情報セキュリティ監査は、これまでは社内で確認することを主体とした内部監査、あるいは対策をさらに強化していくための助言型監査が中心であった。しかし、企業の社会的責任を果たすためには、これからより積極的に社外の利害関係者に対して監査結果を報告する情報セキュリティ監査が必要となる。
外部の利害関係者の中でも特に情報セキュリティに強い関心や要求を抱いている業務委託元や顧客の期待にいかに的確にこたえていくか、その期待にこたえられる対策を実施していることをいかに理解してもらえるかが大きな意味を持つ。
この場合に特に注意しなければならない点が、リスクの認識にある。企業内に閉じた情報セキュリティの確保は、もっぱらその企業の経営者のリスク認識に基づいて行われる。これは、従来の企業のリスクマネジメントの一環として、自社が許容可能なリスクの程度を勘案して、どれくらい詳細にリスク対応策を構築するかという思想に沿ったものであり、利害関係者にはこのような方針で臨んでいることを説明できれば良かった。ネットワーク化が進展する前の、企業が比較的に独立して事業展開できた時代の考え方である。
しかし、事業が企業間にまたがってネットワーク化された環境では、その事業にかかわるすべての組織や企業が同じレベルのリスク認識で取り組まなければならない。つまり、自社の都合によるリスク認識のみならず、取引先や顧客のリスク認識に基づく情報セキュリティ対策も求められることになるのである。
関連する組織がすべて同一資本のもとの系列企業で構成されている場合は、中核企業のセキュリティポリシーを全社で共有するなど、従来の考え方の延長でも対応可能かもしれないが、そのようなケースはもはや稀であろう。
多くのグループ外企業と業務委託契約で複雑に密結合された事業がますます増えている。この場合は、業務委託契約に情報セキュリティ確保の条項を盛り込むことになり、その検証として情報セキュリティ監査を行うことが有効な手段となる。
このような目的に使われることを想定しているのが保証型情報セキュリティ監査である。保証型情報セキュリティ監査では、監査報告書の利用者の期待にこたえうる情報セキュリティ対策が実現できているかどうかを主眼として監査を行う。ネットワーク社会での事業基盤の信頼性を高める役割が期待されている。保証型情報セキュリティ監査の詳細については、日本セキュリティ監査協会が保証型情報セキュリティ監査の概念フレームワークを公開しているので、そちらを参照されたい。
これまでの内部監査や助言型監査に加えて、CSRの一環として、保証型情報セキュリティ監査に積極的に取り組んでいただきたい。
大木 栄二郎
工学院大学情報学部教授。特定非営利活動法人 日本セキュリティ監査協会(JASA)顧問、スキル部会長、保証型情報セキュリティ監査促進プロジェクト・リーダー。IBMにおいてセキュリティ・コンサルティングの分野を確立、IBMディスティングイッシュト・エンジニア、IBMアカデミー会員、IBCSチーフセキュリティ・オフィサーを経て現職へ。情報セキュリティ監査研究会や情報セキュリティ戦略研究会など政府のセキュリティ関係委員会の委員を歴任。公認情報セキュリティ主席監査人。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授