PR

経済産業省は4月1日から「情報セキュリティ監査制度」を始めた。まず、セキュリティ監査のやり方や監査項目をまとめたガイド類を告示。6月には、これらを基に外部監査を実施できるベンダーを公開する。ただし、ベンダーからも一般企業からも、実用性が疑問視されている。

 経済産業省は4月1日、「情報セキュリティ監査制度」を開始した。制度というと、セキュリティ管理のきちんとした仕組みがあるかどうかを審査・認証する、日本の「情報セキュリティマネジメントシステム適合性評価制度(ISMS制度)」や、事実上の国際標準となっている英国の「BS7799」を思い浮かべるかもしれない。しかし、今回の監査制度はそういった審査・認証や、セキュリティ・レベルを判定するためのものではない。

 情報セキュリティ監査制度の目的は、一般企業の情報セキュリティへの取り組みを支援することと、外部監査を請け負うセキュリティ・ベンダーを登録することである。6月からは、それらのベンダーを掲載した「情報セキュリティ監査企業台帳」を公開する。外部監査を依頼したい一般企業にとって台帳は一つの目安にはなる。ただし登録に際して、審査はない。「監査制度」とはいっても、一般企業やベンダーの“実力”を保証するものではない点に注意が必要だ。

監査のための“ガイド”を用意

 この監査制度の一環として、登録ベンダーの監査方法のバラツキを減らすために、監査すべき項目や監査のやり方などを記したガイド類を作った。図1[拡大表示]で示すようにこのガイドを含め、既存の制度類はいずれも、BS7799から派生したものである。今回は、BS7799などで示されるPDCAサイクルのうちのC(Check)に当たる監査に着目して、具体的なやり方を示している。例えばセキュリティ管理項目の数はBS7799では約130だが、今回のガイドでは約900まで詳細化している。

 ガイドは、セキュリティ管理や監査の仕組みを自社で作りたい組織を支援するという面でも有効だ。企業や政府、自治体などで、自分の組織のセキュリティ管理体制が、有効的に確立・運用されているかを監査するのは難しい。何を、どう監査すればよいかがわからないからだ。経産省は今回のガイドが、このような監査作業の指針として役立つのを期待する。

 告示したガイドは、七つの文書からなる。ベースとなる項目や手順などを記したものが四つ(図2左[拡大表示])、典型的な監査項目から、各企業/組織向けに具体化の方法を示したものが一つ(同上[拡大表示])、電子政府を例にしたモデル・ケースが二つ(同右[拡大表示])である。

図1●情報セキュリティ監査制度および、既存の情報セキュリティ関連の規格、制度の位置付け
いずれも英国のISMS(情報セキュリティ・マネジメント・システム)認証制度「BS7799」に基づく
 
図2●情報セキュリティ監査制度で策定されるガイドの名称と役割

(鈴木 孝知)