2024.11.14
情報セキュリティの見直しと強化(監査と点検) 1/3
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では、組織における情報セキュリティへの取り組みを評価して、さらなる改善へと導くための監査・点検の重要性とその実施方法について説明します。
1.情報セキュリティの重要性と監査・点検の必要性
今日のデジタル社会では、セキュリティインシデントが企業に甚大な影響を及ぼすことがあります。特にサイバー攻撃は手口が高度化し増加し続けています。このような中で、個人情報や機密情報の保護は企業活動において不可欠です。情報漏えいやシステムダウン等の事態が発生すれば、企業の信頼を失墜させかねません。したがって、情報セキュリティ対策は経営戦略の重要な一部として位置づけられ、定期的な監査と点検によってその有効性を評価し続けることが求められます。
2.監査と点検の役割と違い
「監査」と「点検」という言葉は、情報セキュリティだけでなく、様々な分野で使われています。
「監査」には、会計監査、業務監査、監査役監査などがあります。
「点検」には、自動車の日常点検と定期点検、ガス設備定期保安点検、消防用設備等の点検などがあり、経験がある人も多いのではないでしょうか。
監査と点検は、どちらも何かしらの基準と実際の状態や状況を比較し、そのギャップを確認する行為です。
それぞれの違いについて、明確な定義はありませんが※1、一般的には以下のように区分されています。
| 用語 | 範囲 | 実施主体 | 特徴 |
|---|---|---|---|
| 監査 | 組織全体または特定部門 | 監査担当者や外部専門家 | 独立性・客観性を重視 |
| 点検 | 特定の業務や設備 | 業務や設備の担当者 | 問題の早期発見・予防を重視 |
監査は対象業務に従事していない他部署や取引先など、独立した立場の監査担当者によって実施されるものに対し、点検は担当者自身が実施します。
従って、客観的かつ専門的な確認を行う場合には監査が適しており、適時簡易に確認する場合には点検が適しています。
状況に応じて使い分けることで効果的なセキュリティ対策が可能となります。
※1 経済産業省「情報セキュリティ監査基準」では次のように説明しています。
情報セキュリティ監査は、独立かつ専門的な立場から、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を与えるもの
3.効果的な情報セキュリティ監査・点検の実施方法
情報セキュリティの監査と点検を効果的に進めるためには、以下の事柄を確認します。
・セキュリティルールの徹底
一般に必要とされる情報セキュリティ対策を基準として、組織内で策定されたセキュリティルールがしっかりと周知・実行されているか確認します。
・潜在的なリスクの特定
現行のシステムやプロセスにおける見落としや潜在的なリスクはないか確認します。不十分な点があれば、必要な改善策を講じます。
・事故防止対策の検証
現行の対策の有効性やセキュリティ事故の防止に役に立っているかを検証し、必要に応じて改善策や新たな対策の導入を検討します。
監査・点検には、以下の方法があります。
| 質問(インタビュー) | 従業員や委託先の管理者などに直接質問して回答してもらう |
|---|---|
| 閲覧(レビュー) | 関連する文書や記録、パソコンの設定画面など対策を実行した証拠となるものを確認する |
| 観察(視察) | 点検の対象となる職場に出向き、従業員が規程や標準規格などに従った行動をしていることを確認する |
| 技術診断 | 専用ソフトウェアなどを使ってコンピュータやネットワークのセキュリティ対策が実行されているかを確認する |
| チェックリスト | チェックリストや質問書を配付して回答してもらう |
ここでは例として、監査・点検の基準に独立行政法人情報処理推進機構(IPA)の公表資料「情報セキュリティ5か条※2」を用いた進め方を解説します。
※2「情報セキュリティ5か条」
https://www.ipa.go.jp/security/sme/f55m8k0000001wb3-att/000055516.pdf
4.監査・点検の進め方の例
「情報セキュリティ5か条」を監査・点検の基準に用いて「質問(インタビュー)」「閲覧(レビュー)」を行う場合、以下のステップに沿って進めていきます。
(1)「情報セキュリティ5か条」を基準にする。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
