情報セキュリティ監査資格制度の検討報告

第2編
第2部
スキル部会WG2
情報セキュリティ監査資格制度の検討報告
平成 16 年 3 月 31 日
第2編
第2部
目次
スキル部会 WG2 執筆およびまとめ参加メンバーリスト ............................................... 168
1.
監査市場の要求は何か ........................................................................................... 169
1.1
情報セキュリティ監査の必要性...................................................................... 169
1.2
近い将来の情報セキュリティ監査の姿 ........................................................... 170
1.3
情報セキュリティ監査市場の規模と監査人の数............................................. 170
2.
スキル資格制度の必要性........................................................................................ 172
2.1
情報セキュリティ監査に対する期待............................................................... 172
2.2
関連する主な資格制度 .................................................................................... 172
2.3
スキル資格制度の必要性 ................................................................................ 173
制度設計の考え方............................................................................................... 176
3.
3.1
情報セキュリティ監査制度に関連する制度.................................................... 176
3.2
情報セキュリティ監査ビジネスの展開 ........................................................... 185
情報セキュリティ監査の制度設計の考え方 ....................................................... 191
3.3
4.
監査の内容と必要なスキルの問題 ......................................................................... 196
4.1
本部会における検討の進め方 ......................................................................... 196
4.2
監査人に必要なスキル .................................................................................... 196
4.3
監査チーム...................................................................................................... 197
5.
情報セキュリティ監査人の資格基準...................................................................... 199
5.1
監査人の位置付け ........................................................................................... 199
5.2
監査人に要求されるスキル............................................................................. 200
5.3
監査人に要求されるスキルのレベル............................................................... 203
5.4
監査の種類と監査人の役割............................................................................. 204
5.5
監査人の種類と資格基準 ................................................................................ 204
5.6
資格の更新...................................................................................................... 207
6.
情報セキュリティ監査人資格制度における的確な審査方法とその問題について.. 209
6.1
本章の目的...................................................................................................... 209
6.2
審査手法の種類について ................................................................................ 209
6.3
それぞれの審査手法の目的と考えられる問題点............................................. 209
6.4
情報セキュリティ監査人資格において適切な審査とは .................................. 211
7.
事故等への対応...................................................................................................... 212
8.
まとめ .................................................................................................................... 213
8.1
情報セキュリティ監査人資格制度の骨子 .......................................................... 213
8.2
今後取り組むべき項目と課題............................................................................ 216
9.付表 ........................................................................................................................... 218
参考資料 ........................................................................................................................... 219
167
本調査研究は、スキル部会下のワーキングルグープとして、平成 15 年 10 月から平成 16
年 3 月までの間、情報セキュリティ監査を遂行する監査人に必要なスキルについて検討し
た結果をまとめたものである。
スキル部会 WG2 執筆およびまとめ参加メンバーリスト (敬称略)
スキル部会長
IBM ビジネスコンサルティングサービス 株式会社
大木 栄二郎
スキル部会 WG2 リーダ
日本電気 株式会社
杉浦 昌
(WG2 メンバー)
中部コンピューター 株式会社
大友 康宏
株式会社 日立製作所
織茂 昌之
株式会社 ディアイティ
河野 省二
株式会社 アルゴ21
五味 巻二
中央青山監査法人
神久 治郎
松下電器産業 株式会社
中島 経雄
株式会社 富士通ソーシアルサイエンスラボラトリ
羽生田 和正
中央青山監査法人
堀口 和巳
(部会長、リーダ以下五十音順)
168
1.
監査市場の要求は何か
2003年7月、政府のIT戦略本部は、2005年までに日本が世界最先端のIT国家になること
を、e-Japan戦略Ⅱの中で目標としてかかげた。これを実現するためには、IT分野において
情報セキュリティを確保する合理的な仕組み作りを緊急にすすめることが必要である。
このようななか、近年の情報セキュティの分野では、単に個別のセキュリティ対策を組
み合わせるだけでは効果が薄く、組織内のセキュリティ確保のための権限や責任、運用体
制等の明確化、情報資産を明確にした上でそれに対するセキュリティ上のリスクの評価を
行った上で各種のセキュリティ対策を施す等の活動を行う、いわゆるセキュリティマネジ
メントが重要であるとの認識がなされるようになってきた。2000年頃より盛んになってき
たセキュリティポリシーの策定や、日本情報処理開発協会が推進するISMS適合性評価制度
の認証制度の利用は、セキュリティマネジメントを実現する方策の一つであるといえる。
マネジメントは一般に、PDCAサイクルと呼ばれる、計画から実行、状況の確認、それに
対する対応の実施という一連の活動の連鎖に沿って行われることが望ましく、監査はPDCA
サイクルにおける状況の確認を行う手段の一つと位置づけられる。
しかし、現在のITシステムの状況をみると、PDCAサイクルが機能していないのみならず、
個別のセキュリティ対策の実施すら不十分な組織もある。そのような組織においては、セ
キュリティ監査をPDCAサイクルにおけるセキュリティ状況の確認に用いるのではなく、そ
の組織のセキュリティ対策の立案そのものに直接に役立てたいという要望もある。これは
監査を脆弱性検査あるいはセキュリティアセスメントとして用いようとする考え方である。
このような内容の行為に監査という用語を用いるのが適切かどうかは議論の余地がある
が、いずれにせよ、実際のITシステムを運用している現場の要望としては、監査に対して
そのような直接的な役割も期待しているのは事実である。このため、情報セキュリティ監
査制度においては、目的に応じて監査の方法や内容を変更、追加することを認めており、
さらに、監査の目的によって保証型監査、助言型監査といった考え方を明らかにしている。
1.1
情報セキュリティ監査の必要性
現在の日本の事業所統計から情報セキュリティ監査を考えてみる。
総務省の統計によると、平成13年度の総事業所数は約630万となっており、そのうち従業
員数が5人未満の事業所が全体の60%を、従業員数が10人未満の事業所が全体の80%を占め
ている。現在、多くの業種においてパソコンやインターネットを業務に用いることが常態
化しているため、今後日本におけるセキュリティ対策を考える際には、人的・資金的リソ
ースを持っている大・中規模の事業所におけるセキュリティ対策だけでなく、このような
規模の小さな事業所におけるセキュリティ対策についても考える必要がある。
特にこれら規模の小さな事業所では、多額のセキュリティ投資や専任のセキュリティ担
当者の設置が不可能である上に、情報セキュリティ対策について相談する専門家が身近に
169
いない場合も多い。
このような状況では、広く情報セキュリティについての知識とスキルを持つ監査人が、
保証型監査ないしは助言型監査の実行を通して多くの事業所のセキュリティ対策に大きく
寄与することが期待出来る。
当然ながら、監査を実施するにはそれなりの費用もかかるが、昨今の個人情報漏洩の事
例をあげるまでもなく、いったん情報漏洩やデータ盗難、破壊が発生してしまった際の損
失額は膨大なものとなり、事業所の倒産のみならずプライバシーの侵害という、金銭的損
失にかえられないような大きな社会的損失が発生してしまうことを考えれば、各事業所の
ある程度の工数的、金銭的負担はやむを得ないであろうし、今後はそれが必要な投資と認
知されるような社会的合意が形成されていくであろう。
1.2
近い将来の情報セキュリティ監査の姿
市場における情報セキュリティ監査がどのような姿になるかを考えてみる。
それほど遠くない将来、いずれ日本の多くの企業や団体においても十分な情報セキュリ
ティ対策が行われ、それにともなって、制度化された情報セキュリティ監査を利用したい
という要望が出てくるであろう。
例えば顧客の個人情報を多く保有している企業や、高度な情報資産を保有している企業
では、相応の情報セキュリティ対策を実施するようになっているはずである。このような
企業は、自己の情報資産を洗い出し、その情報の価値と脅威を分析し、セキュリティ対策
を推進する体制を構築した上で日々のセキュリティ対策を行うのは当然として、それに加
えて公平・公正な外部の監査人による保証型の監査を行って、自己の組織のセキュリティ
対策の妥当性を保証し、それを利用者や取引事業者に対してきちんと表明したいと考える
であろう。
また、情報セキュリティ対策に取り組んでいる最中の企業や団体では、情報セキュリテ
ィの専門技術者による助言型のセキュリティ監査を受けることにより、現在すすめている
情報セキュリティ対策の有効性、実効性の確認を行ったり、セキュリティ対策の見落とし
を防止したりしたいと考えるであろう。
さらに、情報セキュリティ対策の方向性を模索している企業や団体においては、助言型
の情報セキュリティ監査をうけることによって、自己の組織のセキュリティ上の問題点の
洗い出しと今後のセキュリティ対策の策定という、ほとんどコンサルティングに近い作業
が必要とされるであろう。
1.3
情報セキュリティ監査市場の規模と監査人の数
前記の統計データに従って、将来、情報セキュリティ監査が世の中に定着した時期に
おける、市場規模と必要な監査人の数を考える。
統計データによれば、従業員100人以上の企業は現在約6万社ある。それらの企業に加え、
170
自治体統合後の全国の約2千の地方自治体とあわせて6万2千程度の大きさの組織がまずは
情報セキュリティ監査を必要とするであろう。これらの企業、団体が、年に1回、250万円
の費用をかけて監査を実施すると、約1550億円の情報セキュリティ監査市場が形成される。
これらの監査を実際に遂行する際、1人の監査人が年間に10件弱の監査を行う状況を想
定すると、約6300人の外部監査人が必要となる。
