情報セキュリティ監査　公式ガイドブック

時代背景は、工業社会から情報社会に大きく社会が変貌するただ中にあり、デジタル化された情報が人類社会の発展にきわめて大きな役割を果たすようになった。それにつれ、ますます重要性を増すこれらの情報のセキュリティを確保することが我々の社会の最重要課題の一つとなっている。情報セキュリティの確保を監査によって検証するニーズは今後さらに高まっていくに違いない。

政府の「グローバル情報セキュリティ戦略」によれば、企業の情報セキュリティの取り組みが社会的に促進されるには、市場メカニズムを有効に機能させることが重要であると認識されている。しかし、今のところまだ市場メカニズムはまだうまく働いている証拠はない。情報セキュリティの取り組みが進んだ企業が市場で受け入れられ、情報セキュリティ対策の遅れた企業は淘汰されかねないという意味の市場メカニズムがうまく機能するには、企業の情報セキュリティの取り組みが市場の参加者に正確に伝わることが不可欠であり、そのために情報セキュリティ監査が果たさなければならない役割は極めて重大である。

情報セキュリティは、幅広い分野の様々な取り組みの結果としてはじめてリスクが低減できるという構造をしており、そもそもが大変難しいものである。それだけに、監査によって情報セキュリティの確保を検証するということの意味は大きく、同時に、情報セキュリティ監査も、また難しい作業とならざるを得ない。情報セキュリティ監査人には、幅広い分野の取り組みを的確に評価できる力量が求められることになる。

本書はこれから情報セキュリティ監査人を目指す人たちに、情報セキュリティ監査の核心部分を解説するとともに、その背景にある様々な分野の取り組み、あるいは関連する分野の知恵や経験などを体系的に整理しており、それらを効率よく吸収していただくための手引書である。

多くの人が本書により情報セキュリティ監査人の道を切り開き、これから本格化する情報社会のさらなる発展に貢献されることを期待したい。

情報セキュリティ監査は2003年4月に創設された制度である。その時点でこの制度にかかわる資料は、「情報セキュリティ監査研究会報告書」と「情報セキュリティ監査基準」、「情報セキュリティ管理基準」の2つの基準とこれに関連する3つのガイドラインしかなかった。そのようななかで特定非営利活動法人日本セキュリティ監査協会（JASA）のメンバーが精力的な活動を続け、監査業務という実践のなかで培った叡知や、積み上げてきたノウハウをもとに多くの成果を生み出してきた。

本書は、情報セキュリティ監査制度の最新動向や技術をそれらの成果をもとに、情報セキュリティ監査業務だけでなく、情報セキュリティ監査人教育にも深くかかわってきた第一線のメンバーであるJASA認定講師陣が解説している。

それだけに、情報セキュリティ監査制度のポイント、監査技法、プロセス、そのノウハウを体系的に理解することができるものと、執筆者一同自負している。
情報セキュリティ監査を実施している方々だけでなく、これから監査人を目指される方々、内部監査に携わる方々、監査を受けられる組織の方々にも、ぜひ一読することをお薦めする。

本書は、以下のような内容構成になっている。

第1章「情報セキュリティ監査概論」では、情報セキュリティや監査の概念、定義、目的という背景的要素から、情報セキュリティ監査の概念、定義、目的、日本国の情報セキュリティ政策・戦略における位置づけなどを解説している。俯瞰的な視点から、情報セキュリティ監査の本質を理解していただきたい。

第2章「情報セキュリティ監査制度」では、情報セキュリティ監査のまさに核となる内容である基準・ガイドライン、種類を解説している。ここで情報セキュリティ監査の主要な構成要素やそれらの定義を確実に理解していただきたい。

第3章「情報セキュリティ監査のプロセス」では、情報セキュリティ監査実施の一般的なプロセスを5つのフェーズで示し、フェーズごとに留意点を示した。この章で断片的にではなく、情報セキュリティ監査をプロセスとして体系的に理解をしていただきたい。

第4章「情報セキュリティ監査に関連する技法」では、リスクアセスメント、成熟度モデル、個別管理基準の作成、4つの監査技法、技術的検証・フォレンジックという、情報セキュリティ監査に欠かせない技術や手法を解説している。情報セキュリティ監査スキル向上のために、これらのテクニカルな理解を深めていただきたい。

第5章「情報セキュリティにかかわる国内外の動向」では、情報セキュリティ監査に関連する国内外の法令・規格・基準・制度などを解説した。情報セキュリティ監査と関連する他の要素として、どのようなものがあるのかを把握していただきたい。

第6章「日本セキュリティ監査協会と公認情報セキュリティ監査人資格制度」では、情報セキュリティ監査制度を浸透させていくための運営組織である日本セキュリティ監査協会（JASA）と、JASAが認定する監査人資格である公認情報セキュリティ監査人資格（CAIS）について説明した。

巻末「付録」では、情報セキュリティ監査に関連する用語集、リンク集、倫理規程などを示した。本書を読み進め理解を深めるため、または情報セキュリティ監査にかかわる業務をしたりするなかでの振り返りや知識の確認のために役立ててほしい。

■本書の読み方
○これから情報セキュリティ監査人を目指す人
第1章から順に読み、第2章から第4章を中心に理解を深め、情報セキュリティの知識やスキルを身につけていただきたい。また公認情報セキュリティ監査人資格を目指される方は第6章で準備を進めていただきたい。

○情報セキュリティ監査を実施している監査人
まず、第2章で情報セキュリティ監査の最新動向を理解し、さらに第1章、第3章、第4章で、今までの知識を整理し、情報セキュリティ監査人としてのスキルを向上させていただきたい。

○組織で内部監査に携わる人
内部監査人と外部の監査人では、業務内容や役割には違いがある。業務内容や役割の特質上、内部監査人は助言型監査に関する内容を中心に読んでいただきたい。

○組織で情報セキュリティ対策をする人
第1章および第2章で情報セキュリティ監査の概要をつかみ、第5章で関連する法令や制度を把握し、自組織の中での情報セキュリティ対策や情報セキュリティ監査のあり方や必要性を理解していただきたい。

また、情報セキュリティ監査を外部委託する場合には、さらに第3章や第6章を参考にして、監査企業や監査人を選定する際に活用していただきたい。

監査と類似したものにコンサルティングと合意された手続があり、情報セキュリティ監査には助言型監査と保証型監査がある。これらは、その手法や結果を報告する行為などが同様であるために紛らわしい。監査に携わろうとする者は、その相違を正しく理解しておく必要がある。

特に、保証型情報セキュリティ監査は、情報セキュリティ監査制度が創設された時に新たに導入されたものであり、その具体的な内容はあまり知られていない。本ガイドブックでは、JASA内で進めてきた保証型監査の研究における、出版時点での最新研究成果に基づき、その概念をできるだけわかり易く解説した。JASAの研究はまだ継続しており、その内容は更に進化しているので、JASAのホームページなどでその内容を確認し、あわせて学習することが望ましい。