情報システムを構成するハードウェアやソフトウェアが高度化し、インターネットバンキングやクレジットカード決済などWebサービスの多様化に伴い、情報システムは年々利便性が高くなってきています。
その一方で、複雑化した情報システムに潜む脆弱性を突いたサイバー攻撃や、個人情報の漏洩、詐欺などが多発しています。
現在、セキュリティ対策ソフトやファイアウォールの導入など、個別的な対応をしている組織・企業は増えてきていますが、情報セキュリティポリシーを策定し、運用し、それに基づいて監査を行っている組織は1割程度というデータもあります。
情報セキュリティは、人的・物理的・技術的対策の最も弱い部分から突破されてしまいます。また、攻撃の手法が日々高度化していることを考えると、総合的な情報セキュリティ監査を定期的に実施する必要があります。
では、情報セキュリティ監査というのはどのような視点から行うべきなのでしょうか?
システムではなく情報資産を監査する
従来からある「システム監査」においてもセキュリティに関する視点はありましたが、現実には、システムの弱点だけでなく、人の運用上の問題や悪意により情報セキュリティが破られることも多くなっています。
そこで、情報セキュリティ監査では、守るべきものは情報システムではなく情報資産であると考えます。
セキュリティの強度ではなく情報資産に対するマネジメントを監査する
情報セキュリティを脅かすリスクは日々変化し、高度化しています。つまり、今日有効だった対策が明日も有効であるとは限らないのです。
そこで情報セキュリティ監査においては、ある時点における「情報セキュリティの強度」ではなく、その組織において情報資産に対するリスクのマネジメントが効果的に実施されているかどうかを監査すべきと考えられています。
マネジメントサイクルの視点
情報セキュリティに対する脅威を管理するには、情報資産に対するリスクアセスメント(評価)を行い、その評価に基づいて適切な管理策を割り当て、その管理策が適切に実施されているかどうか、そもそもリスクアセスメントが適切であったかどうかを評価する必要があります。
上記のような基準を考慮して、システム的な側面だけでなく、人的・物理的・技術的といった総合的な視点から定期的かつ、最新の知見を含めて監査を行っていく必要があり、そのためには、セキュリティを専門に取り扱う専門家や人材の育成が必須になります。