情報セキュリティ監査制度20周年によせて
寄稿 情報セキュリティ監査制度の20周年に寄せて
織茂 昌之様
公認情報セキュリティ主席監査人
【情報セキュリティ監査制度との関わり】
日本セキュリティ監査協会スキル部会のワーキンググループリーダとして情報セキュリティ監査人資格制度立上げに関わり、その後、試験小委員会委員長(~2015年)、資格認定委員会委員として監査人資格制度に継続して関わってきました。
日本セキュリティ監査協会(JASA)との関わり
情報セキュリティ監査制度20周年についての寄稿ということですが、私は、日本セキュリティ監査協会(JASA)の活動を通じて情報セキュリティ監査制度に関わってきましたので、JASA活動との関わりについて書いてみたいと思います。
勤務していた企業にて、2002年頃よりISMS構築支援など情報セキュリティマネジメントに関わりだしましたが、組織の情報セキュリティマネジメント実施状況をどう客観的に評価できるのかというモヤモヤとした思いを持っていました。2003年に情報セキュリティ監査制度開始の話を見つけて、これだと思って、この制度の運営体として設立されるJASAへの参加を勤務先に提案し承諾いただき、言い出しっぺということで私がJASAの会合などに参加するようになりました。これが、私がJASA活動に関わるようになったきっかけでした。
あらためてJASAホームページを見てみると、活動内容として次の3項目が記載されています。
1. 情報セキュリティ監査制度の普及促進
2. 情報セキュリティ監査人の育成
3. 情報セキュリティサービスの審査
私はこれら3項目の中の「2.情報セキュリティ監査人の育成」、特に監査人資格制度に関わってきました。印象に残っているのが、監査人資格制度の制度設計や運用立ち上げに関われたことです。企業に勤めていた私にとっては新鮮で企業内では得難い経験ができ、この経験により自分の幅を広げることができたのではないかと、後から振り返って勝手に思っています。このような経験の場を与えてくれたJASAには感謝しています。
再びJASAホームページによれば、2003年4月1日に「情報セキュリティ監査制度」が施行され、その制度を着実に浸透させていく為の運営体としてJASAが設立されたのが2003年10月10日とのことです。
監査人資格制度は確か2005年に運用開始されたと思いますので、JASA設立から2年足らずで資格制度が立ち上がったわけです。資格制度立ち上げ検討の主体となったJASAスキル部会の方々やJASA事務局の方々と、私もスキル部会の一員として夜遅くまでJASAの会議室でいろいろと検討や議論したことが思い出されます。
資格制度の運用開始に先立って、資格認定のための試験問題の作成やその採点基準・採点方法などの整備が必要で、このためにJASA内に設置された試験小委員会で、これも夜遅くまで議論したことも思いだされます。私はこの小委員会の委員長として携わりましたが、小委員会委員の方々の、これから必ず求められる新しい資格という認識のもとでその実現に向けて真剣かつ熱心に取り組んでいただく姿勢にとても心強く思い、皆さんの真摯な活動により資格試験を軌道に乗せることができて安堵したことを覚えています。
なお、私は直接関わっておりませんでしたが、監査人資格取得に向けた研修及びトレーニングの整備も必須であり、研修やトレーニングのテキスト作成、講師の育成などを担う研修・トレーニング小委員会も設置され、この小委員会委員の方々も同じように精力的に活動されていました。
監査人資格制度は継続して運用されていますので、当然ですが、試験小委員会、研修・トレーニング小委員会の方々は制度運用のために精力的に活動を継続されており、監査人資格制度の屋台骨を支えておられます。
また、資格の認定を行う資格認定委員会では、資格の認定だけでなく、監査人資格制度の運用状況をモニタリングし制度改善を行うなどのPDCAサイクルが回されています。
これら委員会の活動とその活動を支えていただいているJASA事務局、また、関連する様々な方々のご尽力により監査人資格制度が運用されていることを、今回の寄稿を執筆しながら改めて感じ入った次第です。
寄稿と言いながら、自分の経験の振り返りという個人的な内容になってしまい恐縮です。情報セキュリティ監査制度の普及・発展に向け、微力ではありますが、引き続きJASA活動に協力してゆきたいと考えております。
永宮 直史
特定非営利活動法人
日本セキュリティ監査協会
エグゼクティブフェロー
これまでの20年と、そしてこれからの20年へ
情報セキュリティ監査制度に係ったのは、制度創設翌年の冬だったと記憶している。それからほぼ20年間、多くの方々のご支援とご協力を得て、本制度は日本の情報セキュリティの向上に資することができた。まずは、これら多くの方々に感謝を申し上げたい。
制度創設からかなりの期間、日本セキュリティ監査協会(JASA)には30代から60代の見識豊かな人々が集い、熱気が溢れていた。皆がボランティアとしてWGや委員会に参加し、その場での議論は深夜に及ぶことが度々あった。その熱気は制度創設から5年を経た保証型情報セキュリティ監査プロジェクトで最高潮に達した。
しかし、残念ながら保証型情報セキュリティ監査を広く普及することはできなかった。情報セキュリティ監査への熱気が冷めはじめた2010年に、縁があってJASA の事務局長を引き受けた。最初に手掛けたのは経営引き締めである。会員数の減少や公認情報セキュリティ監査人認定者数の伸び悩みから、経営が厳しくなり、事務局員を削減せざるを得ない。事務所を会員企業事務所の一部に間借りした上で、更に様々な無形の支援を得なければならなかった。
一方で、2009年に着手したクラウド情報セキュリティ監査研究の成果を踏まえてISO/ IEC 27017編集に携わることになった。これが幸いし、規格発効前の2013年にJASA-クラウドセキュリティ推進協議会(以下、「協議会」)を発足し、CSマークを発行することができた。このニュースはNHKなどで報道された。その結果、情報セキュリティ監査制度が再び注目され、会員数も増加に転じるなど、明るい兆しが見えたのである。
更に幸運なことに、2018年に情報セキュリティサービス審査制度が開始され、審査機関としての事業がJASAに加わった。ただし、情報セキュリティサービス基準告示後、パイロット事業を4か月で終え、登録開始をしなければならないという条件が付いていた。事務局員は私を含めて4名しかいない。通常業務で手一杯の状態の中で、人員の採用もままならない状態だったが、幸いにもこの条件をクリアすることができた。
