情報セキュリティ監査制度の可能性とは〜経済産業省、ベンダ各社が語る、監査の今後の課題と展望〜 | ScanNetSecurity
2024.03.30(土)

情報セキュリティ監査制度の可能性とは〜経済産業省、ベンダ各社が語る、監査の今後の課題と展望〜

 本年4月より実施された「情報セキュリティ監査制度」。本誌Scan Security Wireの姉妹誌である「Scan Security Management」誌上において、その制度に関する座談会が行われた。

特集 特集
 本年4月より実施された「情報セキュリティ監査制度」。本誌Scan Security Wireの姉妹誌である「Scan Security Management」誌上において、その制度に関する座談会が行われた。

 本誌では、その様子を要約して以下に紹介する。

 座談会の出席者は経済産業省・商務情報政策局・情報セキュリティ政策室の山崎琢也課長補佐、日本セキュリティ監査協会の会員企業であるNRIセキュアテクノロジーズ株式会社から菅谷氏、セコムトラストネット株式会社から岡氏、株式会社ジェイエムシーから大溝氏。NRIセキュアテクノロジーズは野村総研系の情報セキュリティ専門会社。セキュリティマネジメント、ファイアウォールの構築/運用、コンサルティングを手がける。セコムトラストネットはセコムグループのセキュリティ専門会社。セキュリティ関連製品サービス、セキュアデータセンタの提供やセキュリティポリシーの構築などを手がける。ジェイエムシーは脆弱性診断などの技術的監査、ISMS認証取得、セキュリティポリシー作成のコンサルティングなどを手がけている。

 座談会では、経済産業省の山崎氏にこの政策がどのような位置づけになるのかを聞いている。その中で山崎氏は、
「情報セキュリティ監査制度は、企業の情報資産をどう扱うべきかといった視点で活用されます。従来は、情報セキュリティ監査といっても、監査を実施する側にも監査の受ける側にも明確な基軸がなかった。そこに、ひとつの指針を提供するものです。」

と語っている。

 また、NRIセキュアテクノロジーズの菅谷氏が、企業ガバナンスの中で情報セキュリティの位置づけをどうするかの指針になるのでは、という期待を寄せる一方で、セコムトラストネットの岡氏は「監査」という言葉のとらえられ方が、受け取る企業によって微妙な違いを見せることを懸念事項としてあげている。同社の業務としても、監査というものに対して顧客が求めているものが、脆弱性診断だったり、セキュリティホール対策であったりと曖昧であるという。

 このような懸念に対し山崎氏は、そういったニーズに対応できるように監査を「助言型」「保証型」にわけて、その概念の幅を広げていると説明する。監査は本来「保証型」に収斂すべきものであることを述べつつも、現状ではその段階にはないとし、3年後くらいには保証型、いわゆる「監査」をおこなう主体と、助言型のいわゆる「コンサルティング」を行う主体の線引きがはっきりしてくるようになって欲しいとしている。

 これをうけ、ジェイエムシーの大溝氏は、山崎氏の言うような情報セキュリティ監査制度の普及には、業界/業種別の管理基準の策定が重要であろうと述べている。

 このような様子で話は進み、監査を受けることのメリットを追求していくと、保証型でない場合のメリットが現状では見えづらいと言う話から、保証型の監査を行った場合の責任論へと移っていった。

 保証型という言葉からは「事故が起こらない」という言葉が連想されるが、この制度における保証型の"保証"とは「ベストプラクティスに基づいていること」の保証であり、事故が起こらないことの保証ではない。しかし、山崎氏はこのことを述べると同時に「安全を保証する」ことでもあるので、監査実施企業はこのことから逃げてはいけないとし、そのために助言型監査があるとしている。

 そして最後では、この制度が世界でも類を見ない民間をも取り込んだ制度であること、今後、政府はもちろん各企業がこの制度を活用し、制度自体のブラッシュアップに貢献していくことが重要であるという、共通した見解で座談会は幕を閉じた。


◇経済産業省 情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm
◇NRIセキュアテクノロジーズ株式会社
http://www.nri-secure.co.jp/
◇セコムトラストネット株式会社
http://www.secomtrust.net/
◇株式会社ジェイエムシー
http://www.jmc.ne.jp/

 本誌の姉妹誌「Scan Security Management」では、このような対談企画、制度解説を今後も多く取り扱っていきます。
■Scan Security Management
http://www.vagabond.co.jp/c2/shop/e-zine/ssm.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×