情報セキュリティマネジメントシステム(ISMS)では、PDCAサイクルに基づきそのプロセスに沿って実施されます。「Plan」に該当する計画においては、2017年3月15日の記事で記載したリスクアセスメントを行い、その評価内容から2017年3月18日記載のリスク対応策を検討します。続いて、「Do」の「実行」においては、策定したリスクアセスメントにより策定したリスク対応策を2017年3月22日に記載した内容に沿って実際に導入から運用を行います。
ISMSは、セキュリティ対策を導入して運用を行い終わりではなく、運用していく上で課題も当然見えてきます。運用を行う上で見えてきた課題を改善し次に繋げる必要があります。そのためには、PDCAサイクルの「Check」に該当する項目として情報セキュリティの評価を行います。
今回は、情報セキュリティマネジメントシステム(ISMS)における情報セキュリティ評価について解説します。
情報セキュリティの評価方法と目的
ISMSに基づく、情報セキュリティ評価方法としては、自ら策定した対策に基いて正しく運用できているかをチェックする自己評価(セルフアセスメント)や情報セキュリティ対策ベンチマークなどに基いて内部で評価を行う「内部監査」と、第三者による専任の方が客観的に評価を行う「外部監査」があります。
情報セキュリティ評価を実施するにあたり、自社の情報セキュリティ対策の有効性を確認すると共に、策定した内容にそってセキュリティレベルが維持され意図したとおりに実施されているのか実施状況を確認します。あわせて、現状の運用体制において不足している点はないか、実情にマッチしているかも合わせて確認します。
また、情報セキュリティ対策を行う上で、運用効果を取引先や顧客などに対して、対外的に示すための説明資料としても活用することで、信頼性の向上などにも役立てます。
組織内で情報セキュリティ評価を行う「内部監査」
情報セキュリティ評価において、自己評価(セルフアセスメント)など内部監査を実施する方法としては、自社内における情報システム部門の責任者や担当者などが、自ら導入した情報システムに対して、チェックリストを用いて、現状における運用状況や管理状況、効果、達成度などを評価します。
内部監査を行う際の監査人員としては、組織内でも社内の独立した立場の方が行う必要があります。組織内においても、独立性を維持した上で、できるだけ客観的に評価を行うことが重要です。
内部監査は、組織内で自らチェックを行うため、第三者の評価に比べるとコストが少なくて済む他、手間や時間をかけずに行えるメリットがあります。ただし、内部監査のため、客観的な評価には乏しく、自らが気がつかないポイントなどがそのままになってしまうというデメリットがあります。
セルフアセスメントを行うポイントとしては、月1回、週1回など定期的な評価サイクルを定めた上で、定期的に実施する必要があります。また、年間を通じて、チェックするポイントを定めた上で実施する方法もあります。
セルフアセスメントでの情報セキュリティベンチマークは、独立行政法人情報処理推進機構(IPA)などが公開している「自己診断ツール」などを活用して実施できます。
第三者による情報セキュリティ監査を行う「外部監査」
セルフアセスメントでは、あくまでも今まで運用している内容が正しく行えて言えるのかを内部で定期的に確認するという側面が強いのに対して、第三者による外部監査は、実際の業務に携わっておらずその導入や運用に関与していない、独立した立場の専任の方によって、客観的な視点にたった評価を実施します。
セルフアセスメントである「内部監査」と第三者による「外部監査」は、相互に補充する関係にあり、セルフアセスメントで気づかなかったポイントなどを確認できる機会としても有効で、組織における情報システムの安全性を高め、信頼性と効率性、有効性をさらに高めることができます。
外部監査を行うには、監査対象の組織と身分上、関係性がなく独立している必要があることに加え、公平性を保ち客観的な監査ができるように精神上でも独立している必要があります。実際に情報システムを扱っている従業員にヒアリングを行ったり、現場を調査、アンケート調査などでの手法がおこなわれます。
外部監査は第三者によって行われるため、コストがかかる他、手間と時間が発生しますが、自社のセキュリティ対策を維持し、継続的に運用していくために、使い分けていく必要があります。監査を依頼するための機関を探すためには、経済産業省が公開している「システム監査企業台帳」を活用します。
システム監査を実施する手順
情報セキュリティ評価を行う上で、あらかじめ組織応じて評価目的に基いて、監査の内容や範囲、時期を計画する「監査計画」を策定し、調査を行う上で監査証拠を入手するために管理者に対してヒアリングを行う「予備調査」を行います。その後、予備調査の内容を元に「本調査」に入っていきます。
監査が終了後、実施した監査結果を「監査報告書」を作成し、監査を依頼した組織のトップに提出します。監査報告書には、監査において発見した指摘事項や改善勧告などが明確に記載されている必要があります。