その後、ISMAP制度が開始され、監査機関の審査業務を国から受託することができた。これはISMAP制度の設計にCSマーク制度の経験をいかすことができたことが貢献した。クラウド情報セキュリティ監査の研究開始から10年、人々の努力の結果がようやく実ったのだ。そして、このことはJASAの経営にも良い効果をもたらした。
情報セキュリティからサイバーセキュリティへ、あるいはDXからシンギュラリティの時代へと、時代は大きく変化している。この変化に監査も対応しなければならない。今、JASAに集う人々は、20年前と同じように30代から60代前半である。これらの人々が、情報セキュリティ監査の新たな20年を拓いてくれることを期待している。
監査委員会委員当時
(22年前)
水野 義嗣様
情報の安全・安心研究所
日本に情報セキュリティ監査制度が導入されてから20年にもなるのですね。
私は約25年前から情報セキュリティ国際規格のISO/IEC 17799:2000(JIS X 5080:2002)委員、現在のISO/IEC Q 27001(JIS Q 27001)の委員を担当していた関係で、その当時の経済産業省の「情報セキュリティ監査研究会委員」に任命され、国内に情報セキュリティ監査制度を導入するための協議を行いました。委員会の終了時に情報セキュリティ監査制度を国内に普及させるため、NPO法人組織の発起人の一人になりました。この組織が皆さんのご協力でJASAとなり、設立後約10年以上もこの制度を普及させるための普及促進部会の部会長を担当しました。この部会に参加いただいた皆さんと一緒に監査制度のいろいろな普及促進活動を行いましたが、情報セキュリティに関する理解者も少ない中、その監査制度の普及は大変難しく、大変だったとの思いがあります。
20年前の多少の記憶をお話しすると、県や市町村などから情報セキュリティ監査の協力依頼等に出かけてゆくと、責任者から監査結果の指摘をしないように言われることが多くありました。その中で監査協力をしていた市長が交代してから、急に積極的に指摘するようにとの指示があって、びっくりしました。その市長が今は県知事なので、個人的には少しでも情報セキュリティ監査の普及に協力することができたとの思いが残っています。
執筆本
(18年前)
日本セキュリティ監査協会(JASA)立ち上げ時の普及促進部会のメンバー10名が協力して「情報の安全安心研究会」と称し、「50のキーワードで知る 情報資産とセキュリティ管理」を執筆し、皆さんに参考にしてもらうために出版しました。この時の協力者により全国の図書館にも多少の配布をしてもらえたので、今もこの本の存在が図書館で確認することができます。この情報セキュリティ管理・監査のための情報について、監査関係者から今も「あの本を参考にしているよ」との連絡を受けることがあり、執筆者の一人としてとてもうれしく思っています。
JASA普及促進部会退任後は個人情報保護も含めた情報セキュリティ関連の各種ボランティア活動を行ってきましたが、少しでも情報セキュリティにお役に立ちたいとの思いがあり、可能な限り継続したいと思っています。
丸山 満彦様
PwCコンサルティング合同会社 パートナー
情報セキュリティ大学院大学 客員教授
公認会計士
【情報セキュリティ監査制度との関わり】
経済産業省の情報セキュリティ監査研究会委員。監査基準、管理基準のドラフティングを行う。また、その後、NPO情報セキュリティ監査人協会の設立に関与。NPOの技術部会、監査人資格認定委員を歴任。資格認定委員は現在も継続している。
実務と理論の協調的発展を期待して
2002年に経済産業省で情報セキュリティ監査についての委員会が立ち上がり、私もその委員となりました。私にとっては、初めての政府委員でした。委員の中では比較的若手だったこと、公認会計士であり、かつ上司の影響で米国の保証基準の勉強をしていたこと、ISMS制度の立ち上げも行っており、当時の情報セキュリティマネジメントの管理基準にも知見があったこともあり、情報セキュリティ監査基準、情報セキュリティ管理基準の作成に経済産業省の若手課長補佐たちと共にドラフティングから行いました。また、その後の情報セキュリティ監査制度のためのNPOの立ち上げ、NPOにおける技術部会で、監査実施基準の改訂やガイドライン等の策定を試みようとしましたが、その大部分は実現しませんでした。
一方、経済産業省の情報セキュリティ戦略委員会の委員になり、その報告書を受けて、政府は内閣官房情報セキュリティセンター(現在のサイバーセキュリティセンター)の設立を行うわけですが、その設立、設立後に政府統一基準の策定、とりわけ自主点検・監査の部分に携わることになりました。情報セキュリティ監査制度があったので、それをベースに比較的理解が得やすかったと言うこともあります。
そんな制度立ち上げから20年が経とうとしています。その間、情報セキュリティ監査人制度のもと2023年7月12日現在、主任監査人44名、監査人159名、監査人補680名、監査アソシエイト398名、計1,281名の監査人等が登録されています。組織のITへの依存度の高まり、情報という無形資産の価値の高まり、サプライチェーンへの依存度の高まり等、組織における情報セキュリティの重要性はますます高まることが想定されます。情報セキュリティ監査人へのニーズも高まっていくことでしょう。そこで、このような現状を踏まえた上で、情報セキュリティ監査制度というものは、今後どのようになっていくべきなのかということを考えてみたいと思います。
まず私は、情報セキュリティ監査のビジネスニーズについての心配はあまりしていません。上記のとおり、情報システム、ネットワークへの依存度の高まりと、攻撃の高度化という流れがあるからです。むしろ心配しているのは、監査の品質です。といっても、今に不満があるわけではありません。これからの話です。監査の品質は、監査人の質、監査業務管理の質、そして、監査をする組織の管理の質に大きな影響を受けます。その中でもとりわけ、監査人の質を上げることが重要でしょう。
情報セキュリティ技術というのは、日々進歩しています。また、サイバー攻撃手法も日々進歩しています。この技術や状況変化が激しい中、監査人がそれに追随、あるいは先回りをして対応しつづけられるのか?というのが、重要な課題だろうと思います。監査人協会でも、そのための教育等に力をいれていますが、監査人向けのより重層的な教育プログラムが必要なのではないかと思っています。そのためには、情報セキュリティ監査人のためのスキル標準のようなもの、そして、それを裏付ける理論というものが重要となってくるのではないかと思っています。