更に、この規模の団体に加え、より規模の小さな企業や団体では、自己の組織の内部要
員だけで監査を行う場合もあろう。従業員50人程度の規模の事業所であれば、このような
内部監査の実施が有効であると予想されるので、その作業工数を満たすだけの監査人の数
が必要となる。
前記統計データによれば、従業員が50人以上の事業所は全国で約16万ある。この事業所
において、年二回、1回の監査に6人週程度の工数を投入するとすれば、全体で、年間192
万週分の監査工数が必要となる。それらの監査が年間約28.5週で均等に行われるとすれば、
6万7千人の内部監査人が必要となる。
これに加え、全国の約2千の地方自治体、及び中央官庁とそれに関連する団体650程度に
おいて、自己の組織に対して情報セキュリティ監査を行うことの出来る内部監査人を置く
ことが必要になるであろう。
したがって、情報セキュリティ監査が日常のセキュリティ対策の一環として日本に定着
した際には、最終的には7万人程度の内部監査人が必要になると予想される。
これだけの市場規模が形成され、監査人が必要とされる状況に対し、社会負担の増大に
つながることを危惧する意見もある。しかし、セキュリティ監査の実施が日本の情報セキ
ュリティ対策に必要不可欠である以上は、逆にこのような規模の市場を形成することが、
結局は長期的に見て各事業所において情報セキュリティ対策が恒常的に行われることにつ
ながり、それが最終的に日本の情報セキュリティレベルの向上につながると考えられる。
このような情報セキュリティ監査の普及と定着のためには、監査人の育成や資格制度の
制定において、従来の情報セキュリティ人材の育成策から一歩踏み出した対応が必要とな
ろう。それらは一朝一夕に実現出来るものではないため、今後、官民が連携しながら、本
協会の活動の中で方策を決定していく必要があると考える。
171
2. スキル資格制度の必要性
2.1 情報セキュリティ監査に対する期待
組織が実施している情報セキュリティ対策が、現時点において適切なものとなっている
か、また、環境変化等に応じそれら対策が継続的に維持、改善できるようになっているか、
すなわち、情報セキュリティマネジメントの確立状況を、独立かつ専門的知識をもった者
が評価し、現状の客観的な把握と改善の方向性の提示、また、一定の判断尺度のもとでの
合理的な保証を得ることは、組織にとって有益なことであり情報セキュリティ監査制度に
はこのような期待が大きいと考えられる。
一方、e-Japan 戦略で目指すような高度情報ネットワーク社会においては社会全体として
のセキュリティレベルの向上、維持が必要である。このことは、情報セキュリティ監査に
おいても、民間分野の組織では大企業から中小企業まで、政府関係分野の組織では中央省
庁から都道府県市町村までがその対象範囲となり、また、社会的な重要インフラを担うよ
うなシステムから組織内の業務処理システムのような多種多様な情報システムが対象とな
ることを意味する。すなわち、多種多様な対象のニーズに応じた監査の実施が期待されて
いることになる。
このような多種多様なニーズがある中で、一人の情報セキュリティ監査実施者でこれら
すべてのニーズに応えることは非常に困難である。監査を依頼する側(被監査側)として
は、自分の組織にあった監査を受けられることが重要であり、そのためには、それぞれの
監査実施者がどのようなニーズに応えられる能力をもっているかを判断する尺度が必要で
ある。すなわち、被監査側と被監査側の依頼を受けて監査を実施する側との間で一定以上
の監査の品質を担保できる共通の判断尺度が必要である。この尺度となるものが、情報セ
キュリティ監査の実施者がどのレベルのスキルを持つかを認定するスキル資格制度であり、
このような資格制度を確立することは、監査を受ける側にとって有益なものである。一方、
監査を実施する者にとっても自らのスキルの把握及び明確なスキルアップ目標設定により
監査人としての質の確保をしやすいという意味で有益なものと考えられる。
以下、本章では既存の関連する資格制度もふまえて、情報セキュリティ監査における新
たなスキル資格制度を構築することの必要性について考察する。
2.2
関連する主な資格制度
現在、情報セキュリティ監査に関連する主な国家資格及び民間資格としては以下のよう
なものがある 1) 2)スキル部会 WG2 巻末第 2 章参考資料参照。
2.2.1 監査理論全般、監査の実務に関連する資格
(1) システム監査技術者
財団法人日本情報処理開発協会により行われている、システム監査技術を有してい
ることを認定するための国家試験。
172
(2)
公認システム監査人
特定非営利活動法人日本システム監査人協会(http://www.saaj.or.jp)が認定するシス
テム監査人の資格。
(3)
公認情報システム監査人(CISA)
情 報 シ ス テ ム コ ン ト ロ ー ル 協 会 (Information Systems Audit and Control
Association
http://www.isaca.gr.jp)により認定されるシステム監査人の資格。
2.2.2 ISMS 審査に関連する資格
(1) ISMS 主任審査員
財団法人日本情報処理開発協会が認定する資格であり、ISMS 審査において審査計画
を立案し、審査チームの業務分担を明らかにするとともに、審査チームリーダとして
審査過程全般を統括し、自らの責任において審査報告書を作成・提出できる資格。
(2)
ISMS 審査員
財団法人日本情報処理開発協会が認定する資格であり、ISMS 審査において審査実施
計画を具体的な業務分担にまで詳細化し、実際に審査を行い、審査結果をまとめ、ま
た、主任審査員の助言の下、審査チームリーダを担当することのできる資格
(3)
ISMS 審査員補
財団法人日本情報処理開発協会が認定する資格であり、ISMS 審査において主任審
査員の指導・助言の下、補助者として審査の実務を担当できる資格。
2.2.3 IT セキュリティ技術に関連する資格
(1) 情報セキュリティアドミニストレータ
財団法人日本情報処理開発協会により行われている、情報セキュリティ管理につい
ての一定の専門的知識・能力を有していることを検定するための国家試験。
(2) 公認情報セキュリティ管理者(Certified information security
manager)
情 報 シ ス テ ム コ ン ト ロ ー ル 協 会 (Information Systems Audit and Control
Association
http://www.isaca.gr.jp)により認定されるセキュリティ管理者としての
専門的能力を有していることを証明する資格。
(3)
公認情報システムセキュリティ専門家(CISSP)
(ISC)2(International Information Systems Security Certification Consortium
http://www.isc2.org)により認定される情報セキュリティについての専門的能力を有し
ていることを保証する資格。
2.3
スキル資格制度の必要性
情報セキュリティ監査で要求されるスキルについては4章で詳細に検討するが、大きく
173
は次のような事項が要求されると考えられる。
(1)
監査スキル
監査理論全般や監査の実務に関連するスキル。情報セキュリティ監査制度において
は、マネジメントにおけるコントロールが監査手続きを実施した限りにおいて適切で
ある(または不適切である)旨を伝達する「保証型監査」に関するスキル、マネジメ
ントにおけるコントロールの改善を目的として監査対象の情報セキュリティ上の問題
点を検出し改善提言を行う「助言型監査」に関するスキルが必要である。
(2)
技術スキル
監査において、監査対象の情報セキュリティ対策状況を的確に評価するための基盤
となるスキル。情報セキュリティ対策の前提となる情報セキュリティマネジメントの
評価に関するスキル、情報セキュリティに対する技術的対策を評価するための基本と
なる IT システムセキュリティ技術に関するスキル
2.2節で示した資格制度は、上記(1)の監査スキル、(2)の技術スキルを部分的に
カバーしていると考えられるものもあるが、これら個別の資格制度単独で情報セキュリテ
ィ監査に要求される多様なニーズを満足するためのスキルを総合的にカバーすることはで
きない。すなわち、現行の資格制度のみでは、情報セキュリティ監査全体のスキルに対す
る被監査側と監査実施側との間での共通の尺度とはなりえない。このため、情報セキュリ
ティ監査に要求される多様なニーズに対し、監査実施者がどのレベルのスキルを持ちどこ
までニーズを満足できるかを示す判断尺度として、新たな資格制度の構築、確立が必要で
ある。
この資格制度の構築においては、情報セキュリティ監査への多種多様なニーズに対応す
るために次のような観点が必要と考えられる。
(a) 情報セキュリティ監査において何をどのようなプロセスで実施しなければならない
のかを明確にし、そのプロセス実施のために監査実施者にはどのようなスキルが必要
かを明確にする。情報セキュリティ監査実施者に要求されるスキルマップとでも言う
べきものが必要である。
(b) このようなスキルマップに対して、それぞれのスキルをカバーし全体として総合的
な情報セキュリティ監査実施を担保できるような資格体系を構築し、その体系に則っ
た資格制度を確立する。なお、この体系の中で、既存資格制度でカバーできる分野が
あれば、その部分は既存の資格制度を活用することが、同様な資格の乱立を防ぐ意味
でも望ましい。
このような資格制度を確立することにより、情報セキュリティ監査を行うことのできる
人材の裾野を広げるとともに、監査実施者の質を確保・向上させてゆくことができる。ま
た、監査の実施内容とそれに対する監査実施者のスキルの明確化、監査チームを組む場合
174
のチーム全体としてのカバー範囲の明確化が可能となる。これより、被監査側と監査実施
側との意思疎通、信頼醸成に役立ち、制度としての信頼性を確立し監査制度の健全な発展
に寄与し、ひいては高度情報ネットワーク社会における情報セキュリティレベルの向上、
維持の達成に寄与するものと考えられる。
175
3.
制度設計の考え方
情報セキュリティ監査制度とそれを支える技術者の資格制度は、わが国の組織・企業に
おける情報セキュリティを強固にする目的を持ち、あわせて将来の情報セキュリティビジ
ネスの産業基盤を確実かつ健全な市場に育成することが目的と考える。
そのためには、「多様な事業主体からの参画と活動を前提とすることにより、幅広く奥行
きのある制度を構築し、多種多様な情報セキュリティビジネスの展開を前提とし、あわせ
て被監査人へのニーズに対して効果の高いサービスを提供することが必要になる」(2003
年 3 月 26 日、情報セキュリティ監査研究会報告書)。
本章では、既存の制度と資格を参考にとりあげ、情報セキュリティ監査制度の構築を検
討する上の課題を探ることにより、新たな制度設計のあり方について考察するものである.
3.1
情報セキュリティ監査制度に関連する制度
情報セキュリティ監査制度に関連するビジネス主体と制度と技術資格を類型化し、3 つの
分野についてとりあげる。
z
財務監査制度(公認会計士、監査法人)
z
品質/環境 ISO マネジメントシステム認証制度(審査員、審査登録機関)
z
ISMS/プライバシーマークの認証制度(審査員、審査登録機関)
3.1.1 財務監査制度(公認会計士、監査法人)
(1) 会計監査からコンサルティングへの展開
公認会計士業務は、図 3-1 に示すように、会計監査、コンサルティング、税務の 3
つの柱を持つ。その主柱としての公認会計士制度は、1948 年に制度化され、実績を築
き上げたものである。監査法人による財務監査は、公認会計士の公的資格を有する監
査人が、証券取引法や商法などの枠組みの中で、公的監査制度として定着したもので
ある。それは、明快な会計理論と監査理論に支えられ、制度的にも組織的にも堅固な
基盤に支えられたものと考えられる。
最近では、情報技術の進展は、様々な情報を必要なチャネルを通して入手が可能に
なり、制度的にも国際会計基準の導入、時価会計、企業年金会計、連結決算など会計
制度上の大変化がおきている.そのため監査の精度と情報の開示が、クライアントだ
けでなく投資家や利害関係者にとっても重要な役割を果たすもである。
一方、経済活動の多様化に伴い、監査法人と公認会計士のビジネスノウハウが経済
社会における診断者としてのコンサルティングの役割が求められ、拡大する状況にあ
る。株式公開支援、各種ビジネスアドバイザリィサービス、システム監査などのメニ
ューがある。財務リスク、ビジネスプロセスリスクの観点や、公共事業体の監査制度、
および世界的な経済・証券市場の規制の中であらたな展開を進める分野として重要な
役割を担うものである。
176
情報セキュリティ監査制度への取組みは、ビジネスリスクコンサルティングおよび
システム監査の取組みの一貫として、派生したものである。
図 3-1 公認会計士業務
公認会計士業務
|―――――会計監査
|―――――コンサルティング
|
|−株式公開支援
|
|−ビジネスアドバイザリ
|
|
.財務リスク
|
|
.ビジネスプロセスリスク
|
|
.環境マネジメント
|
|
.コーポレートファイナンス
|
|−システム監査
|
|――――――税務
(2)
公認会計士資格制度
わが国の公認会計士資格保有者は 2002 年度、約 20,000 人といわれ、年間約 600 人
強が資格試験に合格し、新たな公認会計士を創出する。
公認会計士は税理士の資格を保有することが許されており、経済社会の監査人とし
てなくてはならない存在である。
公認会計士の資格を得るためには、図 3-2 に示すように、①第一次、②第二次短答式、
③第二次論文式、④第三次までの試験関門を合格する必要がある。
第二次試験合格後は、3 年間のインターン期間に会計士補として、実務補習・実務従
事の末、第三次試験に合格して、公認会計士の資格を得ることができる。
その後は、公認会計士協会に属すことにより、一定のプログラムによる定期的スキ
ルアップ研修(CPE 制度、年間 40 単位、集合研修、自己研修、申告制度)が義務付け
られ、レベル維持向上のための制度が維持されている。
177
図 3-2 公認会計士への過程
受験者
|
第一次試験
(大学在学 2 年以上で、
|
所定の単位修得者は免除)
第二次短答式試験
|
第二次論文式試験
|
会計士補
インターン 3 年
|
第三次試験
合格
|
登録
公認会計士
会計学(含む監査論)、商法、経営学、経済学、民法とさらに財務監査実施、財務分
析、会計実務、税の実務など実戦に即して対応できるための研修と実績を踏むことが、
資格の修得のゴールに入る方法である。
コンサルティング分野で活躍する場合、さらに各分野で要求される資格が前提とな
るものもある。
3.1.2 品質・環境 ISO 認証制度(審査員、審査登録機関)
(1) マネジメントシステム規格(ISO/JIS)と認証取得制度
品質マネジメント(QMS:ISO9001)と環境マネジメント(EMS:ISO14001)は、国
