連載
» 2007年11月13日 11時00分 UPDATE

経営視点のセキュリティ管理:情報セキュリティ監査の有効性を探る(後編) (1/2)

企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。情報セキュリティ監査は、科学的な体系的過程に基づいて行われる必要がある。

[大木栄二郎,ITmedia]

 情報セキュリティの確保が、企業の社会的責任として欠かせないものであることは明確になったが、しかし、企業の情報セキュリティの取り組みがどの程度効果をあげているかは、どうもはっきりしない。

 情報セキュリティ対策が重要であること自体は、かなり理解されてきた。情報セキュリティポリシーを策定し情報の取扱規定を定め、情報ネットワークの保護技術を導入し、従業者の教育を行うようになった。

 しかし、それらの対策が具体的にどのような効果をもたらしているのか、今の対策に抜けはないのか、リスクの大きい部分が残ってはしないかなど肝心な詰めがどこまでできているのかが分からない。まして、企業の外部の人間にとって、その企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。

セキュリティ監査に欠かせない3つのポイント

 情報セキュリティの確保は、あらゆる情報活用の場面が関係し、目に見えないものを精緻に管理することが求められるだけに、そもそもが大変に難しい代物である。しかも技術はめまぐるしく変化し、情報を狙う脅威もまた日々変化している。このため、情報セキュリティの確保は、一時的な対応では不可能で、リスクに応じた網羅的な対策を継続的かつ計画的に見直しながら進めていくことが求められることになる。

 その際、情報セキュリティ対策が計画通り実行されているか、期待した効果を上げているかを定期的に確認することが必須であり、CSRとしての情報セキュリティの確保には情報セキュリティ監査が欠かせない。

監査の基本概念 監査の基本概念

 情報セキュリティ監査というと、ルールが守られているかを調べることだと考えている人が多い。もちろん、そのような側面があることに間違いはないが、情報セキュリティ自体が大変に難しいものであり、かつ社会的責任を果たす上で欠かせないものだとすると、単にルールの順守を確認するだけでなく、より大きな役割を果たさなければならない。個々のルールの順守も調べるが、その背後に企業の方針が徹底され、経営者の意図したリスク低減を達成するための統制が機能していることを確認しなければならない。また、情報セキュリティ監査の結果は、利害関係者の意思決定にも影響を与えるものになるだけに、情報セキュリティの知識や経験のある者が、体系的な過程を経て、事実に基づき確立された基準に沿って判断したものでなければならない。つまり、情報セキュリティ監査には次の3つの目的があり、いずれも科学的な体系的過程に基づいて行われなければならないのである。

 1)自社の情報セキュリティ対策の有効性を確認する

 2)自社の情報セキュリティにかかわる統制が有効に機能していることを検証する

 3)自社の情報セキュリティの取り組みについて外部利害関係者の理解を得る

 当初は、内部監査により自社内で自信の持てる段階にまで情報セキュリティの管理レベルを上げていくことになるが、それとて監査としての一定の形式に沿って行われなければならない。情報セキュリティ監査を行う内部監査人の育成も真剣に検討しなければならない。さらに、情報セキュリティの確保が社会的責任の一部であるからには、遅かれ早かれ情報セキュリティ監査の結果を取引先や顧客に示して、自社の管理レベルについての理解を得ることが不可欠であることを忘れてはならない。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!  旅行券(5万円)をプレゼント!

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。
 会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。
 新規でご入会いただいた方の中から抽選でお1人さまに、JTB旅行券(5万円)をプレゼントします。初秋の旅で、日頃の疲れをいやしていただければと選びました。どうぞご応募ください。

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