情報セキュリティ技術については、さまざまな研修プログラムがありますので、必要に応じて既存のものを利用したり、アレンジして利用すればよいでしょう。一方、監査についての研修プログラムが不十分ではないかと考えています。その背景には、やはり情報セキュリティ監査についての理論的な整理が、協会としてもできていないというところにあるのではないかと思っています。監査制度ができてから、20年近くになります。その間に、世界的には、ISO/IEC 27001に基づく情報セキュリティマネジメントシステムの認証制度も広く普及しました。米国ではFedRAMPといったクラウドの監査の制度が普及していたり、NIST SP800-53A、SP800-171Aといった監査あるいは評価のためのガイダンスが発行、更新されていたりします。また、日本でも、FedRAMPに類似をしたISMAPという制度もできています。公認会計士の世界では、WebTrsut、SysTrustといわれていたものは普及せず、認証局の監査という限られた分野のみになっています。一時は住民基本台帳ネットワークシステムについての監査をしていましたが、それも今は無くなっています。
市場のニーズや期待をもう一度整理し、社会に真に求められる情報セキュリティ監査像を整理し、必要な理論の整理を行い、監査人のスキル標準のようなものを整備し、人材の育成が効率的、効果的にできる体制をつくることが肝要ではないかと思料しています。
これから、情報セキュリティ監査制度を担っていくであろう若い人々による、幅広い分野の人との交流を通じた、積極的な議論を通じて、これらを実現していけば良いのではないかと思っております。もちろん、私もできるところはお手伝いしたいとは思います。
岸 泰弘様
PwCジャパン合同会社 顧問
情報セキュリティ主席監査人監査人
この度は、情報セキュリティ監査制度の制定20周年おめでとうございます。
私は制度が制定され、貴協会が設立された当初から普及促進部会に所属し、制度の普及に関わってまいりました。
その間、特に設立当初の事務局長であった故沓澤様には大変お世話になり、その後も後任の永宮様の大いなるご支援を頂きつつ、主に情報セキュリティ監査市場調査を担当しております。活動はワーキンググループという形で多くの会員企業の方々のボランティアで行っており、アンケートを主体とした情報セキュリティ監査の普及状況についての調査が主体となっています。
サイバーセキュリティの重要性が増している昨今、当制度が担う役割は制定時よりさらに大きくなっていると感じており、貴法人の今後の発展を心より期待しております。
和貝 享介様
和貝公認会計士事務所
特定非営利活動法人日本セキュリティ監査協会
技術部会 部会長
【情報セキュリティ監査制度との関わり】
経済産業省「情報セキュリティ監査研究会(2002年)」メンバー。日本セキュリティ監査協会(JASA)設立発起人の一人。協会では副会長、技術部長(現任)として、情報セキュリティ監査制度の普及に務める。情報セキュリティ主席監査人。
情報セキュリティ監査制度とこれから
Ⅰ.始まりのころ
情報セキュリティ監査制度開始20周年、おめでとうございます。
関係者の一人として、お祝い申し上げるとともに、20年も経ったんだなという感慨もあります。制度の発足に向かい、また日本セキュリティ監査協会(以下、「協会」という。)の設立を目指して、夕方皆さんで集まって活動していた頃を懐かしく思い出します。その中には発足を待たず海外に異動された方などもいらっしゃいます。現在も活躍されている方々も多くいらっしゃいますが、故人となられた方もいらしゃいます。
私は協会では技術部長を拝命し、主に監査手続・監査手法を推進してきましたが、当初黎明期といいますか、協会発足当時は、部会に参加された方々は、情報セキュリティの専門家ではいらっしゃいましたが、監査についてはほとんどご存じなく、助言型監査と保証型監査の違いや、監査は証拠に基づく現在以前の過去の確定事項を対象とし、将来のことは対象外であるなどと、今日では常識となっていることをお話し、それを皆さんが熱心に聞かれていたことを思い出します。
Ⅱ.これからの制度に思うこと
さて、過去のお話はこれくらいにして、これからのことを考えてみましょう。
- 助言型監査からの脱皮
現在実施されている情報セキュリティ監査のほとんどは助言型監査です。監査目的に従って情報セキュリティ管理基準等一定の基準に照らして、監査対象の管理の仕組みについて検討し、その未整備、不備等を指摘し、必要な助言をする監査のことですが、よく考えると少し奇妙です。
多くの組織は、助言型監査を受け、監査報告書を受領して改善を行っています。つまり基準通りに管理の仕組みを構成・運用できていない、そして、できていないということを承知で監査を受け、できていないことの指摘を受けているということでしょうか。あるいはできていないことに気づいていないということかもしれません。しかし、確立された基準が存在しているのですから、それに従うのが道理であり、もし基準の内容の理解が不十分で対応できないのであれば、それについて、まずは理解し、あるいは指導を受け全うするのが当然ではないでしょうか。
少し厳しい言い方になりますが、法治国家において守るべき法律が定められているのに、平気で違反しているようなことではないでしょうか。助言型監査を受けて初めて違反を指摘されることは、よい方向ではないように考えます。準備のできていない管理体制等の助言型監査を受けてしまうのは順番が違うような気がします。情報セキュリティ管理基準のような範が示されているのですから、まずは組織自身が整備に努めるべきではないでしょうか。そのために内部監査はたいへん有効です。
- 内部監査の充実
組織は管理体制等の充実にもっと内部監査を活用すべきと考えます。
被監査部門との独立性を確立できれば、外部に依頼するのではなく組織内の内部監査人が監査することが望ましいと考えます。管理体制の整備状況については被監査部門自身の確認でも十分に判断できますか、特に内部監査に求められるのは仕組みの運用の継続です。被監査部門が運用状況を判定するには、どうしても客観性の点で劣ります。そこで独立した内部監査部門による監査が期待されるのです。
