19-2. 外部監査
外部監査とは、組織に所属しない外部の監査人が行う監査を指します。セキュリティの外部監査では、企業が保有する情報資産を守るための体制や環境が整っているかを第三者がチェックすることになります。情報漏えいやサイバー攻撃などのリスクに対して、外部監査を受けることはセキュリティ対策として有効な手段の1つです。近年では取引先企業を乗っ取り、そこを踏み台にしてメインターゲットとなる企業にサイバー攻撃を仕掛ける「サプライチェーン攻撃」が頻繫に起こっており、中小企業が大企業に対する攻撃の踏み台として狙われる可能性が高まっています。
情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているか否か確認でき、不十分な点を洗い出して迅速に対処することが可能になります。顧客や取引先に、セキュリティ対策を適切に行っていることがアピールできるので、会社や事業の規模も考慮しつつ、監査を受けることは重要です。経済産業省は、情報セキュリティの管理・監査について、2つの基準を発表しています。
管理基準・監査基準
情報セキュリティ管理基準
組織における情報セキュリティマネジメントの円滑で効果的な確立を目指し、マネジメントサイクルの構築から具体的な管理策まで、包括的な適用範囲を定めたものです。この管理基準は「マネジメント基準」と「管理策基準」の2項目から構成されています。
マネジメント基準
情報セキュリティマネジメントの計画・実行・点検・処置に必要な実施すべき事項が提示されています。
管理策基準
リスク対応方針に従って管理策を選択する際の選択肢が提示されています。
情報セキュリティ監査基準
情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。監査の品質を一定の水準に保ち、有効かつ効率的に実施できるように「一般基準」「実施基準」「報告基準」の3項目を提示しています。
一般基準
監査人としての適格性および監査業務上の遵守事項を定めています。
実施基準
監査計画の立案および監査手続きの適用方法を中心に、監査実施上の枠組みを定めています。
報告基準
監査報告にかかる留意事項と、監査報告書の記載方式を定めています。
情報セキュリティ管理基準は、JIS Q 27001をもとに策定されています。そのため、網羅的アプローチを実施することで、外部監査に対応することも可能となります。
コラム
実施手順の文書化に関するポイント
実施手順を文書化する際のポイントをいくつか紹介します。
■ 明確な手順と責任の割り当て
実施手順を文書化する際、手順が、誰が、いつ、どのように実施するのかを明確にすることが重要です。実施手順が適切に実施されるようにするためには、文書の各手順に関連する責任者を明記することが有効です。
■ フローチャートや図の活用
文字に加えて、フローチャートや図などを用いて手順を視覚的に示すことにより、手順の流れや関係性を理解しやすくできます。また、複雑なプロセスをわかりやすく表現できるため、実施者が迷わずに手順を進められるようになります。
■ 定期的なレビューと更新
実施手順は、絶えず変化する環境に適応させる必要があります。新たな脅威や法規制などへ対応させていくために、定期的なレビューや更新を行い、実施手順が常に効果的なものである状態を維持していくことが大切です。
実施手順の文書化は、組織がセキュリティ対策を行っていく上で必要です。実施手順を組織全体に浸透させ、形骸化させず有効な状態を維持するためには、責任者を明記したり、視覚的な表現を組み合わせてわかりやすい手順を記載したり、定期的にレビューしたりすることが大切です。
