PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・夏目雅好(ネットマークス 公認情報システム監査人)

 今回は内部監査をターゲットとして、監査そのものの概要とポイントなどを解説します。

 監査業務を一言で言えば「監査対象を理解し、管理策をどのように策定したかを評価し、管理策自体をテストする」ということです。

■監査手順──基本計画から調書の作成・保存まで

 監査の実施手順については、 ISO 審査、会計監査など様々ありますが、「情報セキュリティ監査基準 実施基準ガイドライン」では、図1の手順が示されていますので、本コラムではこれに沿って進めます。




1. 監査基本計画

 監査基本計画は年度計画として、情報セキュリティ責任者の意向に沿って対象となる業務、システム、優先順位などを決めます。また、監査を実施するにあたり監査の基本的な方針をたて文書化します。

  方針には、対象範囲、期間、段階、目標を明確にし、それを満たすための体制、監査人スキルなどを盛り込みます。

  今回は、一例として以下のような方針を例に説明します。

各システムにおいて、プログラムのソースコードの変更を本番環境へ反映するための管理策が、2003年に運用段階において、十分に定義され適切に機能していることを判定する。
そのために、監査チームにはUNIXとコンパイルに関するスキルが必要。

 情報セキュリティ計画は、業務計画、組織計画、システム化計画などと整合性を取るかたちで策定します。情報セキュリティの監査計画は、業務内容やセキュリティ管理策の全体像を踏まえて立てますので、業務監査と同様に継続して実施することが肝要です。従って、業務監査と同程度の長期計画を立てるようにします。


2. 監査実施計画

  監査の基本的な方針に基づき、監査の詳細な計画を立て文書化します。その際以下の点を注意します。

前回までの監査における指摘事項・改善報告書の内容
監査対象組織・職員の異動内容
監査対象組織の業務およびシステムの異動内容
被監査部門の業務遂行への影響を極力少なくし、かつ最大限の効果を得ること

 これらを踏まえ、監査チームの体制および監査手続の概要を決め、監査の要点を設定し、チェックリストを作成します。

 また、監査人は、監査目的や対象範囲に基づき被監査部門と以下を調整します。

監査手続の実施スケジュール
被監査部門が準備するリソース(人、文書、システム、場所、時間など)

 監査実施計画書は、監査チームの意識統一や役割分担、手順や方法などをまとめたもので監査手続を効率的に遂行するために有用です。


3. 監査手続の実施

◆準拠性テスト

 リスクアセスメント(第2回第3回を参照)結果を踏まえた管理策が策定されているかどうか、その整備状況の確認、あるいは管理策に準拠して手続が行われているかの遵守状況の検証を行います。

  コラム冒頭で例示した方針の場合

ソースファイルから本番機の実行ファイル作成のための手順書を検証する。
本番機へのアクセス記録を検証する。

などの検証を行います。

◆実証性テスト

  実証性テストは監査目標をどの程度達成できているか、実際の処理の適切性を評価します。

コラム冒頭で例示した方針の場合、

ソースファイルのライブラリからサンプルを選択し、本番機の実行ファイルと突合検査を実施する。
ソースから実行ファイルを作成し、本番環境へ反映する手続に立ち会う。

といった評価を行います。

 通常全ての管理策に対しテストを行うことは、時間的にも費用的にも困難ですのでサンプリングにより行います。

 サンプリングで注意すべき点は、対象となる母集団からのサンプル抽出が不適切だと、誤った結論を引き出す危険があることです。これをサンプリング・リスクと言い、サンプリング・リスクを抑えるためには、母集団の特性を理解し、全ての要素が抽出されるようにできる限り客観的にサンプリングすることが重要です。

 先の例で、プログラムのソースコードの変更を本番環境へ反映するための管理策の実証性を監査する時について言えば、汎用系とオープン系が混在している場合、開発環境や運用環境の違いが大きいため、一つだけサンプリングすると誤った結論になる可能性があるということになります。

◆監査証拠

 監査証拠とは、監査の基準への適合性や目標達成状況を監査するなかで監査人が収集した全ての記録のことで、具体的には以下のような方法で収集します。

  なお、情報セキュリティ監査制度では「情報セキュリティ管理基準」を判断の尺度としています。今回は内部監査をテーマとしていますので監査の基準は条例・規則・規程・要綱や実施手順書などが対象となりますが、情報セキュリティ管理基準を用いることにより網羅性を持たすこともできます。

1.業務分掌のレビュー
  重要な業務について、職務分離の状況(兼任すべきでない業務の役割りが 1 人に集中していないこと)や担当者の業務がチェックされる仕組みになっているかを確認します。

 例えば、システム利用に関する権限(情報オーナー)と運用に関する権限(運用担当)の分離に関する管理策を評価します。

2.関連書類のレビュー
 基本方針に準拠し文書化された実施手順書の有無、更新状況、内容の整合性などを評価します。また、情報セキュリティの目的に対しどのようにアプローチし、実施手順書群が構成されているかを理解します。

3.当者へのインタビュー
 インタビューはあらかじめ質問する内容や範囲を設定することで、被監査部門は適切な対応者を選択できます。

 監査人は事前にチェックリストを用意することである程度の網羅性や標準化を図ります。しかし、チェックリストに収集すべき証拠に関する全てが網羅されているわけではないので、これだけで目標が達成できているかどうかの意見を形成せず、必要に応じ深く掘り下げたり、関連する内容を聞くなどして、目的が達成できているかを確認します。

4.現場への往査および視察、システムテストへの立会い
 現場でプロセスの実施状況を視察し監査証拠として提出できるように詳細な記録をとります。災害時の復旧対策は、訓練時に監査することも検討します。

