組織の健康診断でセキュリティ対策の確認を! 「情報セキュリティ監査」の大切さと重要性
昨今、IT技術の革新によってはぼ全ての企業、組織においてIT技術を導入しビジネス活動を行っています。今の時代ビジネス活動においてIT技術は切っても切れない存在になっており、その便利さを多くの方が享受しているとでしょう。
しかし、その便利さの裏には多くの危険や責任が存在します。ウイルス感染やマルウェア感染といったサイバー攻撃、ビジネスメール詐欺や内部不正による情報漏えいといった人的ミスと言った危険や責任は日々多くなり、より注目されています。
サイバー攻撃の被害で被る被害額や情報漏えいのよる信用失墜や被害補填にかかる費用は年々高額になっています。また、情報セキュリティインシデントの発生率はIPA(独立行政法人情報処理推進機構)等の調査によると75%近くなっており、「自分は関係ない」と言える状況ではなくいずれ必ず起きうるものと考えなくてはいけない段階になっています。
しかし、多くの企業、組織において「分かってはいるのだけで・・・」「人材が、予算が・・・」「どうしたらいいか分からない・・・」「正しいのか分からない・・・」などといった声多く聞こえてきます。
そんな状況になっている企業・組織において実施して頂きたいのが今回ご紹介する「情報セキュリティ監査」です。
今回は、なぜ、情報セキュリティ監査を実施して頂きたいのかを情報セキュリティ監査の必要性や重要性などに触れながら解説していきます。今後の情報セキュリティ対策の強化・効率化の道しるべになること間違いないです。
※株式会社クロイツ 情報セキュリティコンサルティングサービス
目次
1.情報セキュリティ監査とは?
まず、初めに情報セキュリティ監査とは何なのかを解説していきます。
情報セキュリティ監査とは、組織が保有する情報資産を守るために、適切な情報セキュリティ対策が講じられているかどうかを、第三者の立場から検証・評価するプロセスです。
しかし、監査を行うためにも基準が必要です。そこで、経済産業省によって策定された基準として情報セキュリティ管理基準と情報セキュリティ監査基準があります。
・実務の基準となる「情報セキュリティ管理基準」
情報セキュリティ管理基準は、管理者が実務で行うような実践的な規範です。組織における情報資産の保護として推奨される事例をまとめており、マネジメント基準と管理策基準が構成されています。
マネジメント基準は、情報セキュリティが実施するにあたり、どのような点に注意して管理すればよいか、その実施項目について整理したもので、原則として全て実施しなければなりません。
管理策基準は、情報セキュリティマネジメントを確立する段階において、どのような管理策を策定すればいいのか、その選択の基準となるものです。組織の状況に合わせて、最適な基準を検討します。
・監査の基準となる「情報セキュリティ監査基準」
情報セキュリティ監査基準は、監査人が行うべき内容をまとめたもので、情報セキュリティ監査を行う時に用いられます。その目的は「監査業務の品質を確保すること」と、「有効かつ効率的な監査を実施すること」です。監査人の行動規範であり、次の基準から構成されます。
・一般基準:監査人としての適格性及び監査業務上の遵守事項を規定
・実施基準:監査計画の立案及び監査手続きの適用方法を中心に監査実施上の枠組みを規定
・報告基準:監査報告にかかわる留意事項と監査報告書の記載方式を規定
情報セキュリティ監査基準は、内部監査部門、外部監査機関を問わず、様々な監査人が共通に利用することが出来ます。
この基準の沿って監査を行うことで、2つの効果が期待できます。すなわち、適切性を保証すること(保証型監査)と、改善に役立つ的確な助言を与えること(助言型監査)です。
2.情報セキュリティ監査を行う必要性とは?
情報セキュリティ監査とは、企業などの情報セキュリティ対策について、独立かつ専門的知識を有する客観的に評価を行うことです。情報セキュリティ監査は、情報セキュリティマネジメントにおけるPDCAサイクルのうちCheckに該当します。
その内容としては、実施している情報セキュリティ対策が不備なく、適切に機能しているかどうかを点検し、問題点を洗い出すというものになります。
このような取り組みがなされていないとすれば、実施している情報セキュリティ対策の問題点が認識されることなく放置され、結果として相談のセキュリティレベルが低下してしまう事となります。
こうした状況を防ぐためには、定期的に監査を実施し、問題点を改善していくこと必要があります。
3.情報セキュリティ監査によって期待される効果
情報セキュリティ監査を定期的・継続的に実施することによって、次のような効果が期待できます。
①情報セキュリティ対策の欠陥箇所の発見
独立かつ専門的知識を有する専門家から客観的に評価を受けることによって、自らでは気付きにくい情報セキュリティ対策の欠陥箇所を発見することが可能になります。
②情報セキュリティマネジメントの確立
情報セキュリティ監査(Check)を適切に行い、欠陥箇所を改善する事によって、情報セキュリティマネジメントのPDCAサイクルが確立されます。
③顧客や社会からの信頼の獲得
情報セキュリティ監査に取り組んでいる事を対外的に示すことで、顧客や社会からの信頼性を獲得することが出来ます。
4.情報セキュリティ監査の流れ
情報セキュリティ監査を行う際には、事前に綿密な計画を立案し実施する必要があるでしょう。
綿密な計画を立案する事により適切な効果を発揮するだけでなく、監査時間の短縮や費用を抑えることが 出来ます。
では、簡単に情報セキュリティ監査の流れを見ていきましょう。
①監査準備
まず始めに行う事は「監査準備」です.
