セキュリティ監査人に必須の実施・報告ガイドライン:情報セキュリティマネジメントシステム基礎講座(8)
「第7回 期待が高まる『情報セキュリティ監査制度』」では、「情報セキュリティ監査制度」は「情報セキュリティ管理基準」と「情報セキュリティ監査基準」の2つの基準で構成されていることがお分かりいただけたと思う。前回は情報セキュリティ管理基準について説明したが、今回はもう一方の情報セキュリティ監査基準とそれに関連するガイドラインやモデルについて紹介する。
情報セキュリティ監査基準と関連文章
まずは、情報セキュリティ監査基準と関連するガイドラインやモデルを表1に示す。
| 基準 | 情報セキュリティ監査基準 |
|---|---|
| ガイドライン | 情報セキュリティ監査基準 実施基準ガイドライン |
| 情報セキュリティ監査基準 報告基準ガイドライン | |
| モデル | 電子政府情報セキュリティ監査基準モデル |
| 表1 情報セキュリティ監査基準と関連文章の構成 | |
これらは、監査の際に監査を行う主体が従うべき行為規範を中心に、監査の実施や監査結果の報告のためのガイドラインなどである。
情報セキュリティ監査基準とは
情報セキュリティ監査基準は、監査を行う主体が従うべき行為規範を示したもので、特徴としては、
| 1. | 多様な主体が共通に利用するものである。 |
|---|---|
| 2. | 外部の主体および内部の主体が共通に利用するものである。 |
| 3. | 内部目的、外部目的ともに利用するものである。 |
| 4. | 保証型監査、助言型監査ともに利用するものである。 |
が挙げられている。ここでいう、多様な主体とは、監査法人、情報セキュリティ関連のシステム構築などを行うベンダ(情報セキュリティベンダ)、一般のシステム構築を行うベンダ、システムの監視サービスなどを行っている情報セキュリティ専門企業、システム監査企業などを指してはいるが、何も外部の主体と限定されるものではなく、内部監査を実施する主体にも共通して利用できるように留意しながら作成されている。
また、情報セキュリティ監査基準は、情報セキュリティ監査の目的として、
| 1. | 情報セキュリティにかかわるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備・運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証または評価して、もって保証を与えあるいは助言を行うこと。 |
|---|---|
| 2. | 情報セキュリティのマネジメントは第一義的には組織体の責任において行われるべきものであり、情報セキュリティ監査は組織体のマネジメントが有効に行われることを保証、または助言を通じて支援するものであること。 |
| 3. | 情報セキュリティ監査は、情報セキュリティにかかわるリスクのマネジメントまたはコントロールを対象として行われるものであるが、具体的に設定される監査の目的と対象は監査依頼者の要請に応じたものであること。 |
の3点を挙げている。情報セキュリティ監査の主たる目的は、組織や企業におけるリスクマネジメントに対する保証や助言を行うことであり、単なるコントロールの実装をチェックするのではないことが強調されている。
この情報セキュリティ監査基準は、さらに3つの基準で構成されており、それらの基準名と概要は下記の表2のようになっている。
| 基準名 | 概要 |
|---|---|
| 一般基準 | 監査人としての適格性および監査業務上の順守事項を規定する。 |
| 実施基準 | 監査計画の立案および監査手続の適用方法を中心に監査実施上の枠組みを規定する。 |
| 報告基準 | 監査報告にかかわる留意事項と監査報告書の記載方式を規定する。 |
| 表2 情報セキュリティ監査基準の構成 | |
従って、表1と表2を1つの図に示すと以下のような構成になる(図1)。
図1 情報セキュリティ監査基準の構成情報セキュリティ監査を行うために要求される「一般基準」
一般基準とは、監査人としての適格性および監査業務上の順守事項を規定しているもので、以下の5項目からなっている。実効あるセキュリティ監査を行うため、監査人には、幅広い知識、能力が必要とされている。
1.目的、権限と責任
情報セキュリティ監査を実施する目的および対象範囲、ならびに情報セキュリティ監査人の権限と責任は、文書化された規定または契約書などにより明確に定められていなければならない。
2.独立性、客観性と職業倫理
2.1 外観上の独立性
情報セキュリティ監査人は、情報セキュリティ監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、身分上、被監査主体と密接な利害関係を有することがあってはならない。
2.2 精神上の独立性
情報セキュリティ監査人は、情報セキュリティ監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
2.3 職業倫理と誠実性
情報セキュリティ監査人は、職業倫理に従い、誠実に業務を実施しなければならない。
3.専門能力
情報セキュリティ監査人は、適切な教育と実務経験を通じて、専門職としての知識および技能を保持しなければならない。
4.業務上の義務
4.1 注意義務
情報セキュリティ監査人は、専門職としての相当な注意をもって業務を実施しなければならない。
4.2 守秘義務
情報セキュリティ監査人は、監査の業務上知り得た情報を正当な理由なくほかに開示し、自らの利益のために利用してはならない。
5.品質管理
