企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。情報セキュリティ監査は、科学的な体系的過程に基づいて行われる必要がある。
情報セキュリティの確保が、企業の社会的責任として欠かせないものであることは明確になったが、しかし、企業の情報セキュリティの取り組みがどの程度効果をあげているかは、どうもはっきりしない。
情報セキュリティ対策が重要であること自体は、かなり理解されてきた。情報セキュリティポリシーを策定し情報の取扱規定を定め、情報ネットワークの保護技術を導入し、従業者の教育を行うようになった。
しかし、それらの対策が具体的にどのような効果をもたらしているのか、今の対策に抜けはないのか、リスクの大きい部分が残ってはしないかなど肝心な詰めがどこまでできているのかが分からない。まして、企業の外部の人間にとって、その企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。
情報セキュリティの確保は、あらゆる情報活用の場面が関係し、目に見えないものを精緻に管理することが求められるだけに、そもそもが大変に難しい代物である。しかも技術はめまぐるしく変化し、情報を狙う脅威もまた日々変化している。このため、情報セキュリティの確保は、一時的な対応では不可能で、リスクに応じた網羅的な対策を継続的かつ計画的に見直しながら進めていくことが求められることになる。
その際、情報セキュリティ対策が計画通り実行されているか、期待した効果を上げているかを定期的に確認することが必須であり、CSRとしての情報セキュリティの確保には情報セキュリティ監査が欠かせない。
情報セキュリティ監査というと、ルールが守られているかを調べることだと考えている人が多い。もちろん、そのような側面があることに間違いはないが、情報セキュリティ自体が大変に難しいものであり、かつ社会的責任を果たす上で欠かせないものだとすると、単にルールの順守を確認するだけでなく、より大きな役割を果たさなければならない。個々のルールの順守も調べるが、その背後に企業の方針が徹底され、経営者の意図したリスク低減を達成するための統制が機能していることを確認しなければならない。また、情報セキュリティ監査の結果は、利害関係者の意思決定にも影響を与えるものになるだけに、情報セキュリティの知識や経験のある者が、体系的な過程を経て、事実に基づき確立された基準に沿って判断したものでなければならない。つまり、情報セキュリティ監査には次の3つの目的があり、いずれも科学的な体系的過程に基づいて行われなければならないのである。
1)自社の情報セキュリティ対策の有効性を確認する
2)自社の情報セキュリティにかかわる統制が有効に機能していることを検証する
3)自社の情報セキュリティの取り組みについて外部利害関係者の理解を得る
当初は、内部監査により自社内で自信の持てる段階にまで情報セキュリティの管理レベルを上げていくことになるが、それとて監査としての一定の形式に沿って行われなければならない。情報セキュリティ監査を行う内部監査人の育成も真剣に検討しなければならない。さらに、情報セキュリティの確保が社会的責任の一部であるからには、遅かれ早かれ情報セキュリティ監査の結果を取引先や顧客に示して、自社の管理レベルについての理解を得ることが不可欠であることを忘れてはならない。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授