企業が保有する情報資産は、安全かつ適切に管理を行う必要があります。しかし、管理体制や環境が適切なのか、情報資産を守れるのかといったことは、自社で判断しにくいのも事実です。こうした課題の解決に役立つのが情報セキュリティ監査です。本記事では、情報セキュリティ監査の概要や必要性、実施方法などについて解説します。
情報セキュリティ監査とは
情報セキュリティ監査とは、企業が保有する情報資産を守るための体制や環境が整っているかを第三者がチェックすることを指します。企業は、取引先と交わした契約情報や顧客の個人情報、従業員情報など、さまざまな情報資産を有しています。これらの重要な情報資産が外部に流出した場合、組織に不利益をもたらすため、適切なセキュリティシステムや体制を構築して管理しなくてはなりません。
ただ、情報セキュリティ監査を実施するには高度に専門的な知識やノウハウを有する人材が必要です。そのような人材を一企業が確保するのは困難であるため、経済産業省は情報セキュリティ監査制度を設立しました。制度の利用により、資格やノウハウを有する専門家の視点でさまざまな項目をチェックするため、会社のセキュリティ状況を客観的に把握できます。
なお、情報セキュリティ監査は年に1回程度の頻度で行うことが望ましいとされています。セキュリティを構築した当初は万全の体制でも、保有するデータの増加や新たなシステムの追加、マルウェアの進化など、さまざまな要因でセキュリティに穴が生じる可能性があるためです。定期的なチェックを継続することで、上記のようなリスクを軽減できます。
定期的な情報セキュリティ監査が必要な理由
定期的な情報セキュリティ監査は面倒くさいと感じるかもしれませんが、行うべき理由があります。サイバー攻撃による脅威は年々高まっており、気づかないうちに自社の情報資産が危険にさらされている可能性があるからです。
サイバー攻撃による脅威が高まっている
サイバー攻撃の手口は年々巧妙になっており、世界中で多くの企業や個人が被害に遭っています。2017年には国内でランサムウェアが猛威を振るい、行政機関や企業のシステムに障害が発生しました。その他にも、不正アクセスによる情報流出や不正出金など、企業が被害を受ける事件は多数発生しています。
サイバー攻撃は、システムやOS、ネットワークの脆弱性を狙って行われるのが一般的です。そのため、企業は適切な対策を講じ、脅威から情報資産を守ろうとしますが、その取り組みが正しいのかどうかは判断できません。自社では適切な対策ができていると信じていても、実際には脆弱性が発生している可能性があるからです。
情報セキュリティ監査が必要なのは、上記のようなリスクを回避するためです。定期的なチェックにより、サイバー攻撃から情報資産を守れる体制が整備されているかを検証できます。セキュリティの不備を指摘されることで、より適切な対策を行えるのです。
近年は、セキュリティの甘い企業にマルウェアを感染させ、ネットワークのつながった関連企業や取引先へサイバー攻撃を仕掛ける「サプライチェーン攻撃」が増えています。比較的セキュリティ対策の甘い中小企業を踏み台にして親会社や大企業へと攻撃を仕掛ける手口もあるため、企業規模に関係なく適切な対策が求められるのです。
企業自身で気づけない脆弱性を把握できる
外部の専門家による監査を受けることで、自社では気づけない脆弱性を把握できるのは大きなメリットです。システムやネットワークの脆弱性を把握するには、高度に専門的な知識が求められるため、発生しているリスクに気づけないケースは少なくありません。
外部の監査を受けることで、専門家の視点による脆弱性の指摘が得られます。「どこに問題があるのか」「どのような対策を行うべきなのか」といった具体的なアドバイスが受けられるため、セキュリティリスクを軽減するための対策を立てやすくなります。
自社で内部監査を実施している企業もあるでしょうが、それでは問題を発見できない可能性があります。例えば監査が形骸化している場合、セキュリティリスクの把握ができない可能性があります。また、自社のシステムを知り尽くしているがゆえに見落としてしまうケースも考えられるでしょう。外部監査では、このようなリスクを低減できるのです。
安全性をアピールできる
情報セキュリティ監査の実施により、自社の安全性や、セキュリティ意識が高い企業であることをアピールできるメリットがあります。情報資産を安全に守れる体制や環境が整っていることを対外的に示すことで、顧客や取引先の信頼を得られます。
日本の中小企業における情報セキュリティ監査の実施率は高くありません。独立行政法人情報処理推進機構が2021年に実施した調査によると、中小企業における外部監査の実施率は5.1%となっています。つまり、ほとんどの中小企業が情報セキュリティ監査を実施していないのです。
「2021年度 中小企業における情報セキュリティ対策の実態調査」
現在では社会全体におけるセキュリティ意識が高まりつつあります。企業にも厳しい目が向けられており、情報漏えいを引き起こすような会社は信頼を失ってしまうでしょう。
一方、積極的に情報セキュリティ監査を実施し、情報資産を安全に守れる環境と体制を整えている企業は、顧客や取り引き先の信頼を得られやすいです。競合との差別化を図れるため、ビジネスでも優位なポジションをとれるでしょう。
情報セキュリティ監査の実施方法
情報セキュリティ監査が実際どのように行われるのか、把握しておきましょう。以下、情報セキュリティ監査を実施する際の流れと、監査で用いられる2つの基準について解説します。
情報セキュリティ監査の流れ
一般的な情報セキュリティ監査では、まず監査実施担当者の選任から始まります。その次に監査計画を策定します。監査を効率的かつ効果的に進めるため、あらかじめ計画を立てるのです。計画には、監査の対象となる範囲やスケジュール、達成すべき目標などの項目を盛り込みます。
計画の策定が終われば、実際に監査を実施します。監査人によるセキュリティのチェックや課題の抽出、監査証拠の入手が行われます。監査が終われば報告書を作成します。実際に発生している課題やその根拠などをそろえた報告書を作成し、企業はそれをもとに対策を講じます。以上が一般的な情報セキュリティ監査の流れです。
なお、情報漏えいをはじめとしたセキュリティ事故は、内部からもたらされることがあることも理解しておかなければなりません。従業員のセキュリティリテラシーが低いと、不適切な情報の扱いや人為的なミスが発生し、それによりセキュリティ事故が引き起こされることがあります。そのため、企業は日常的に組織内の情報セキュリティ管理体制の見直しや改善を図り、PDCAサイクルを回しつつブラッシュアップを続けることが大切です。
情報セキュリティ管理基準と監査基準
情報セキュリティ監査は、管理基準と監査基準を用いて行います。2つの基準を用いて監査を実施することで、監査の水準を一定に保っているのです。
管理基準は、マネジメント基準と管理策基準で構成され、組織における適切なセキュリティ管理体制や、改善プロセスの構築、管理策に至る適用範囲を定めています。マネジメント基準には情報セキュリティ管理の計画や実行、留意事項といった項目を、管理策基準には情報セキュリティマネジメントを確立するために企業がとるべき行動について定めています。
監査基準は、監査を実施する人の行為規範となる基準です。監査人がセキュリティ監査を実施する上で守るべきことや、実施上のフレームワーク、報告書へどのように記載するのかといったことを規定しています。
まとめ
組織の情報資産を守るため、定期的な情報セキュリティ監査を実施しましょう。なお、Microsoft365はコンプライアンスセンターによる監査ログの取得ができ、情報セキュリティのISO基準も満たしています。クラウド情報セキュリティ監査制度のゴールドマークも取得しているため、安全性の高いクラウドサービスが利用できます。