この監査準備では、情報セキュリティ監査を実施する目的を明確にし、その目的に照らし合わせて監査を行う範囲を決めていきます。その後、監査を実施する具体的なスケジュールを立案していき、監査の際に使用するツールや手法を明確にしていきます。
②情報収集
監査準備が完了するし、次に行う事は「情報収集」です。
情報収集のフェーズでは、監査に必要な情報の収集を行っていきます。
具体的にはセキュリティポリシーや情報セキュリティ対策手順書・情報資産管理台帳といったマネジメントベースの資料の収集、監査範囲内のシステムの設定情報や端末情報の収集、監査範囲内の関係者のヒアリングやアンケートの実施などを行います。
③技術的調査
技術的調査は前項の情報収集を技術的な側面から行っていきます。
ネットワーク調査ツールや脆弱性評価ツールを使用して技術的な部分の現状把握を行います。
また、機器・システムの設定の状況やログの確認を行い、潜在的な脆弱性の洗い出しやリスクの評価を行っていきます。
④レビューと分析
この「レビューと分析」の項目では、情報収集や調査で発覚した情報を元に細かく分析を行い情報セキュリティ監査の裏付けを行っていきます。
セキュリティポリシーや情報セキュリティ対策手順書・情報資産管理台帳といったマネジメントベースの項目が組織の現状と合致しているのか、適切に運用・管理がなされているのかを評価していきます。また、組織としてセキュリティ対策を適切に行うことができる人材運用が出来ているか、適切な情報収集が出来る環境であるかなど評価、分析していきます。
技術的な部分では、脆弱性の管理が適切になされているのか、ログが適切に収集され保管されているのかなどの評価も行います。
⑤結果報告
この項目では情報セキュリティ監査の調査内容を調査報告書としてまとめ、結果の報告・提出を行います。
必要であれば報告会を開き、詳細な説明を行っていきます。
⑥フォロー
情報セキュリティ監査には保証型と助言型があります。
助言型の監査であれば監査報告後、フォローアップを行います。
調査によって明らかになった問題点の改善が適切に行われているか、行われていなければどの様に行えば良いのか等のフォローを行っていきます。
5.情報セキュリティ監査の結果を元にした対策
情報セキュリティ監査を行う事で、現状組織として行っている対策の評価を明確にすることが出来ます。
その為、情報セキュリティ監査の結果を基に情報セキュリティ対策を行う事で現状最適な対策を効率良く行う事が可能になります。
①脆弱性の適用と管理・運用
現状の情報セキュリティ対策において技術的に大切なことは脆弱性を如何に少なくするかです。
情報セキュリティ監査において指摘された脆弱性に対して適切に対応することが必要です。
しかし、利用しているシステムによっては脆弱性の対応をしてしまうと稼働出来なくなってします可能性も考えられます。このような場合は該当する脆弱性によってどの様な攻撃が可能なのか、どの様な被害が考えられるのかを検討し管理することが必要でしょう。
また、これからの脆弱性対応の為に脆弱性の情報を随時収集し対応出来る体制を作り適切に管理・運用することも重要です。
②セキュリティポリシー等の組織内ルールの更新
情報セキュリティ監査によって現状のセキュリティの状況が明確になります。マネジメント分野においても該当するルールや文章が適切な物に更新することが必要です。
新型コロナウイルスによって働き方が変化しています。それによりルール等が明確にされておらず、曖昧な部分が多くなり、内部不正や設定ミスなどによって情報漏えいが急増しています。
このように働き方に適したセキュリティマネジメントを行う事が必要です。ルールや関連文書を形骸化させず、都度適切に運用出来る体制を作ることが必要です。
③職員へのセキュリティ研修
監査によって明らかになった人的な部分の問題点に対応するために職員に対するセキュリティ研修を強化する必要があります。
現在のセキュリティインシデントの原因やサイバー攻撃に入口の大半がシステム利用者の不注意などです。
不注意が起こる理由といて考えられるのが「知らない」という事です。少しでも知識があれば防ぐ事が出来ます。
セキュリティ研修を行う事で攻撃者を知り適切に対応する事が出来る様になります。また、組織内のルールの周知も行う事でセキュリティ対策の免疫力アップに繋がります。
④定期的な監査
情報セキュリティを取り巻く環境は刻一刻と変化します。昨日適切であった事が今日になると変化している場合もあります。
その為、情報セキュリティ監査を定期的に行う事は非常に大切です。簡易な監査で範囲を絞って行うものでも良いでしょう。
6.情報セキュリティ監査基=組織の健康診断
現在、情報セキュリティ対策は必ず行わなければならない項目であり、経営課題になっています。
しかし、どの様に行えば良いか、何が正しいのか分からないというが大きな障壁になり適切な対策が行えていないのが現状です。
この様な問題を解決し、適切で効率の良い情報セキュリティ対策を行うためには、現状を正しく把握する事が重要です。情報セキュリティ対策の現状を正しく把握するには、「情報セキュリティ監査」というサービスは非常に有効な物です。
情報セキュリティ監査はいわば健康診断です。
重大な病になる前に悪いところを発見し、適切に治療を行い行為です。ぜひ、組織の健康診断「情報セキュリティ監査」を行ってみては如何でしょうか?
株式会社クロイツでは、監査基準や管理基準に準拠するのは勿論ですが、攻撃者の目線も加えた情報セキュリティ監査を実施しています。また、多くの企業様にご提供したいとの思い出から、ご予算や目的に適した監査をご提供いたします。
