bannerkanmatsu.gif


第2回
情報セキュリティ監査は受けてはいけない?
埼玉県総務部IT企画課セキュリティ担当主査
LSフォーラム幹事・監査部会副部会長

小室武晴


 皆さんは「監査を受検する」や「監査に対応する」という表現から、どんなことを想像するでしょうか。もしかすると、次に述べるようなことを思い浮かべる方もいらっしゃるかもしれません。
「準備を念入りにしてボロが出ないようにしよう」
「良くできているところだけを積極的に見せて、不備なところはカムフラージュしよう」
「とりあえず、指摘事項がなければ万々歳」
 ここで、連載第1回にあった情報セキュリティ監査の目的を思い出してください。一つの目的として〈情報セキュリティ・レベル向上の一環としてセキュリティ対策の実施状況やその有効性を確認することです〉とあります。先ほど挙げた3つの姿勢では、情報セキュリティ・レベルの向上にはつながりません。それどころか、悪いところが隠ぺいされ、放置され、その結果、重大な事故を起こしてしまうかもしれません。

知りながら改善しないのは恥だ

 タイトルに掲げた「情報セキュリティ監査は受けてはいけない?」というのは、内部・外部を問わず情報セキュリティ監査は「受身の監査であってはならない」ということです。受身の監査ではなく、監査の機会を、どうすれば情報セキュリティ・レベルが向上するのかを監査人とともに考えていく場とすることが重要です。
 したがって、監査を受ける側(あまりこの表現は好きではないのですが、他に良い表現が見つからないので敢えて使います)の留意点として、大きく次の3点が挙げられます。
1.できていないものはできていないという
 できていないことを正直に申告するのは、恥ずかしいかもしれません。できれば触れずに済ませたい、という心理が働くのは当然のことです。
 しかし、その“できていないこと”をきちんとやらなければ、情報セキュリティ・レベルはいつまでたっても向上しません。できていないことが恥ずかしいのではなく、できていないことを知りつつ改善しないのが恥ずかしいのです。
2.監査人が来る前に改善してしまう
 ありのままを見せるのが必要だと述べた直後に、逆説的なことを書きます。もし、“できていないこと”が判明したならば、監査人が監査に来る前に改善してしまえば良いのです。監査人に指摘されるまで待つ必要はありません。
 小さなことでも気がついたらすぐに改善する、このような積み重ねが情報セキュリティ・レベルの向上に大きく寄与します。また改善活動を通じて職員の情報セキュリティ意識の向上にもつながります。そして、この小さな改善の積み重ねから、大きな改革へつながるヒントが生まれてくるかもしれません。
3.お金をかけずに知恵をしぼる
 改善にはお金がかかるものだという固定観念は不要です。高価な機器を導入しなくても、ルールを策定したり、台帳でしっかり管理したり、プロセスを文書化したり、さまざまな手法が考えられます。もちろん必要なものにお金をかけることも大切ですが、創意工夫で改善できればそれに越したことはありません。この創意工夫の過程でも、職員の情報セキュリティ意識が向上していくに違いないでしょう。
 監査は手段であって目的ではありません。あくまでも情報セキュリティ・レベルの向上が目的です。さらにいえば、住民の安心・安全を守るのが目的です。目先の監査対応に振り回されて、本質を見失わないように注意が必要です。


監査とは改善のきっかけづくり

 また、「監査人はコンサルタントであってはならない」といわれます。なるほど一理あるのですが、セキュリティ監査においてはこの考えを捨てても良いのではないでしょうか。
 例えば、会計の監査で「書類に決裁印が押されていない」という指摘があれば、押すように改善すれば良いだけの話です。ところが情報セキュリティ監査で「ユーザのアクセス制御に不備がある」とだけ指摘しても、現場の担当者はどう改善すればよいか分からないことがあるでしょう。具体的な改善案として、どんな機器を導入して、どんなものを参考にして設定を行い、どのようにして運用・管理していくのかなどを助言することが監査人の役割であっても良いでしょう。
 監査人と監査を受ける側は、どちらが上でどちらが下ということはありません。もちろん監査人の第三者性は重要です。しかし、「安心して業務を行える職場づくりを進めていく」という基本姿勢を共有することも重要なのではないでしょうか。
 以上、監査する側も監査を受ける側も、対等な立場が重要なのがお分かりいただけたかと思います。両者一丸となって組織内の情報セキュリティ・レベルの向上に向けて改善のきっかけを見つけていく、という姿勢がポイントです。
 監査人が厳しく指摘だけをして、受ける側はなんとかその場しのぎの対応をする――このような状況ではいつまでたっても情報セキュリティ・レベルの向上は望めません。もしかすると「情報セキュリティ監査」という言葉自体も、見直しの時期が近づいているのかもしれません。


●地方公共団体セキュリティ対策支援フォーラムについて
地方公共団体および有識者、民間企業、関連団体等の連携の下、地方公共団体の情報セキュリティ対策支援を目的に設立された組織。地方公共団体の入会費・年会費は無料。詳細はホームページ(http://lg-sec.jp/)まで。



バックナンバーへ戻るspacer新風トップへ