2005年09月18日

情報セキュリティ監査・システム監査のセミナーに行ってきた

9月17日のNPO法人日本システム監査人協会・近畿支部、「情報セキュリティ監査・システム監査 基礎セミナー」に行ってきた。
http://www.saaj.or.jp/shibu/kinki/keizoku20050917.html

喜多陽太郎さんの情報セキュリティ監査、システム監査の基礎的なお話。
難しい言葉を簡単に説明してもらえたのでわかりやすかった。

最近は、セキュリティバブル、内部統制バブルだそうで。

外部監査というのはビジネスということらしい。お客さんに喜んでもらわないといけないんだ。
その時点で第三者じゃないでしょって思うのは私だけ?

お金をかけてでも、チェックしておくのは大事。お墨付きとしては信用していいか微妙だけど。


以下はメモに関連のありそうなリンクなどを追加。
---------------------------------------------------
●監査とは、利害関係を持たない「第三者による評価活動」。悪いことを探すことではない。

●内部目的監査:経営者等が経営判断のため
   →助言型監査
 外部目的監査:組織外への説明責任のため
   →保証型監査
   信用を保証するため(お墨付き)。基本的に外部監査になる。

●監査における評価
 客観的な評価は難しい。基準にしたがって評価する。
 学術的にいえば提案をしてはいけない。自分で提案したことは自分で評価できないから。
 実際には、それでは評論家と言われるので、解決の糸口ぐらいは提案する。

●準拠性:ルールがあるか、妥当か、守られているか。
 実証性:本当に正しいか。ウイルス対策が本当に行われているかなど。

---------------------------
「情報セキュリティ監査」
○リスクアセスメント:現状調査のこと
 リスクマネジメント:要件調査(ソフト開発でいう業務分析みたいなもの)

○使用する基準
 経済産業省のガイドラインなど。
 基準とは呼ばれていなくてもかまわない。IPAの出しているものでもOK。

 経済産業省「情報セキュリティ監査基準」
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
 経済産業省「情報セキュリティ管理基準」
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf
 経済産業省「システム監査基準」
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
 経済産業省「システム管理基準」
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf
 経済産業省「システム情報システム安全基準」
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
 経済産業省「コンピュータ不正アクセス対策基準」
 http://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu06j.pdf
 経済産業省「コンピュータウイルス対策基準」
 http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu07j.pdf 
 IPA「大規模サイトのネットワークセキュリティ」
 http://www.ipa.go.jp/security/fy14/contents/enterprise/guide.html
 IPA「セキュリティ対策セルフチェックシート」
 http://www.ipa.go.jp/security/ciadr/checksheet.html

○監査の流れ
 1、監査計画の立案
 2、監査手続きの実施(監査証拠をきちんと収集)
 3、監査調書の作成と保存
 4、監査報告書の作成と報告会の実施
 5、監査結果のフォローアップ(外部監査の場合は契約上難しい)

○監査計画の立案
 外部監査:
  お客さんがなにを望んでいるか。監査テーマの設定。個別計画作成。
 内部監査:
  担当部署で基本計画(部門の年度計画)と個別的な計画

 被監査側がリスクアセスメント(現状調査)をしている場合、適切かを確認して利用する。結果と対策が連動しているかをチェック。

○監査手続きの実施
 事前調査:調査項目を洗い出して、チェックリストを作成。2〜3ヶ月かかる。
 監査証拠の入手:チェックにしたがってインタビューなど現場作業。1〜3日ほど。
  現場の活動をできるだけ阻害しないように。

○体制整備
 チームで監査を行う。客観性を確保するため。判断が難しいケースもあるので一人ではきつい。

○助言型監査報告書
 監査人はトップに助言するだけ。実行するかの判断はトップの仕事。
 成熟度の判定基準を明記する。

○保証型監査報告書
 重大な欠陥がないことを保証。
  欠陥があるという報告はお客さんはいらないので、問題のある場合は助言型に切り替えるか、対応してからやり直す。
 投資家の判断に結びつくので責任は重い。
 成熟度モデルを明記。ある程度のレベルでないと保証する意味がない。

○情報セキュリティ関連制度
 BS7799 Part1(英国の情報セキュリティ管理・ガイドライン)
  → ISO17799 → JIS X 5080 → 情報セキュリティ管理基準