際標準規格として定められた規格を実践し、一定の認証機関からの認証を取得するこ
とにより、組織・企業の経営管理の仕組み(マネジメントシステム)を向上し、対外
的な信頼の証拠を得る制度である。
従来の ISO は、製品の標準規格を定めていたが、1990 年代に入り品質を手始めに、
マネジメントシステムを標準規格化し、PDCA サイクルによる継続的改善により、顧
客満足度向上や、環境改善を図る目的で制度化されたものである。
内外のマネジメントシステムの規格の現状は、品質マネジメント(ISO9001)、環境
マネジメント(ISO14001)、情報セキュリティマネジメント(ISO17799)、安全衛生
管理(OHSAS18001)、個人情報保護(JISQ15001)、リスクマネジメント(JIS Q2001)
がある。
178
最新の集計数値によれば、日本の位置づけは、品質マネジメント認証取得 35,823 件(世
界 56,1747 件、第 5 位)
、環境マネジメント認証取得 12,708 件(世界 49,462 件、第1
位)となっている。
マネジメントシステム規格については共通化の方針が貫かれており、国際的なマネ
ジメントシステム規格に準拠することの保証が図られることになる。現在は、品質マ
ネジメントは大企業、中堅企業までその需要が一巡し、新たには中小の建設業界が自
治体や官公庁の受注に QMS 導入が条件になり、その取得需要がある。
今後、マネジメントの標準化は、品質マネジメントシステムは、業界別の規格化が進
むこと、例えば自動車の QS9000/TS16949 に続き、宇宙、食品電気通信、食品、医療
機器などの規格化が進められている.企業・組織の社会的責任(CSR)の第三世代の
国際標準規格化が進むことが期待されている。
(2)
品質マネジメント・環境マネジメント審査員資格取得
品質マネジメントシステム・環境マネジメントシステムの固有資格には、ISO 審査
員の資格があり、特定の教育研修機関で研修を受け認定される。その後、実際の認証
審査に規定の回数を立会って審査員経験を積み、主任審査員の資格を得ることができ
る.主任審査員は審査対象に応じて、審査員と審査員補によるチームを組み、認証審
査を主宰する。
審査員と審査機関のビジネス的には、以下のような市場がある(図 3-1)。
①標準規格教育と審査員教育(組織ないまたは研修機関)
②認証取得支援コンサルティング(組織内の内部監査を含む)
③認証取得審査機関の審査員
現在の日本の場合、品質・環境マネジメントでは約 20000 人の審査員資格を保有す
る(前線で審査関連業務に当たるのはそのうちの 80%程度と想定)。
表 3-1 日本における QMS/EMS 認証取得・審査機関・審査員数
ISO9001
ISO14001
35,823
12,708
審査登録機関*
50
40
審査員研修機関*
16
19
審査員評価機関*
1
1
認証取得*
1
要員認証機関*
約 20,000 人
審査員
*
日本適合性認定協会による
審査員数は推定
品質マネジメントシステム・環境マネジメントシステムの場合、審査登録はマネジ
179
メントサイクルが適切に維持されているかを主眼とし、審査するもので、90 年代の市
場の要請から、急激な普及を見たが、その一方では形式的な審査やドキュメント審査
に重点が偏る問題も指摘される。
本来、品質の向上や、環境の改善など実質的・技術的なマネジメントシステムの維
持・改善は、クライアントの業務を運用する現場の自主的な努力と内部監査などの充
実により良好なプロセスを構築するものである(表 3-2)。従って外部審査により入
札条件の資格を得ても、それが経営システムの改善を果たすわけではない。極端な事
例では、マネジメントシステムの導入が公的インセンティブもなく、企業・組織の直
接的な業績向上に寄与しないため、経営者が投資効果の面からに、一たん取得した認
証の継続的な維持を中止するケースも現実化しており、制度の効果と普及の観点から
の課題が残されている。
表 3-2 品質マネジメントシステムの内部監査と認証審査について
目的
内容
監査員
内部監査
認証審査
QMS の改善
QMS の適合性
マネジメントシステムの監査
マネジメントシステムの認証審査
パフォ−マンス監査
組織の活動状況が妥当であるか
法規適合性監査
否か、第三者が客観的に確認し
組織内活動の妥当性の確認
認証
内部監査員
審査機関の審査員
方法
全数監査も可
サンプリング
期間
年間を通じても可
短期間
判定
適合性の合否、改善提案も可
適合性の合否
処置
是正処置、改善処置も可
是正処置
効果
現場の改善向上の効果大
外部への訴求効果
(出典
新世界標準 ISO マネジメント
日科技連)
3.1.3 ISMS とプライバシーマークの認証取得ビジネス
(1) ISMS 認証取得制度
情報セキュリティマネジメントシステム(ISMS)認証取得制度は、2001 年 4 月、
JIPDEC(日本情報処理開発協会)により認証制度がスタートした。2004 年 3 月現在、
累計で 359 組織が認証を取得している。
制度がスタートしてからは、当初は計算センタやデータセンタが情報システム安全
対策基準(約 130 組織)から移行は一巡し、その後は情報処理サービス会社が高い比
率を占めていたが、ネットバンクや金融業界、カード会社などが立ち上がり、最近で
は地方公共団体が ISMS の認証を取得する事例が現れている。
180
表 3-3
2002/4∼
期間
累計
ISMS 認証取得事業者数
2002/7∼
2003/1∼
2003/6∼
2004/1∼
12
66
164
298
359
4
11
15
17
20
平均/月
総計
359
個人情報の漏洩事件や不正アクセス事件、ウイルスによる被害の多発に比例して、
大企業でも全社取得を目指すところが目立っている。しかし、製造・流通など日本の
大数を占める企業の取得は、未だ立ち上がったとはいえず、情報セキュリティの認証
取得が、事業の受注や外部的なアッピールに直接結びついている企業や組織に留まっ
ているようにみえる。
表 3-4
ISMS と BS7799(日本)の認証取得組織
ISMS
BS7799
359
276
審査登録機関
11
←
審査員研修機関
13
←
審査員評価機関
1
←
要員認証機関
1
←
1600
←
認証取得
審査員
認証組織:11 組織、審査員教育:13 機関は品質、環境マネジメント制度とくらべて、
まだ十分整備されているとはいえないが、現在のところ需要に数倍の開きがあり、事
業規模としては、単独で成り立っている審査機関はわずかであり、残りは品質、環境
との兼業により成り立っているものとおもわれる。
世界的な動きを見ると、認証取得の総計 617 組織、であり日本が英国をぬいてトッ
プに立っているが、これは ISMS との同時取得によるものと考えられ、77%近くの組
織が同時取得していることがわかる。
米国は 12 位となっており、EC と北米の状況をみても、世界的な市場から見て、情
報セキュリティマネジメントとしての第三者認証ビジネスは、まだ立ち上がったとは
言い切れない状況である。(他国は別の認証制度が存在する影響については、未確認)
181
表 3-5
BS7799
国別
国別
日本
英国
インド
取得
276
127
28
(2)
認証取得組織
2004 年 3 月
西独
韓国
香港
22
22
17
米国*
合計
9
617
プライバシーマーク制度
1997 年、個人情報保護法の制定に先立って当時の通商産業省から[民間部門におけ
る電子計算機処理に係わる個人情報保護に関するガイドライン」が提示された。1998
年、JIPDEC は民間企業における個人情報保護のための認定制度(プライバシーマー
ク制度)をスタートした。1999 年には個人情報保護に係わる JISQ15001、「個人情報
保護に関するコンプライアンスプログラム」が制定され、プライバシーマーク制度の
運営が推進されている。2003 年 5 月個人情報保護法が制定され、2005 年度には、そ
の施行が決められている。
プライバシーマーク制度はこのような流れを背景にして、情報処理サービス業界、
リサーチ会社、学習塾などの業界から立ち上がり、現在ではおおよそ 733 組織がプラ
イバシーマークの認証取得を受けている。
特に 2003 年 5 月、個人情報保護法の施行が明確にされたことにより、注目をあびる
ことになって来た。ISMS に比べ、コンプライアンスが限られており、比較的導入し易
い理由もあるが、相次ぐ個人情報漏洩事件の発生がインパクトになっているように見
える。
表 3-6 プライバシーマーク取得事業者数推移
年
1998
1999
2000
2001
2002
2003~
総計
2004/3
累積
55
129
225
345
481
733
登録/年
55
74
96
120
136
252
733
ISMS は情報セキュリティマネジメントシステムの観点から企業・組織の情報全般に
わたるセキュリティが適用範囲であり、プライバシーマーク制度は個人情報保護の範
囲に閉じた観点からのセキュリティが適用範囲である。プライバシーマーク制度は個
人情報の取り扱いと管理に対して、具体的なマネジメントに重点を置いたコンプライ
アンスが定められるが、情報セキュリティリスクマネジメントについては共通の管理
策を適用することができる。
そのため、ISMS 制度とプライバシーマーク制度の 2 つの制度について、同時認証取
得の要望が増えてくる傾向にある。将来の情報セキュリティ監査制度については両者
がより有機的な関係に位置づけることが必要になるものと想定される。
182
表 3-7
ISMS とプライバシーマーク制度
ISMS 制度
制度
適用範囲
プライバシーマーク制度
適用範囲の組織が扱う情報全般にわ 全社組織が扱う個人情報が対象のコ
たる情報セキュリティマネジメント ンプライアンス
システム
情報の扱い
情報リスクマネジメントが中心。
個 人 情 報 の 保 護 方 針 が 中 心 。 JIS
JIS5080/ISO17799 に準拠。
Q15001 に準拠。
プライバシーリスクマネジメント
対象範囲
特定の部門、業務、全社まで選択
原則として全社が対象範囲に限定
評価認定機関
JIPDEC ISMS 制度推進室
JIPDEC プライバシーマーク事務
JIPDEC 審査員評価登録室
局
図 3-3
ISMS とプライバシーマーク制度の位置づけ
プライバシーマーク制度
個人情報
リスクマネ
ISMS制度
ジメント
情報セキュリティ
リスクマネジメント
(3)
ISMS とプライバシーマーク制度の運用体制と審査員
情報セキュリティマネジメントシステム(ISMS)においては、審査員評価登録機関
として JIPDEC
ISMS 審査員評価登録室が研修機関から申請された審査員を評価す
る。審査登録機関および審査員研修機関の認定機関として JIPDEC ISMS 制度推進室
が申請を受け、審査・認定をおこなう。現在、JIPDEC に登録された ISMS 審査員は
1600 人を数えている。大半の資格保有者は、ISO9001/14001 の経験を積んだことによ
る登録者である。プライバシーマーク制度についても同様の枠組みで運用される。
183
図 3-4
ISMS の運用体制
JIPDEC
認定機関
審査員評価登録機関
(ISMS 制度推進室)
↑
(ISMS 審査員評価登録室)
審査/認定
申請
↑
↓
申請
審査登録機関
認証登録申請
↓
審査員研修機関
(11 社:JQA,BSi-J,・・・)
↑
評価
(13 社:・・・・・・・)
審査/認証
↑
↓
ISMS 認証評価希望事業者
受講証明書発行
審査員コース受講
↑
↑
↓
ISMS 審査員資格希望者
苦情・意見
(4)
情報セキュリティコンサルタントと ISMS 内部監査人の資格
現在の日本の制度では、情報セキュリティコンサルタントの資格について規定で
定められている資格制度はない。ISMS の内部監査人については、企業・組織内部に
おける独立性の条件の他には規制はされていない。
情報セキュリティコンサルタントと ISMS 内部監査人の資格は一般的には ISMS
主任審査員または審査員の資格を保有するものが実施する場合が多い。
プライバシーマークコンサルタントの場合についても同様である。
3.1.4
各種制度と資格に対する考察
いかに、3 つの分野からの結果から得ることができた評価について、取り纏める。
z
会計監査制度は歴史もあり、法的な強制をもつ。公認会計士制度は専門分野の高
い力量を維持する資格制度が確立されており、業界の自主的・制度的運用努力が円
滑かつ信頼のおける制度運用に繋がっているように思われる。
z
ISO 認証制度は企業・組織が自ら必要性を認識して取り組むべき任意制度であり、
内部監査や自助努力が成果にとって最も重要である。しかし一部では認証取得に
関わるインセンティブや直接的な業績向上に偏り、運用面の反動がある。業界や
業種対応の重要性は制度設計の重要な条件と考慮すべきである。
z
情報セキュリティ監査制度の枠組みは、ISMS/BS7799 やプライバシーマーク制度
と共通する分野が多く、制度設計とビジネスの枠組構築の参考にすべきところで
ある。そのためには、監査人(外部監査人、内部監査人、コンサルタント)の確
184
実な資格制度および研修制度に基づいた、管理技術および監査技術の確立が重要
である。
z
情報セキュリティ監査制度の円滑な普及のためには、任意監査制度により日本の
企業・組織がインセンティブを認識することは「文化的な困難さ」があり、制度
的に明示的なお墨付きの付与の検討が必要と思われる。
3.2 情報セキュリティ監査ビジネスの展開
3.2.1 情報セキュリティビジネスの市場
情報セキュリティ監査制度の枠組みと資格制度を検討するため、情報セキュリティビジ
ネスの市場を分析し、前提とすべき条件を明確にすることが必要である。
(1)
情報セキュリティビジネス市場の予測
以下のように分類できる(表 3-8 に詳細を示す)。
①
セキュリティ関連ハード/ソフト製品提供(設計、構築、SI を含む)
②
セキュリティサービス(運用、監視、サービス支援)
③
セキュリティコンサルティング(設計コンサル、運用コンサル、内部監査など)
④
第三者監査、認証(外部監査など)
表 3-8 情報セキュリティビジネス市場の分類(1)
分類
概要
①情報セキュリティ
関連製品提供
ウィルスチェックソフト、ファイアウォール、暗号化製品関連、IDS
関連製品、ログ解析ツール、セキュリティ検査ツール、フィルタリ
ングツール、セキュリティ運用管理ツール
②情報セキュリティ
サービス提供
など
不正アクセス監視サービス、ウイルスチェックサービス、電子認証
サービス、ファイアウォール運用代行サービス、トラフィック監視
サービス、時間情報サービス、データバックアップサービス、シス
テム運用監視サービス、セキュリティ保険など
③情報セキュリティ
セキュリティシステム要件定義、セキュリティポリシー作成、
コンサルティング
情報セキュリティ認証取得・情報セキュリティ監査コンサル、
セキュリティシステム設計・構築・運用コンサル、
リスク評価、脆弱性技術検査、
セキュリティ教育・訓練(審査員、監査人、技術者育成)など
