1.情報セキュリティ監査とは
1.1 監査の全体像
・監査とは、組織の業務や情報システムなどの状況を、一定の基準に基づいて客観的に評価・確認し、その結果を報告するプロセスである。
・監査には、業務プロセスを監査する業務監査や、公認会計士が所属する監査事務所による会計監査(上場企業では法定義務あり)、システム監査、セキュリティ監査などがある。
1.2 情報セキュリティ監査とは
・先に述べたいくつかある監査の中で、情報セキュリティに関する監査が「情報セキュリティ監査」です。
・システム監査との違いやセキュリティ診断との違い、コンサルとの違いなどで整理していきます。
(1)情報セキュリティ監査の目的
経済産業省の「情報セキュリティ監査基準」によると、以下である。
| 情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うことにある。 (出典:https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf) |
(2)システム監査と情報セキュリティ監査の違い
まず、監査の観点が異なります。
| 監査の種類 | 観点 |
|---|---|
| セキュリティ監査 | 機密性、完全性、可用性が確保されているか |
| システム監査 | 情報システムの信頼性、安全性、効率性が確保されているか |
以下、NISCの資料(https://www.nisc.go.jp/pdf/policy/general/R5_AuditManual.pdf)からの引用です。
(3)セキュリティ監査とセキュリティ診断の違い
・セキュリティ監査は、基準があって、基準に照らし合わせて準拠しているかを監査する。なので、たとえばセキュリティ監査基準に沿っていた(=監査としては基準を満たしていることを保証)したとしても、サイバー攻撃にあわないかという次元では評価していない。
| 比較項目 | セキュリティ監査 | セキュリティ診断 |
|---|---|---|
| 目的 | 統制・運用体制がルールや基準に準拠しているかを評価(インシデント対応プロセスを確認することもある) | システムやアプリに脆弱性がないかを調査 |
| 対象 | 方針・ルール・運用プロセス・管理体制など | ネットワーク、サーバ、Webアプリなど技術的対象 |
| 手法 | 文書レビュー、インタビュー、運用状況の確認など | ツールや手動による脆弱性スキャン・攻撃シミュレーション |
| 基準 | 基本的にはある(ISO/IEC27001、社内規程、業界ガイドラインなど) | 基本的には無い |
| 実施者 | 監査人(内部または外部) | セキュリティ技術者など |
(4)セキュリティ監査とセキュリティコンサルの違い
コンサルは、一緒になっていい方向に向かって行くものです。監査はやや、冷静にできているかをチェックするという感じです。
| 比較項目 | セキュリティ監査 | セキュリティコンサル |
|---|---|---|
| 目的 | 現状が基準やルールに準拠しているかを評価 | セキュリティ課題に対し解決策を提案・支援 |
| 基準の有無 | 明確な基準(例:ISO/IEC27001等)に基づく | 特になし |
| 立場 | (主に)独立した第三者 | 協力的な立場 |
| 役割の違い(ひと言で) | 「守られているかを見極める」 | 「どうすれば守れるかを考える」 |
1.3 監査の違いの整理
(1)助言型監査と保証型監査の違い
違いを簡単に整理します。
| 項目 | 助言型監査 | 保証型監査 |
|---|---|---|
| 目的 | 改善提言による対策の向上 | 対策が基準を満たしていることの保証 |
| 意見の性質 | 改善を促す助言的意見 | 客観的な保証意見 |
| 保証の有無 | なし | あり |
| 導入タイミング | 初期・改善途上 | 成熟後・定期監査として活用 |
(2)外部監査と内部監査の違い
監査には、内部監査と外部監査がある。セキュリティ監査に関しては、認証取得目的以外の場合、内部監査が多いのではないか。おそらく、どの企業も年に1回などのペースで実施しているであろう。
| 比較項目 | 内部監査 | 外部監査 |
|---|---|---|
| 実施者 | 組織内の監査部門または担当者 | 第三者(監査法人・外部専門家など) |
| 目的 | 自社内の統制強化・改善提案 | 第三者視点での妥当性・信頼性の評価、認証取得など |
1.4 情報セキュリティ監査基準
経済産業省の「情報セキュリティ監査基準」(https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf)に、いくつかの記載があるので、何点か整理する。
(1)一般基準と実施基準
| 区分 | 内容の概要 | 補足 |
|---|---|---|
| 一般基準 | 監査人の資質・行動規範・基本姿勢などの“前提”を定める | たとえば、監査人の独立性や専門性、秘密保持など |
| 実施基準 | 監査業務の手順を定める | 監査計画、証拠収集、報告書の作成、フォローアップなど |
2.情報セキュリティ監査の実施
2.1 監査の手法に関する参考文献
・情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf
・政府機関等のサイバーセキュリティ対策のための統一基準群に基づく情報セキュリティ監査の実施手引書(令和5年11月)
https://www.nisc.go.jp/pdf/policy/general/R5_AuditManual.pdf
2.2 監査技法
以下の文献をそのまま抽出しました
https://www.nisc.go.jp/pdf/policy/general/R5_AuditManual.pdf
| 監査技法 | 監査技法の概要 | 技法の説明・注意点 |
|---|---|---|
| 質問(ヒアリング) | 判断基準への整備状況・運用状況の準拠性を評価するために、関係者に口頭で問い合わせる技法 | -文書による問い合わせも含む -必要に応じて外部委託先への問い合わせも含む -質問結果の食い違いや虚偽の説明に注意 -複数の担当者・管理者へのヒアリングで信憑性を高める -他技法と組み合わせて食い違いの原因を明確にする |
| チェックリスト | 判断基準への整備状況・運用状況の準拠性を、特定の事項について直接確認する技法 | -事前に質問項目を定め、選択式・記述式で記載させる -効率良く監査証拠を入手するには質問の吟味と適切な担当者の選定が重要 -虚偽回答に注意 |
