bannertrendnews.gif


第2回 地方公共団体の情報セキュリティ監査
「内部監査」と「外部監査」
沖コンサルティングソリューションズ株式会社 シニアマネージングコンサルタント
芦田元之
あしだ・あさのぶ 1970(昭和45)年京都大学理学部数学科卒業、同年沖電気工業入社、UNIXワークステーション開発、情報セキュリティ開発に従事。02年4月より現職。主な著書に『戦略情報システムの構築』(三田出版)がある。



前号では、情報セキュリティ対策の実効性を点検・評価する「情報セキュリティ監査」について、〈なぜいま必要なのか〉〈現状の課題点は〉などを見てきた。引き続き今号では、情報セキュリティ監査を実行するにあたってのポイントを「内部監査」と「外部監査」それぞれの観点から考えてみる。

情報セキュリティ監査の位置付け

 情報セキュリティ監査を行う監査人は、「地方公共団体の内部監査部門(人)」と「外部の監査人(企業・団体など)」に分けられます。
 このうち内部監査部門による監査を「内部監査」といいます。これは内部統制の機能のひとつで、組織の長またはそれに準ずる者が、管理体制の適切性を確かめる目的で実施する監査です。もう一つの外部の監査人が行う監査を「外部監査」と呼びます。
 “外部が監査する”という点で、内部監査に比べて監査主体の独立性が高いといえ、また監査結果の客観性も確保されると考えられることから、住民や議会へ公開するような場合にはこちらが適しています。
 内部監査と外部監査の目的には、(1)地方公共団体が情報セキュリティポリシーの実施状況を確認する場合の監査、(2)議会・住民などに監査結果を示すことに利用する場合の監査、があります。
 また、その監査結果は「保証型」と「助言型」に区分されます。保証型監査とは、情報セキュリティマネジメントや対策の監査を行った範囲について適切かどうかを“保証”する監査です。一方の助言型監査は、情報セキュリティマネジメントや対策の改善を目的として問題点を洗い出し、必要に応じて“助言”する監査形態をいいます。
 誰が・どのような形態で監査を行うかについては、地方公共団体の判断によりますが、地方公共団体における取り組みは緒についたばかりであり、当面は「助言型監査」が主流になると見られています。実際、すでに監査を実施している団体では「外部監査人」による「助言型監査」を行い、その監査を通じて「内部監査人」を育成していこうとするケースが多いようです。

自己点検はセキュリティ監査の出発点

 さて、外部監査を委託する場合にポイントとなるのは、監査機関の「監査レベル」とその「選択方法」です。
 これについて総務省では、情報セキュリティ監査を実施する際の判断尺度となる『地方公共団体情報セキュリティ管理基準』と、監査を実施する際の手引きとなる『地方公共団体情報セキュリティ監査実施手順』を定め、監査機関の監査レベルを一定に保つガイドラインを提示しています。ちなみにこのガイドラインは『地方公共団体情報セキュリティ監査ガイドライン』と称され、総務省のホームページ(www.soumu.go.jp/s-news/2003/031225_12.html#03)からダウンロードすることができます。
 『地方公共団体情報セキュリティ管理基準』では、全部で975項目の管理基準が定められていますが、実際に監査を行う時には、このすべてを網羅的に評価・確認するのではなく、監査の対象範囲(組織形態、業務、システム)や目的等に合わせて適切な項目を選びます。
 また、ほとんどの団体では監査を委託するのは初めての経験であり、「信頼できる監査機関」をどう選べばいいのか悩まれると思います。そうした場合は、経済産業省の「情報セキュリティ監査企業台帳」の一覧や、特定非営利活動法人日本セキュリティ監査協会の会員企業から監査機関を選定する方法があります。


 地方公共団体自身が行う内部監査については、個々の職員が情報セキュリティポリシーを確実に運用し、セキュリティレベルを段階的に引き上げるという点で効果があります。ただ、多くの場合、独立した監査部門の設置は困難なため、情報化推進委員会がその役目を担うのが現実的な方法といえるでしょう。
 監査の実施にあたっては、年度計画を立て、監査テーマや監査対象部門の選定を行います。また、部門の選定では、個人情報などを扱う重要なシステム担当部門やその他のシステムを取り扱う担当部門などによって順位付けをします。
 しかし、現状では、まだ監査する側もされる側も経験が乏しいため、いきなり高度なことを望むのではなく、例えば「コンピュータウイルス対策基準が守られているか」「システムごとに定めた実施手順やマニュアルを適切に運用しているか」など、基本的な事項から監査を行うことが肝要です。
 また、内部監査の目的を考えると、実際の監査のなかに教育的側面として職員自身に“気づき”を与える要素を取り入れることも大切です。それには、職員自身による「セルフチェック(自己点検)」を効果的に組み合わせることをお勧めします。例えば、内部監査の実施に先立ち、「セルフチェックリスト」の管理基準のなかから監査目的に合致する基準を選択し、監査対象部門へ事前に調査シートを配布し、記入後これを回収した上で実地監査を行い、改善点をまとめるといった方法が考えられるでしょう。なお、「セルフチェックリスト」の作成では、『地方公共団体情報セキュリティ監査ガイドライン』で定められた情報セキュリティポリシーの遵守状況を点検・評価する項目(258項目)が参考になります。
 「監査」というと、とかく堅苦しいイメージがありますが、監査終了時には必ず講評会を開催して、まずはいい点を“評価”し、次に改善点を“助言”するという工夫が欠かせません。「情報セキュリティ対策は一人ひとりが改善させていくんだ」との理解を浸透させることが、内部監査を形骸化させないコツといえるでしょう。



バックナンバーへ戻るspacer新風トップへ