【情シス担当者向け】セキュリティ監査で知っておきたい事例やポイントを解説!
最近、ニュースで報じられるケースが増えているように、個人情報漏えいや不正アクセスの問題も他人事ではなくなってきました。これらを予防するセキュリティ監査は、企業の情報システムの安全性と信頼性を検証し、改善点を発見する作業です。
情報セキュリティ投資を増やす企業は、主にネットワークとクラウドセキュリティに投資しています。
また、適切なユーザーだけがデータにアクセスできるようにするアイデンティティ/アクセス管理にも投資しています。ただ、その他多くの企業では、セキュリティ予算が十分に取られていません。
セキュリティ被害を早期発見し、予防するセキュリティ製品の導入と体制の構築が、被害を抑える対策になるといえます。今回は、IT面での被害を最小限に食い止めるために、事例を交えてセキュリティ監査のポイントを紹介します。
すでにセキュリティ監査について、課題や相談内容が決まっている方は、サービスページからお申し込みください。
目次
1.情報セキュリティの脆弱性による事件やアンケート結果
個人情報漏えいや不正アクセスから企業を守るためのセキュリティ監査への関心も高まっています。その必要性について、企業へのアンケート結果とともにご紹介します。
1-1.個人情報漏えいと不正アクセスの問題
企業は管理者や従業員、顧客や取引先を含め多くの個人情報を保有しています。個人情報保護法の施行に伴い、個人情報の漏えいと不正アクセスへの備えが必要になってきました。
個人情報などを管理するシステムのセキュリティ対策のために、セキュリティ監査でチェックすることが推奨されています。セキュリティ監査は、外部の専門家によって、企業のシステムのセキュリティを検証、評価する作業です。
企業は情報セキュリティ監査の結果、評価を受け、セキュリティ面で改善し、情報漏えいを起こさないようにする必要があります。
1-2.セキュリティ監査の必要性についてのアンケート結果と分析
セキュリティ監査の必要性についてどのくらい関心が高いのか、IT専門調査会社 IDC Japan 株式会社が2020年にまとめた興味深いアンケート結果があります。
情報セキュリティ投資の増減率は、前年度と比べ増やした企業が36%で、減らした企業10%を上回りました。また、同投資見込みでは前年度を上回るとした企業は全体の38%、下回るとした企業は9%でした。
この1年間でセキュリティ被害を受けた企業は54%で、その内42%がランサムウェア感染の被害に遭っています。ランサムウェアに感染した企業の50%以上では、バックアップファイルかセキュリティベンダーの暗号化ツールによって回復しています。
2.セキュリティ監査とは?その必要性や目的は?
セキュリティ監査が広まっている背景を上の項で説明しました。では、セキュリティ監査とは一体どういうものでしょうか?その必要性や目的についてここから詳しくご説明します。
2-1.セキュリティ監査の概要
セキュリティ監査を行なう企業は少なく、中小企業においてもまだ少ないままです。
セキュリティ対策を執っていないために、欠陥部分であるセキュリティホールを狙ったサイバー攻撃による個人情報の漏えい、不正アクセスでの機密情報窃取などのトラブルが絶えません。
また、情報セキュリティの脆弱な部分、材料調達から製造・販売といったサプライチェーンに対する攻撃もあります。企業は、これらの攻撃に備えるため、適切なセキュリティ対策を行なう必要があります。
2-2.セキュリティ監査の必要性と目的
先のアンケートによると、セキュリティシステムで事故や攻撃といったインシデントを発見した企業は約5割、顧客や提携先からの通報でインシデントを発見した企業は約2割で、セキュリティシステムだけで全てのインシデントを発見するのは困難です。
セキュリティ監査を実施することは、環境の変化に応じてセキュリティを強化する情報セキュリティマネジメントについて評価されるのに有効です。
また、社内の情報セキュリティに関する意識を高める効果もあります。そして、顧客や取引先へ安全性をアピールすることも重要です。なお、同様なチェック方法ながら、より法的な義務から自由で、監査項目を選べるシステム監査という方法もあります。
3.セキュリティ監査の事例を2つ紹介!