情報セキュリティ監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。
では、上記の「3.専門能力」に求められる知識および技能とは、いかなるものであろうか? 知識としては、大きく分けると情報セキュリティマネジメントシステム(ISMS)の計画、開発、運用に関する知識(「第6回 情報セキュリティ監査の重要性」参照)と情報セキュリティ監査の実施に当たっての関連知識が求められることになるであろう。具体的には、以下の知識が想定される。
| ISMSの計画、開発、運用に関する知識 | ISMSにおけるPDCA(Plan、Do、Check、Action)に関する知識 |
|---|---|
| 成熟度モデルに関する知識 | |
| リスクマネジメントに関する知識 | |
| 情報システムの設計、プログラミング、テストなどに関する知識 | |
| システムのオペレーション、データ管理などに関する知識 | |
| 情報セキュリティ監査の実施に当たっての関連知識 | コンピュータセキュリティに関する知識 |
| トップマネジメントに関する知識 | |
| 被監査主体の対象業務に関する知識 | |
| 関連法規に関する知識 | |
| 表3 情報セキュリティ監査人に要求される「知識」 | |
また、技能では、情報セキュリティ監査に関する能力が要求される。
| 情報セキュリティ監査に関する能力 | 監査計画の立案、分析、評価に関する技能 |
|---|---|
| 情報収集のためのスキル、監査技法の利用に関する技能 | |
| 監査報告書作成に関する技能 | |
| 表4 情報セキュリティ監査人に要求される「技能」 | |
この技能に関する詳細は、次の「実施基準」および「報告基準」を参照すると理解しやすい。
情報セキュリティ監査人に必須の「実施基準」
実施基準とは、監査計画の立案および監査手続の適用方法など、監査実施上の枠組みを規定しており、以下の4項目からなっている。先に触れた情報セキュリティ監査人に必ず要求される技能である。
1.監査計画の立案
情報セキュリティ監査人は、実施する情報セキュリティ監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期および範囲などについて適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。
2.監査の実施
2.1 監査証拠の入手と評価
情報セキュリティ監査人は、監査計画に基づいて、適切かつ慎重に監査手続を実施し、保証または助言についての監査結果を裏付けるのに必要かつ十分な監査証拠を入手し、評価しなければならない。
2.2 監査調書の作成と保存
情報セキュリティ監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程が分かるように秩序整然と記録し、適切な方法によって保存しなければならない。
3.監査業務の体制
情報セキュリティ監査人は、情報セキュリティ監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出および改善指導までの監査業務の全体を管理しなければならない。
4.ほかの専門職の利用
情報セキュリティ監査人は、情報セキュリティ監査の目的達成上、必要かつ適切と判断される場合には、ほかの専門職による支援を考慮しなければならない。ほかの専門職による支援を仰ぐ場合であっても、利用の範囲、方法、および結果の判断などは、情報セキュリティ監査人の責任において行われなければならない。
では、上記の「1. 監査計画の立案」では、どのような計画を立案する必要があるのであろうか? 基本的には、情報セキュリティ監査人は、監査基本計画、監査実施計画の立案をしなければならない。詳細は次回の「実施基準ガイドライン」で触れるが、おのおのの計画では、以下の事項に留意して、計画書を作成する必要がある。
●監査基本計画の立案
監査基本計画の立案とは、監査の基本的な方針のことで、「監査基本計画書」として文書化する必要がある。監査基本計画書は、原則として年度計画として作成されるが、必要に応じて、長期計画、中期計画、および年度計画に分けて策定される。また、個別の具体的な監査計画に関しては、個別計画として策定される。
●監査実施計画の立案
情報セキュリティ監査人は、監査の基本的な方針に基づいて、実施すべき監査手続についての詳細な計画を策定し、監査実施計画書として文書化する必要がある。実施すべき監査手続の重複または脱漏を防ぐため、いつ、どこで、だれが、どのような監査手続を実施するかを体系的に立案し、併せて監査手続の進ちょく管理を行うための手段または体制を計画に織り込んでおくことが肝要である。
また、監査計画立案における監査対象のリスクアセスメントの実施もこれらの立案を明確にするうえで重要である。監査計画立案段階におけるリスクアセスメントは、重要な監査対象の戦略的決定にとって有益であるばかりでなく、リスクアセスメントの結果を実施すべき監査手続に反映させることによって全体としてメリハリのある監査が期待でき、もって監査目的を有効かつ効率的に達成することにつながるからである。
上記の「2. 監査の実施」における「2.1 監査証拠の入手と評価」は、どのように実施するのであろうか? まず、監査証拠とは、そのときの状況に応じて最も適切な監査手続を適用した結果から得られたものでなければならない。それらの監査証拠とは、以下の方法を通じて入手される。
| 担当者へのインタビュー | |
| ドキュメントやプログラムなどの関連書類の査閲、照合 | |
