントシステム(ISMS)の構築がおすすめ
サイバー攻撃の脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、情報セキュリティマネジメントシステムの構築・運用が必須事項となっています。
情報セキュリティマネジメントシステム(ISMS)とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することです。
リスクマネジメントプロセスが適用されており、情報の機密性・完全性・可用性がバランス良く維持・改善されており、それによって適切なリスク管理がなされているという信頼性を利害関係者に与えることが、ISMSによって達成されます。
ここでいう機密性(confidentiality)・完全性(integrity)・可用性(availability)とは情報セキュリティの3要素と言われているものです。具体的には次のような特性を表しています。
- 機密性
- 情報にアクセス権限を設定して保護・管理されている状態のこと
- 完全性
- 情報の改ざんや過不足がなく正確であること
- 可用性
- 情報が必要なときにアクセスできて、処理を続けられること
この3つが情報セキュリティの3要素と呼ばれますが、これらに真正性(authenticity)・信頼性(reliability)・責任追跡性(accountability)・否認防止(non-repudiation)の4つの要素を加えて、7要素とする見方もあります。
ISMSの認証を取得することで対外的に必要十分なセキュリティ対策をアピールできる
情報セキュリティマネジメントシステムであるISMSの認証は、ISO27001と呼ばれることがあります。ISO27001は、ISMS認証を得るためのクリアすべき基準が「要求事項」として設定されています。
これらの要求事項に対応できていない場合、ISMS認証に求められるセキュリティ体制を構築できていないと見なされ、認証の取得はできません。
逆に言えば、ISMSの認証を取得すれば、自社は必要十分なセキュリティ対策がなされていると対外的にアピールできるということです。
企業としての信頼を高め、取引先の拡大やスムーズな営業活動のためにも、ISMS認証を取得することは非常に効果的といえます。
まとめ
情報セキュリティ監査は自社のセキュリティ対策の状況を客観的に俯瞰できる活動です。
万が一、サイバー攻撃の標的とされた場合でも、自社で適切なセキュリティ対策を施しておけば、被害を最小限に食い止められます。
情報セキュリティ監査には時間も費用もかかりますが、コストではなく投資であると捉えて、積極的に取り入れることをおすすめします。
また、ISMSの認証や運用に関するお悩みがあれば、まずはLRMに無料でご相談ください。