多様な組織体のさまざまなニーズに応じた監査方式
情報セキュリティ監査を実施すべき組織体は、民間分野においては大企業から中小まで、また政府関係分野においては、中央省庁から都道府県、市町村まで、その人員規模、情報システムの形態、予算の規模など様々である。
また、被監査主体のニーズも自らのセキュリティ対策の有効性の指摘、例を挙げればある尺度に照らした時に、それとのギャップを指摘したり、改善の方向性を示すことなど。いわゆる「助言型監査」から、商取引の相手方等との関係から情報セキュリティの対策の有効性について「お墨付き」を得たいという目的。つまり、「保証型監査」まで一様ではない。こうした被監査主体のニーズに応じ、監査を行う主体と監査内容を柔軟に選択できる制度となっている。
保証型監査と助言型監査
監査の対象となる組織体の情報セキュリティに関するマネジメントやマネジメントにおけるコントロールが監査手続きを実施した限りにおいて適切である旨を伝達する監査の形態を、「保証型監査」と呼ぶ。なお、この場合、「保証」といっても、結果としてインシデントが発生しないという絶対的な保証ではなく、一定の判断の尺度に従って監査手続きを行った範囲における合理的な保証となることに留意が必要である。
マルかバツの評価だけでなく、ある尺度に照らした時に、ギャップを指摘する事なども情報セキュリティ監査の重要なニーズである。現在我が国で行われている監査がこの方式であり、また国際的に見ても監査の一形態として、この方式が主流であるのが現状である。この様に、監査対象となる組織体の情報セキュリティに関するマネジメントや、コントロールの改善を目的として、監査対象の情報セキュリティ上の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を行う監査の形態を「助言型監査」と呼ぶ。
この際、監査の主体が組織体の外部者である場合、マネジメント体制構築や情報システム構築といったコンサルティング業務との違いは明確化しておく必要がある。すなわち、監査はあくまで独立した者による客観的な評価義務であり、特定の製品やサービスを販売・斡旋することに関与してはならない。
助言型監査から保証型監査へ
我が国の各組織体における情報セキュリティ対策の現状を鑑みると、当初は、助言型監査が主流となってくると考えられる。監査の際の判断の尺度として提示されるものはベストプラクティスとして示されるものとなるため、保証をしようとしても、このベストプラクティスに照らして「できていない」ことを保証することも可能だが、「できていない」ことの保証を受けることは現実的ではなく、そのようなニーズは極めて少ないと考えられる。また、たとえ保証できたとしても、対象範囲を限定した一部分の保証にならざるを得ないと考えられるからである。
したがって、各組織体に対する監査のあり方としても、まずは、助言型監査によって徐々にそのレベルを向上させ、また必要に応じて一部分の保証を加えながら、ある段階に来た時に保証型監査を行うといった利用のされ方になるものと考えられる。
典型的な情報セキュリティ監査市場のイメージ
外部監査と内部目的の監査
「情報セキュリティ監査」を実施する(受ける)目的には、経営者等が経営判断に利用する場合(内部目的)と、経営者等が外部の利害関係に対して当該監査結果を示すことに利用する場合(外部目的)の両者があり得る。助言型監査は主に内部目的に利用され、保証型監査は主に外部目的に利用されることとなる。
一般に、外部目的のための監査は外部の者によって行われることが原則となるが、内部目的のための監査を行う主体は、外部の者であっても内部の者であってもよく、原則として被監査主体の選択に委ねられることとなる。
しかしながら、政府・自治体といった公共性の高い被監査主体においては、国民の権利等を守るという目的が付加させることから、たとえ内部目的の監査であっても、外部の主体による監査を受けることが肝要と思われる。