セキュリティ監査といっても、その方法はどんなものかイメージしにくい部分もあるでしょう。ここでは、実際に監査のサービスを提供している会社の事例をご紹介します。
3-1.セキュリティ監査の事例1
NTTデータ先端技術株式会社が行なうセキュリティ監査をもとに、監査の具体的な方法をご紹介します。実際には、監査対象のシステムや依頼主の要望に合わせて、必要な調査のメニューを変えます。
適用する監査基準は、次のいずれかにします。
・情報セキュリティ管理基準(経済産業省の定めるもの)
・情報セキュリティ関連既定(企業などで独自に定める)
・業界独自の法令・自主ルールなど
実際の作業では、
・担当者へのヒアリング
・ドキュメントのレビュー
・現場への視察・観察
・システムの設定値レビュー
などを行ない、セキュリティ管理状態の妥当性、遵守状況、実施状況の評価を行ないます。
監査終了後には報告書に、監査基準とのギャップ指摘、検出事項・改善事項、改善のための助言をまとめます。それをもとに、システムを改善していく、必要ならば再チェックと改善をして、盤石なシステムに改善していきます。
3-2.セキュリティ監査の事例
中小企業への対応が多い大塚商会のサービスをもとに、セキュリティ監査の事例をまとめると、次のような監査の流れもあります。
監査の流れは、監査範囲の選定から立案、監査の実施、結果報告といったものです。その上で企業内では気づきにくいセキュリティ上のリスクを評価します。また、国際標準と比較して、セキュリティの弱点を洗い出すことも可能です。
例えば、運輸・通信業では、短期間で顔認証によるセキュリティ・勤怠管理の強化をサポートしました。また、テレワーク対応の業務体制構築をサポートした事例もあります。
4.セキュリティ監査をする上でのポイント
セキュリティ監査を実施して、確実にシステムの改善点を洗い出すには、注意すべきポイントがあります。システムの問題点を依頼先とともに見極める、幅広い視点で問題点を洗い出す、といったポイントについて解説していきます。
4-1.自社の問題点を依頼先とともに見極めて対策する
セキュリティ監査をする上での第一のポイントは、システムの問題点を監査の依頼先とともに見極めて、改善していくことです。システムや組織上の問題点として、次のようなものがないかを把握する必要があります。
・パソコンなど個別のセキュリティ対策だけで留まっていないか
・セキュリティ改善の方向づけが不明瞭でないか
・監査によって得られる効果が分からない
・情報セキュリティ管理の部署やノウハウがない
これらを監査の依頼先とともに把握して、監査実施時期や評価方法を立案・決定し、監査実施計画書等を作成すると良いでしょう。
4-2.幅広い視点で問題点を洗い出し改善する
セキュリティ監査をする上での第二のポイントは、幅広い視点で問題点を洗い出し改善することです。幅広い業種、クライアントと同業種のセキュリティ監査を手がるコンサルタントに依頼できれば良いでしょう
幅広く監査をして、知見を蓄積しているコンサルタントであれば、クライアントの業種固有の問題についても幅広い視点で問題点を洗い出せます。顧客情報の保護や、ネットワーク送受信の安全性など、業種固有の課題があるからです。
監査を実施して得た結果から、管理基準への充足度や検出した問題点を評価します。次に、改善事項を整理し報告書としてまとめてもらいます。その報告書を管理部門や経営陣と共有し、問題点を一つずつ改善していくことが重要です。
あるいは、セキュリティ監査報告書にて指摘された事項について、フォローアップを依頼してもいいでしょう。そのフォローアップによって問題点を確実に克服できます。
5.まとめ:「セキュリティ監査」に関する相談を承ります
今回は、情報セキュリティ監査の内容とサポート・サービスについてご紹介しました。まだまだセキュリティ面の改善が進んでいるとは言えない企業が多く、これから着手する企業もあるでしょう。
情報セキュリティ監査と改善を進めるとなると、全社的に行なう必要があり、外部のコンサルタントを検討して依頼するのが賢明でしょう。
HINODEの「neconote(ねこのて)」では、バックオフィスのサービスをこれまで有名スタートアップ含む300社以上に、人事・総務・経理などの業務を代行から仕組化、構築後の引継ぎまで対応してきました。
・金額、スケジュール、今後のこと含めてどの会社に依頼していいか分からない
・そもそも人手不足で対応するのが難しい
・できるだけ無駄な投資は止めて、いろいろなパターンの提案が欲しい
そんな悩みを持った方は「neconote(ねこのて)」がお客様のチームの一員として驚異の速さでバックオフィスの課題を解決します。バックオフィスでお悩みなら、ぜひ「ねこのバックオフィス」のHINODEにご相談ください。