内部監査の活動で相当程度の情報セキュリティ水準を保った管理体制の確立は可能と想定します。そのための内部監査人の能力も要求され、今後とも協会の内部監査人資格者の増強と能力の充実のための諸施策が望まれます。また、組織に所要の内部監査人の設置を促すような制度の必要性も検討されるべきでしょう。
- 保証型の外部監査制度
上記(1)、(2)を考慮し、また、情報セキュリティが組織自身を保護するとともに、広く社会的な情報セキュリティ事故等による被害の最小化を目的とする、保証型の外部監査制度の設置が必要です。(1)に述べたような組織のように情報セキュリティ水準が高く、(2)の内部監査で相当程度これを保つ組織において、社会的要請としての保証型監査を志向すべきと考えます。堅く守られた体制を、客観的に保証し、組織と共にある社会生活の安心、安全が保護されます。これは、広く社会的損失を減ずるとともに、組織自身の活動の信頼性を増すことになります。
保証型監査制度の実践については、現行の監査基準に加えてより詳細・具体的な保証型監査のための監査プロセス、監査手続等を定めた補足規定等の準備も必須でしょう。
- 監査人の在り方
保型型監査を推進するに当たっては、監査人の在り方が肝要です。現在広く行われている助言型監査の知見・経験に加えて、保証型監査の能力の保持が必要となります。保証型監査制度については、米国公認会計士協会、日本公認会計士協会の下、実施されているSOC2、SOC3等の類似保証サービスがあります。監査人の在り方についても、これら制度が一部参考になります。助言型監査に比べ、監査人の実施する監査手続の厳密性、意見形成の過程の複雑性等がかなり異なるとともに、法的な内容も含めた監査人の責任の比重についての認識に関する、検討と周知が大きなカギと考えますが、これらを克服しても保証型情報セキュリティ監査を実施できる監査人の制度を是非とも確立すべきです。。
- 監査技術の推進
統計理論に基づき統計学で利用されていた統計的サンプリングを会計監査で利用したことはたいへん画期的でしたが、これが広く認知され内部統制の検証にも活用されるところとなり、さらに情報セキュリティ監査にも応用されています。このように学際的、業際的に利用できる技術は、今後とも発現してくるでしょう。役立つものを発見し、応用推進することは誰もができることではなく、誰かが実施できるものであると私見します。
その誰かが、広く世に示し問うことができるような仕組みは、例えば協会などで準備できないでしょうか。小さな発見から大きな実験・研究の手記、論文等を広く募集し、発表できる場の提供ということです。一定のインセンティブを考慮してもよいかとも考えます。誰もが、遠慮や躊躇なく自由に提言・寄稿できるサロンが理想です。
- グローバルとの対話
日本の情報セキュリティ監査制度の国際化はこれからでしょうか。アジア諸国はもちろん欧米の関連団体との関係を築くことが日本の今後の情報セキュリティ監査制度の発展に大きく貢献すると考えます。例えば協会が、経済産業省の支援をいただきながら、世界協調、世界発信を進めていってください。翻訳や通訳などを要すれば、そのための有用なツールがたくさんあります。日本の知見と世界の知見との融合はこれからの情報セキュリティ監査制度の大きな力となるでしょう。
以上、思うところを述べました。少し辛口のところ、私の理解不足による誤り等多々あるかと思いますが、制度20周年のお祝いの機会に免じて、ご容赦ください。
大木 榮二郎様
工学院大学名誉教授
公認情報セキュリティ主席監査人
【情報セキュリティ監査制度との関わり】
経産省の研究会に参加し、JASAの基本的な制度設計に参画、監査人スキルの検討や資格制度の確立に貢献、保証型情報セキュリティ監査促進プロジェクトリーダーを務めるなど、折に触れ制度の運用にかかわってきた。現在、JASA-クラウドセキュリティ推進協議会会長。
曲がり角にある情報セキュリティ監査制度
20周年とは遥かなる時間の経過である。昔から10年ひと昔というから、もう二昔前のことになるし、最近は5年でひと昔と認識する人が主流らしいから4昔前ということにもなる。さらに変化の急なIT業界においてはDog Yearなる言い方もあり1年が7年に匹敵するともいわれ、そのスピード感覚でいえば、すでに1世紀半近くが経過したことにもなる。それだけの時間が経過したにもかかわらず、情報セキュリティ監査制度はほぼ立ち上げ当時の形で現在も運営されているのは奇跡的であるとも言えよう。その間制度の運営にかかわってこられた方々の苦労と努力に深く敬意を抱くところである。そのうえで、制度の曲がり角について考えてみたい。
情報セキュリティ監査制度は、会計監査の枠組みを基礎に助言型監査を主眼にスタートした。助言型監査等を通じて情報セキュリティマネジメントのレベルが向上するにつれて保証型の情報セキュリティ監査のニーズが高まるものと位置づけられ、その時点では情報セキュリティ監査における保証の概念は真剣には検討されていない。組織責任者がセキュリティマネジメントに取り組む際の確認手段としての監査の活用を意図して、主として内部監査に用いられる助言型監査の普及を目的としたのは、セキュリティマネジメントの黎明期としては当然の選択であったといえる。
この制度開始から20年が経過した今、デジタル化が多様に進化し、政府機関のみならずあらゆる企業や組織において、事業活動がデジタルシステムやサービスの安定稼働への依存を深めており、情報セキュリティの確保は社会全体の大きな課題となっている。その典型例がクラウドサービスの安全性評価に現れており、JASAにて取り組んだCSマーク制度、さらには政府のISMAPなどにおいて、情報セキュリティ監査が安全性確認の中核に位置づけられている。また、今後社会インフラ機能を担当する企業等においても、セキュリティマネジメントの適格性を監査において確認する仕組みが導入される方向になるであろう。保証型情報セキュリティ監査への要請が社会的に高まってきたと言えるが、その中心にあるとも言えるISMAPの監査は残念ながら保証型情報セキュリティ監査ではない。
「ISMAP情報セキュリティ監査ガイドライン」に記載されている「本制度における監査業務の特質」には以下のように記載されている。少々長いが原文を引用する。
