PR

監修・NPO日本ネットワークセキュリティ協会
文・丸山満彦(監査法人トーマツ エンタープライズリスクサービス部 シニアマネジャー)

 地方公自治体を取り巻く情報セキュリティ監査は緒についたばかりであり、多くの課題があるものと思われます。最終回となる今回は、監査を受ける側/行う側の双方における情報セキュリティ監査の現状と課題をまとめてみたいと思います。

 情報セキュリティ監査の実施については、多くの地方公自治体の情報セキュリティポリシーに規定されていると思います。もし、規定されているにもかかわらず、それが実施されていないのであれば、情報セキュリティポリシー全体の実施状況についても疑いが持たれてしまいます。総務省では、2004年度から地方公自治体における情報セキュリティの実施に対して予算措置などを含め力を入れていますが、「まだこれから」という自治体が多いのが実態のようです(図1)

■図1:情報セキュリティ監査の実施状況
情報セキュリティ監査の実施状況

 情報セキュリティ監査は、独立性・専門性の観点から外部の専門家が検証するのが望ましいといえます。地方公自治体の社会的な意義の大きさを考えると、市民の利害関係者に対する説明責任の一環として、外部監査人による外部目的の保証型の情報セキュリティ監査を実施すべきではないでしょうか。

 外部目的の保証型の監査を行う前提として、内部監査の実施が必要となります。ところが、多くの地方公自治体においては、内部監査さえも実施されていない状況です(同じく図1参照)。まずは内部監査の体制を整えることが当面の課題といえそうです。

 外部監査人による外部目的の保証型の情報セキュリティ監査を実施するときには、「地方自治法における監査委員監査や外部監査の一環としての情報セキュリティ監査」という考え方も想定できます。また、保証型監査の一つであるISMS適合性評価制度の利用も考えられます。一部の地方公自治体においては既にISMSの認証を取得している団体もあります。ただし、必ずしも個人情報を扱うすべての部署でISMSの認証を取得しているわけではなく、組織全体の監査の網羅性、個々のシステムにおけるコントロールの検証の網羅性や十分性という面を考えると、一定の意義は認めつつも、説明責任を果たすという点からは十分とは言い切れない面もあります。

 そのほかの地方自治体における情報セキュリティ監査の課題としては、住民基本台帳ネット、公的個人認証基盤やLGPKIの準拠性監査との関係の整理があります。これら特殊なシステムの準拠性監査を包含するような情報セキュリティ監査を行うべきであるというのが私の考えです。法的な位置付けなども含めた検討が今後必要となってくるでしょう。

■情報セキュリティ監査人に要求される力量とは?

 次に、情報セキュリティ監査を実施する人の問題を考えましょう。技術革新が激しく、高度の専門性が要求される情報セキュリティの世界だからこそ、専門的な能力をもった情報セキュリティ監査人が社会的に要請されているといえます。従って、一定の専門的な力量をもった人を資格認定し、最低限の品質を保証することが必要となります。そこで、日本セキュリティ監査協会(JASA)では、2004年度より、情報セキュリティ監査の資格制度(CAIS:Certified Auditor for Information Security)を開始することにしました。

 情報セキュリティ監査人に要求される力量として私が力説したいのは、情報セキュリティの知識だけでなく、監査人としての力量です。今まで監査というものを体系的に学習したことがない人がほとんどだと思います。従って、資格制度と併せて、監査というもの自体の理解とその理解に基づく行動ができる能力を習得できるプログラムも必要です。

 情報セキュリティ監査人の資格は一度取得したら、それで終わりというものではありません。むしろ、それがスタートなのです。情報セキュリティ分野の技術革新の目覚しさを考えると継続的な自己研鑽が重要となります。この点について、経済産業省の「情報セキュリティ監査基準」では、次のように述べています。

3.専門能力

 情報セキュリティ監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

  また、情報セキュリティ監査人には、専門的な知識だけでなく、高度な人格に基づく職業倫理の実践が求められます。この点については、「情報セキュリティ監査基準」では次のように述べています。

2.3 職業倫理と誠実性

 情報セキュリティ監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

  監査人には高い倫理観とその倫理観に基づく行動(Behavior)が求められます。JASAが認定する監査人については、JASAが定めた「監査人倫理規程」が適用されます。倫理教育については、JASA内においても、まだまだ活発に議論されているとはいえません。今後の活動に期待することにしましょう。

  情報セキュリティに対する高い専門性、監査人としての力量、そして専門家としての高度な人格と高い倫理観、これらがそろって初めて情報セキュリティ監査人と名乗ってよいのではないでしょうか。このような、情報セキュリティ監査人を今後増やしていけるかが、この制度の成否の分かれ道であるともいえます。情報セキュリティ監査人の質が低ければ、社会的な信頼を得ることができませんが、一方で、制度普及のために大量に認定者を出すという考え方もあります。制度の信頼性とのバランスが問われることになりそうです。

◆       ◆       ◆

 電子自治体が推進される中で、情報セキュリティへの懸念が市民、あるいは職員の間で高まってきています。その解決策としての情報セキュリティ監査の有用性は、ますます高まってきています。このコラムは、情報セキュリティ監査とは何か、どのようなものか、実施上は何がポイントなのかを説明し、地方公自治体が情報セキュリティ監査を実施、または委託する際の一助になればと考え、JNSA情報セキュリティ監査WGのメンバーが連載してきたものです。私が最後を飾ることになりましたが、これからも折に触れ、情報セキュリティ監査に関する話題を提供できればと思っております。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。