セキュリティ監査は、ウェブサイトやシステムの安全性を評価のために不可欠です。サイバー犯罪の増加、新たな脅威や攻撃手法が、技術の進歩に伴い進化しているうえに、デジタル依存度の増加、テレワークの普及もあり、サイバーセキュリティ対策は、これらの脅威から情報を保護するために重要な手段です。
セキュリティ対策として自社のセキュリティ監査を検討している。資格の取得までスムーズに進めたいが、何から始めたらよいか分からないなど、初めての方には難しいです。
セキュリティ監査は手順が重要です。本記事では、セキュリティ監査が初めてでも安心して受けられるように入門者に向けてセキュリティ監査の定義から、監査後の対応までのポイントを紹介します。
2014年 大学在学中にソフトウェア開発企業を設立
2016年 新卒でリクルートに入社 SUUMOの開発担当
2017年 開発会社Jiteraを設立
開発AIエージェント「JITERA」を開発
2024年 「Forbes 30 Under 30 Asia 2024」に選出
その開発、見積もり段階で諦めていませんか?
アプリ・システム開発は生成AIを活用することで、従来の開発ではあり得なかった、低コスト・高品質開発・スピード開発が同時に実現できます。
▼従来の開発とAIを使った開発の違い
Forbes30 under 30 Asia に選出
システムソリューションを得意とし、新規事業からDX推進まで幅広いジャンルの開発実績があります。
セキュリティ監査とは?
セキュリティ監査とは、ウェブサイトやシステムの安全性を第三者機関にて検証することです。
企業や組織が所有している情報の資産が安全に保護されているか確認し、潜在的な脆弱性を発見します。改善点が見られた場合は改善策も提案します。
セキュリティ監査の目的はデータや情報を守ることです。そのため、企業や組織のセキュリティポリシーに従い「機密性・完全性・可用性」が確保されているか検証します。
監査を行うことで、情報システムやネットワークの保護の現状を把握できるため、効果の高いプロセスです。
セキュリティ監査の定義
外部の専門家によって、組織で保有する情報システムやネットワークのセキュリティ状態を検証することです。外部の専門家は、組織の情報システムが正しく運用されているかを点検します。多くの場合、
ISMS適合性評価制度 (情報マネジメントシステム認定センター)の認証基準 JIS Q 27001や、組織のガイドラインに基づきチェックします。組織がセキュリティポリシーに基づき、情報資産の適切な管理、情報保護の運用方法、持続的な運用サイクルを実際のエビデンスと照らし合わせて検証します。
検証の結果、検出されたリスクを評価し対策案を提案します。見直した工程を定期的に再審査することで、信頼性の高いセキュリティ状態の持続的な運用を目指します。
セキュリティ監査の目的
データや情報を守るために、JIS Q 27001や企業や組織のセキュリティポリシーに基づき、正しく運用されているか検証します。また法令順守も監査の対象です。法的要件を満たしているかをチェックし、法令適合を保証します。セキュリティ監査では、継続的な改善も評価されることがあります。現在の運用でも充分ですが手順を追加することで、より効果の高い運用になるための提案です。
セキュリティ監査の結果は報告書でまとめられます。組織のセキュリティレベルの現状を把握できるのもメリットです。セキュリティ状態にリスクが存在した場合、改善が必要です。効果的なセキュリティ対策を検討し、信頼性の高いセキュリティシステムを目指します。
セキュリティ監査の項目
「システム監査」の観点では、情報システムを対象にセキュリティの検証を行っていました。しかし、近年の日々進化・巧妙化するサイバー脅威でシステムや運用面の弱点をつかれ、システムのセキュリティを破られるケースが増えています。そのことから保護の対象は情報システムだけは充分とは言えず、その点から「情報セキュリティ監査」での保護の対象は「情報システム」ではなく「情報資産」が適切と考えます。
主な監査項目
新たなサイバー脅威や攻撃手法が日々高度化している状況で、現時点でのセキュリティレベルが将来も有効とは言えません。そこで「情報セキュリティ監査」ではセキュリティレベルの評価にポイントを置かず、「情報資産」の保護のリスク管理が適切に実施されているか、を評価すべきと考えています。
さらに運用サイクルの観点では、摘出された情報資産の保護へのリスクに対して低減策が実施されていること、リスク低減のコントロールの手段が適切であり、さらに持続的に実施されているか、を評価します。運用サイクルも含めて評価することで、その組織の情報資産に対する情報セキュリティの信頼性の向上に繋げます。
監査項目の例
監査の多様なニーズに対応するため、監査の制度は以下が選択できます。
| 選択タイプ(主なもの) | 内容 |
| 保証タイプと助言タイプ | 監査を通じて得たいもの(保障またはアドバイス) |
| 全部タイプと一部タイプ | 監査の対象範囲(全部の組織または一部の組織) |
| 内部監査と外部監査 | 監査の目的に合わせた監査の種類 |