「本制度における監査業務は、ISMAP 運営委員会が行う ISMAP 等クラウドサービスリストの登録審査において、登録審査の対象となるクラウドサービスに関して、ISMAP 管理基準に基づいた情報セキュリティに係る内部統制の整備及び運用の状況を確認するために、クラウドサービス事業者の依頼に基づいて、監査機関が情報セキュリティ監査基準等に準拠して手続を実施し、その結果を事実に即して報告することを目的としている。業務実施者が作成した実施結果報告書は、サービス登録申請書の添付資料としてクラウドサービス事業者によって ISMAP 運営委員会に提出され、ISMAP 等クラウドサービスリストへの登録審査を行う際に参照する資料として利用される。
このため、本制度の監査業務において、業務実施者の報告は、手続実施結果を事実に即して報告するのみにとどまり、手続実施結果から導かれる結論の報告も、保証も提供しない。また、本制度における監査業務は、結論の基礎となる十分かつ適切な証拠を入手することを目的とはしておらず、保証業務とはその性質を異にするものである。さらに、業務実施者は、本制度における監査業務において、重要性の概念の適用やリスク評価に基づく手続の決定は行わず、また、業務実施者の報告に基づき実施結果報告書の利用者が不適切な結論を導くリスクの評価は行わず、実施した手続や入手した証拠の十分性についても評価しない。」
このように、ISMAPにおける監査機関の業務が手続実施結果を事実に即して報告するのみにとどまり保証業務とはその性質を異にするものであるとの位置づけにしたのは、監査機関の重要なプレーヤーである監査法人に配慮したものであることは明らかである。金融庁の企業会計審議会による「財務情報等に係る保証業務の概念的枠組みに関する意見書」は、監査法人が行う保証業務について、財務情報等に係る保証業務に関する概念整理を行うことを主たる目的としているが、「本意見書に示された概念的枠組みは、財務情報以外の事項を対象とする保証業務にも援用する」と明記されており、監査法人が提供する情報セキュリティ監査において、保証意見を出すとすれば、財務情報等に係る保証業務に関する概念整理に従わなければならないことになっている。
なお、クラウドサービスのような外部サービスの評価を行う枠組みとして監査法人の保証業務として提供されるものに、受託会社の内部統制にかかわる保証報告書(SOC:Service Organization Controls)がある。このうち、SOC2、SOC3は、受託会社が外部に提供しているサービスにかかわる内部統制をTrustサービス原則等に基づく規準に沿って評価するものであり、情報セキュリティ監査と重なる部分が多い。SOC報告書においては、内部統制が重要な点において適切に設計され有効に運用されていることを評価し、財務諸表監査の保証業務と同じく合理的な保証を意見表明することになり、一般には情報セキュリティ監査に比較して監査費用がかなり膨らむ傾向にあると言われている。
ISMAPの監査の方式は、本来であれば監査人が行うべき業務を二分し、監査業務実施者が手続を実施しその結果を事実に即して報告する部分と、その報告を受けてISMAP運用支援機関が判断を行う部分とに分割されていると見るべきである。このことにより、監査法人がこの業務を担当することができるようにすると同時に、クラウドプロバイダーの監査費用負担を可能な範囲に低減する効果も生まれている点で現実的な選択ということができる。しかし、監査人の責任範囲が、定められた手続きを実施しその結果を報告する範囲に限定されており、重要性の概念の適用やリスク評価に基づく手続の決定は行わないとしている点で、監査人としての力量の発揮の場が限定され、達成感の得にくい作業に落ちいりかねないことも容易に想像できる。
情報セキュリティ監査における保証概念については、筆者も参加したJASAの保証型情報セキュリティ監査促進プロジェクトにてまとめた「保証型情報セキュリティ監査概念フレームワーク解説書Version 3.22b」(2007年3月)が参考になる。その解説01には、会計監査は財務報告を監査し、情報セキュリティ監査は情報セキュリティマネジメントを監査するという意味で、対象とする事項の特質による差を明確にしたいとして、次のように七つの差を指摘している。こちらも少々長いが原文を引用する。この概念フレームワークの内容やその詳細は、解説書を参照いただきたい。
「まず、第一の差は、会計監査の対象は経済活動であるのに対し、情報セキュリティ監査が対象とするのは情報活動という違いがある。第二に、それらの活動の主体について、会計監査では法人としての振る舞いを対象にするのに対し、情報セキュリティ監査では情報を扱う自然人の振る舞いを対象とする差がある。さらに第三には、それらの活動を監査する上で必要となる技術的裏づけの程度にも大きな差があり、情報セキュリティ監査においては、詳細な技術的検証が必要となる。
社会的要請の側面では、会計監査の背後には高度に成熟した資本市場があり、市場参加者が必要とする財務情報の正確性という明確な監査の要請があるが、情報セキュリティ監査の背後にはまだ市場原理に基づく要請は明確でなく、むしろ市場の失敗ともなりかねない現状にあり、第四の市場の差はきわめて大きい。さらにこの大きな差を生み出しているとも言える第五の差が、会計監査は法定強制監査であるのに対し、情報セキュリティ監査は今のところ任意監査であるという点にある。したがって、第六に、監査報告書の利用法からの要請も当然に異なることになり、結果として第七に、監査に携わる監査人の資格制度への要件もかなり異なるものである。
会計監査へは、株式市場の発達、個人株主の対等などにより、株式市場での投資判断の正確な材料を提供することに対する強い社会的要請があり、また株式市場にはその企業とすでに特定の利害関係を持つ者以外の参入も容易であるから、結局は万人に誤解なく理解されうる会計監査の枠組みが必要であり、監査報告書の形式もこの要請にこたえうるものでなければならないことになる。
しかし、情報セキュリティ監査においては、情報セキュリティマネジメントにかかわる情報を正確に表現する形式的な規格化が未成熟な上に、特定の企業の情報セキュリティマネジメントに特別の利害関係を持つ利用者とそうではない一般の者とでは、監査に期待する具体性には明らかに大きな格差があり、知りたいと思う動機も知りたい内容も決して均一ではないことが情報セキュリティ監査の現状でありまた特徴でもある。
会計監査と情報セキュリティ監査には、このような差異があることを明確に認めた上で、保証型情報セキュリティ監査の概念フレームワークの構築に取り組まなければ、フレームワークの構築において基礎となる考え方に誤解が紛れ込む可能性が大いに存在するとの認識から、同じ監査とはいいながら両者は別物であるとの出発点を明確にしたのである。
