情報セキュリティ監査制度の狙い

■監査制度の概要

情報セキュリティ監査制度では、情報システムのセキュリティだけではなく情報資産全体のセキュリティを確保することを目標にしています。また、情報セキュリティ監査をする場合は、「情報セキュリティの強度」を監査するのではなく、情報資産に対してリスクのマネジメントが効果的に実施されているかどうかを監査するという視点が重要であるとしています。

つまり、単純にどんな情報セキュリティ対策を実施しているかを見るだけではなく、情報資産に対するリスクアセスメントを行い、出てきたリスクに対して効果的なコントロール（情報セキュリティ対策）が施されているのかを監査するということです。「リスクのマネジメントが効果的に実施」という表現をしているように、リスクは時間と共に変化するという見方をしなければいけないので、継続的にマネジメントされる仕組みになっているかということも、重要になります。リスクアセスメントに関しては、被監査主体だけでなく監査主体も実施することが望ましいと情報セキュリティ監査制度では言われています。しかし、リスクアセスメントを監査主体が単独で実施することは現実的ではなく、監査主体は被監査主体が実施したリスクアセスメントが、情報セキュリティ監査を行う適用範囲の情報資産を網羅しているかどうか、またリスクアセスメントから割当てられた情報セキュリティ対策が効果的かどうかを見るということがよいでしょう。

情報セキュリティ監査制度では、監査をする時の基準として「情報セキュリティ監査基準」「情報セキュリティ管理基準」を公開していますが、それ以外にも「情報セキュリティ監査基準」のガイドラインとして「実施基準ガイドライン」と「報告基準ガイドライン」も公開しています。また、「情報セキュリティ管理基準」をすべての監査に全項目を適用するのではなく、監査を受ける組織体ごとに管理基準を策定する時のレファレンス（参照元）として位置付けています。そのため、監査を受ける組織体個別の管理基準を策定する場合のガイドラインとして「個別管理基準（監査項目）策定ガイドライン」も公開されています。基準とガイドラインの関係は（表1）のようになります。

「情報セキュリティ管理基準」は日本のJIS X 5080:2002をもとに策定されています。またJIS X 5080:2002は国際規格のISO/IEC17799:2000を国内規格化したものです。つまり、国際的にも整合がとれた制度です。被監査主体（監査される側）が情報セキュリティを高めるため、あるいは外に向けて情報セキュリティの監査結果を示す場合にも適した制度と言えるでしょう。