ページの本文へ

Hitachi

株式会社 日立ソリューションズ・クリエイト

セキュリティ 情報セキュリティ監査とは? 概要と必要性など

情報セキュリティ監査とは? 概要と必要性など

企業や団体などの組織において、セキュリティシステムが正常に機能しているか、サイバー攻撃に対応できるかどうかなどをチェックする「情報セキュリティ監査」。

情報セキュリティ監査には、組織内で監査人を立てる内部監査のほか、組織外から監査人を呼ぶ外部監査という方法もあります。ここでは、情報セキュリティ監査とはどのようなものなのか、その特徴や必要性について解説します。

情報セキュリティ監査とは

情報セキュリティ監査とは、組織が保有する情報資産を守るために正しく対策がとれているかを第三者的な目線でチェックすることです。企業や組織の情報システムについて、セキュリティ対策を正しく実施し機能しているかを実際に検証・評価します。セキュリティルール、組織のガイドラインや「JIS Q 27002(情報セキュリティマネジメントの実践のための規範)」といった基準にも照らし合わせながら確認します。

情報セキュリティ監査の実施は、計画の立案、手続の実施、監査報告書の作成と保存、結果のフォローアップの順に行われます。はじめに監査計画に関する方針の立案や監査対象の範囲を決め、監査に要する期間や期日を決定します。監査対象に関する目標(機密性の保持など)も忘れずに設定しなければなりません。

システムのセキュリティホールの発見と洗い出し、脆弱性の分析や重要なデータの保存方法が妥当であるかどうかについて、技術的な側面から監査を入れていきます。サービス実施中またはカットオーバー前のシステムについては特に念入りに監査を行う必要があります。

日本国内ではサイバー攻撃への対策が急がれる一方、まだ情報セキュリティ監査が広く認知されているとはいえない状況です。そのため、大企業はもちろん中小企業も情報セキュリティ監査を定期的に実施し、機密情報や顧客の個人情報を適切に管理できるよう体制を整えておく必要があります。

企業における情報セキュリティ監査の必要性

企業にとって、個人情報や機密情報の保持は事業活動を左右するものであり、重要な資産のひとつです。しかしセキュリティ体制が不十分であるとサイバー攻撃によるセキュリティインシデントのリスクが高まり、社会的信頼の失墜や事業活動への悪影響が懸念されます。

近年では取引先企業を乗っ取り、そこを踏み台にしてメインターゲットとなる企業にサイバー攻撃を仕掛ける「サプライチェーン攻撃」も頻発しており、中小企業が大企業への踏み台として狙われる可能性もあります。

情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているかどうか確認でき、不十分な点を洗い出して迅速に対処することが可能になります。顧客や取引先にもセキュリティ対策を適切に行っていることがアピールできるので、会社や事業の規模を問わず監査を受けることが重要です。

情報セキュリティ監査の実施ではシステムの脆弱な部分を発見するだけではなく、自社サイトがサイバー攻撃を受けやすいかどうかを客観的に判断します。個人情報保護の観点からも、どんな技術的対策が必要なのかをアドバイスしてもらえるので、具体策を検討するうえで役に立ちます。

また、監査人からのアドバイスや監査結果を周知することで、社内の情報セキュリティ意識を高めるきっかけにもなり、従業員の啓発につなげることができるでしょう。

情報セキュリティの管理基準と監査基準

経済産業省は、情報セキュリティの管理・監査について2つの基準を発表しています。

情報セキュリティ管理基準

情報セキュリティ管理基準とは、組織における情報セキュリティマネジメントの効果的な確立のために、マネジメントサイクルの構築から管理までの適用範囲を定めたものです。
ここでいう管理基準とは「マネジメント基準」と「管理策基準」の2項目からなっています。マネジメント基準では情報セキュリティマネジメントの計画・実行・点検・処置・実施事項・留意事項が提示され、企業内での情報セキュリティ管理の参考にすることができます。管理策基準ではマネジメント基準が提示するポイントを実現するための選択肢が示されています。

情報セキュリティ監査基準

情報セキュリティ監査基準とは、実際に監査を行う監査人の行動・行為規範のことです。監査の品質を一定の水準に保ち、有効かつ効率的に実施できるように「一般基準」「実施基準」「報告基準」の3項目を提示しています。

一般基準では監査人の適性や監査業務における遵守項目を定め、実施基準では監査計画の立案から監査手続きの適用までを定めています。報告基準は、監査後の報告にかかわる留意事項や報告書の記載方式が規定されています。

情報セキュリティ監査は企業の規模や事業内容にかかわらず、情報を適切に管理・保護するうえで欠かせないものです。定期的に監査を入れることで、企業の内外に実績としてアピールすることも可能です。ぜひあなたの会社でも情報セキュリティ監査を実施してみてはいかがでしょうか。