企業会計審議会における保証業務の分類は、保証業務リスクの程度により、合理的保証業務と限定的保証業務とに分類されている。しかし、情報セキュリティ監査においては、基本となる尺度の制約により、保証リスクの評価に間隔尺度や比例尺度を持ち込むことが困難なことから、このような分類は当面行わないこととした。
しかしながら、監査報告書の利用者の立場から見た場合に、監査報告書の表現から会計監査における合理的な保証には相当しない監査においてあたかも合理的な保証であるかのような誤解意を受けることのないように、監査報告書の記載において整合性を保つように考慮することとした。」
この概念フレームワークの検討からすでに16年の歳月が流れた。社会がデジタル技術に依存する度合いを高めるなか、リーズナブルな費用で提供される保証型情報セキュリティ監査の社会的要請は高まりつつあるに違いないが、保証型情報セキュリティ監査の担い手は少なく、現実に機能することなく経過してきたと言わざるを得ない。
会計監査の枠組みを基礎に始まった情報セキュリティ監査制度は、保証概念について真剣に検討し今後の情報セキュリティ監査制度の在り方を検討しなければならない曲がり角に来ていると考える必要があろう。
さらに最近の課題として、監査法人などの監査企業において、情報セキュリティ監査人を志向する人材の不足にも直面していると聞く。また、一部に助言型情報セキュリティ監査の品質に疑問を呈するような事態もあったと報告されている。これから情報セキュリティ監査人を目指そうとする有為の人材にとって、法定監査ではない任意の助言型監査にとどまるような情報セキュリティ監査は魅力的なキャリアパスには映らないだろう。ましてや、監査人の報告は、手続実施結果を事実に即して報告するのみにとどまり、手続実施結果から導かれる結論の報告も、保証も提供しないという位置づけのままでは、今後情報セキュリティ監査人を目指す人材がさらに枯渇するに違いない。
この曲がり角に対処するには、まず第一に情報セキュリティ監査における保証概念を確固たるものにしなければならない。
そのうえで、情報セキュリティ監査制度を、助言型監査主体の制度から、保証型監査主体の制度に改める必要がある。助言型監査は、保証型監査の前段階として、あるいは内部監査として実施し保証型監査の効果を高める位置づけとするのである。
さらに、特定の社会基盤等重要な事業を担う組織には保証型情報セキュリティ監査を法定義務とするような法制面の検討が望ましいと考える。
また、情報セキュリティ監査業務を提供する主体の多くを占めるのが監査法人であるという事情に大きな変化はないとすれば、監査法人が新たに定義する情報セキュリティ監査における保証業務を提供できるための枠組みも検討を進めなければならない。財務諸表監査の枠組みの延長としての保証業務に位置づけられる監査と、新たに定義する情報セキュリティ監査の保証概念に基づく監査とを並列でとらえることも場合によっては一つの解決策の方向になるかもしれない。
いずれにしても、リーゾナブルなコストで保証型情報セキュリティ監査が提供され、デジタルに依存する社会の安定に貢献できる情報セキュリティ監査制度への転換が求められていると考える。
このような取り組みにより、情報セキュリティの保証型監査の社会的意義が認知され、監査企業や監査人の社会的地位等が認識されれば、情報セキュリティ監査人をキャリアパスの中に位置づけて考える若者も増加してくると期待される。
これらはJASAのみにてできる話ではない。政府の本格的な取り組みを求めたい。
稲垣 隆一様
稲垣隆一法律事務所
特定非営利活動法人
日本セキュリティ監査協会
資格認定委員
セキュリティ監査制度創設20周年を皆様とともに心から喜びたいと思います。
私とこの制度との関わりは、情報セキュリティ監査研究会の委員として制度設計にかかわって以来で、研究会終了後は、JASAの顧問、資格認定委員として、制度実施のインフラづくりから現在まで様々に関わって参りました。
さまざまな思い出が去来します。
まず、研究会段階では、当時、経産省で担当課長補佐をされていた山崎琢矢氏との出会いが鮮烈に思い出されます。制度の生みの親である山崎氏から伝えられた研究会創設の思いは、「社会インフラとしてのセキュリティ監査」を創ることでした。それは、具体的には、監査による利益を被監査主体のセキュリティレベルの向上に用いることに留めず、社会のセキュリティレベルの向上と確保に役立てるという視点でした。この問題意識の論理的帰結は、第三者監査、保証監査でした。この「思い」は、サーバーセキュリティが国家戦略、経済圏の囲い込みの武器とされ、地球規模でサイバー攻撃に晒され、サプライチェーンセキュリティやリスクコミュニケーションが強く求められるようになった今となっては当然のことと受け止められますが、20年前はもっと牧歌的な時代でしたから、山崎氏の先見性が改めて見直されるところです。
しかし、この「思い」の実現には、まず、足下の課題を解決しなければなりませんでした。研究会の終盤、会計監査、システム監査やベンダーなどから様々な意見と知見が寄せられ、管理基準、個別管理基準、同ガイドの作成、助言型監査から出発、言明監査、監査報告書の利用範囲制限などへと様々に形づくられて行きました。私も研究会報告書5.2法的関係の論点整理の原稿を寄せさせていただきました。セキュリティ監査制度の産みの苦しみの時代であったと思います。
セキュリティ監査研究会を終え社会実装の段階に入ると、実務的な課題が山積していました。暑い夏、小さな部屋で汗を流しながら、夜遅くまで、研究会報告書を踏まえた監査契約書や報告書モデルづくり、各種規程づくりに取り組んだことを思い出します。飯田橋の小部屋で取り組んだ倫理制度の創設にあたっては、参加者の、セキュリティ監査を社会インフラとして位置づけその専門性への信頼を確保する「思い」が込められていました。
私も制度の作り手として、制度を普及させるべく、経産省のシステム開発モデル契約書づくりに際し、契約プロセスにセキュリティ監査を取り込むこと、NISCでの議論に際してセキュリティ監査の利用促進を求めて実現するなど、セキュリティ監査の普及を応援してきました。
山崎氏が構想した社会インフラとしてのセキュリティ監査は20年を経て、今や、その必要性を誰もが受け容れるようになりました。
セキュリティ監査を支える担い手は増え、これからも社会のニーズに応え、社会インフラとしてますますその内容を充実することでしょう。
