情報セキュリティ監査とは?
概要・目的・必要な理由などを解説

昨今はサイバー攻撃の手口が巧妙化しており、企業にとって情報セキュリティはますます重要視されています。この記事では「情報セキュリティ監査」に焦点を当て、概要から実施する目的、必要とされる理由などについて解説します。また、主な実施フローや監査対策に適したソリューションもご紹介するので、ぜひご一読ください。

情報セキュリティ監査とは?

近年、企業は膨大な情報やデータを収集、活用しなければ、市場で勝てない時代となりました。一方で、どのように機密情報をサイバー攻撃から守るのかが非常に重要なポイントとなっています。ここではいわゆる「情報セキュリティ監査」の概要や目的について解説します。

情報セキュリティ監査の概要

情報セキュリティ監査とは、企業の情報資産を守る環境や体制が整っているかどうかを、第三者がチェックすることです。監査を実施するには、高度な知識や豊富なノウハウを持った人材が欠かせません。
しかし実際は、スキルを持つIT人材を確保できない企業が多いのも事実です。そこで、経済産業省は「情報セキュリティ監査制度」を設立しました。この制度を活用することで、自社のセキュリティがどのような状況なのか、客観的に判断できるようになっているのが特徴です。年に1回を目安に、実施するのが望ましいとされています。

情報セキュリティ監査の目的

そもそも企業は何のために、情報セキュリティ監査を行うのでしょうか。
情報セキュリティには多くのリスクが潜んでおり、企業にはそれらをできるだけ排除することが求められています。しかし、社内のみで完璧にリスクマネジメントをするのは困難です。
そこで情報セキュリティ監査人が専門的な立場から検証や評価を行い、保証を与えたり適切にアドバイスしたりする方法が注目を集めています。
情報セキュリティのプロにチェックしてもらうことで、自社が見逃していたリスクを早期に発見し、改善することが可能です。

情報セキュリティ管理基準と情報セキュリティ監査基準

情報セキュリティ監査には、「情報セキュリティ管理基準」および「情報セキュリティ監査基準」といった2つの基準があります。

まず管理基準は、監査を行うために必要な判断の尺度です。セキュリティを守るために必要な「管理策」と、セキュリティ対策のよしあしを、より具体的に判断するための「詳細管理策」で構成されています。
参照元：JASA　情報セキュリティ管理基準

もうひとつの監査基準は、監査人が監査を行うにあたって守るべき行動規範や枠組み（フレームワーク）などを定めた基準で、以下のように3部構成となっています。

• 「一般基準」
  監査人の適格性や遵守事項など
• 「実施基準」
  監査計画の立案や枠組みの基準など
• 「報告基準」
  監査実施後の報告における留意事項、報告書の記載内容など

参照元：情報セキュリティ監査基準（平成15年経済産業省告示第114号）
※P2～4をご参照ください

情報セキュリティ監査とISMS認証の違い

情報セキュリティ監査と似たような用語で、ISMS認証があります。
ISMSとは「情報セキュリティマネジメントシステム」のことです。認証を取得するためには、組織内で取り組みをしたあと、認証機関による審査に合格しなければなりません。情報セキュリティ監査とは異なる認証制度ですが、ISMSを構築すれば情報セキュリティ監査にも対応しやすくなるのがポイントです。

情報セキュリティ監査の実施が必要な理由

情報セキュリティ監査は、定期的に実施することが必要です。その理由としては、以下の3つが挙げられます。

サイバー攻撃のリスクが高い

近年では個人や企業に対するサイバー攻撃の方法が巧妙化しています。以前からある「マルウェア攻撃」のほか、「標的型攻撃」はターゲットに対し、関係者になりすまして偽のメールを送りつけ機密情報を盗み取る手口です。ほかにも「ゼロデイ攻撃」は、OSやソフトウェアの脆弱性が改善する前に行われる手口として有名です。今やサイバー攻撃は、システムやネットワークに潜む脆弱性を狙う方法が一般的となっています。

