経済産業省が2003年度からの導入をめざしている「情報セキュリティ監査制度」に関するパブリックコメントの募集が1月下旬から始まった。3月末までには同制度の最終報告をまとめることにしており、02年4月から運用を開始しているISMS認証制度と合わせて、管理・運用面で情報セキュリティを確保するための制度基盤が整うことになる。

監査制度とマネジメント

　「情報セキュリティの問題は、7－8割が組織内部の人的要因によって発生していると言われ、マネジメント体制をいかに整備するかが重要なポイントだ」（経済産業省商務情報政策局情報セキュリティ政策室・山崎琢矢課長補佐）。情報セキュリティ対策も、前回に紹介したISO／IEC15408に準拠した製品・技術面での対応だけでは、人的な操作ミスや内部犯行などで情報が流出したり、改ざんされたりすることは防止できない。

　今年1月下旬のワーム事件も、セキュリティホールに着目すれば製品・技術面の問題だが、ホールをふさぐパッチが配布済みにも関わらず対応せずに被害が広がったことに着目すれば、明らかに管理・運用面の問題である。技術的対応とマネジメント的対応の両輪が揃うことが、情報セキュリティ確保に不可欠であることを示した事例と言える。

　企業経営（マネジメント）でも、いかに運営・管理するかというマネジメント体制と、その体制がきちんと機能しているかどうかをチェックする内部監査、さらに第3者による外部監査が行われるのが一般的だ。情報セキュリティマネジメントも考え方は基本的には同じと言える。

　情報セキュリティマネジメントのあり方に関しては、ISO（国際標準化機構）で国際規格「ISO／IEC17799」が策定され、日本でもすでにJIS（日本工業規格）化されている。いまや日本企業の多くが品質マネジメントのISO9000や環境マネジメントのISO14000の認証を取得しているが、17799に関しても認証制度（ISMS認証）が02年4月からスタートしたところだ。

　認証の仕組みはISO9000などと同じで、民間の審査登録機関（現在は6社）が申請にもとづいて審査・認証を行う。この審査登録機関の認定を行う公的な認定機関が日本情報処理開発協会（JIPDIC）。今年1月までの認証取得事業者数は70社となっている。現在、導入準備が進められている情報セキュリティ監査制度も考え方の基本はISMS認証と同じ17799。監査をする際の判断の尺度となる「情報セキュリティ管理基準」と、監査人の行為規範となる「情報セキュリティ監査基準」の2つの基準と、5つのガイドラインが用意される。

　会計監査では、財務内容を詳細に調査して報告書の内容と合致していることを監査人が保証するのが一般的だが、情報セキュリティ監査は会計監査のような「保証型」だけでなく、コンサルティング的な「助言型」の制度も導入し、同制度の普及を促進していく。経産省では、事業者が外部監査を行うことができる企業を検索できるようにするため「情報セキュリティ監査企業台帳」制度も創設する計画だ。

　情報セキュリティに関してはこれまでも経産省のシステム監査基準や情報システム安全対策基準、総務省の情報通信ネットワーク安全・信頼性基準、警察庁の情報システム安全対策指針など、さまざまな基準類が整備されてきたが、情報通信システムのセキュリティが中心だった。今回の新しい基準は、システムの外も含めて保護すべき「情報資産」全てを対象とした基準と位置づけることができる。IT社会の実現を目指していくうえで、情報セキュリティをマネジメントするという意識を社会全体にどのように浸透させていくか。行政機関や企業などの積極的な対応が求められている。（ジャーナリスト　千葉利宏）