④情報セキュリティ
セキュリティ外部監査、セキュリティ認証・認定など
監査・認証評価
(出典)
総務省
平成15年度情報通信白書 コンテンツセキュリティに関する調査
185
表 3-9 情報セキュリティビジネス市場の分類と売上額(2)
2002 年
2007 年
全体に占める比率
①
情報セキュリティ関連製品提供
2,595
10,809
56%
②
情報セキュリティサービス提供
1,618
6,764
35%
③
情報セキュリティコンサルティング
289
1,161
6%
④
情報セキュリティ監査・認証評価
127
556
3%
4,629
19,290
合計金額
出典
総務省
(2)
コンテンツセキュリティに関する調査(前出)より抜粋
(単位
億円)
情報セキュリティ監査制度に関連する市場
表 3-9 によると情報セキュリティ監査制度に関連する市場の事業規模については、以
下のように分析される。
z
コンサルティング/内部監査、外部監査含めた情報セキュリティ監査市場(③+
④)は全体の9%程度であり、プロダクトとサービスの市場の 90%を占める。
z
外部監査市場に限ると(市場分野④は)全体としては 3%弱の市場である。急激
な伸長はないが、情報セキュリティ監査制度の本格的立ち上がりにより期待さ
れる市場分野。
z
情報セキュリティコンサルティングおよび内部監査の市場(市場分野③は)は、
情報セキュリティ監査制度の導入がサービスメニュー多様化を促すために、
様々なシナリオ展開が期待できる成長市場。
(3)
情報セキュリティビジネスの展開と監査ビジネスの特性について
情報セキュリティに関わるビジネスは技術が多岐に渡り、大手の SI 会社以外、すべ
ての分野をまかなうのは困難である。そのため多くの場合、クライアントを中心に様々
な企業が分担・連携することが一般的なアプローチである。
特に情報セキュリティに関しては、技術の進歩や製品のサイクルも早く、特化した
技術専門知識と幅広いシステム知識と経験による迅速な判断が必要な場合が多く、そ
のためコンサルタント能力を利用し、その支援により効率的なシステム構築や運用支
援をうける場合が増えてくることが予想される。
社内のスキル、設備を利用して全て自社でまかなう場合と、社外のセキュリティサ
ービス企業の支援やサービスを利用する場合があり、煩雑な運用を回避して、セキュ
リティインシデント情報の迅速な入手などの面から、後者の MSSP(Management
Security Service Provider)に依存する方向が増加するものと予想される。
3.2.3 内部目的監査と外部目的監査の位置付け
(1) 内部目的監査と外部目的監査を(表 3-10)に示す。
z
内部目的監査は、監査対象を熟知した立場から、柔軟な対応ができ、結果の反
186
映も迅速にできるよさがあるが、客観性と強制力にはかける。
z
外部目的監査は独立した監査人による第三者監査である。第三者監査の利点は、
監査の客観性と強制力にある。
z
従って、外部利害関係者への対外的な報告や、認証審査の場合は客観性と強制
力の観点から、第三者監査(外部監査人による外部目的監査)が必須である。
z
各種マネジメントシステム(情報セキュリティを含む)の完成度と有効性を高
める場合には、組織内部またはセキュリティコンサル会社の支援による内部目
的監査を有効に活用することが重要になる。
z
情報セキュリティ監査制度では、内部目的監査の結果を対外的に公表(一定の
条件を維持が前提)することで、外的利用が考慮する可能性も示している。
表 3-10 内部目的監査と外部目的監査の関連
目的
主体
外部目的監査
内部目的監査
対外的な利害関係者に監
組織内部の情報セキュリ
査結果を公表し、情報セ
ティのレベルを把握し、
キュリティのレベルを評
内部対策のレベルを評価
価する
し強化策に役立てる
内部または、依頼されたコンサ
組織内部の監査人
ルタントなどが情報セキュリテ
(内部監査人)
ィシステムを監査する。
内部監査は内部の利害関係者は
避ける必要がある。
ISMS の内部監査など。
経営者が利害関係者への基準を 組織により依頼され、目的のシ
組織外部の監査人
達成したことの証明(ISMS な ステムを監査し報告する。
(外部監査人、
ど)を目的のために実施する。
第三者監査)
外部監査人の監査スキルを利用
公的に認可された認証機関の審 するのが目的であり、監査結果
査員や認可された監査技術者資 の公表の義務はない。
格をもつ外部の専門家(外部監 必要な場合は、リスクアセスメ
査人)監査を依頼し、監査結果 ントやセキュリティシステムの
(2)
に対し証明を得る。
構築まで支援するので、コンサ
ISMS の認証取得審査
ルタントの役割に相当する。
主として保証型監査による。
主として助言型監査による。
保証型監査と助言型監査の関係と監査人の能力
情報セキュリティ監査制度では、助言型監査と保証型監査の 2 つがある。
187
助言型監査とは、クライアントのセキュリティシステムのレベルが初期導入レベル
のシステムに対し、情報セキュリティシステムの構築から、リスクアセスメントなど
まで、指導することも含むもので、一般的なセキュリティコンサルタントまたはセキ
ュリティインテグレター(SI)の役割を果たすもので、一般に定義された第三者監査
人の役割とは異なるものである。
保証型監査とは、世間一般で言われている第三者監査人(外部監査人)と同等であ
る。保証型監査の対象となるクライアントは、一般的には自ら情報セキュリティの構
築と運用を実施する実力を持ち、外部の監査人には、自らの情報セキュリティシステ
ムのレベルを第三者の目で評価することを期待するものである。ここでいう監査人と
は、情報セキュリティ監査技術に関する力量と公的に認定された資格を持ち、所属す
る企業・組織とは独立に情報セキュリティ監査に対応できる個人のことを指す。
その意味では、ISMS 審査員やプライバシーマーク審査員と並ぶ位置づけにある。
表 3-11 に助言型監査と保証型監査の対応に主として必要な能力を示す。
表 3-11 助言型監査と保証型監査の対応必用な能力
項目
助言型監査
保証型監査
1 監査対象に対する知識
○
×
2 監査のための情報収集力
○
×
3 監査の柔軟性
○
×
4 監査のタイミング
○
×
5 システムの能力の評価
×
○
6 監査の客観性
×
○
7 監査の強制力
×
○
3.2.4 内部目的監査と外部目的監査と監査人に期待するスキルの関係
(1) 監査人に期待するスキル
外部目的監査と保証型監査、内部目的監査と助言型監査はそれぞれ対応関係をもつ。
表 3-12 は、JASA スキル部会でのスキルマップとの監査制度の対応関係を示してい
る。
このスキルマップとの対応により、情報セキュリティ監査制度の最も重要な資格
制度が明確になり、情報セキュリティ技術者のキャリアパスの選択が可能になる。
さらに、情報セキュリティ監査企業および一般の、企業・組織で必用な技術者の育成
と調達が計画的に実施できる利点がある。
スキルをもつ人材の市場の面からも、共通の技術尺度は重要な役割を果たすことに
なる
188
表 3-12
監査員の監査業務と必要と期待する能力(案)
外部目的監査
内部目的監査
技術監査
コンサルティング
内部監査
監査業務内容
外 部 監 査 人 と 内 部 監 査 人 と 外 部 目 的 お よ 情報セキュリティ
しての保証型
しての助言型
び 内 部 目 的 監 と監査に関するコ
査 に 協 力 す る ンサルティング
技術監査
監査
監査
スキル
共通スキ
◎
◎
○
◎
◎
○
○
◎
○
◎
○
◎
◎
◎
◎
◎
○
◎
◎
◎
ル
保証型
監査スキ
ル
助言型
監査スキ
ル
技術
セキュリ
スキル
ティマネ
ジメント
IT システ
ム技術
主任監査人
助言:Counsel 技 術 監 査 の 監 対象業務分野ごと
監査人
→ コ ン サ ル タ 査 人 資 格 は 不 の監査能力が必要
監査人補
ン ト の 力 量 が 要 の 場 合 も あ とされる
資 格 に よ り 必 期待される
る
(業務対応能力)
要なスキルレ
ベルが異なる
JASA スキル部会 基準カリキュラムによる場合の重点修得スキルによ
る
189
(2)
監査人資格制度
技術者の育成については、スキルマップとカリキュラムを明確にし、研修制度と研
修資材および研修に当たる研修教育者を早急に育成する必要がある。表 3-13 に英国の
監修機関(IRCA)の研修制度の資格とカリキュラムを添付した。特徴は以下のとおり
であるが、JASA としての計画を早期に検討する必要がある。
①日本の ISMS の審査員資格(3 レベル)に比べプリンシパル監査員(コンサルタン
トおよび上級主任審査員)と内部監査人の資格が追加されている(5 レベル)。
②マネジメントシステムを通した統一資格制度(品質、環境、セキュリティなど)。
③国際的に通用する相互資格認定制度(IATCA による相互認証)。
④IRCA が外部からの監査技術者・監査員の需要に応えるための紹介制度を持つ。
⑤資格取得後の継続的能力開発・スキルアップ研修プログラム(CDP)の導入
表 3-13 監査人資格制度(IRCA 基準)
1
資格
資格レベル
資格内容
資格条件
プリンシパル
コンサルタント
公認のコンサルタント
実務経験、力量
監査員
監査員資格
マネ ジメントシ ステム
の構築経験、
全監査プロセスの実施
2
チームリーダ
主任審査員の上級資格
実務経験、力量
監査員資格(2 つ以上)
3
外部監査員
主任審査員
外部審査の主催
監査チームリーダ
単独審査
実務経験、力量
監査機関での実績
監査能力
監査チームの能力
4
審査員
審査
監査チームメンバ
実務経験
監査チームでの貢献
5
審査員補
主任審査員の補助
監査員の資格修得
学歴、
技術的&業務遂行能力
6
内部監査員
組織の内部審査
公認の内部審査員
組織の内部審査の指揮
技術的遂行能力
190
3.3
情報セキュリティ監査の制度設計の考え方
「情報セキュリティ監査制度を情報セキュリティビジネスの一環として捉えることによ
り、わが国の強固な情報セキュリティの枠組みを構築し、健全な事業分野」として育成し
てゆくことが求められている(経済産業省:2004.10.10
情報セキュリティ総合戦略)。
このような新しいビジネスの立上げは、既存のビジネスと一貫した流れを保つことによ
り、市場規模が確保でき、技術的な蓄積と連携による強みが発揮できるものである。特に
現在の IT 業界も、監査ビジネス業界も、コンサルタント業界も、次の展開を「情報セキュ
リティ市場」に求める立場から言えば同様な立場にある。
図 3-5において、情報セキュリティ監査制度の枠組みイメージを示した。
(1)
制度としての枠組みとビジネスを構成するプレイヤーと役割
1)主管官庁
経済産業省:監査企業の指導、監督
政策・行政・技術・教育・ビジネス・国際連携を推進するヘッドクォータ
2)監査制度運用組織(NPO?)
監査人研修機関の育成
監査人協会(公認会計士協会に相当する役割)
、や JASA 的位置付
3)監査人研修機関
監査人の育成、研修、研修企業
4)監査機関、監査企業
外部目的監査(保証型)企業
内部目的監査(助言型)企業
コンサルティング、内部監査(助言型)企業
5)IT 関連企業、情報セキュリティ関連企業
IT ベンダー、IT サービス、情報セキュリティ業、監査・コンサルティングサービス業
6)その他
業界分野の IT/情報セキュリティ推進部門:官庁、地方自治体、独立行政法人、
大学、研究所、司士業界、通信・キャリア、金融、医療、エネルギー、交通
運輸、流通、製造、など
191
図 3-5
情報セキュリティ監査制度の枠組み(イメージ)
経済産業省
・政府行政機関、地方公共団体
・経済界、業界団体
・国際機関・教育機関
情報セキュリティ
監査資格制度運用(JASA 的位置付)
監査企業登録台帳
・監査人研修計画構築と機関の認定
・監査人の育成/資格の認定
・被監査組織の監査登録
・被監査組織の教育・支援
・監査人協会まとめ
・監査企業団体のまとめ
認定
登録
監査人教育研修機関
・監査人教育
・監査人審査
・監査人登録申請
監査人登録申請・登録
監査人登録申請・登録
監査人(内部目的監査)
監査人(外部目的監査)
・監査人登録申請
・監査人登録認定
・監査実施
・監査実施
・ 監査結果報告
・監査結果報告
監査依頼
監査依頼
被監査企業・組織(被監査人)
・情報セキュリティマネジメン
トシステム構築
・内部監査の実施
・外部目的監査の実施
監査登録
192
(2)
成功する情報セキュリティ監査制度と資格制度の構築のために
新しい情報セキュリティ監査制度の狙いは、現在の情報セキュリティマネジメント
システムとその周辺ビジネスの範囲を超え、今後のネットワーク化、IT 化を支える制
度とビジネスでなければならず、日本の高信頼社会と高信頼技術を支える役割を担う
ことが可能でなければならない。
そのためには、目覚しく発達し変化しつつある、ネットワーク化と IT 化に追随でき
る変革を配慮した制度の創設が鍵となる。なぜならば、本章で参考とした制度の成果
と継続は、人的資源の側面から積み上げた結果により得られたものと評価できる。
成功する監査制度と資格制度の設計のためには、確実な技術スキルを持つ監査技術
者の育成から着手して、これを中核とした制度により、ビジネスの実績を積み、クラ
イアントのニーズに応え、サービスの高い効果を認識できることが最も重要と考える。
以上の理由から流れの一貫性は意識しても、目的の実現のため 21 世紀に通用する、
最適な仕組みを構築し、新しい皮袋の成果を賞味できるようにすべきである。そのた
め、当面検討すべき課題と施策について以下にあげ、(表 3-14)にその詳細を示す。
1)監査人資格の制度化、教育研修制度、監査人調達の制度化
2)クライアントの公的インセンティブの早急な制度化と整備
3)監査制度運用機関の制度化と立上げ
4)クライアントのセキュリティ意識の涵養(義務付けとインセンティブ)
5)情報セキュリティ構築・運用・監査などの技術の整備と普及
6)監査機関の業務責任と役割分担の明確化
7)既存セキュリティ関連組織の活用と連携
様々な観点による制度の活性化が急がれる。
表 3-14 情報セキュリティ監査人資格と監査企業制度の立上げ条件
立上げ条件(案)
1
監査人資格の制度化、教育研修制度、監査人調達の制度化
・内部監査、コンサルタント(IRCA・IATCA)的な監査人制度
・監査人資格教育・研修機関の整備(ISMS/QMS 審査員的な制度)
・監査人協会(監査人企業台帳イメージではない)
・実力ある監査人の早期育成、早期調達
・監査人雇用市場の創設と拡大
193
立上げ条件(案)
2
公的インセンティブの早急な制度化と整備
・監査制度を適用する企業・組織のインセンティブが必須
・ISMS/プライバシーマーク制度のような監査・認証を公的認知
・公的入札条件、取引条件に監査制度を前提
・企業の IR への報告を早期に制度化
・情報セキュリティ特化業種(通信キャリア、エネルギー、医療など)
に情報セキュリティ監査資格を保有する技術者の採用を義務付
・施設監査的の制度により、情報セキュリティ監査を義務付け
3
