情報セキュリティ監査制度の可能性とは〜経済産業省、ベンダ各社が語る、監査の今後の課題と展望〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

情報セキュリティ監査制度の可能性とは〜経済産業省、ベンダ各社が語る、監査の今後の課題と展望〜

特集 特集

 本年4月より実施された「情報セキュリティ監査制度」。本誌Scan Security Wireの姉妹誌である「Scan Security Management」誌上において、その制度に関する座談会が行われた。

 本誌では、その様子を要約して以下に紹介する。

 座談会の出席者は経済産業省・商務情報政策局・情報セキュリティ政策室の山崎琢也課長補佐、日本セキュリティ監査協会の会員企業であるNRIセキュアテクノロジーズ株式会社から菅谷氏、セコムトラストネット株式会社から岡氏、株式会社ジェイエムシーから大溝氏。NRIセキュアテクノロジーズは野村総研系の情報セキュリティ専門会社。セキュリティマネジメント、ファイアウォールの構築/運用、コンサルティングを手がける。セコムトラストネットはセコムグループのセキュリティ専門会社。セキュリティ関連製品サービス、セキュアデータセンタの提供やセキュリティポリシーの構築などを手がける。ジェイエムシーは脆弱性診断などの技術的監査、ISMS認証取得、セキュリティポリシー作成のコンサルティングなどを手がけている。

 座談会では、経済産業省の山崎氏にこの政策がどのような位置づけになるのかを聞いている。その中で山崎氏は、
「情報セキュリティ監査制度は、企業の情報資産をどう扱うべきかといった視点で活用されます。従来は、情報セキュリティ監査といっても、監査を実施する側にも監査の受ける側にも明確な基軸がなかった。そこに、ひとつの指針を提供するものです。」

と語っている。

 また、NRIセキュアテクノロジーズの菅谷氏が、企業ガバナンスの中で情報セキュリティの位置づけをどうするかの指針になるのでは、という期待を寄せる一方で、セコムトラストネットの岡氏は「監査」という言葉のとらえられ方が、受け取る企業によって微妙な違いを見せることを懸念事項としてあげている。同社の業務としても、監査というものに対して顧客が求めているものが、脆弱性診断だったり、セキュリティホール対策であったりと曖昧であるという。

 このような懸念に対し山崎氏は、そういったニーズに対応できるように監査を「助言型」「保証型」にわけて、その概念の幅を広げていると説明する。監査は本来「保証型」に収斂すべきものであることを述べつつも、現状ではその段階にはないとし、3年後くらいには保証型、いわゆる「監査」をおこなう主体と、助言型のいわゆる「コンサルティング」を行う主体の線引きがはっきりしてくるようになって欲しいとしている。

 これをうけ、ジェイエムシーの大溝氏は、山崎氏の言うような情報セキュリティ監査制度の普及には、業界/業種別の管理基準の策定が重要であろうと述べている。

 このような様子で話は進み、監査を受けることのメリットを追求していくと、保証型でない場合のメリットが現状では見えづらいと言う話から、保証型の監査を行った場合の責任論へと移っていった。

 保証型という言葉からは「事故が起こらない」という言葉が連想されるが、この制度における保証型の"保証"とは「ベストプラクティスに基づいていること」の保証であり、事故が起こらないことの保証ではない。しかし、山崎氏はこのことを述べると同時に「安全を保証する」ことでもあるので、監査実施企業はこのことから逃げてはいけないとし、そのために助言型監査があるとしている。

 そして最後では、この制度が世界でも類を見ない民間をも取り込んだ制度であること、今後、政府はもちろん各企業がこの制度を活用し、制度自体のブラッシュアップに貢献していくことが重要であるという、共通した見解で座談会は幕を閉じた。


◇経済産業省 情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm
◇NRIセキュアテクノロジーズ株式会社
http://www.nri-secure.co.jp/
◇セコムトラストネット株式会社
http://www.secomtrust.net/
◇株式会社ジェイエムシー
http://www.jmc.ne.jp/

 本誌の姉妹誌「Scan Security Management」では、このような対談企画、制度解説を今後も多く取り扱っていきます。
■Scan Security Management
http://www.vagabond.co.jp/c2/shop/e-zine/ssm.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×