こうしたサイバー攻撃をひとたび受けると機密情報が漏洩するなど、大きな問題になりかねません。顧客や取引先からの信用が失墜することも十分にありえます。
企業や組織、団体が、自社システムにおける情報セキュリティ監査を行うのは、こうしたリスクに備えるためであり、適切な対処が必要不可欠です。

脆弱性の把握と対処ができる

情報セキュリティが強固な状態かどうかは、専門的な知識やノウハウによって判断しなければなりません。しかし多くの企業では、自社でそうした人材を確保することはなかなか難しいのが現状です。たとえ脆弱性があったとしても、それに気づけなければリスクは放置されてしまいます。
一方、専門知識や豊富なノウハウを持った外部機関に監査を依頼すると、スムーズに脆弱性の把握や対処が可能です。

自社の安全性をアピールできる

専門的な監査機関に依頼し、情報セキュリティ監査を行っている企業は「情報セキュリティに対する意識が高い」と顧客や取引先から判断され、情報セキュリティ上の安全性をアピールできるというメリットが得られます。
外部監査を行っている中小企業が多くない状態のなか、自社が先んじて情報セキュリティ監査を受けていることを適切にアピールすることで、他社との差別化を図れるようになります。

情報セキュリティ監査の実施方法

ここからは、実際に情報セキュリティ監査を実施する際、一般的にどのような流れになるのかをご紹介します。
大まかなフローとしては、以下のとおりです。

• 監査実施担当者を選任する
• 監査計画を策定して、計画書を作る
• 監査を実施する
• 結果への対処を行う

まず、監査実施を実施する担当者を選びましょう。続いてどのように監査を進めていくのか計画を立てます。監査を行う対象範囲やスケジュール、目標などの項目を盛り込んだ計画表を作成するのが通常です。
計画を立てられれば、監査人によって監査が進められます。あらかじめ決めた項目でセキュリティチェックを行い、発見した課題をピックアップします。監査が終われば課題に対する対処などもふくめた報告書が作成され、完了です。

セキュリティ事故は、先に述べたサイバー攻撃によるものもあれば、従業員の意識が低いために内部で発生する事案も少なくありません。企業は定期的に監査を実施するとともに、組織における情報セキュリティ管理体制の見直しや改善を図っていくことが大切です。

情報セキュリティ監査対策には「Identity Manager」

ビジネスシーンにおいて、データやシステムなどへのアクセス管理は非常に重要です。
そこで情報セキュリティ監査対策としても使える、おすすめのソフトウェアが「Identity Manager」です。ユーザーが必要とするデータやアプリケーションに限ってアクセス権利を与えるなど、企業のあらゆるデータとユーザーのアクセス管理・保護が可能になります。また、既存のSAPセキュリティモデルを拡張し、ガバナンスの下でアカウントに接続できる仕組みとなっているのも大きな特徴です。

オンプレミスやハイブリッド、クラウドといった環境を問わず、またIT部門のリソースに関係なく、多様化するビジネスニーズにもとづいた高度なIDセキュリティを実現できます。

まとめ

近年はサイバー攻撃の手口が巧妙化していることから、セキュリティ対策は不可欠です。情報セキュリティ監査には、自社内で監査人を立てる内部監査と、外部へ依頼する外部監査の2通りの方法があります。しかし自社の人的リソースでは対応が難しいため「情報セキュリティ監査」を外部委託するケースも見られます。監査を行うことで、システムの脆弱性を早期に発見でき、改善しやすくなるほか、自社のセキュリティに対する考え方を顧客や取引先へアピールできるのが利点です。経済産業省「情報セキュリティ監査制度」に基づいた総合的なリスク分析を行い、情報システムを対象とした監査だけではなく、組織におけるセキュリティ対策のマネージメント状況までを対象に、問題点の発見とその是正に取り組むことが重要です。

リアルテックジャパンでは、情報セキュリティ監査に関するご相談を承っております。お客様のセキュリティ対策状況についてお気軽にお問い合わせください。

また、情報セキュリティの監査対策として「Identity Manager」を導入するのもおすすめです。ユーザーが必要とするデータやアプリケーションのみにアクセスを許可することで、ユーザー管理や保護を適切に行い、セキュリティ事故の低減を図れます。ぜひこの機会に導入をご検討ください。