監査制度運用機関の制度化と立上げ
JASA 的 位
・監査人教育機関の認定
置付け
・監査人の資格の認定
・被監査組織の監査登録
・被監査組織の教育・支援
・監査人協会のまとめ
4
クライアント意識の涵養(義務付けとインセンティブ)
・情報セキュリティ監査の義務化(プライバシーマーク制度、計算セン
タのおける安対基準、公的認証局、民間認証局への監査制度の適用
・業界基準に監査制度の適用
・自治体の監査基準への制度の整合
・産学連携による一貫教育と義務化(文部科学省メニューとの整合)
・ 監査人資格者の教育機関への派遣
5
情報セキュリティ構築・運用・監査などの技術の整備と普及
・企業・組織への支援による情報セキュリティの普及
・被監査企業への教育、内部監査、外部監査への税制度などによる支援
・国家的情報セキュリティキャンペーンへの監査制度の組み込み
6
監査機関の業務責任と役割分担の明確化
・外部監査(保証型)
・内部監査+コンサルティング(助言型)
・監査の公的認証・登録制度既存組織の活用と連携
7
既存の情報セキュリティ枠組みの連携、活用、組織の一本化
194
付録
(注)情報セキュリティビジネスと情報セキュリティ監査の事業規模の推定
①情報サービス産業協会(2003 年)によれば、現在の情報処理サービス業界の状況は
・市場規模
13.7 兆円
・従業員数
57 万人
総務省の数字をみると、セキュリティサービスへの投資は 2002 年で全体の3%程度である。
②監査人の数は、6300 人で 1550 億円の売り上げ(2000 万∼3000 万円/年)は、当該ビジネ
スとして妥当なレベル。
③内部監査人の需要 6 万人:情報サービス産業の全従事者の10%前後。
ネットワーク/セキュリティ運用面の管理(兼務)があるものと想定すると、
適当なビジネス規模。
但し、企業・組織のアウトソースの需要は、検討が必要。
富士キメラ総研 2003 年の調査結果:
・2003 年ネットワークセキュリティビジネス調査によると、セキュリティツー
ル/機器、セキュリティ設計/構築、セキュリティ専門サービスの分野にわけ、分
析を実施、総計で総務省調査と極端な差異はない。
・これによると、企業・組織の日々の脅威からセキュリティを守るため、設計・
構築・運用・検査・監視までの一連のセキュリティマネジメントサイクルの対
策の中で、セキュリティサービスの外部委託やセキュリティコンサルティング
およびセキュリティ監査などについて、サービス型ビジネスの需要と拡張の可
能性を予測している。
195
4. 監査の内容と必要なスキルの問題
4.1 本部会における検討の進め方
ある業務を遂行するのに必要なスキルを規定するためには、その業務内容を明確にする
必要がある。そしてさらに、その業務がどのようなプロセスからなるかをあきらかにした
上で、そのプロセスを要素にわけてアクティビティとして定義し、そこから立ち戻って必
要なスキルが明らかになる。
情報セキュリティ監査においても、監査人に必要なスキルは監査の内容によって決まっ
てくる。しかしながら、現在の情報セキュリティ監査制度は、大きく分けて保証型監査と
助言型監査の両方の形態があり、さらに、内部利用監査や第三者監査等、さまざまな形が
考えられる。さらに、情報セキュリティ監査制度は発展途上の制度であり、監査の内容や
監査結果の利用の仕方等について、現在も多くの議論や検討が行われている段階である。
このため、現時点においては、監査のプロセスとアクティビティを詳細に分析した上で
監査人に必要なスキルを明らかにするアプローチを用いるのは難しいと判断した。そこで
本部会では、情報セキュリティ監査を受ける側、すなわち利用者が本制度に対して期待す
る監査の効果から、監査人に求められるさまざまな能力を検討し、それを明確にすること
で、監査人に必要なスキルを明らかにするという手法をとった。
4.2
監査人に必要なスキル
情報セキュリティ監査制度に対する利用者のさまざまな期待を考慮して分析した結果、
情報セキュリティ監査制度の監査人に対して求められるスキルを大きく二つに分類した。
一つは、監査業務を行うのに必要な、監査業務に関するスキルであり、もう一つは、情報
セキュリティ技術に関するスキルである。
以下、それぞれを「監査スキル」と「技術スキル」と呼ぶ。
なお、監査業務を行う際にも、監査を行うためのある種の技術が必要とされるため、こ
の呼称による分類が適切かどうかの議論がなされたが、一般の利用者から見た判り易さの
点から、本検討では情報セキュリティの技術に関するスキルのことを「技術的」という言
葉で表現することとした。
以下、簡単に両スキルについて述べる。詳細は5章で述べる。
4.2.1
監査スキル
監査スキルは監査行為を行う際に必要なスキルである。情報セキュリティ監査制度の場
合、監査の内容には多くのバリエーションがあるため、監査スキルにおいても従来のシス
テム監査人等に求められるスキル以外のスキルが必要な場合がある。
すなわち、本制度の監査を受ける利用者は、保証型監査においては、監査人に対して公
196
正・公平な監査の遂行を強く求めるのに対し、助言型監査の場合には、現実の情報セキュ
リティレベルの向上に寄与するようなセキュリティ対策に関する的確なアドバイスを強く
求めている。つまり、助言型監査の場合には、実際の情報セキュリティに関するアドバイ
スやコンサルティングが行えるスキルが重要となる。
従って、助言型監査を行う監査人には、組織における情報セキュリティ戦略の策定や実
際のセキュリティ対策の計画立案、その実施と運用等に関する知識と経験や、限られた人
的・資金的・時間的リソースの中でさまざまなセキュリティ技術を優先順位をつけながら
計画的に組み合わせて最大の効果を得るITシステムのセキュリティ対策に関するスキル、
マネジメント面のセキュリティ対策とITセキュリティ技術面のセキュリティ対策を有機的
に組み合わせて推進するスキル等が求められる。
さらに助言型監査の場合には、その性格上、監査を受ける利用者がセキュリティ対策に
ついて詳しくない場合も多いと思われる。このため、そのような利用者と的確にコミュニ
ケーションを行い、説得力のある報告やプレゼンテーションを行うことの出来る能力も必
要である。
4.2.2
技術スキル
技術スキルとは、IT セキュリティについてのスキルである。技術スキルには、情報セキ
ュリティマネジメントに関する技術のスキルと IT のシステムにおけるセキュリティ技術が
ある。本部会では、前者をセキュリティマネジメントに関するスキル、後者を IT システム
セキュリティ技術のスキルと呼ぶ。
一般に、情報セキュリティにおいてはマネジメントと技術の両方が重要であると言われ
ており、これらは異なるスキルであると思われるため、本部会の検討においてもその二つ
を分けて考えた。
セキュリティマネジメントと IT システムのセキュリティ技術は完全な並列の関係ではな
い。これらは、マネジメントサイクルを実現する際、ある部分では階層的な関係に、また
ある部分では並列の関係になるが、その関係は複雑であるため、本部会ではそこには踏み
込まず、必要なスキルの内容について議論を行った。
4.3
監査チーム
上記の分類の結果、情報セキュリティ監査制度においては非常に幅広いスキルが求めら
れることがわかった。これらのスキルを一人の監査人が全て習得できればそれは望ましい
ことではあるが、少なくとも現状では難しいと思われる。このため、実際に監査を実施す
る際には、それぞれのスキルを保持した複数の監査人が監査チームを構成し、チーム全体
として必要なスキルを達成するといった方策を取ることが考えられる。
197
以上のような経緯で情報セキュリティ監査を行う監査人に必要なスキルの概略を明らか
にした。
今後は、本年度の結果をふまえた上で、情報セキュリティ監査制度の発展にあわせ、各
スキルの内容をさらに詳細に検討する必要がある。
また、情報セキュリティ監査制度の実際の監査内容が明確になった時点で、それぞれの
業務に必要なプロセスとそのアクティビティを明確にし、そこから必要なスキルを明らか
にする必要がある。
198
5. 情報セキュリティ監査人の資格基準
5.1 監査人の位置付け
5.1.1 監査企業と監査人
情報セキュリティ監査を依頼する側を「被監査主体」といい、被監査主体から監査の依
頼を受け監査を実施する側を「監査主体」という。
監査主体として情報セキュリティの外部監査を行おうとする企業は、平成 15 年度より、
経済産業省により創設・運用されている「情報セキュリティ監査企業台帳」
(以下、台帳と
いう)に登録し、監査企業として名乗りをあげることができる。この台帳には、監査企業
の会社情報、監査実績、監査担当者の名簿等が登録されている。
被監査主体(企業、行政、自治体、独立法人等)は、この台帳を参考にして、監査を依
頼する監査主体である監査企業を選択することができる。
監査を実際に担当するのは、「情報セキュリティ監査人」(以下、監査人という)と呼ば
れる人達である。
監査人は、監査企業に所属し、台帳に登録することにより監査を実施することができる。
5.1.2
監査人の役割と責任
監査企業に所属し、監査を実施する監査人は、被監査主体から監査を受託し、その契約
内容に基づき監査を実施する。
監査人の役割は、監査を計画し、監査を実施し、監査結果まとめ報告する役割を担う。
監査人は、当該監査に関する一切の責任を負うものであり、監査後もその結果に対する
責任を負うことになる。
監査人は、単独で行うこともあるが、一般的には「監査チーム」を形成し、当該監査業
務を実施する。監査チームは、監査人としての役割を分担して、監査を効率良く、かつ効
果的に実施するためのものである。
5.1.3
監査チームと監査人の役割
一般的に、監査人は単独で監査を実施するよりも、監査チームを形成して監査を実施す
る場合が多い。これは監査を単独で行うよりも、監査チームを結成し役割分担して行う方
が、効率的に、かつ効果的に行うことができるからである。
監査チームで監査を行う場合は、責任者として「監査チームリーダ」
(以下、リーダとい
う)を置き、リーダのもとで、監査を計画し、監査を実施し、リーダが代表して監査結果
をまとめ報告する。
この監査チームには、監査経験者又は、最低1名の関連資格を保有する監査人が含まれ
ることが望ましい。
監査チームで監査を行う場合は、後述するような監査人に必要とされる全てのスキルを、
199
必ずしも兼ね備えている必要はない。監査人に必要とされるスキルは、監査チームとして
備わっていればよいことになる。
監査チームを構成するメンバーとしては、次のようになる。
なお、各監査人の定義は5.3項に記述する。
(例)監査チーム構成
リーダ:主任監査人(又は主任監査人の指導のもとで監査人が担当)
メンバー:監査人(複数可)
メンバー:監査人補(メンバーとして加わってもよい)
アドバイザー:専門家・有識者(当該監査で必要とするスキルを持った人)
5.1.4
監査チームリーダの役割
監査チームリーダの役割と責任は、効率的かつ効果的な監査を行うことである。
監査チームリーダに要求されるスキルとしては、監査人に要求されるスキルのほかにリ
ーダシップが求められる。
監査チームリーダの主な役割は次のとおりである。
(1)監査計画を策定し、計画に沿って監査を実施する。
(2)監査チームの代表として、被監査主体と連絡をとる。
(3)監査チームメンバーを取りまとめる。
(4)監査チームを統率し、監査結果をまとめる。
(5)監査報告書を作成し、被監査主体に報告する。
5.2
監査人に要求されるスキル
監査人に要求されるスキルとして、JIS 規格「品質及び/又は環境マネジメントシステム
監査のための指針」JIS Q 19011:2003(ISO19011:2002)では、監査プロセスに対する信
用及び信頼は、監査を行う人の「力量」に依存するとしており、監査人は監査を行うため
の力量が必要であるとしている。
ここでは、力量の概念を定義しており、これを情報セキュリティ監査を行う監査人にも、
当てはめることができ、次のようになる。
(1)監査人としての個人的特質を備えていること。
(2)監査の理論を理解し、監査の実務ができること。
(3)情報セキュリティマネジメントシステムが理解でき、評価できること。
(4)情報セキュリティ管理技術がわかり、評価できること。
上述の(1)は監査人が個人的に備えているべきものであり、(2)
、
(3)、
(4)項では
200
教育、業務経験、監査人訓練及び監査経験によって身に付けた知識及び技能を適応する能
力が要求されている。
5.2.1
個人的特質としてのスキル
監査人としては、次のような個人的特質を備えていることが望ましい。
z
倫理的である。
z
心が広い。
z
外交的である。
z
観察力がある。
z
知覚が鋭い。
z
適応性がある。
z
粘り強い。
5.2.2
監査の理論と実務の関連するスキル
監査の理論と実務に関連するスキルには、保証型監査と助言型監査に共通的なスキル、
保証型監査に特有なスキル、助言型監査に特有なスキルに分類できる。
これらスキルの詳細は付表.スキル分類表(マップ)に示すとおりである。を参照のこ
と。
(1)
保証型監査と助言型監査に共通的なスキル
監査の計画作成、監査の実施、監査報告書の作成と報告に関するスキルが要求される。
また、監査計画から報告までの一連の監査業務を計画されたコスト、品質、スケジュ
ールで実施するための全体を管理するスキルが要求される。
規格 JIS Q 19011:2003 では、典型的な監査活動の概要を次のように示しており、監
査人に求められるスキルである。
(a)監査の開始
(b)文書レビューの実施
(c)現地監査活動の準備
(d)現地監査活動の実施
(e)監査報告書の作成、承認及び配布
(f)監査の完了
(g)監査のフォローアップの実施
(2)
保証型監査に特有なスキル
被監査主体の組織が採用している情報セキュリティ対策の適切性に対して一定の保
証を付与することを目的とするため、情報セキュリティマネジメントシステムの(計
画、実行、評価、改善のマネジメントサイクル)評価ができること。
情報セキュリティ管理面での問題点の分析、管理面での評価ができることが要求さ
201
れる。
保証型監査では、監査実施時点での、情報セキィリティ技術レベルを前提に、組織
が採用している管理策から判断して、一定の尺度に従って監査を実施し判断した結果
としての合理的な保証を与えるものである。従って、インシデントが発生しないとい
う絶対的な保証を与えるものではない。
(3)助言型監査に特有なスキル
助言型監査では、被監査主体の組織が採用している情報セキュリティ対策と計画に
基づいて実施されている情報セキュリティ管理活動から判断して、セキュリティホー
ルの有無等、セキュリティ上の問題点を指摘し、改善案を提示できるスキルが必要と
される。
また、被監査主体の要求により、組織の情報セキュリティ管理の成熟度がどのレベ
ルにあるかを評価でき、その改善の方向性を助言できることが求められる。
5.2.3
情報セキュリティ技術のスキル
情報セキュリティ技術に関連するスキルとしては、情報セキュリティマネジメントに関
するスキルと情報システムのセキュリティ技術に関するスキルがあり、詳細は9.付表.