とはいえ、先ずは足下の課題から。私としては、責任とコスト負担の社会的分配の仕組みの構想かなと思っています。
下村 正洋様
特定非営利活動法人
日本セキュリティ監査協会
初代事務局長
情報セキュリティ監査制度の始まりの頃の話
情報セキュリティ監査制度が経済産業省の情報セキュリティ監査研究会(以後、研究会と略す)の検討結果の報告書として公表されたのは2003年3月26日でした。ここから我が国の情報セキュリティ監査制度は始まりました。この7か月後に日本セキュリティ監査協会(JASA)が特定非営利活動法人として発足し、この制度を普及し、維持するための活動を開始しました。この寄稿文では、研究会とJASAの設立までの経緯について、小生から見えていた景色について述べます。本寄稿文に記述してあることは、あくまで小生から見えていた景色であり、事実を誤認している可能性については否定できないことを理解していただきたく思います。これから数十年後に我が国の情報セキュリティについて振り返る方が出てくるとき(出て来ればの話ですが)に少しでもその一助となればとの思いで記述します。
組織の情報セキュリティ対策の実効性を評価する方法として監査という行為が必要ではないかとの発想に至ったきっかけは住基ネットに関する問題からでした。2002年当時は当年8月から稼働する住基ネットの安全性(個人情報漏洩や官による情報利用など)について世間では議論が沸騰していた時期でありました。どこかで聞いたような話であり、20年経た現在でもあまり進歩していないことに残念な思いもしますが、当時はこの論争の矢面に立っていたのは総務省であり、総務大臣であった片山虎之助大臣でした。その片山大臣が国会答弁か記者会見かは定かではないが、「定期的に監査する」との発言があったことを記憶しています。その発言を聞いたときに情報セキュリティ分野に会計監査とは対象が異なるものの情報という資産に対してそれを保有する組織に監査という行為があり得るとのひらめきがあったことを記憶しています。そのようなことを考えていると当時の経済産業省情報セキュリティ政策室(現サイバーセキュリティ課)の山崎琢矢課長補佐とたまたま会う機会があり、山崎氏も同様のことをひらめいたとの話でありました。そこから、ほどなく経済産業省情報セキュリティ政策室にて情報セキュリティ監査研究会が発足して、情報セキュリティ監査制度のあるべき姿について議論が開始され、翌年3月に情報セキュリティ監査制度についての報告書が発表されました。
情報セキュリティ監査研究会は委員長に土居範久慶応大学教授が就任し、ほか情報セキュリティベンダー、通信事業者、監査法人、法曹界、システム監査、学界の方々から構成して情報セキュリティ監査制度のあるべき姿について検討を行いました。詳しくは情報セキュリティ監査制度研究会の報告書を参照してください。忘れてはいけないメンバーとして我が国の情報セキュリティを先頭に立って牽引した初代NISC補佐官の故山口英先生も加わっていました。小生もこの検討会のメンバーとして参加しました。この検討会で、小生が印象に残った議論は保証型監査と助言型監査についてでありました。情報セキュリティ監査を考えた場合、何に照らして監査をし、その監査は何を表明するかでありました。小生の稚拙な知識からすると会計監査においては、当該企業が作成している財務関連諸表の記載の正確さについて保証していると考えますが、情報セキュリティ監査においては、それに該当するものが存在していないことから、往々にして議論はセキュリティ対策の十分性に対して行われる力が働いていました。つまり、情報セキュリティ監査は被監査企業の情報セキュリティ的安全性を保障すべきではないかとの意見とそれはできないであろうとの意見のせめぎあいであったように思えます。そのほか、被監査主体とその監査結果の利用者についての議論などがあり、その方向性の中で保証型監査と助言型監査の考え方が生まれてきたと考えています。この是非については、現在はあまり議論がされることがなくなっているように思え、情報セキュリティ監査そのものの本質の議論よりは、監査するまたは監査を受けるという行為に重きが置かれて語られるようになったのではと感じていて、あまり深く意味を追求されずに使われていることは、ある意味で情報セキュリティ監査が一般に受け入れられているのではないかと感じています。ただし、この本質については、継続的に検討すべき課題ではないでしょうか。もうひとつ、情報セキュリティ監査研究会で作った管理基準と個別管理基準のことについても印象に残っています。これは、前述の保証型と助言型の議論と同根であるとも考えられますが、汎用的な管理基準のみでは十分な監査はできないことから派生したとも考えられます。現在では、業界別のセキュリティ対策基準が必要だとか、個別のIoT製品についてセキュリティ基準が必要だと言われて、その対策基準の策定に動いますが、その必要性を予見して構築したものでありました。監査制度が発足してから10年程度は、管理基準のみが議論の対象となっており、個別管理基準を作ることを求めることは制度として不完全で理解ができないとの声も聞こえてきましたが、現在となってはこの研究会を主導した土居委員長とメンバー各位ならびに経済産業省各位の慧眼には感服いたします。
さて、日本セキュリティ監査協会(JASA)の設立についての景色についてです。情報セキュリティ監査制度を信頼たるものにするためには、監査をする人(監査人)と監査をする企業の質を維持してゆくことが大事であると報告書にも記載されていますが、それを担う団体としてJASAは設立されました。団体を発足するに際して、大急ぎで設立準備会を組織し、会長を土居先生にお願いして、快く引き受けていただき、その後も大変ご支援を頂いたことは感謝の念に堪えません。設立準備会を組織し、2002年5月29日に設立発起人会を発起人52名、後援団体8団体を集めて、東京テレポートセンターで開催することができました。その時、休憩時間に稲垣先生から、このJASAは大変重要な役割を持っていて、将来我が国の重要な役割を担い、または、担わなければならないので頑張ってゆきましょうと言われたことが大変印象に残っています。その後、幾度も会議を重ね、10月16日に設立総会が開催することができ、無事にJASAが発足しました。
最後になりましたが、研究会よりご一緒し、JASA設立準備会、そして、設立後の活動に対して多大なるご助力を頂いた、大木榮二郎氏、喜入博氏、小林俊範氏、丸山満彦氏、水野義嗣氏、和貝享介氏には大変感謝しております。加えて、法律面より支えていただいた稲垣隆一弁護士、短期間に管理基準を作った河野省二氏、それを支援していただいた中尾康二氏に感謝いたします。