(2)5か条のうち 「1. OSやソフトウェアは常に最新の状態にしよう! 」に示された対策例の実施状況を確認する。
| 1.OSやソフトウェアは常に最新の状態にしよう! | |
| 対策例 | ・WindowsUpdate(WindowsOSの場合)、ソフトウェア・アップデート(macOSの場合)などベンダの提供するサービスを実行する。 ・Adobe Reader、ブラウザなど利用中のソフトウェアを最新版にする。 テレワークで利用するパソコン等のソフトウェアやルーター等のファームウェアを最新版にする。 ・利用中のソフトウェアに脆弱性が存在しないか、MyJVN バージョンチェッカ※で確認する。 ※パソコンにインストールされているソフトウェア製品が最新かどうかを簡単な操作で確認できるツール https://jvndb.jvn.jp/apis/myjvn/ |
【手順1】
従業員に、パソコンのWindowsUpdate画面を開いてもらい、以下を確認する。
・「最新の状態です」または「更新プログラムを利用できます」「利用可能な更新があります」のいずれが表示されているか。
・その他のオプション「利用可能になったらすぐに最新の更新プログラムを入手する」がオンになっているか。
【手順2】
「更新プログラムを利用できます」「利用可能な更新があります」と表示された場合、または「利用可能になったらすぐに最新の更新プログラムを入手する」がオフの場合は、最新の状態にしていない理由を訊ねる。
【手順3】
回答から「セキュリティ事故防止のために役に立っているか?」を判断し、必要に応じて、助言や改善を依頼する。
| 解答例 | 改善依頼・助言例 |
|---|---|
| ・アップデートが始まると、完了するまでパソコンが使えなくなることがあるので更新プログラムの入手をオフにした。 ・アップデートのリリース時に、たまたまネットワークに接続していなかったのでアップデートを後回しにしてパソコンを使っていた。 | ・更新プログラムの入手をオンにしてアップデートを業務時間外に設定してもらう。 ・ アップデートしてからパソコンを使うようにしてもらう。 |
| ・OSをアップデートすると利用している業務システムの動作が保証されないので更新プログラムの入手をオフにしている。 ・ サポートが終了したOSで動く業務システムを使っているため、アップデートすることができない。 | ・業務システムが最新版のOSに対応しているかメーカーに問い合せてもらう。 ・対応している場合は業務システムもアップデートしてもらう。 ・対応していない場合は以下を遵守してもらう。 ① インターネットに接続しない。 ② 外付けHDDやUSBメモリ等の外部メディアに接続する時には場合には必ずパターンファイルを更新したウイルス検知ソフトでスキャンしてから接続する。 |
5.情報セキュリティ監査・点検の基準
情報セキュリティの監査・点検を実施するには、判断の根拠となる基準が必要です。
情報セキュリティ監査・点検の基準として利用できる資料は、公的機関が無償で提供しているものがあります。
社内の環境や取り組みレベルに合わせて、活用してください。
<IPA>
『情報セキュリティ5か条』
https://www.ipa.go.jp/security/sme/f55m8k0000001wb3-att/000055516.pdf
『5分でできる!情報セキュリティ自社診断』
https://www.ipa.go.jp/security/sme/f55m8k0000001waj-att/000055848.pdf
<東京都>
『中小企業向けサイバーセキュリティ対策の極意』MISSION2 すぐやろう!対サイバー攻撃アクション
https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/CyberSecurity.Ver.2.2a.pdf
<経済産業省>
『情報セキュリティ管理基準』
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
<内閣サイバーセキュリティセンター>
『政府機関等のサイバーセキュリティ対策のための統一基準』(令和5年度版)
https://www.nisc.go.jp/pdf/policy/general/kijyunr5.pdf
なお、本稿は、IPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。
次回は、「監査・点検結果をどのように活かすか?」について解説します。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