| 査閲(レビュー) | 判断基準への整備状況・運用状況の準拠性を、文書や記録に基づいて確認する技法 | -関連規程、手順書、各種申請書、設定値、ログなどを確認 -客観性は高いが改ざんの可能性に注意 -質問や他技法との併用が必要 |
| 観察(視察) | 判断基準への整備状況・運用状況の準拠性を、監査人が目視で確認する技法 | -担当者の操作を直接確認し妥当性を評価 -目視によるため証拠力は強いが、観察時点のみの証拠に限られる -全体を観察するのは困難。都合の悪い部分を見せない可能性もあり |
| 再実施 | 判断基準への準拠性について、監査人が自ら統制を運用し確認する技法 | -例:アクセス権のないカードで入室できないことを確認 -自ら操作するため証拠力は強いが、あくまでその時点のみの確認 -全ての統制を再実施するのは困難 |
| サンプリング | 入手資料から一部を抽出し監査手続を行い、全体の特性を推定する技法 | -全情報の監査は非現実的なため、対象を抽出して監査 -サンプル数や期間に応じて実施し、全体の傾向を推定 |
2.3 監査を実施する際に、管理基準となる資料
(1)組織の管理規定
組織がセキュリティポリシーやらセキュリティの管理規定を定めているはずなので、そこに準拠しているか、これが監査のベースラインになるでしょう。
ただ、その場合、項目数が非常に多くなる可能性があるので、他の基準をベースにするのもいいと思う。または、NISTのSP800に従って監査した、などとすれば、客観的な評価がしやすい気がします。
(2)NIST
・NIST-SP800-171
「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」
https://www.ipa.go.jp/security/reports/oversea/nist/about.html
補足:タイトルだけを見ると、「非機密情報CUI」とあるので、セキュリティ対策の参考にならないのではないかと勘違いするかもしれません。
実はそうではなく、SP800-171では、「国家機密には該当しないが、保護すべきとされる重要情報(CUI)」を扱う民間企業向けに、実施すべきセキュリティ対策が示されています。
実際、米国防衛省と取引をする企業は、この基準に準拠することが義務付けられています。また、日本企業でも同じで、日本の防衛省も「米国国防省が契約企業に義務付けている基準(NIST SP800-171注1)と同水準の管理策を採用」するようになりました。
出典:https://www.mod.go.jp/j/press/news/2024/05/17a_02.pdf
(3)NISC
❶統一基準
・政府機関等のサイバーセキュリティ対策のための統一基準群」
https://www.nisc.go.jp/policy/group/general/kijun.html
この中の、以下が基準として使えると思う。1つ目よりも2つ目の方が、非常に細かく記載されているので、この基準で深く監査するのは良いと思う。
・政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版) 84ページ
https://www.nisc.go.jp/pdf/policy/general/kijyunr5.pdf
・政府機関等の対策基準策定のためのガイドライン(令和5年度版) 536ページ
https://www.nisc.go.jp/pdf/policy/general/guider6.pdf
❷ISMAP
クラウドサービスの場合、デジ庁が更改しているISMAPの管理策基準も一つの候補になるでしょう。
参考資料 クラウドサービスが遵守すべき ISMAP 管理策基準 (統制目標、末尾にBが付された詳細管理策)
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/669b13b5/20220630_resources_standard_guidelines_outline_03.pdf
(4)総務省
・地方公共団体における情報セキュリティ監査に関するガイドライン(令和6年10月版)
https://www.soumu.go.jp/main_content/000970480.pdf
【補足】こちらは毎年更新されていて、情報が最新化されているので、非常にいいと思われる
(5)経済産業省
・情報セキュリティ管理基準
https://public-comment.e-gov.go.jp/pcm/download?seqNo=0000286721
【補足】こちらは、セキュリティ管理基準の定番ともいえる基準であり、セキュリティ監査の場合は、その準拠性の基準として、古くから利用されてきた。
2.5 監査の実施
(1)高度なサイバー攻撃向け
ランサムとか高度なサイバー攻撃、内部犯などを意識すると、監査としては、以下の内容が軸になるのではないか
3.5. 人的セキュリティ 3.5.1. 職員等の遵守事項 3.5.2. 研修・訓練 3.5.3. 情報セキュリティインシデントの報告 3.5.4. ID 及びパスワード等の管理 3.6. 技術的セキュリティ 3.6.1. コンピュータ及びネットワークの管理 3.6.2. アクセス制御 3.6.3. システム開発、導入、保守等 3.6.4. 不正プログラム対策 3.6.5. 不正アクセス対策 3.6.6. セキュリティ情報の収集 (出典:地方公共団体における情報セキュリティ監査に関するガイドライン(令和6年10月版) https://www.soumu.go.jp/main_content/000970480.pdf)
また、政府機関等の対策基準策定のためのガイドライン(令和5年度版) ( https://www.nisc.go.jp/pdf/policy/general/guider6.pdf )は、全536ページもあり、深堀したいときには有効かと思う。
たとえば、以下はアクセス制御部分に関する抜粋。
3.セキュリティ監査の事業者
3.1 IPAによる基準に適合した事業者
・経済産業省が策定した「情報セキュリティサービス基準」に適合する情報セキュリティサービスのリスト「情報セキュリティサービス基準適合サービスリスト|IPA」がある。
・この中に「情報セキュリティ監査サービス」があり、監査サービスを行っている事業者が登録されている。
https://www.ipa.go.jp/security/ug65p90000019fc0-att/20250319_1.pdf