スキル分類表(マップ)に示すとおりである。
(1)
情報セキュリティマネジメントに関するスキル
このスキルの代表的なものとして、セキュリティマネジメントサイクル、セキュ
リティポリシー、セキュリティ組織の運営、リスク分析・評価、インシデント対応な
どがある。
(2)
情報システムのセキュリティ技術に関するスキル
このスキルの代表的なものとして、コンピュータシステムのセキュリティ技術、
ネットワークシステムのセキュリティ技術、物理的管理技術、セキュリティインシデ
ント対応の技術、セキュリティ防衛・追跡の技術等がある。
被監査主体から依頼される監査内容は、セキュリティ技術も多岐にわたりまたそ
の内容も、専門的な深いレベルが要求される場合がある。
従って監査人としてはセキュリティ技術の専門分野を特定し、高度な技術に対応
できることが望まれる。
5.2.4
監査人に求められる独立性と倫理性
監査人が行う監査業務はその性質上、独立性と高い職業倫理観に基づいて行われる必要
がある。
そのため監査人は、監査結果の信頼性を保つためには、被監査主体から独立した立場で、
かつ過去・未来(一定期間)利害関係をもたないことが必要である。
監査主体は被監査主体に対し、監査人の独立性、機密保持についての確約をする必要が
202
ある。
また、監査人に求められる使命、責務、守秘義務等の倫理項目について定め、監査人が
監査を実施するにあたってはこれら倫理項目を遵守することを誓約することによって、監
査人の資格が与えられることが望ましい。
5.3
監査人に要求されるスキルのレベル
監査の理論と実務に関連するスキル、情報セキュリティ技術に関連するスキルで、監査
人に要求されるスキルのレベルとしては、基本的知識と技術が要求されるのであって、必
ずしも高度なセキュリティ技術が要求されているのではない。
情報セキュリティ監査に必要とされるスキルの特徴は、被監査主体が要求する監査内容
に多くの種類があることである。組織が構築し、運用している情報システムの目的と役割
は多様化している。たとえば、中央省庁、地方自治体、関連団体、民間企業等で情報シス
テムの果たす役割が異なり、自ずから、必要とされる監査内容も多様化している。
また、民間企業だけで考えても、業種・業態そして監査目的、監査対象、監査内容、監
査の粒度も多種・多様であり、ニーズに合った監査の実施が要求される。
これらの多様化した監査を実施するためには、監査人として対応できる多様なスキルを持
つ必要があり、また場合によっては専門分野を特定した監査人が求められる。
しかしながら、監査の中で高度なセキュリティ技術が必要な場合でも、必ずしも監査人
個人がすべてのスキルを持つ必要はなく、監査チームで監査を行う場合は、監査チームリ
ーダの判断により、必要なスキルを持った監査人を集めればよく、場合によっては必要な
専門家・有識者を参加させ実施すれば良い。
また、スキルレベルの登録制などで、監査チーム全体で必要とされるスキルレベルをカ
バーしていることを検証できるような仕組みが必要である。
監査人に要求されるスキルとして、特に考慮しなければならない場合としては次のこと
が考えられる。
(1)
保証型監査を行う場合
被監査主体が要求する監査内容に対し、監査チームが実施できる監査またそこから
導くことができる監査結果を想定して、監査チームとして十分なスキルが満足できる
ことを確認してから、監査契約を結び、監査を実施する必要がある。
(2) 高度な情報セキュリティ技術を使用した管理対策を評価する必要が
ある場合
被監査主体の組織が複雑かつ高度な情報セキュリティ技術を使用した管理策を採用
している場合で、これらを評価する必要がある場合は、被監査主体の要求する監査内
容と、監査チームのスキル(専門家の採用等を含む)から判断して、監査を実施でき
るかどうかを判断してから、監査を実施する必要がある。
203
5.4 監査の種類と監査人の役割
5.4.1 保証型監査と助言型監査における監査人の役割
情報セキュリティ監査には、被監査主体からのニーズにより保証型監査と助言型監査の
いずれか又は保証と助言の2つを監査の目的とすることがある。
保証型監査とは、組織体が採用している情報セキュリティ対策の適切性に対して一定の
保証を付与することを目的とする監査であり、一方助言型監査とは、組織体の情報セキュ
リティ対策の改善に役立つ助言を行うことを目的とする監査である。
(1)
保証型監査の場合
保証型監査の場合に監査人に要求されるスキルとしては、監査の理論と実務に関
するスキルはもちろんのこと、情報セキュリティ対策の適切性を評価し、一定の保
証を与えられるスキルが要求される。
保証型監査の結果の正当性を担保するため、監査人又は監査チームが実施した保
証型監査の結果を確認する仕組みが望まれる。
(2)
助言型監査の場合
助言型監査の場合に監査人に要求されるスキルとしては、監査の理論と実務に関
するスキルはもちろんのこと、情報セキュリティマネジメントシステムの評価と改
善に関する助言ができることが要求される。
5.4.2
外部監査と内部監査における監査人の役割
被監査主体である組織の内部で実施する監査を内部監査といい、被監査主体の要請によ
り、監査企業等の監査主体が実施する監査を外部監査という。
外部監査の目的は、被監査主体の組織が監査結果を外部に公表することを想定して、監
査企業等に監査を依頼し、外部監査人による監査を受けることにある。一方、内部監査は
被監査主体の組織が、情報セキュリティマネジメントシステムの評価・改善を行うため、
組織内部で定めた内部監査人が監査を行う場合である。
外部監査人の役割から考慮して、その資格とスキルは被監査主体から評価されるに十分
な、公に定められたものが望ましい。
一方、内部監査人の資格とスキルは、被監査主体の組織が内部で定めた資格とスキルを
満足していればよいことになる。たとえば、研修機関等の教育・訓練を受けた講師が、組
織の教育・訓練を計画し、実施して内部資格を付与することで十分である。
5.5
監査人の種類と資格基準
ここでは、内部監査人及び外部監査人として監査を実施する場合の、監査人としての資
格基準について言及する。
204
監査を実施する監査人は、内部監査人と外部監査人に分類できる。さらに外部監査人は
情報セキュリティ監査人補、情報セキュリティ監査人、主任情報セキュリティ監査人、主
席情報セキュリティ監査人に分けることができる。
被監査主体からの多様な監査依頼に基づいて監査を行う場合は、さまざまな情報セキュ
リティ監査技術が要求されるが、必ずしも監査人がそれらの技術を持っているとは限らな
い。このような場合は、監査チームの中に専門家・有識者を加え監査を行うことにより、
被監査主体からのニーズにこたえられることができる。この場合専門家・有識者の役割は、
あくまでも、専門的問題点の分析及び評価のみ行うことであり、監査結果を導くことまで
は行わない。
5.5.1
内部情報セキュリティ監査人
内部監査人は、被監査主体の内部監査を実施するのが役割であるので、組織内部で資格
を認定されていれば十分である。従って、研修機関等が実施する内部監査人教育、又は組
織内での内部監査人教育を受講し、組織内で資格付与されれば監査人として監査業務を実
施するスキルがあるといえる。
組織内部での資格付与基準については、後述する外部監査人の資格基準を参考に組織内
基準を制定するのが望ましい。
5.5.2 外部監査人
(1) 情報セキュリティ監査人補
情報セキュリティ監査人補(以下、監査人補という)は、OJT として監査チームにメン
バーとして参加し、実際の監査を体験することにより、いずれは監査人となるものをいう。
監査人補としての資格基準として、次のことが考えられる。
(a)教育レベル
高等学校を卒業したもの又はそれと同等の教育を終了したもの等。
(b)経験
情報技術分野で一定年数以上の経験があること。また、監査業務を一定年数以上経
験し、当該監査業務に役立った実績があること。
(c)所定の教育・訓練を受講し、監査人としてのスキルがあると認定されたものであ
ること。
(d)監査人としての個人的資質を持ち合わせていること。
(e)所属組織から監査人等にふさわしいことの推薦を受けること。
(2)
情報セキュリティ監査人
情報セキュリティ監査人(以下、監査人という)は、監査チームにメンバーとして
参加し、監査チームリーダを補佐し、監査業務を遂行するものをいう。また監査人は、
205
主任監査人の指導のもと監査チームリーダを務めることができる。
監査人としての資格基準として、次のことが考えられる。
(a)監査人補としての資格基準を備えていること。
(b)監査人としての資格を得るまでに、所定の回数完全なる監査に参加し、当該監
査業務に役立った実績があること。
(c)主任情報セキュリティ監査人から、監査人としてふさわしい能力と見識を持っ
ているとの内容で推薦を受けること。
(3)
主任情報セキュリティ監査人
主任情報セキュリティ監査人は(以下、主任監査人という)、監査チームに監査チー
ムリーダとして参加し、チームメンバーを統率し監査業務を遂行し、監査報告書を作
成し、被監査主体の組織長に報告する任務をするものをいう。
主任監査人は監査人が監査チームリーダを務める場合は、監査人を指導し、監査人
を評価する。また、監査人補が監査チームに参加している場合は、監査人補を指導し、
監査人補を評価する。
主任監査人としての資格基準として、次のことが考えられる。
(a)監査人補としての資格基準を備えていること。
(b)主任監査人としての資格を得るまでに所定の回数完全なる監査に参加し、当
該監査に役立った実績があること。また、所定の回数、審査チームリーダを務
めたことがあること。
(c)主任審査人から、主任審査人としてふさわしい能力と見識をもっているとの
内容で推薦を受けること。
(4)
主席情報セキュリティ監査人
主席情報セキュリティ監査人(以下、主席監査人という)は、監査チームの実施し
た監査のうち、特に保証型監査の結果の正当性を検証し、結果に対する承認を行うこ
とができる監査人のことをいう。
保証型監査は、被監査主体の組織が採用している情報セキュリティ対策の適切性に
対して一定の保証を付与することを目的とする監査であり、保証型監査は、特に被監
査主体の依頼(ニーズ)により、監査を行う場合であり、主席監査人は監査結果の品
質の検証役としての役割を負うことができるスキルを持っているものをいう。
主席監査人としての資格基準として、次のことが考えられる。
(a)監査人及び主任監査人を経験していること。
(b)一定回数以上、保証型監査を実施したことがあること。
(c)監査主体組織から、主席監査人としてふさわしい能力と見識をもっているとの
内容で推薦を受けること。
206
5.5.3
専門家・有識者
専門家・有識者は、監査人としての位置付けではないが、監査活動の中では、監査チー
ムにメンバーとして参加し、監査チームリーダの指揮のもとで監査チームを専門家・有識
者として支援し、監査活動を効率よく実施する役割を持つ。
情報セキュリティ管理では、高度でかつ多岐にわたる技術があり、技術面の問題点を適
格に分析・評価する専門家のスキルが要求される。また、法律等の特別な知識を持った有
識者が必要な場合は、監査チームリーダの要請により監査活動に参加する。
ここで、専門家・有識者は監査の結論を出すことはしないが、監査チームリーダの要求
に応じて、判断のための情報を提供する。
専門家・有識者としては、関連する公的資格を保有しているのが望ましい。
5.5.4
監査人の資格と資格基準のまとめ
監査人としての資格・資格レベル・資格基準を以下の表に示す。また、アドバイザー(専
門家、有識者)としての資格基準についても以下の表に示す。
資格名
