自社のセキュリティ対策が適切であるかどうかを第三者によってチェックしてもらえるのが、情報セキュリティ監査です。この情報セキュリティ監査には、自社内で監査人を立てる内部監査と、自社外の監査人による外部監査の2通りがあります。
この記事では情報セキュリティ監査の全体像から、実施の具体的な流れ、実務ですぐに使えるチェック項目リスト、監査で得られるISMS認証まで網羅的に解説します。
「何から手をつければいいかわからない」という担当者の方は、記事内で紹介するチェックリストを活用して、自社の現状把握から始めてみましょう。
情報セキュリティ監査についておさらい
情報セキュリティ監査とは、組織が保有する情報資産を守るための対策(コントロール)が、「基準通りに整備され、有効に機能しているか」を第三者的な目線でチェックすることです。
監査を行う際には、社内のセキュリティポリシーや、経済産業省の監査基準、「JIS Q 27002(情報セキュリティ管理策の実践のための規範)」といった公的な基準に照らし合わせて検証・評価を行います。
具体的には、計画の立案、手続の実施、監査報告書の作成と保存、結果のフォローアップの順に実施され、まず監査計画に関する方針の立案や監査対象の範囲を決め、監査に要する期間や期日を決定します。その際、監査対象に関する目標(機密性の保持など)も忘れずに設定します。
セキュリティにおける監査であることから、システムのセキュリティホールの発見と洗い出し、脆弱性の分析や重要なデータの保存方法が妥当か、技術的な側面から監査していきます。
特にサービス実施中またはカットオーバー前のシステムについては特に念入りに監査されます。
情報セキュリティ監査が重要視される背景
企業において、企業にとって、個人情報や機密情報の保持は事業活動を左右するものであり、重要な資産の一つです。セキュリティ体制が不十分であるとサイバー攻撃によるセキュリティインシデントのリスクが高まります。
近年では取引先企業を乗っ取り、そこを踏み台にしてメインターゲットとなる企業にサイバー攻撃を仕掛ける「サプライチェーン攻撃」も頻発しており、被害が拡大しています。
しかし、情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているかどうか確認でき、不十分な点を洗い出して迅速に対処可能です。
さらに顧客や取引先にもセキュリティ対策を適切に行っていることがアピールできるでしょう。
情報セキュリティ監査の種類(保証型と助言型)
情報セキュリティ監査には、大きく分けて「保証型(アシュアランス)」と「助言型(アドバイザリー)」の2つのアプローチがあります。目的に応じて使い分けることが重要です。
保証型(アシュアランス)監査
外部の利害関係者(顧客や株主)に対して、「当社のセキュリティは基準を満たしています」とお墨付きを与えることを目的とします。対外的な信頼証明(ISMS認証の取得など)が必要な場合に実施されます。
助言型(アドバイザリー)監査
組織内部の管理者に対して、「ここのセキュリティが弱いので、こう直すべきです」と改善の提案を行うことを目的とします。組織のセキュリティレベル向上や、弱点の発見を主眼に置く場合に適しています。
また、実施主体によって「内部監査(社内の人間が実施)」と「外部監査(第三者機関が実施)」にも分類されます。
【実務で使える】情報セキュリティ監査の具体的なチェック項目リスト
監査で実際にどのようなポイントが見られるのか、代表的なチェック項目を4つのカテゴリ(組織・人・物理・技術)に分けて紹介します。
組織的対策(ルール・体制)
- 情報セキュリティポリシーは策定され、周知されているか
- 情報資産台帳は作成され、定期的に更新されているか
- 緊急時の連絡体制(インシデント対応フロー)は整備されているか
人的対策(教育・意識)
- 従業員への定期的なセキュリティ教育は実施されているか
- 入社時・退職時に秘密保持契約書(NDA)を取り交わしているか
- パスワードの使い回しやメモ書き放置などの禁止事項は守られているか
物理的対策(設備・環境)
- サーバー室や執務室への入退室管理(記録)は行われているか
- クリアデスク・クリアスクリーン(離席時の画面ロック)は徹底されているか
