PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人)

 今回は、特定非営利活動法人日本セキュリティ監査協会(以下、JASA)から公表された助言型監査ガイド(ただし、8月19日現在、JASAのWebページでは公開されていません)を、いち早くご紹介したいと思います。助言型監査とは情報セキュリティの基準への準拠の不備を指摘するものです。これに対して、基準への準拠を保証する「保証型監査」があります。


・助言型監査ガイドの生い立ち

 JASAは「情報セキュリティ監査制度」を社会に普及・浸透するために情報セキュリティ監査を実施する団体で、一般企業や団体などの内部監査実施部門が中心となり設立された団体です。情報セキュリティ監査を社会に普及・浸透するためには監査主体による「公正かつ公平な情報セキュリティ監査」の実施が欠かせないため、JASAでは標準的な監査手法や監査技術を確立し、監査の質(高い倫理観、高い専門的な能力)が一定水準以上であることを担保する仕組み作りを行っています。JASAの組織図は下図のとおりですが、「助言型監査ガイド」は、標準的な助言型監査を確立するために、技術部会で作成されました。

■JASA組織図
JASAの組織図
JASAホームページより

・助言型監査ガイドの位置付け

 助言型監査ガイド(以下、本ガイド)は、

    情報セキュリティ監査基準に基づいて、組織体外部の監査主体が助言型監査を実施する際の監査手順及び監査実施上の留意点

を示したものです。基本的に監査対象組織、監査依頼者の所属している組織とは別の組織の監査主体が監査することを想定していることに留意してください。

 このガイドに記載されていない事項については、「情報セキュリティ監査基準実施基準ガイドライン」及び「情報セキュリティ監査基準報告基準ガイドライン」によることになります。 情報セキュリティ監査人が従うべき監査規範の優先順位は、「情報セキュリティ監査基準」、「情報セキュリティ監査基準実施基準ガイドライン」及び「報告基準ガイドライン」、「助言型監査ガイド」の順になります。従って、情報セキュリティ監査基準に準拠して監査を実施する場合は、監査人は基本的にこの助言型監査ガイドに従った監査を実施することが要請されることになります。裏返せば、「情報セキュリティ監査基準に準拠して監査を実施した」と監査報告書に記載する場合は、本ガイドにも従ったものであることが必要となります。

 また、総務省から発表されている「地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書 別添2地方公共団体情報セキュリティ監査実施手順」(以下、総務省監査実施手順)との関係で言うと、総務省の監査実施手順は地方公共団体が外部の情報セキュリティ監査人に監査を依頼し、実施する際の手順を示したものであるのに対し、本ガイドはそれを受けて実際に監査人が実施する監査手順及び監査実施上の留意点を示したものという関係になります。


・助言型監査ガイドの作成方針

 本ガイドは、

  • 情報セキュリティ監査基準
  • 同基準 実施基準ガイドライン
  • 同報告基準ガイドライン

に加え、

  • JIS Q 19011(品質及び/または環境マネジメントシステム監査のための指針)
  • 会計士協会の監査基準委員会報告書
  • 総務省監査実施手順

を参考に作成されています。

 既存の監査規範とは矛盾することのないようになっています。ただし、情報セキュリティ監査基準が経済産業省告示として交付されていること、また情報セキュリティ監査制度全般の位置付けを明確にするために、用語等の使い方については情報セキュリティ監査基準、実施基準ガイドライン、報告基準ガイドラインを優先させています。

・助言型監査ガイドの構成

 本ガイドは、以下のような構成となっております。

(はじめに)ガイドの位置付け、用語の定義
  1. 監査契約の締結
  2. 監査基本方針の策定
  3. 監査実施計画の立案
  4. 監査手続きの実施
  5. 監査意見の形成
  6. 監査報告書の作成

 監査実施手順に従って、おおむね時系列に書かれています。この章立てに沿って、概要を解説していきます。

・用語の定義

 情報セキュリティ監査基準やガイドラインにおいては、用語の定義が明確にされていませんでした。そこで、助言型監査マニュアルでは用語の定義を行いました。今回はそのうち重要な用語について、抜粋します。

1.主体に関連する用語の定義
  • 監査主体
    監査の実施を請け負うことのできる組織体または個人。
  • 監査人
    監査主体として、監査を実際に行う者。監査チームが編成される場合は、監査責任者及び監査実施者に分けられる。監査業務の品質管理者は含まない。
  • 監査依頼者
    監査を監査主体に依頼する機関、組織または人。監査報告書の名宛人となる。
  • 監査対象組織
    監査人が監査の対象とする組織。
2. 業務に関連する用語の定義
  • 監査業務
    監査基本方針の策定、監査実施計画の立案、監査手続の実施、監査意見の形成、監査報告書の作成までの監査の全実行ステップの総称。
  • 監査手続
    監査人が監査証拠を入手するために必要と判断した監査技法を組み合わせて実施するプロセス。
  • 監査証拠
    監査人が監査手続を通じて入手し、監査意見の基礎とした、記録、文書、事実またはその他の情報。監査の目的または監査人が適用する基準(判断の尺度)に関連付けられたものでなければならない。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。