日本の情報セキュリティ対策の現状
近年、ハードウェアやソフトウェアの構造は複雑化の一途を辿っており、併せて、ブロードバンドに代表されるネットワークも日々変化をしている。
これらの要素が引き金となり、我が国では様々な情報セキュリティに関する問題が発生している。すなわち情報システムの不正侵入、機密情報/個人情報の外部への漏洩、情報システムに保存されているデータへの改ざん・破壊等といった情報セキュリティ対策の不備に起因する問題である。
こういった問題は国家や企業の経済的及び、社会的信用の損害、個人情報の漏洩による人権の侵害など様々な影響をもたらしている。
日本の情報セキュリティ監査の実施状況と問題点
下記の表が示すように、我が国においては情報セキュリティ監査を実施している組織体は未だ少ないのが現状である。
また、情報セキュリティ監査を実施していると答えた組織体の実施内容(下記のグラフ参照)、実施していない理由の調査結果(下記のグラフ参照)から、情報セキュリティ監査が普及していない問題点として、以下のことが挙げられる。
- 監査を行う主体としては、監査の正当性を信じてもらえないという点。
- 被監査主体としては、どのような効果があるか分からない、または誰に頼めば良いか分からないという点。
情報セキュリティの実施状況
| 実施している | 実施していない | 無回答 | |
|---|---|---|---|
| 大企業(N=541) | 20.0% | 79.7% | 0.4% |
| 中小企業(N=951) | 7.2% | 91.7% | 1.2% |
| 地方公共団体(N=172) | 4.7% | 95.3% | 0.0% |
| 病院(N=109) | 4.6% | 95.4% | 0.0% |
| 大学(N=175) | 9.1% | 90.3% | 0.6% |
| その他学術・研究機関(N=70) | 11.4% | 88.6% | 0.0% |
実施している情報セキュリティ監査の内容
情報セキュリティ監査を実施していない理由
情報セキュリティ監査の必要性
「情報セキュリティマネジメント」の確立をはじめとした情報セキュリティ対策は、まず第一にその組織体自らが講じていくものであるが、自らの対策のみでは限界がある。
こうした中、独立かつ専門的知識を持った者に対して情報セキュリティ対策の評価を依頼する組織体が出始めている。
この「情報セキュリティ監査」 は、当該組織体が現時点において適切な情報セキュリティ対策を講じているかどうかといった点に加え、環境変化に応じた適切な対策が取られているかといった「情報セキュリティマネジメント」の確立の評価において有効な手法であり、監査を受けた上で「保証」してもらい、それを商取引等において利用したいとのニーズも存在している。
これらの状況を踏まえ、情報セキュリティ監査の普及のためには、ユーザー(被監査主体)にとって利用しやすく、また、監査を行う主体にとっても監査を行いやすい「情報セキュリティ監査」の標準的・一般的な形態の創設が急務となっている。
情報セキュリティ監査制度の創設
前述の様な背景のもと、2002年9月、経済産業省に設置された「情報セキュリティ監査研究会」は、情報セキュリティ監査のあり方についての検討を行ない、2003年3月に「情報セキュリティ監査研究会報告書」と「情報セキュリティ監査のための基準」等を公表した。これら報告書の提言を受け経済産業省は2003年4月、「情報セキュリティ監査制度」を開始した。