- 重要書類や記憶媒体は施錠管理されているか
技術的対策(システム・ネットワーク)
- OSやウイルス対策ソフトは最新の状態に保たれているか
- アクセス権限は「必要最小限」に設定されているか
- アクセスログは取得され、定期的にモニタリングされているか
※これらはあくまで一例です。より詳細な60項目のチェックリストが必要な方は、以下の資料をご活用ください。
情報セキュリティの管理基準と監査基準
情報セキュリティ監査を適切に行うための「ものさし」として、経済産業省が策定した2つの重要な基準があります。
情報セキュリティ管理基準(対策の選択肢)
「どのような対策を実施すべきか」を示した基準です。JIS Q 27001(ISMS)などをベースに、「マネジメント基準」と「管理策基準」から構成されています。
マネジメント基準では情報セキュリティマネジメントの計画・実行・点検・処置・実施事項・留意事項が提示されており、管理策基準ではマネジメント基準が提示するポイントを実現するための選択肢が提示されています。
情報セキュリティ監査基準(監査人のルール)
監査を行う側が守るべき行動規範です。監査の品質を担保するため、以下の3つの基準が定められています。
- 一般基準
- 監査人の適性(独立性や専門能力)
- 実施基準
- 監査計画から実施までの手続き
- 報告基準
- 監査結果の報告方法
監査を受ける側だけでなく、実施する側(監査人)にも厳格なルールが存在することを理解しておきましょう。
情報セキュリティ監査に対応するにはマネジメントシステム(ISMS)の構築がおすすめ
情報セキュリティ監査は単発で行うものではなく、継続的な仕組み(マネジメントシステム)として運用することが理想的です。そのための枠組みがISMS(ISO/IEC 27001)です。
ISMSにおける情報セキュリティの3要素
ISMSでは、以下の3要素をバランスよく維持することが求められます。
- 機密性 (Confidentiality)
- アクセス権限を設定し、許可された人だけが情報を使える状態
- 完全性 (Integrity)
- 情報が正確で、改ざんされていない状態
- 可用性 (Availability)
- 必要な時にいつでも情報やシステムが使える状態
この3つが情報セキュリティの3要素と呼ばれますが、これらに真正性(authenticity)・信頼性(reliability)・責任追跡性(accountability)・否認防止(non-repudiation)の4つの要素を加えて、7要素とする見方もあります。
ISMS認証取得のメリット
ISMS認証(ISO27001)を取得することは、「国際標準レベルのセキュリティ管理体制がある」という客観的な証明になります。監査対応を効率化するだけでなく、取引先からの信頼獲得や受注確度の向上にもつながります。
ISMSの認証を取得することで対外的に必要十分なセキュリティ対策をアピールできる
情報セキュリティマネジメントシステムであるISMSの認証は、ISO27001と呼ばれることがあります。ISO27001は、ISMS認証を得るためのクリアすべき基準が「要求事項」として設定されています。
これらの要求事項に対応できていない場合、ISMS認証に求められるセキュリティ体制を構築できていないと見なされ、認証の取得はできません。
逆に言えば、ISMSの認証を取得すれば、自社は必要十分なセキュリティ対策がなされていると対外的にアピールできるということです。
企業としての信頼を高め、取引先の拡大やスムーズな営業活動のためにも、ISMS認証を取得することは非常に効果的といえます。
まとめ
情報セキュリティ監査は、自社のセキュリティリスクを可視化し、事故を未然に防ぐための重要なプロセスです。
まずは「現状の把握」がスタートラインです。今回ご紹介したチェック項目や手順を参考に、できる範囲から監査の準備を進めてみてください。
「自社だけで全ての項目をチェックするのは不安」「効率的にISMS認証を取得したい」という場合は、専門家のサポートを受けるのも一つの有効な手段です。
LRMでは、監査準備に役立つチェックリストの無料配布や、ISMS取得・運用に関するご相談を承っています。お気軽にご活用ください。
