情報セキュリティ監査制度の狙い
■政府の動き
個人情報の漏えいなど情報セキュリティのインシデントが増加傾向にあり、ファイヤウォールやIDSといった、いわゆる技術的な対策だけでは、インシデントを防ぐことは無理と考えられます。情報セキュリティマネジメントの必要性から2002年4月にISMS適合性評価制度(JIPDEC)がスタートし、一年後の2003年4月から情報セキュリティ監査制度が経済産業省より発表・運用開始されました。
情報セキュリティ監査制度は、新しい制度として突然できた制度ではなく政府の「e-Japan 重点計画-2003」の重点政策の一分野である「高度情報ネットワークの安全性と信頼性の確保」に基づいた情報セキュリティ総合戦略(2003年10月)を実現させるためのひとつの制度と捉えることができます。情報セキュリティ総合戦略は「1.事前予防策 2.事故対応策 3.全体を支える基盤」という三つの戦略から成り立っています。情報セキュリティ監査制度を利用しようというのは、事前予防策である「しなやかな事故前提社会システムの構築(高回復力・被害局限化の確保)」という戦略です。
情報セキュリティ総合戦略の中では今後のセキュリティ対策の方向性を示すだけではなく、具体的なアクションプランが提示されています。情報セキュリティ監査に関連した項目の一例をあげると(表1)のようになります。
| 国・自治体 |
3年以内に実現する項目 |
情報セキュリティ監査の実施、結果の公開 |
| 重要インフラ |
3年以内に実現する項目 |
情報セキュリティ監査の実施 |
| 株式公開企業や個人情報取扱業者 |
3年以内に実現する項目 |
情報セキュリティ監査の実施 |
| 中小企業 |
3年以内に着手し実行に移す項目 |
情報セキュリティ監査の実施 |
(表1) 今後、情報セキュリティ監査が活発に実施されるには、もっと具体的な目標や計画が必要になると思いますが、情報セキュリティ監査に対する注目度・期待度が発表時より格段にアップしているのは間違いありません。情報セキュリティ監査制度では、「監査する基準は何?」「監査をどこに頼めるのか?」「モデルケースは?」といった基本的な項目を満たすために(表2)のような基準や台帳を公開しています。この中の情報セキュリティ監査企業台帳は、個人として登録することも可能であり、任意登録制になっています。つまり、「情報セキュリティ監査を行います」と自己宣言すれば、登録することができます。また年に1度、経済産業省で登録の受付をしています。
| 標準的な基準の策定 → |
情報セキュリティ管理基準・情報セキュリティ監査基準 |
| 監査主体のあり方の提示 → |
情報セキュリティ監査企業台帳 |
| 電子政府のモデル提示 → |
電子政府情報セキュリティ監査基準モデル |
(表2)
経済産業省は情報セキュリティ監査制度の推進していますが、これに同調して「公正かつ公平な情報セキュリティ監査」の確立と普及・浸透を目的とした「特定非営利活動法人日本セキュリティ監査協会」が2003年10月に設立し、啓蒙普及セミナー・教育セミナーなどの活動も開始しています。セキュリティ事故に対する事前予防策として、情報セキュリティ監査制度の利用が期待されます。
|
HOME
会社概要
