Click here to visit our sponsor 


---------------------------------------------------------------------
(設問ア)セキュリティポリシの必要性と策定状況
---------------------------------------------------------------------
1.対象企業の概要
----
 M社は大手の総合電機メーカである。家電、重電、産
業用機器、通信・情報機器、電子デバイスの5事業部か
ら成り、国内に28事業所、海外に50事業所を持って
いる。このM社のシステム監査にあたり、私は監査チー
ムの一員として参加する機会を得た。
 M社はコンピュータに関しては、わが国で最初に利用
し始めた企業の一つであり、既に40年の利用歴がある。
現在では、クライアントサーバシステムを構築し、事業
部ごとに業務処理を行い、全社的にデータベース管理及
びユーザ認証を行っている。
----
2.セキュリティポリシの策定状況
----
 従来からM社では、情報セキュリティの重要性に着目
し、就業規則、各種の業務管理規則等で情報セキュリテ
ィのルールを定めて従業員に遵守させてきた。セキュリ
ティエリアについては入退館室を厳重に管理し、持ち物
検査や授受の記録等を励行してきた。これらを通して外
部からの攻撃にも備えてきた。しかし、セキュリティポ
リシを策定するには至っていない。
----
3.セキュリティポリシの必要性
----
 最近は情報が大量になるとともに大部分はディジタル
化されて従来の管理方式が通用しなくなった。外部とイ
ンターネットを介して情報をやりとりすることが多くな
り、情報セキュリティに関して新しい管理の必要性が認
識されている。
 現在の情報セキュリティのルールでは各人は管理の対
象であるが、これからは意識を改革し、自ら管理者とし
て自主的に管理する必要がある。しかも、全員が足並み
を揃えて管理する必要がある。そのために、最近の情報
環境に妥当する統一的な遵守項目をセキュリティポリシ
として策定する必要がある。  (800字ライン)

---------------------------------------------------------------------
(設問イ)策定段階での監査の必要性と監査目標
---------------------------------------------------------------------
1.策定段階での監査の必要性
----
 セキュリティポリシは、最近の情報環境におけるリス
クを適切に分析し、合理的な対策としての遵守項目でな
ければならない。また、それは統一的な方針として、全
員によって遵守されなければならない。
 このような観点から、セキュリティポリシの必要性を
考える時、その策定の作業は必ずしも容易なものではな
い。M社の場合も、他社における策定の事例を収集しよ
うとしたが、そのまま真似できる事例は得られなかった。
そこで、原点に返って考えることになった。

 (1) 最近の情報環境におけるリスク分析
   インターネットの利用のひろがりと関連技術の進
  展によって、情報資産に対するリスクは、従来には
  なかった複雑さを呈するに至った。それに対する対
  策も、機器や設備等の設置、アクセスコントロール
  等の技術、システム管理者及びユーザによる運用の
  全てが適切かつ妥当なものでなければならない。
   また、内部だけでなく、ソフトウェア供給業者や
  ネットワーク事業者など外部の協力を得ることをも、
  対策の一部として組み込むことも必要になる。

 (2) 全員による遵守
   可視的資料に関する相互牽制だけでは、もはや不
  十分となったことは既に述べた。従って、全員がそ
  れぞれ自主的に情報セキュリティの管理に当たる必
  要についても述べた。
   全員による遵守を確実なものにするためには、基
  本となる考え方、すなわちセキュリティポリシが明
  確に定められること、その周知徹底が図られること
  と並んで、その実行に極端な無理を強いない考慮も
  必要である。その上で、自主的な遵守状況をモニ
  ターできる体制を整えることが肝要である。
   そのためには、セキュリティポリシ策定の過程で、
  情報技術の専門家と並んで現場の実務を熟知した
  ユーザの参画を得て、運用しやすいセキュリティポ
  リシを策定したい。M社ではそのようにする方針で
  ある。

 (3) 監査の必要性
   上記の(1)及び(2)の点を確認するために、監査
  をする必要がある。セキュリティポリシ策定担当者
  が、この分野における経験が十分でなく、監査とい
  う形で助言・勧告すること自体に意味があるという
  事実も背景にある。
----
2. 監査目標
----
 前項により、監査目標はおのずから次の2点となる。

 (1) 最近の情報環境におけるリスク分析に照らして、
  妥当なセキュリティポリシの策定を確認する。
   最近の情報環境とは、主としてインターネットの
  利用が拡大した状態である。便利で効率の良い環境
  が実現した一方で、不正アクセスやウイルスによる
  被害が多発している。内部者による不正行為も、従
  来の物理的なチェックでは発見しにくくなっている。
   このようなリスクの種類、発生頻度、それによる
  被害の大きさ等を考慮して、合理的で妥当な遵守項
  目を策定する必要がある。

 (2) 全員による遵守を確実なものとするよう確認す
   る。
   リスクに対して、その発生を未然に予防すること
  が理想であるが、完全に予防するには厳しい措置を
  設けてそれを遵守させる必要がある。それでは、現
  実に全員による遵守が困難になる。むしろ、ある程
  度のリスク発生は現実にあり得ると割り切って、そ
  の早期発見と回復を可能にする体制を整える事が重
  要である。また、全員による遵守状況を確実にモニ
  ターする体制を確認する。
   

---------------------------------------------------------------------
(設問ウ)問題発生理由及び監査人の対応
---------------------------------------------------------------------
1.運用段階における問題発生理由
----
 これには大きく分けて、二つの理由が考えられる。

 (1) セキュリティポリシそのものが最初から不完全
  であった。何事も「完全」ということはないとも言
  えるが、セキュリティポリシとなれば、極力完全を
  期して抜け穴のないものを策定する。それでも、思
  い違いや見落としなどで、セキュリティポリシを遵
  守していても問題が生じる場合があり得る。

 (2) セキュリティポリシ策定時には存在しなかった
  リスクが、その後に発生し、セキュリティポリシは
  最新の状態に対応できていない。例えば、インター
  ネット経由の不正アクセスの手口には、新しいもの
  が出現し、言わば「日進月歩」の状態である。この
  ような新しいリスクに対して遅れずにセキュリティ
  ポリシを改訂増補していくことは、至難の技に近い。
----
2. 監査人の対応
----
 監査人は監査を通して得られた事実に基づいて、意見
を述べる。この問題で重要なことは、問題の性質を見極
めて、適切な意見を述べることである。すなわち、情報
セキュリティポリシの問題と一口に言っても、運用上セ
キュリティポリシが遵守されていないという問題もあれ
ば、セキュリティポリシそのものが見直しと改訂に相当
するという問題もあり得る。監査人はこの問題がどこに
あるかを、間違えずに見極める必要がある。
 セキュリティポリシが遵守されていないという問題で
あれば、そしてセキュリティポリシが妥当性を失ってい
ないのであれば、セキュリティポリシの確実な遵守を指
摘・勧告する。
 セキュリティポリシが改訂を必要とするのであれば、
そのことを指摘し、改訂作業を勧告する。
 いずれの場合も、企業にとっては安易にできることで
はない。その実施を確実にするためにフォローアップを
していく必要がある。
                          (以上)
[ 戻る ]