資格レベル
資格基準
内
内 部 情 報 セ キ ュ リ テ 監査リーダ
情報セキュリティの基本知識
部
ィ監査人
監査の理論と実務
監査メンバー
監
個人的特質
査
人
情 報 セ キ ュ リ テ ィ 監 監査メンバー
情報セキュリティの基本知識
査人補
監査の理論と実務
(OJT)
外
個人的特質
部
主任監査人からの評価
情 報 セ キ ュ リ テ ィ 監 監査メンバー
監査人補としての資格基準
査
査人
主任監査人からの推薦
人
主 任 情 報 セ キ ュ リ テ 監査リーダ
監査人としての資格基準
ィ監査人
他の主任監査人からの推薦
主 席 情 報 セ キ ュ リ テ 監査結果評価人
主任監査人としての資格基準
ィ監査人
監査組織主体からの推薦
アドバイザ
監
5.6
専門家・有識者
(監査リーダ)
−
情報セキュリティの専門知識
監査主体組織からの推薦
資格の更新
監査人の資格は永久的なものではなく、また情報セキュリティの技術変化や、社会的変
化による監査ニーズの変化に対応できるものでなければならない。
従って、監査人の持つ資格やその専門性もこれらの変化に応じ、定期的な見直しが必要で
207
ある。
監査人は資格取得後三年位を目処に、資格及び専門性の更新及び見直しを行うのが望ま
しい。
5.6.1
資格の更新申請
監査人は、資格の更新のため次の内容をもって更新申請を行う。
(1)資格更新のための申請書類
(2)監査に関連する所定の教育・訓練の実績の記録
情報セキュリティに関する最新知識及び効率的・効果的な監査方法の教育・訓練を
受け、その実績記録を申告する。
(3)実施した監査の実績の記録
監査実績記録と主任監査人からの評価結果をもって実績記録とし、申告する。
5.6.2
資格の更新審査
監査人の資格及び専門性に関する更新には、次の内容の審査が行われるのが望ましい。
(1)申請書類の内容確認と審査
(2)更新のための面接審査
(3)監査人としての倫理項目の遵守に関する確認
208
6. 情報セキュリティ監査人資格制度における的確な審査方法とその問題に
ついて
6.1 本章の目的
本章では、情報セキュリティ監査人資格制度における審査方法の考察と考えうる問題点
などについて報告する。情報セキュリティ監査人に必要なスキルと資格基準については前
章について報告したが、本章ではさらにこれらのスキルや資格基準を判断するための審査
方法について詳細を報告したい。
6.2
審査手法の種類について
情報処理技術者試験は多くの場合、筆記試験のみ、またはそれに加えて実務経験を得る
ことによって認定が実施されている。情報セキュリティ監査人資格制度において、どのよ
うな審査を実施すことが望ましいかについて、まずは、審査手法について列記する。
審査手法の種類
1. 書類審査
・・・フォーマットされた書類を提出し内容を審査
2. 筆記審査
・・・筆記試験による審査
3. 面接審査
・・・面接官による審査
4. 推薦審査
・・・第三者による推薦をもらい内容を審査
5. 集団討論
・・・集団討論の場を提供し、その状況を客観的に審査
このほかにも多くの審査手法が検討されるが、情報セキュリティ監査人資格制度におい
ては上記の4つの手法について検討し、二段階審査、組み合わせ審査などを行うことによ
って、より充実した内容の審査にできるのではないかと考えている。
6.3
それぞれの審査手法の目的と考えられる問題点
本項では前述の審査手法について、情報セキュリティ監査人資格において必要だと判断
されるスキルを前提に、それぞれの目的と問題点について具体的に記述する。
6.3.1
書類審査
書類審査では、情報セキュリティ監査人資格試験において前提となる資格、経験につい
て審査を行うことができる。資格試験において前提となる資格や経験が必要な場合だけで
はなく、試験の内容を免除するときなどについても、書類審査を適用することによって効
率の良い試験を実施することができ、情報セキュリティ監査人育成の初期段階において有
効な審査を提供する。
書類審査手法において大きな問題点はないと考えられるが、情報セキュリティ監査人ス
キルマップの構成を従来の資格制度や業務携帯と融合することができなければ、その効果
209
を高めることはできない。また、既得資格については証明書を得ることで内容の担保がで
きるが、経験などについてはこれらを担保するものを提出してもらうことが難しく、審査
員の誰もが等しく判断を行うことができないかもしれない。
書類審査だけで情報セキュリティ監査人資格を発行することは難しいが、その他の審査
と組み合わせることによって、より効果的な審査手法となるだろう
6.3.2
筆記審査
筆記審査では、情報セキュリティ監査人に必要な知識の確認、文章力の確認、報告能力
について審査を行うことができる。
知識の確認については、多肢選択式、記述式などの試験方法によって、十分性について
判断することが可能であり、審査員の誰もがガイドラインに従って等しく判断を行うこと
ができる。
文章力、報告能力については、設問形式の設定によっては審査員の誰もが等しく判断を
することができないかもしれない。これらの問題を解決するためには、審査によって生じ
る回答についてあらかじめ多岐にわたって検討をし、ガイドラインを策定しておく必要が
ある。さらに、それぞれの審査員の判断をクロスチェックするなどの手法を用いる必要も
あるだろう。
筆記試験における問題点は、その目的が知識の確認ということで、毎年度の更新が必要
になるというところである。これは単純に試験問題の更新ということだけではなく、資格
取得者の知識の更新という問題を含んでいる。それに対して、文章力、報告能力について
は資格取得者のスキル判断の更新を積極的に行う必要はないだろう。
このように考えると、筆記試験においては、知識を確認するものと文章力、報告能力を
判断するものを別個の試験問題として構成する必要があり、それぞれの目的に応じて適切
な問題作成と審査員の設置が重要だと考えられる。
また、筆記試験においては、参考資料の持込を許可するかしないか、知識確認の更新に
おいては、指定会場で実施するのか否かという点などについても検討をする必要がある。
これらは対象となる知識がどういったものであるのかに依存するので、必須スキルなどと
ともに今後の検討課題としたい。
6.3.3
面接審査
面接審査では、情報セキュリティ監査人の人物そのもの、信頼、指導力、理念・信念、
経験などについて審査を行うことができる。
情報セキュリティ監査においては、監査技術やセキュリティ技術もさることながら、監
査人としての責任感、職業倫理などについても求められることになる。これは情報セキュ
リティ監査が助言型、保証型の両方の形式によって実施されることになり、被監査主体に
おける、監査結果の社会的影響度が少なくないと判断されるためである。
210
面接審査の問題点は、面接官が対象者を正しく判断するためのガイドライン作成の難し
さにある。審査対象者がなぜ不合格(非適確)であると判断されたかについて明確な意見
を求められたときに、明瞭な意見を述べなければいけないからである。
資格試験のように、合格するまで何度でも試験を受ける場合、なぜ不合格になったのか
が受験者にわからない限り、合格のために何をしたら良いのかを明確にすることができな
い。筆記試験などであれば、さらなる知識学習をすればよいと判断されるだろが、面接試
験では、明確な判断を受験者自身が行えない点に問題がある。
とはいえ、面接審査を資格認定のスキームから除外するということは得策ではない。特
に上級レベルの監査人は監査の品質を保つために、監査チームの運営を円滑に行う必要が
あり、監査業務における倫理観を持つ必要がある。そして、コミュニケーションを円滑に
行うことができる判断力なども必要だろう。
これらの倫理観、判断力などは単純に書類審査や筆記審査では測ることができない。そ
れは目で見えない能力であり、コミュニケーション能力などは相手がいて初めて発揮され
る能力だからである。
6.3.4
その他の審査
上記の審査手法のほかにも、推薦審査、集団討論などが検討されたが、これらについて
は現状では補助審査ということで、具体的な活用法については十分な意見交換ができてい
ない。とはいえ、資格制度そのものが形骸化しないためにも、その他の監査人資格試験な
どを参考にさまざまな審査手法を取り入れていく必要があると考えている。
6.4
情報セキュリティ監査人資格において適切な審査とは
情報セキュリティ監査人資格については、書類審査、筆記審査、面接審査によって審査
を行うことが、現状では適切であると考える。また、情報セキュリティという知識スキル
が要求されることから、継続審査についても必要だと考えられるが、これについては書類
審査および筆記審査によって実施できるものと考える。
できる限り必要な要件について筆記審査で判断することによって、質の高い情報セキュ
リティ監査人をより多く生む出すことができると考えており、そのためには情報セキュリ
ティ監査人についてのスキルをより精査する必要があると考えている。
211
7.
事故等への対応
保証型監査であれ助言型監査であれ、監査人には公正で正確な監査の遂行が望まれる。
しかし、監査行為の質が監査人のスキルの質に依存する以上、被監査者側が、期待した質
の監査が行われていないと判断するような事態が発生する可能性を完全に排除することは
できない。
このため、もしも被監査者が監査人のスキルに対して、あるいはその監査人が行った監
査の内容に対して疑義を抱くようなことが起こったとき、それを相談することの出来る相
談窓口の機能と紛争の解決を行う紛争解決の部門を、監査スキームの枠組みの中に用意し
ておく必要がある。
相談窓口には、広く一般の利用者に認知されていること、特定の監査人や監査法人との
利害関係が無く公正な対応が出来ること、情報セキュリティ監査制度の内容や監査人のス
キルの内容について正しい判断が出来ること、必要に応じ、関係する団体や省庁と連絡や
意見交換が出来ること、等の能力が必要とされる。このため、JASA内に相談窓口を設ける
のが現実的な解のひとつであると考えられる。
相談窓口によせられた情報にもとづいて、紛争の解決を行う機能体は、対象となる監査
人のスキルあるいは対象となる監査の内容について、必要に応じ実地の検査や面接等によ
る調査を行ったり、監査人と被監査者との双方及び関連する団体や機関と意見交換を行っ
たりして問題を解決する。
情報セキュリティ監査制度の正しい実施と市場での健全な育成を図るためには、この紛
争の解決を行う組織体は、必要な際には監査人の資格の停止や剥奪、監査人協会の会員資
格の剥奪等を行うことが出来る権限を持つべきである。また、紛争の解決を行う組織体は、
紛争が発生した原因を調査し、再発防止策を検討したり監査人に要求されるスキル項目の
再検討を行ったりする活動も行うべきである。
このような紛争の解決を行う組織体をどこに設置するかは今後の検討と議論を待たねば
ならないが、例えばJASAの会長直下の諮問機関として監査人資格を審査したり認定したり
する委員会、あるいは監査事故を解決する委員会を設け、その委員会が、監査の公正な実
施や監査品質の維持・向上、監査人に求められる監査スキル要項の修正・改訂の指示、監
査人への懲罰の実施を行うことが考えられる。
さらに、このような事態が発生した場合、情報セキュリティ監査人がこれらの委員会に
協力するのは、倫理の面からも必要なことである。従って、これら委員会への対応を監査
人の義務として制度上義務付けることに加え、監査人が従うべき倫理規定も整備しておく
ことが必要である。
これらを背景に、現在JASAでは、法曹界やITセキュリティの分野、監査の分野の識者が
参画して、審査委員会の設置を検討中である。
212
8.
