情報セキュリティ監査の有効性を探る（後編）：経営視点のセキュリティ管理（2/2 ページ）

企業の情報セキュリティ対策がどの程度できているかを知ることは至難の業である。情報セキュリティ監査は、科学的な体系的過程に基づいて行われる必要がある。

[大木栄二郎，ITmedia]

利害関係者に対して監査結果を報告する

　情報セキュリティ監査は、これまでは社内で確認することを主体とした内部監査、あるいは対策をさらに強化していくための助言型監査が中心であった。しかし、企業の社会的責任を果たすためには、これからより積極的に社外の利害関係者に対して監査結果を報告する情報セキュリティ監査が必要となる。

　外部の利害関係者の中でも特に情報セキュリティに強い関心や要求を抱いている業務委託元や顧客の期待にいかに的確にこたえていくか、その期待にこたえられる対策を実施していることをいかに理解してもらえるかが大きな意味を持つ。

　この場合に特に注意しなければならない点が、リスクの認識にある。企業内に閉じた情報セキュリティの確保は、もっぱらその企業の経営者のリスク認識に基づいて行われる。これは、従来の企業のリスクマネジメントの一環として、自社が許容可能なリスクの程度を勘案して、どれくらい詳細にリスク対応策を構築するかという思想に沿ったものであり、利害関係者にはこのような方針で臨んでいることを説明できれば良かった。ネットワーク化が進展する前の、企業が比較的に独立して事業展開できた時代の考え方である。

　しかし、事業が企業間にまたがってネットワーク化された環境では、その事業にかかわるすべての組織や企業が同じレベルのリスク認識で取り組まなければならない。つまり、自社の都合によるリスク認識のみならず、取引先や顧客のリスク認識に基づく情報セキュリティ対策も求められることになるのである。

　関連する組織がすべて同一資本のもとの系列企業で構成されている場合は、中核企業のセキュリティポリシーを全社で共有するなど、従来の考え方の延長でも対応可能かもしれないが、そのようなケースはもはや稀であろう。

　多くのグループ外企業と業務委託契約で複雑に密結合された事業がますます増えている。この場合は、業務委託契約に情報セキュリティ確保の条項を盛り込むことになり、その検証として情報セキュリティ監査を行うことが有効な手段となる。

　このような目的に使われることを想定しているのが保証型情報セキュリティ監査である。保証型情報セキュリティ監査では、監査報告書の利用者の期待にこたえうる情報セキュリティ対策が実現できているかどうかを主眼として監査を行う。ネットワーク社会での事業基盤の信頼性を高める役割が期待されている。保証型情報セキュリティ監査の詳細については、日本セキュリティ監査協会が保証型情報セキュリティ監査の概念フレームワークを公開しているので、そちらを参照されたい。

　これまでの内部監査や助言型監査に加えて、CSRの一環として、保証型情報セキュリティ監査に積極的に取り組んでいただきたい。

大木 栄二郎

工学院大学情報学部教授。特定非営利活動法人 日本セキュリティ監査協会（JASA）顧問、スキル部会長、保証型情報セキュリティ監査促進プロジェクト・リーダー。IBMにおいてセキュリティ・コンサルティングの分野を確立、IBMディスティングイッシュト・エンジニア、IBMアカデミー会員、IBCSチーフセキュリティ･オフィサーを経て現職へ。情報セキュリティ監査研究会や情報セキュリティ戦略研究会など政府のセキュリティ関係委員会の委員を歴任。公認情報セキュリティ主席監査人。