JASAが現在あるのも、永宮前事務局長の手腕によるものであることは自明のことですが、紙面の都合上、前述のお名前を挙げなかった各位並びに設立時の大変な時期に実質的に事務局を立ち上げた故沓澤徹氏(当時、事務局次長)と過去・現在のすべての事務局のメンバーついても本当にありがとうございました。
JASAのますますの発展を祈念しております。
松本 照吾様
アマゾン ウエブ サービス ジャパン合同会社
セキュリティアシュアランス本部 本部長
「“Department of Yes” -監査人こそがデジタルトランスフォーメーションを-」
このたびは、情報セキュリティ監査制度創設20周年、誠におめでとうございます。
この20年でITがビジネスの加速、組織変革の中心となり、セキュリティの重要性の認知も高まりました。
一方で、日本の競争力はいまだに停滞を続け、デジタルトランスフォーメーションは思ったよりも進捗していません。
本来、セキュリティは“ビジネスを安全に加速”させるためにあるものですが、それを実現するためにはセキュリティを推進し、また評価する私たちが、ビジネス自体を理解し、その推進のために何が出来るかを真摯に考え、新たな知識を学び、自らが変わっていく必要があります。
“Department of Yes”というのは、セキュリティやリスク管理は従来は“リスク”を理由に単純にイノベーションの阻害、つまり変化に“No”をいうのではなく、適切な学びを踏まえ、組織を前に進めるための建設的な議論を進めていけるようマインドセットを変えていこう、というメッセージです。
監査人こそが、新たな知見を積極的に学びそしてその実践者となることで、より組織の価値向上に貢献していく必要があると確信しています。
お祝いメッセージ
東芝デジタルソリューションズ株式会社様
情報セキュリティ監査制度20周年おめでとうございます!この20年間には、モバイルやクラウドの普及などコンピューティング環境に大きな変化があり、高度化、悪質化するサイバーセキュリティの脅威への対策を進めるうえで、情報セキュリティ監査制度は非常に重要な役割を果たしてきました。今後も、OT、IoT、AIなどの環境変化に伴うセキュリティの脅威にも対応した、監査制度の更なる進化と発展を祈念いたします。
NTTテクノクロス株式会社様
情報セキュリティ監査制度20周年おめでとうございます!「情報セキュリティに関する監査」が必要であるという意識を広め、根付かせるのは大変だったと思います。本制度が発展してきたのはひとえに20年間の皆様のご尽力の賜物と考えております。今後も、日々進化するセキュリティ脅威やリモートワーク、クラウド、DXの導入等の環境の変化に対応すべく、更に監査の価値を共に高めてまいりましょう。当社もその一助となれるよう努めるとともに、監査制度の更なる発展と成功を願っております。
株式会社三菱総合研究所様
情報セキュリティ監査制度20周年おめでとうございます。監査制度立ち上げ当時に奔走されていた先輩諸氏のご苦労に、心より感謝申し上げたいと存じます。既にだいぶ記憶の彼方ではありますが、JASA設立時の関係者の皆様の晴れやかな笑顔が思い出されます。
また、その後も多くの方々のご尽力によって、制度の礎が築かれ強化されて参りましたこと、感謝の念に堪えません。今後とも次代を担う皆様方のご活躍を祈念しております。
三菱電機インフォメーションネットワーク株式会社様
情報セキュリティ監査制度20周年おめでとうございます。日本における情報セキュリティ監査の確立・普及に多大な貢献をされてきましたことに、心より敬意を表します。DX化やグローバル化が急速に進み、IT環境が複雑化する中、情報セキュリティ監査の重要性がますます高まっています。これからも変化する環境に対応しながら、さらなる発展を遂げていくことを祈念しております。
株式会社アスラボ 羽生田 和正様
情報セキュリティ内部監査人の育成研修こと始め
2022年度3月末の情報セキュリティ監査人資格制度の累計資格認定者は4693名であり、そのうち情報セキュリティ内部監査人は1507名を数えている。
JASA立ち上げ時の情報セキュリティ監査人育成計画では、まず外部監査人の育成のための情報セキュリティ研修コースを整備し、監査アソシエートの育成から開始した。その後、保証型監査を含めたトレーニング研修コースを立ち上げ、監査人補、監査人の育成に着手した。
一方、監査人育成の市場のニーズを見ると、民間企業や地方公共団体では自らの組織における内部監査人の育成研修要求が求められていることがわかってきたので、内部監査人コースの立ち上げを提案した。
研修ビジネスとして成り立つかどうかなど、監査協会の組織内部の検討において新たに内部監査人コースを実施する方針が決定し、監査基準・管理基準及びJASAの各種成果物を利用して情報セキュリティ内部監査人教科書の編集を開始した。これには西と東のワーキンググループにより規程集のサンプルなどを検討し、できるだけ内部監査の現場で実際に使用している素材をテキストの盛り込むようにした。
研修コースの募集は2008年ごろから開始した。研修コース、トレーニングコースに加えて内部監査人コースがスタートした。当初の構想どおり、一般企業や地方公共団体や官公庁及び大学などの文教機関等が内部監査人育成の重要性を意識する中で、資格認定者は年々伸長する傾向にある。
コロナ禍の中では、新たにZoomによるリモート研修を開始した。Zoomのブレイクアウト機能を利用した個人演習とグループ演習及びネットによる修了試験は、利便性や有効性の面から好評であり監査人育成のメリットを向上することになった。JASAの研修制度としてWeb時代に相応し研修市場を開拓できたものと考えている。
情報セキュリティの技術と監査の分野の展開は急激であり、サイバーセキュリティの安全管理措置の強化のためには、クラウド化、リモートワーキング、ICTのビジネス継続などを取り込んだ内部監査人研修の普及が喫緊の課題となっている。これらについても時間をおかず追随できるよう準備を進めることが必要と考えている。
長崎県立大学 加藤 雅彦様
情報セキュリティ監査制度20周年おめでとうございます。
関係者の皆様による様々な努力により、情報セキュリティ監査の重要性や認知度が高まった結果の20年と思います。
今後、貴協会、および情報セキュリティ監査のさらなる発展を祈念して、お祝いのメッセージとさせていただきます。