まとめ
前章までの検討を踏まえて、これから確立すべき情報セキュリティ監査人資格制度の骨
子をまとめ、その制度の実現に向けて中心的役割を果たすべきJASAが今後取り組むべき項
目と課題を整理する。
8.1
情報セキュリティ監査人資格制度の骨子
情報セキュリティ監査制度が日本社会に根付き、制度設計の目的が達成される姿を描く
と、1550億円規模の情報セキュリティ監査市場が実現し、6300人の外部監査人、約7万人
の内部監査人が必要ということになる。その前提には、さまざまなレベルの組織、団体に
おいて情報セキュリティの設計と実装が行われていてそれを監査するわけであるから、IT
技術者の中にも多くのセキュリティ技術に長けた人材を育成しなければならないことにな
る。すなわち、情報セキュリティ監査体制の確立と成熟には、情報セキュリティ監査人の
社会的ステータスを確立し、これまでのセキュリティ技術者育成とは一線を画するような
幅広い取り組みをしなければならないことになる。
また、そこで提供を求められる情報セキュリティ監査の内容もバラエティに富んだもの
になる。事業所規模に応じたセキュリティ監査、監査範囲のさまざまな設定に応じた監査、
技術的な検証を主とする監査、レベルを上げるための助言型監査、利害関係者に示すため
の保証型監査など、さまざまな要求に的確に答えて、一定レベル以上の品質を保った情報
セキュリティ監査を提供しなければならない。このためには、監査サービスの提供側に一
定レベル以上の知識、経験が必要である。しかも量的にも多くの新たな監査人を育ててい
かなければならない。その意味で、監査サービス提供者には、一定レベル以上の監査サー
ビスが提供できるだけの能力が備わっていることを外形的に示すものが必要である。
情報セキュリティ監査制度と類似の仕組みや、情報セキュリティ監査人と類似の資格制
度などがすでにいくつか存在するが、これらの関連する資格だけでは、これからの多様化
する情報セキュリティ監査ニーズにこたえるだけの品質の確保の基準には不足である。
また、今後の市場規模から要求される監査人人材の量から見ても、今までのこの分野の
専門家だけでははるかに足りないことも明白である。これまでのある意味で狭い意味での
情報セキュリティ人材の育成から、かなり視野を広げて関連性のある分野ですでに活躍し
ている人材を情報セキュリティ監査に巻き込んで、今までの経験も生かしながら活躍いた
だくスキームも不可欠となる。
さらに、情報セキュリティ監査に要求されるスキルは幅が広い。したがって、これから
設計する資格制度がカバーすべきスキル分野は広範囲にわたり、結果として情報セキュリ
ティ監査人にもそれぞれに専門的な分野に長けた多様な監査人がありうることになる。ひ
とりの監査人ですべてをカバーすることは不可能ではないかもしれないが、そのような人
を育成することはきわめて困難である。監査チームリーダといえども、チームメンバーの
すべてのスキルを包含できるわけではないケースが多いと想定せざるを得ない。監査チー
213
ムはこれらの多様な監査人の組み合わせで構成され、チームとして必要なスキルがカバー
されるような編成が望ましい。
このような性格から、監査チームリーダには異なるバックグラウンドを持つ多彩な監査
人をまとめ、的確に監査目的を達成するためのマネジメント力が求められる。更に、監査
企業には監査チームの監査活動が的確に行われているかを確認する意味での品質確認の仕
組みを備えることが求められる。
これらのことから、情報セキュリティ監査制度に沿って一定以上の品質を保って監査を
実施するためには、知識や技術、経験や管理体制などの一定の条件を持たす監査主体が実
施することが望ましい。すなわち、一定の基準を満たす監査人が実施した情報セキュリテ
ィ監査でなければ、情報セキュリティ監査制度に基づく監査とは認められないという制約
をはめることになる。このことにより、情報セキュリティ監査の品質を一定以上に保ち、
もって世の中の情報セキュリティの向上に寄与するのである。
この資格の検討は、監査人個人の資格を中心に進めてきたが、そのほかにも監査サービ
スを提供する企業の資格、あるいは監査を実施する監査チームの資格などを考えることが
出来る。このうち、監査チームの資格はそのチームを構成する監査人の資格の合計で評価
することが可能であり、また監査チームはプロジェクトごとに適切な監査人を選定して編
成されることが多く、チームとしての資格を認定することは現実問題としてかなりの困難
を伴う。企業単位の資格はその品質管理体制なども含めて検討されるべきであるが、当面
の優先順位はそう高いとは思えない。いずれも将来の検討課題とし、まずは個人の資格制
度に取り組むのが先決である。
監査人が持つべきスキルを、前提条件として要求される属人的な資質と素養を土台とし
て、監査人として必須の基礎スキルと、その上で分野ごとに整理した専門スキルの二段階
で構成し、基礎スキルと一定以上の専門スキルを満たすものに監査人資格を与えるのが良
い。情報セキュリティにかかわるスキル分野は広いのが特徴であり、したがって個々人の
監査人もどの分野を得意とするかがおのずと分かれてくる。しかし、仮にこの分野ごとに
資格を認定すると考えると、変化の激しい中で分野の定義を柔軟にし、かつ分野ごとの資
格を維持するのは至難の業で現実的ではない。個人の得意分野を資格認定とは別枠のスキ
ルレベルの登録制などで別途把握することにより、監査チームがそれを構成する監査個人
個人のスキルの総和として、監査チーム全体として必要なスキルレベルを満たしているこ
との検証が出来るような工夫が必要であろう。
情報セキュリティ監査人に必要なスキル項目やレベルは、監査人が行うべきプロセスを
構成する個々の活動から導き出すことが出来る。
監査人の資格として、以下の五つを定義し、それぞれの求められる知識や経験の程度、
214
それを身に着けるために必要な標準的なキャリアパスや研修コース、あるいは関連の資格
制度との関係などを明確にすることが、情報セキュリティ監査人の育成にも効果的であろ
う。
(1) 内部情報セキュリティ監査人
(2) 情報セキュリティ監査人補
(3) 情報セキュリティ監査人
(4) 主任情報セキュリティ監査人
(5) 主席情報セキュリティ監査人
監査人資格は永久的なものではない。情報セキュリティは技術や社会の変化に応じて対
応できなければならない。したがって、監査人資格もその専門性もこれらの変化に応じて
磨かれていかなければならない。すなわち、資格も定期的にその的確性が再確認される必
要がある。おおむね三年をめどに資格の更新審査を実施し、さらにその間の経験や実績、
研鑽や環境変化への対応状況を年次に確認する必要があると考える。
監査人としての資格があるかを審査する方法として、1)必要な前提知識を備えているか、
2)資格にふさわしい情報セキュリティ分野での経験があるか、3)高い品質の監査サー
ビスを提供できることを実証しているか、の三点を確認するのがよい。この資格は、あく
までも実証された能力を見るものであり、潜在的な力があるとか、知識があるだけでは不
十分である。
1)前提知識は、ペーパーテストを行う、あるいは特定の研修コースを受講しその終了
試験に合格することでその条件を満たすことが出来る。他の関連資格のいくつかをすでに
取得している場合はそれで代替することが出来る。
2)経験は、それまでの経験を自己PRとして小論にまとめ、それを証明するにふさわし
い推薦人の推薦文を添付することで申請する形式が望ましい。この内容は、面接で試験官
からの質問に的確に答えられることをもって検証することができる。
3)高い品質の監査サービスを提供できることの実証も、ほぼ同様の方法で検証するの
が望ましい。この場合は、監査サービスを提供した監査チームリーダの評価と、監査サー
ビスを提供した相手の評価の両方を文書として添付する形式とする。これまでの実績を書
面として申請書にまとめて提出し、審査チームの面接で自己PRとして主張していただく。
仮に短時間であっても、このような直接の自己PRによりかなりの確立で実証された能力を
判定することが出来る。
監査人資格の判定にこのような面接試験を取り入れることは、審査体制の確立や面接官
の個人差による審査のばらつきを一定以下に押さえ込むための客観的な評価基準を策定す
215
ることなどが課題となるが、今後の健全な発展のためには手を抜くわけには行かない。面
接をするにはかなりの体制と努力が必要となるが、制度の品質を維持する上で必須と考え
る。手間をかけるということは認定申請者に一定の認定申請料を負担いただくことになり、
コストもかかるが、健全な情報セキュリティ監査制度の維持と発展、情報セキュリティ監
査人の社会的な地位の確保のためには、それだけのことをする価値と必然性があると考え
る。
このような制度の設計と運用は、情報セキュリティ監査の実施経験やスキルの豊富な人
が行わなければ良いものにはならない。したがって、JASAがこの制度の設計と立ち上げを
実施しなければ実現は難しい。監査人の資格制度には、従ってJASAの監査人資格認定委員
会のような機関が必要である。その委員会は、監査人の資格認定にかかわる判断や手続き
を担当するとともに、不祥事が起きた場合の資格停止、監査人資格剥奪、あるいは事故等
から学び、資格要件に反映していく仕組みも担当することになる。
8.2
今後取り組むべき項目と課題
このような資格制度は、必要以上に肥大にならないように注意しなければならない。ま
た、資格制度そのものが目的化して、本来の趣旨を見失うとか、利権を求めるなど横道に
それるようなことは厳に避けなければならない。しかし、情報セキュリティ監査の質を一
定水準以上に確保するのは、その監査に携わる情報セキュリティ監査人の技量にかかって
おり、その意味で情報セキュリティ監査人資格が世の中から尊敬され名誉ある地位を認め
られるだけの厳しさと格の高さも求めなければならない。
これからこのような監査制度を設計し運用していくには、現在第一線で活躍し、黎明期
にある情報セキュリティ監査に最も豊富な知識と経験を有する JASA メンバーの積極的な
参画が不可欠である。具体的には 2004 年度の活動として以下のような項目を実施し、2005
年頭からは、この制度の本格的な運用が開始できるように取り組まなければならない。
1)情報セキュリティ監査人資格制度の設計
1-1) 情報セキュリティ監査人スキル体系の定義
1-2) 情報セキュリティ監査市場と監査人必要人数の成長モデル策定
1-3) 監査人の育成ロードマップの作成
1-4) 監査人の分野別スキル評価の方式と報告の制度検討
1-5) あるべき監査人資格制度と立ち上げ時の制度の設計
1-6) 監査人資格制度にかかわる各種規定類の整備
1-7) 移行時の臨時措置の検討
2)情報セキュリティ監査人資格制度関連の各種開発
216
2−1)情報セキュリティ監査人資格制度にもとづく研修コースの開発
2−2)情報セキュリティ監査人研修制度に基づく資格試験の開発
3)情報セキュリティ監査人資格制度の運営
3−1)監査人資格制度運営体制の確立
3−2)監査人資格制度の運営と評価・改善
更には、情報セキュリティ監査人資格制度の設計や運営の中に、いかにチェック機能を埋
め込むか、公正かつ公平に制度を運用するための運営体制のあり方や、そこで確立すべき
規範などを実情に合わせて検討していかなければならない。
217
9.付表
スキル分類表(マップ)例
スキル
内容例
1.監査スキル
(1) 情報セキュリティ監査に共通のスキル
(a)監査の計画の立案に必要な 監査の基本方針を立案し、それに基づく基本計画の立案、監査実施計画(監査
スキル
手続き)の立案する。
(b)監査手続きの実施(監査証 監査実施計画に基づく監査の実施と、監査証拠の入手及び資料に基づく評価す
拠の入手と評価)に必要なス る。
(c)監査調書の作成と保存に必 監査手続きの結果(監査チェックリスト等)と、監査手続きに関連して入手した資
要なスキル
料を基に監査調書を作成し、保存する。
(d)監査報告書の作成に必要な 監査計画に基づいて実施した監査結果を被監査部門長及び関係者に結果を伝
スキル
達するため報告書にまとめる。
(e)監査報告に基づくフォロー 監査報告書で指摘された項目に対する是正処置、予防処置結果に対し有効性の
アップに必要なスキル
確認を行う。
(f)監査業務の管理に必要なス 監査計画から報告までの一連の監査業務を計画されたコスト、品質、日程で実施
キル
するための全体を管理する。
(2) 保証スキル
(a)情報セキュリティマネジメ
情報セキュリティ管理面での問題点の分析,管理面での評価を行う。
ントの評価能力
(b)情報セキュリティレベルの
一定の尺度に従って監査を実施し判断した結果としての合理的な保証を与える。
評価
(3) 助言スキル
(a)セキュリティ戦略と計画の
実際の組織を守るための現実的なセキュリティ戦略、戦術の立案能力、経験
立案に必要なスキル
(b)ITシステムのセキュリティ
「2.技術スキル(2)ITシステムセキュリティ技術のスキル」を用いた分析
分析に必要なスキル
(c)セキュリティアセスメント
システムセキュリティとマネジメントセキュリティ両面のアセスメント
に必要なスキル
(d)セキュリティ立案(デザイ
優先順位付け、暫定措置、コスト比較
ン)に必要なスキル
(e)個別セキュリティ対策計画 プロジェクト進行、セキュリティ対策遂行、普及・啓蒙の方法論、組織におけるセ
作成に必要なスキル
キュリティ教育の方法論
2.技術スキル
(1) セキュリティマネジメントに関するスキル
セキュリティマネジメントの考え方、PDCAサイクル、他のマネジメント規格との関
(a)セキュリティマネジメント
係
(b)セキュリティポリシー
三階層モデル
(c)セキュリティ組織
セキュリティ対応組織
(d)リスク評価
「2.技術スキル(2)ITシステムセキュリティ技術のスキル(d)リスク評価」の結果の判
断も含む
(e)セキュリティインシデント
IRT体制、IRのPDCERF6ステージ、脆弱性情報の取り扱い
対応体制
(f)標準化動向
ISO17799/JISX5080,ISO13335, ISO15408/JISX5070,JISQ15001
(g)法律動向
著作権法、不正アクセス禁止法、個人情報保護法、不正競争防止法
(h)制度動向・行政動向
政府セキュリティポリシーガイドライン、ISMS制度、Pマーク制度、情報セキュリ
ティ監査制度、自治体監査制度
(i)プロセスデザイン
運用設計におけるプロセスデザインの実施
(2) ITシステムセキュリティ技術のスキル
(a)ネットワークシステムのセ
プロトコル、TCP/IP、通信路、無線LAN、タッピング、ファイアウォールシステム
キュリティ
(b)コンピュータシステムのセ TCP/IP、主要AP(mail,ftp,telnet,http,dns…)、OS論、アセンブラレベルのセキュリ
キュリティ
ティ、バックドア
(c)物理セキュリティ
セキュリティ境界、物理的セキュリティ管理策
(d)リスク評価
定量的リスクと定性的リスク
(e)セキュリティインシデント
の技術
(f)セキュリティ防衛、追跡の
技術
侵入、盗聴、改ざん、なりすまし、ウイルス/ワーム、DoS、踏み台、XSS、バッファ
オーバフロー、ソーシャルエンジニアリングの原理と対応策
要塞化、IDS、セキュリティパッチ、暗号、PKI、鍵管理、電子署名、セキュアOS、脆
弱性検査
CERT、JPCERT、NIRT、FIRST、IPA、ISAC、@Police、ベンダー系情報源 等に関
する知識
(g)セキュリティ組織の知識
218
参考資料
【第1章】
総務省
統計局
平成16年度事業所・企業統計調査
http://www.stat.go.jp/data/jigyou/
【第 2 章】
1)
「ISMS ユーザーズガイド(ISMS 認証基準(Ver.2.0))」財団法人日本情報処理開発協
会(2003.9.29)
2)「情報セキュリティ監査研究会報告書」経済産業省(2003.3.26)
【第 3 章】
公認会計士の仕事が解る本
朝日監査法人
NEC における ISO14000 内部環境監査
新世界 ISO マネジメント
法学書院
NEC 環境管理部
矢野友三郎
平林良人
日本規格協会
日科技連
よくわかるプライバシーマーク
村松澄夫、鳩原恵二
日本実業出版
監査の新世紀
山浦久司
税務経理協会
ISMS/BS7799 認証取得マニュアル
富士通SSL
セキュリティビジネス調査
キメラ総研
平成15年度情報通信白書
総務省編
オーム社
ぎょうせい
JIPDEC ホームページ
IRCA ホームページ
公認会計士協会ホームページ
情報セキュリティ監査研究会報告書
経済産業省
情報セキュリティ監査制度に関する調査報告書
【第 6 章】
「品質及び/又は環境マネジメントシステム監査のための指針」JIS Q 19011:2003
(ISO19011:2002)
219