保証タイプとは、組織のセキュリティ対策の有効性に対して「お墨付き」を得るタイプです。利害関係のある外部に対して組織のセキュリティの信頼性をアピールできます。ただし、セキュリティに関するリスクが絶対に発生しない保証ではないので注意が必要です。助言タイプとは、目的とする基準に対して、○や×の評価ではなく、セキュリティ上の問題を摘出し、改善を行っていくものです。主にセキュリティーポリシーなど形成されていないレベルから繰り返し助言を行うことで、セキュリティ管理の向上に有効です。
全部タイプと一部タイプは監査の対象範囲の違いです。監査対象として、全ての組織と全ての情報資産にできればよいですが、大規模な組織では一部の組織が、未対応であるケースがあります。その場合は対象の組織を限定して監査を受けられます。
内部監査は、組織の内部で実施され監査員は組織に所属しています。特定の業務プロセス、実施状況など評価し、ポリシーに沿って運用されているかをチェックします。外部監査は第三者機関の専門家によってチェックされます。保証タイプ・助言タイプなど監査の目的に沿ったタイプで実施します。
セキュリティ監査の基準
監査は、組織のセキュリティガイドラインやJIS Q 27002(情報セキュリティ管理策の実践のための規範)などの基準に沿って、マネジメントサイクルの構築から運用までを確認します。組織がセキュリティポリシーに基づき、情報資産の適切な管理、情報保護の運用方法、持続的な運用サイクルを実際のエビデンスと照らし合わせながら進めます。
また、「情報セキュリティ管理基準」(経済産業省)は「マネジメント基準」と「管理策基準」の2つで構成されています。
「マネジメント基準」では、情報セキュリティマネジメントの計画、実行、点検、処置などに必要な事項を定めています。また「管理策基準」は「マネジメント基準」の定めているポイントを実現するための選択肢を記載しています。
主な監査基準
「情報セキュリティ管理基準」(経済産業省)は監査人の行動や行為の規範を示したものです。
また、この管理基準は以下を踏まえた基準になっています。
- 多様な組織(情報セキュリティのベンダー、監査企業等)が共通に利用できること。
- 内部の組織および外部の組織が共通に利用できること。
- 内部目的、外部目的ともに利用できること。
- 保証タイプ監査、助言タイプ監査ともに利用できること。
これらから、監査の品質を保ち効率的かつ効果的に実施するために、以下の3項目を記載しています。
| 基準 | 内容 |
| 一般基準 | 監査人の適格と監査業務での順守事項を定義 |
| 実施基準 | 監査計画の立案と監査実施上の枠組みを規定 |
| 報告基準 | 監査結果の留意事項と報告書の記載方法を規定 |
基準の例
「情報セキュリティマネジメントシステム(ISMS)」とは、組織の情報資産の保護において、適切なリスク管理が行われ、運用することです。その中で情報の機密性・完全性・可用性がバランスよく適用されていることが重要です。この情報セキュリティの3要素の特性は以下です。
| 情報セキュリティの3要素 | 特性 |
| 機密性(confidentiality) | 情報が不正アクセスから保護され、許可されたユーザーだけに公開されること |
| 完全性(integrity) | 情報が改ざんや破壊から保護され、正確性や信頼性が維持されること |
| 可用性(availability) | 情報が必要なときに利用可能であること |
さらに、具体的な監査基準の例は以下になります。
| 情報セキュリティの3要素 | 具体的な監査基準の例 |
| 機密性(confidentiality) | ・情報資産へのアクセスが認証と認可などで制御されているか ・データが暗号化によって保護されているか |
| 完全性(integrity) | ・情報資産がハッシュ関数・デジタル署名などで保護されているか |
| 可用性(availability) | ・情報資産が障害・攻撃から保護されているか(冗長性の確保・情報システムの監視等) |
以上が情報セキュリティの3要素ですが、これらに4つの要素、真正性(authenticitiy)・信頼性(reliability)・責任追跡性(accountability)・否認防止(non-repudiation)を加えて、7要素とする場合もあります。
セキュリティ監査の資格
特定非営利活動法人日本セキュリティ監査協会(JASA)は経済産業省の「情報セキュリティ監査制度」に基づき、情報セキュリティに関する知識・経験・技術に応じて、情報セキュリティの監査人資格を認定しています。認定にあたり知識・経験を習得するための研修やトレーニングコースを設けています。また、資格の認定には期限があり、ISO委員会活動への参加などでポイントを貯め、ポイント達成を資格更新の要件としています。資格の認定に期限を設けることで、技術の進化、監査内容の多様化に対応しています。
公認情報セキュリティ監査人
ISACA(情報システムコントロール協会)が認定している国際規格です。情報システム監査の資格として古く、かつ国際的にも普及しています。資格の取得後も認定維持が難しい資格と言われています。