5.障害・事故履歴のレビュー
以下のような履歴が残されていることを確認します。

(ア)原因が分析され管理策を見直している
(イ)対応方法について関係者の承認がある
(ウ)業務への影響、被害額など

 上記の他に、テストデータによる検証、脆弱性スキャン、システム侵入テストなどがあります。これらは特に専門性が高いため、特定サービスを提供するプロバイダを利用することも有効です。


4. 監査調書の作成と保存

 監査で入手した資料や管理策および手続の適切性に関する記録は、監査意見の形成に至った経過が分かるように監査調書として漏えいや紛失がないよう適切に保管します。

 必要に応じ非監査部門と改善策の内容や実施時期についての合意などがあった場合はこれも含めます。

◆監査意見の形成

 どのような監査手法を用いた場合でも、入手した監査証拠の十分性、必要性を評価しなければなりません。また、証拠力の程度についても次の視点から評価します。

証拠情報源の独立性:証拠提供者が第三者であれば確実性が高い
証拠提供者の能力:証拠提供者の専門能力が高いほど確実性が高い
証拠の客観性:客観的な証拠は信頼性が高い

 監査の中で発見した検出事項は、以下の点を明確にし、監査時に被監査部門との合意を得るようにします。

どこで検出事項を発見したか
発見した事実
なぜ検出事項であるか
証拠

 注意すべき点として、仮にある管理策の不足を発見しても、リスクアセスメント結果を考慮した場合、管理策が補完し十分効果的であることを確認できれば、目的を達成できていることになります。このように管理策が相互にどのように補完関係にあるか留意して管理策全体を評価するようにします。

◆検出事項の格付け

必要に応じ、以下の例のように検出事項の度合いを決めます。

「重大」 セキュリティに悪影響を及ぼす恐れのある重大な欠陥
  • 個人情報が外部者の故意により漏えいする可能性がある状態
  • 規程の手順が実施されていない(規程が形骸化している)
  • 以前の監査での指摘事項が是正されていない
「軽微」 一時的な怠慢または手抜かりがあった状態など
  • 規程の軽微な不履行が数点発見された
  • 個人情報が職員の故意により漏えいする可能性がある状態
「観察事項」 検出事項とは言えないが改善すると良くなると考えられる事項
  • 個人情報が職員の過失により漏えいする可能性がある状態

 検出事項と判断した場合、被監査部門ができていない 理由についても調査判別しておくと 監査結果のフィードバック時の材料として有効です。

 例えば、以下のように分類した場合、「意識がない/やらない」であれば改善策は、教育・啓発活動につながります。

意識がない やらない
意識がある 業務(相手)の都合でできない
業務(費用対効果)の都合でできない
業務(システム)の都合でできない
業務 ( 人員不足 ) の都合でできない

■監査リスク──監査を実施する上で注意すべき3つのリスク

 監査リスクとは、監査人が誤った監査証跡から誤った意見形成をするリスク、あるいは監査人が検出事項を発見できないリスクです。監査リスクは以下に分類できます。


1. 固有リスク

 固有リスクとは、補完する管理策が存在していないと仮定した場合、重大な検出事項となる可能性です。組織内外の環境の影響を受けたり、業務の性質や本来有する特性から生じるリスクです。例えば、住基情報よりも納税情報の方が盗難される可能性が高いなどが固有リスクの要因となります。


2. 統制リスク

 管理策が重要なエラーを予防あるいは適時に検出できないリスクで、管理策の限界や欠陥によるものです。


3. 発見リスク

 不適切な監査手続により、管理策によって予防、検知できないエラーを監査人が発見できず検出事項がないと判断してしまうことです。

■監査報告とフォローアップ

 監査報告については、「情報セキュリティ監査基準 報告基準ガイドライン」に定義、記載事項、報告書の雛形などが示されています。

   内部監査であっても、以下の点は記載します。

導入区分:監査対象、範囲、目標など
概要区分:監査内容
意見区分:全体的なコメント、検出事項 / 観察事項
特記区分:監査により発見された問題点

 意見については十分な根拠を示すと共に セキュリティ向上のための助言や勧告、改善提言などは緊急性や重要性等を示し、建設的であるように留意します。また、達成度レベルを評価することにより、他部門とのベンチマーキングや次回監査との成熟度比較も有効です。

 被監査部門における改善提言への取り組み結果の妥当性や効果を確認するためにフォローアップ監査を実施します。監査手続は通常の監査と同様です。

「サブコントロール」解説コーナー

6.7.4 電子メールにおけるセキュリティ上のリスクを軽減するための管理策の必要性について考慮すること

6.7.4.6 電子メールの使用に関しての個別方針には、保管していれば訴訟の場合証拠として使える可能性があるメッセージの保存を含めること

【解説】

 最近、情報漏えい対策の一貫として電子メールのアーカイブ要求が高まっています。

 組織の MTA ( Mail Transfer Agent :電子メールを配送するソフトウエア)とインターネット間に接続し、組織内から送信される全てのメールと添付ファイルを保管し、必要に応じ追跡調査を可能とするためです。

 更に積極的に本文中のキーワードをチェックし、配送を制御することも珍しくありません。例えば、「住所録」という文字列があれば外部への送信を一時保留するなどです。

 キーワードチェック機能も進化し、添付ファイルを開き、特定回数以上「〒」記号がある場合などを AND や OR 条件で指定できるようになってきています。

  実施する際には、保管したメールを誰が検査するかの権限設定、特定の人だけが恣意的に検査されることがないようにするなど、ルールと体制作りが必要です。


筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。