情報セキュリティ監査とは?
目的や必要性、実施方法を徹底解説

情報セキュリティ監査という言葉をご存じですか?「なんとなく聞いたことがある」という方がいる一方、「聞いたことがない」という方もいるでしょう。この記事では情報セキュリティ監査とは何か、目的や必要性、実施方法などを解説していきます。自社のセキュリティ強化のために、参考にしてください。

今回のお悩み
そもそも情報セキュリティ監査とはどのようなものかを知りたい。種類や実施の手順、ポイントなども理解したい。

私が解説します!
情報セキュリティ監査の概要を理解したうえで、自社のセキュリティを高める方法を一緒に考えていきましょう。

( 1 ) 情報セキュリティ監査とは?

情報セキュリティ監査とは、自社の行っているセキュリティ対策が適切かどうかを第三者的な視点でチェックすることです。セキュリティの状況を客観的に評価することで、サイバー攻撃に十分備えられているか、セキュリティ上の欠陥はないかなどを正しく把握することができます。
情報セキュリティ監査は、以下のような項目に照らしながら、正しく実施できているかを確認します。

●セキュリティポリシー

企業や組織が実施する情報セキュリティ対策の方針や行動指針をまとめたもの。

●組織のガイドライン

企業や組織が情報セキュリティ対策に取り組む際の手順や手法をまとめたもの。

●JIS Q 27002(情報セキュリティ管理策の実践のための規範)

情報セキュリティ管理において、実施の手引や関連情報を含めて規定したもの。

( 2 ) 情報セキュリティ監査の目的と必要性

信頼度の向上をめざす

情報セキュリティ監査の目的は、自社のセキュリティ対策において不十分なところを把握し、迅速な改善につなげることにあります。
また情報セキュリティ監査によって自社のセキュリティの高さが証明されれば、顧客や社会に対する信頼度が向上します。企業規模にかかわらず、あらゆる企業にとってメリットの大きい取り組みです。

多様化するリスクに備える

近年、情報セキュリティリスクは多様化しています。ランサムウェア(※1)、サプライチェーン攻撃(※2)など、巧妙なサイバー攻撃も後を絶ちません。
個人情報や機密情報の流出など万が一のリスクを防ぐためにも、十分なセキュリティ対策を講じることが企業には求められています。

※1 ランサムウェア:Ransom(ランサム)は「身代金」の意。データを暗号化して使えない状態にして、その復号に対して金銭などが要求される。
※2 サプライチェーン攻撃:いきなり大手企業を狙うのではなく、つながりのある取引先(主に中小企業)を「踏み台」にして仕掛けられるサイバー攻撃

( 3 ) 経済産業省が定める情報セキュリティ監査の2つの基準

経済産業省では、情報セキュリティ監査が適切に行えるように、「情報セキュリティ管理基準」と「情報セキュリティ監査基準」という2つの基準を発表しています。

●情報セキュリティ管理基準

情報セキュリティ監査にあたって、判断の尺度となるのが「情報セキュリティ管理基準」です。情報セキュリティ管理策を規定する国際規格に対応した「JIS Q 27002」に基づいており、適切な管理策を整備・運用するための規範として策定されています。

●情報セキュリティ監査基準

情報セキュリティ監査基準は、情報セキュリティ監査を行う主体(監査人)の行動や行為規範を定めたものです。監査の品質を一定の水準に保ち、有効かつ効率的に実施できるように遵守事項や留意事項などが示されています。

参照:経済産業省_情報セキュリティ監査制度

( 4 ) 情報セキュリティ監査の実施方法

情報セキュリティ監査のやり方としては、社内で監査人を立てる「内部監査」と、外から監査人を呼ぶ「外部監査」があります。
まずは監査計画に関する方針を立て、監査対象の範囲や監査に要する期間や期日、監査における目標を決めて実施します。監査の流れは以下の通りです。

①計画の立案

②手続の実施

③監査報告書の作成と保存

④結果のフォローアップ

( 5 ) 情報セキュリティ監査のポイント

情報セキュリティ監査を行う際に気をつけたいのは、どのようなことでしょうか。主なポイントを3つ紹介します。

情報セキュリティ監査のポイント

●内部監査にはチェックリストを活用する

内部監査を行う場合、チェックリストを作成して使用するのが一般的です。チェックリストを作成することで監査の作業を効率化できます。

●監査の体制を整える

計画の立案、担当者の選定など、監査を適切に行える体制づくりに努めることが大切です。

●業務改善を実施する

問題点が見つかれば、改善に取り組みます。定期的に監査を行って、適切なセキュリティ対策を実施しましょう。

( 6 ) 情報セキュリティ監査が難しい場合

情報の保護やセキュリティに関する信頼度を上げる取り組みは、情報セキュリティ監査だけではありません。情報セキュリティ監査が難しい場合には、「セキュリティ対策自己宣言」を検討するのもよいでしょう。

セキュリティ対策自己宣言とは?

セキュリティ対策自己宣言(SECURITY ACTION)とは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。安全・安心なIT社会を実現するために、IPA(独立行政法人 情報処理推進機構)によって創設されました。
取り組み目標に応じて「一つ星」または「二つ星」を宣言することができます。認定制度ではなく、あくまで自己宣言であることに留意しておきましょう。

参照:IPA(独立行政法人 情報処理推進機構)_SECURITY ACTION セキュリティ対策自己宣言

( 7 ) まとめ

情報セキュリティ監査とは何か、目的や必要性、実施方法などを解説してきました。規模にかかわらず企業において情報セキュリティ監査がいかに重要か、実施する際のポイントなどがご理解いただけたのではないかと思います。また自社で情報セキュリティ監査が難しい場合は、セキュリティ対策自己宣言を検討してみてもよいでしょう。

サクサは、情報セキュリティ対策の提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。
また、中堅・中小企業の情報セキュリティ対策に関する資料をはじめ、さまざまなお役立ち資料をご提供しています。ぜひご活用ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら