情報セキュリティ監査の有効性を探る（後編）：経営視点のセキュリティ管理（1/2 ページ）

企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。情報セキュリティ監査は、科学的な体系的過程に基づいて行われる必要がある。

[大木栄二郎，ITmedia]

　情報セキュリティの確保が、企業の社会的責任として欠かせないものであることは明確になったが、しかし、企業の情報セキュリティの取り組みがどの程度効果をあげているかは、どうもはっきりしない。

　情報セキュリティ対策が重要であること自体は、かなり理解されてきた。情報セキュリティポリシーを策定し情報の取扱規定を定め、情報ネットワークの保護技術を導入し、従業者の教育を行うようになった。

　しかし、それらの対策が具体的にどのような効果をもたらしているのか、今の対策に抜けはないのか、リスクの大きい部分が残ってはしないかなど肝心な詰めがどこまでできているのかが分からない。まして、企業の外部の人間にとって、その企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。

セキュリティ監査に欠かせない3つのポイント

　情報セキュリティの確保は、あらゆる情報活用の場面が関係し、目に見えないものを精緻に管理することが求められるだけに、そもそもが大変に難しい代物である。しかも技術はめまぐるしく変化し、情報を狙う脅威もまた日々変化している。このため、情報セキュリティの確保は、一時的な対応では不可能で、リスクに応じた網羅的な対策を継続的かつ計画的に見直しながら進めていくことが求められることになる。

　その際、情報セキュリティ対策が計画通り実行されているか、期待した効果を上げているかを定期的に確認することが必須であり、CSRとしての情報セキュリティの確保には情報セキュリティ監査が欠かせない。

監査の基本概念

　情報セキュリティ監査というと、ルールが守られているかを調べることだと考えている人が多い。もちろん、そのような側面があることに間違いはないが、情報セキュリティ自体が大変に難しいものであり、かつ社会的責任を果たす上で欠かせないものだとすると、単にルールの順守を確認するだけでなく、より大きな役割を果たさなければならない。個々のルールの順守も調べるが、その背後に企業の方針が徹底され、経営者の意図したリスク低減を達成するための統制が機能していることを確認しなければならない。また、情報セキュリティ監査の結果は、利害関係者の意思決定にも影響を与えるものになるだけに、情報セキュリティの知識や経験のある者が、体系的な過程を経て、事実に基づき確立された基準に沿って判断したものでなければならない。つまり、情報セキュリティ監査には次の3つの目的があり、いずれも科学的な体系的過程に基づいて行われなければならないのである。

　1）自社の情報セキュリティ対策の有効性を確認する

　2）自社の情報セキュリティにかかわる統制が有効に機能していることを検証する

　3）自社の情報セキュリティの取り組みについて外部利害関係者の理解を得る

　当初は、内部監査により自社内で自信の持てる段階にまで情報セキュリティの管理レベルを上げていくことになるが、それとて監査としての一定の形式に沿って行われなければならない。情報セキュリティ監査を行う内部監査人の育成も真剣に検討しなければならない。さらに、情報セキュリティの確保が社会的責任の一部であるからには、遅かれ早かれ情報セキュリティ監査の結果を取引先や顧客に示して、自社の管理レベルについての理解を得ることが不可欠であることを忘れてはならない。