公認情報セキュリティ監査人は、セキュリティーポリシー、リスクの評価、技術的なセキュリティ対策に関して包括的な知識と豊富な経験があります。そのため監査では不適切な問題やリスクの特定が可能で、経験に基づいた信頼性の高いアドバイスや改善策を提供できます。
また、日々進化しているセキュリティ技術についても、常に最新の技術やトレンドの理解を深めているので将来を見据えたアドバイスも可能です。
セキュリティ監査を実施するうえでのポイント
「情報セキュリティマネジメントシステム(ISMS)」の認証であるISO 27001は「要求事項」を定めています。要求事項をクリアすることでセキュリティ体制が構築できていると判定されるため、ISMS認証の取得は非常に有効です。
また、ISMS認証の取得は企業、組織のセキュリティ対策の信頼性を対外的にアピールできます。認証マークや証明書を活用することで、競争の激しい市場で差別化を図るための強力なツールになります。
監査計画の立案
監査計画を立案する際のポイントを以下にまとめます。監査前・監査中・監査後に分けてポイントを整理すると立案しやすいです。
| 【 監査前のポイント 】 | 内容 |
| 監査目的の明確化 | 監査の目的とスコープを明確に定義する |
| チーム構成と責任分担 | 適切なスキルをもったチームを構成し、責任と役割を明確にする |
| 対象領域の徹底理解 | 監査対象のシステムやプロセスを徹底的に理解する |
| 監査手法とツールの選定 | 効率的な監査の実施のため、監査手法やツールを選定する |
| 監査スケジュールの合意 | スケジュールを関係者と合意し、時間枠内の作業を計画する |
| リスク評価と重点箇所の特定 | 組織内部でリスク評価を行い、特定した重点箇所の対策を行う |
| プロセスの可視化 | 組織のプロセスの記録を残し、運用の手続きを可視化する |
| 【 監査中のポイント 】 | 内容 |
| 監査状況の共有と調整 | 状況の共有方法の策定と監査状況に合わせた進行の調整を行う |
| 予期せぬ問題へのアクションプラン | 予期せぬ問題が発生した時のアクションプランを想定する |
| 【 監査後のポイント 】 | 内容 |
| 監査結果の迅速な共有 | 監査結果を関係者と迅速に共有する |
| 監査コメントの対応チーム | 監査コメントの改善策・対応計画のためチームを構成する |
円滑な監査のために、関係者と密にコミュニケーションをとり情報共有を行いましょう。
監査結果の評価と対応
監査の結果は報告書で提出されます。対応計画のインプットになるので、報告書の内容を整理・要約し簡潔にまとめます。要約された項目に対して、対応の責任者を指名し問題の解決にあたります。セキュリティリスクを評価し、弱点を特定したうえで優先順位を設定し、対処する計画を立てます。
次のフェーズは問題の原因調査です。なぜ問題が発生したのか、原因を特定し予防処置を強化します。将来のセキュリティリスクを低減するため、問題の改善と強化を検討します。
そのあとは、対応策の進捗の共有です。対策の進捗状況を関係者に明確に伝えます。問題の解決が適切に進んでいるか、必要に応じて再監査することも検討します。
解決方法によっては、組織内の規定の見直し、影響する部署が広範囲など、対策完了まで時間がかかるものもあります。責任者を指名し、対策状況の進捗共有を行い、計画的に進めることが重要です。
セキュリティ監査のまとめ
セキュリティ監査とは、第三者機関により組織のセキュリティレベルを評価する活動です。監査を行うことで、企業や組織が所有している情報の資産が安全に保護されているか確認できます。
監査の多くは、ISMS適合性評価制度 (情報マネジメントシステム認定センター)の認証基準 JIS Q 27001や、組織のセキュリティポリシーに基づいて行われ、情報資産の適切な管理、情報保護の運用方法などを実際のエビデンスと照らし合わせて検証します。検証の結果、改善項目があった場合は対策案を提案します。対策を行うことで信頼性の高いセキュリティ状態を目指します。
セキュリティ監査で必要な資格の一つとして「公認情報セキュリティ監査人」があります。資格取得には経験と実績も必要なのでセキュリティ監査には効果の高い資格です。
実際の監査に向けて、計画は重要です。監査前・監査中・監査後、それぞれのポイントで必要な活動アイテムを計画的に進めていくことをおススメします。
監査を受けたあとは、報告書の内容を簡潔にまとめ関係者と共有します。責任者にタスクを割り当て、改善を行い、対応の方向性を確認するために、必要に応じて再度監査を受けることも大事なプロセスです。
情報セキュリティ監査には手間・時間・費用がかかります。改善後のメリットは大きいので、コストではなく将来への投資と考えて、積極的に取り入れましょう。
セキュリティ監査に関する質問や案件のご相談がある場合は、株式会社Jiteraへ問い合わせください。セキュリティの信頼性向上に向けた適切なアドバイスができることを期待します。
メールマガジン登録