| 現場の入退出管理や運用管理などの視察 | |
| システムテストへの立ち会い | |
| テストデータによる検証および跡付け | |
| 脆弱性スキャン | |
| システム侵入テスト | |
| 表5 監査証拠の入手方法 | |
次に、情報セキュリティ監査人は、入手した監査証拠の必要性と十分性の判断に当たって、被監査側から提出された資料、監査人自ら入手した資料、監査人自ら行ったテスト結果などを総合的に勘案して、相互に矛盾があるか否か、異常性を示す兆候があるか否かを評価しなければならない。
その際、情報セキュリティ監査人が入手した監査証拠の評価に当たっては、リスクアセスメントの結果との関連付けが考慮されなければならない。なぜなら被監査側が現に採用しているコントロールが適切であるか否かの判断は、リスクに応じたものでなければならないからだ。
「2.2 監査調書の作成と保存」では、情報セキュリティ監査人が実施した監査手続の結果と、監査手続に関連して入手した資料などは監査の結論に至った経過が分かるように監査調書として作成される。この監査調書は、情報セキュリティ監査終了後も相当の期間、整理保存しておく必要がある。監査調書には被監査側の機密事項が含まれていることもあり、情報漏えいや紛失などを考慮し、適切に保管しなければならない。
上記の実施基準に基づいて実施された情報セキュリティ監査は、その結果を適切に報告されなければならない。報告に関しては、次の報告基準に監査報告書の記載方式が規定されている。
情報セキュリティ監査人に必須のもう1つの技能「報告基準」
報告基準とは、監査報告にかかわる留意事項と監査報告書の記載方式を規定しており、以下の5項目からなっている。この報告に関する能力も、先に触れた情報セキュリティ監査人に必ず要求される技能である。
1.監査報告書の提出と開示
情報セキュリティ監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、情報セキュリティ監査人は、監査の依頼者と慎重に協議のうえで開示方法などを考慮しなければならない。
2.監査報告の根拠
情報セキュリティ監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。
3.監査報告書の記載事項
監査報告書には、実施した監査の対象・概要、保証意見または助言意見、制約または除外事項、そのほか特記すべき事項について、情報セキュリティ監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。
4.監査報告についての責任
監査報告書の記載事項については、情報セキュリティ監査人がその責任を負わなければならない。
5.監査報告に基づく改善指導
情報セキュリティ監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。
上記の「3. 監査報告書の記載事項」には、どのような項目があるのであろうか?「報告基準ガイドライン」では、記載事項は、以下のような区分によって構成されるとしている。
情報セキュリティ監査報告書は、内部利用であっても、外部に開示されることを前提に作成される場合であっても、基本的には、以下の記載区分によって構成される。
| 導入区分 | 実施した監査の対象などを記載する。 |
|---|---|
| 概要区分 | 実施した監査の内容などを記載する。 |
| 意見区分 | 保証意見または助言意見を記載する。 |
| 特記区分 | 必要に応じてそのほか特記すべき事項を記載する。 |
| 表6 情報セキュリティ監査報告書の記載される区分 | |
監査報告の明瞭性という観点から、これらの区分に従って記載するものとする。導入、概要、意見の3つの記載区分は、情報セキュリティ監査の目的または実施形態を問わず、必ず設けなければならないことに留意する。また、この報告基準ガイドラインには、保証型の監査報告書(保証報告書という)が作成される場合と、助言型の監査報告書(助言報告書という)が作成される場合を想定したひな型が用意されているので、参考にするとよい。
次回は、「実施基準ガイドライン」について紹介し、情報セキュリティ監査の実施手順などを説明する。
「第7回」へ
「第9回」へ
著者紹介
駒瀬 彰彦(こませ あきひこ)
セキュリティ・ポリシー事業部 取締役事業部長 シニアコンサルタント。ISMS適合性評価制度 技術専門部会 主査。英国BSi(British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会 セキュリティ研究部会 副部会長。2003年4月より立教大学大学院ビジネスデザイン研究科 非常勤講師。
暗号技術を用いた機密情報保護、認証システムの設計、開発などを担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツールである「M@gicPolicy」の開発やリスクアセスメント・リスクマネジメントのための「RAソフトウェアツール」の日本語化やISMS構築のためのコンサルティング業務や情報セキュリティ監査に携わっている。
関連記事
- 開発者が押さえておくべきセキュリティ標準規格動向
- 連載 実践!情報セキュリティポリシー運用
- 電子メールセキュリティポリシー導入の必要性
- 自主性が要求されるセキュリティ対策の新ガイドライン
- 企業IT管理者を対象としたセキュリティ研究会が発足
- 書評 情報セキュリティポリシー策定に役立つ4冊!
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。