 BS7799 Part2(情報セキュリティ管理・認証の仕様)
  → ISO27001(検討中)

  → ISMS認証制度

 @IT セキュリティ用語事典 BS7799
 http://www.atmarkit.co.jp/aig/02security/bs7799.html

 @IT セキュリティポリシーの国際標準、BS7799とは何か?
 http://www.atmarkit.co.jp/news/200109/01/bs.html

○情報セキュリティ監査制度の構成
 2つの基準:
  情報セキュリティ管理基準
  情報セキュリティ監査基準
 3つのガイドライン:
  個別管理基準策定ガイドライン
  実施基準ガイドライン
  報告基準ガイドライン
 2つのモデル
  電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)
  電子政府情報セキュリティ監査基準モデル

 経済産業省 情報セキュリティ監査制度
 http://www.meti.go.jp/policy/netsecurity/audit.htm

 1、情報セキュリティ管理基準:ベストプラクティス
   JIS X 5080(網羅的に記載されている)を基にしてさらに詳しくしたもの。
   監査でなくても、情報セキュリティ対策のベストプラクティスとして使える。
   レファレンスであり、カスタマイズ前提。
   そのためのガイドラインが「実施ガイドライン」「報告ガイドライン

 2、情報セキュリティ監査基準
   セキュリティ監査人とはどうあるべきかなど。

 3、情報セキュリティ監査企業台帳制度
   http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html
   情報セキュリティ監査をやってたらとりあえず載せるレベル。

○成熟度モデル
 成熟度3がPDCAサイクル。ISMSはPDCAサイクル前提なので成熟度3以上。

 月刊情報セキュリティ 
 http://www.monthlysec.net/kansa/kansa10.html

---------------------------
情報セキュリティ監査に関して、以下も参考になりそう。
@IT
効果的な管理を実現するセキュリティガイドラインとは
情報セキュリティマネジメントシステム基礎講座
http://www.atmarkit.co.jp/fsecurity/index/indexfiles/index-serial.html#isms




関連リンク

経済産業省 情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm

経済産業省「システム監査基準」「システム管理基準」
http://www.meti.go.jp/policy/netsecurity/new_systemauditG.html

NPO法人日本システム監査人協会
http://www.saaj.or.jp/

有限会社アイ・エス・ソリューション
http://is-solution.co.jp/

財団法人・日本規格協会
http://www.jsa.or.jp/

国際標準化機構(ISO)
http://www.iso.ch/iso/en/ISOOnline.frontpage
posted by 端っこなひと at 05:49| Comment(2) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
自分の名前で具具ってみたら、ここに辿り着きました(^^)
セミナー受講いただいたようで、有り難うございます…って言っても私個人の収入とは関係ないのですが。11月の実践セミナーにも是非参加してみてください。いつも受講生より講師陣の方が人数が多いような雰囲気のセミナーで「さすが採算度外視のNPO!」という感じですよ。

別掲の「カッコウはコンピュータに卵を産む」って本はサラリーマン時代に読みましたが、ものすごくおもしろかった…
某大学でインターネット全般を教えていて、セキュリティを勉強するためにあの本を推薦したけど誰からも反応がなかったので、内容的に古いのかと思っていますが、そんなことないですか?
私はUNIXには全く馴染みがないので、そのあたりはあまりわかりません。
カーネギーメロン大学日本校でも情報セキュリティ監査等を教えるので、あの本を推薦しようと思っていますが…

大学の近くのブックオフで上下刊とも100円で売っていて、ちょっと寂しかったけどさ、ちょっと嬉しくて買ってしまいました (^^)

監査という世界は最近どんどん変化している面白い世界です。

今まではセキュリティや監査はメシの種にならなかったけど、これからは変わるでしょうね。(私の場合、セキュリティについてはすでにメシの種そのものですし…)

ところで、わたしもこうべっこです。宜しくね。


Posted by 喜多 陽太郎 at 2005年10月04日 10:35
喜多さん、コメントありがとうございます。
11月の実践セミナーとてもよさそうですね。残念ながら私の懐具合では参加は難しいのですが。

「カッコウはコンピュータに卵を産む」はリアリティがあって面白かったですね。
現在なら、ハニーポットに誘い込むような展開でしょうか。

>ところで、わたしもこうべっこです。宜しくね。
よろしくお願いします。
Posted by 端っこなひと at 2005年10月04日 17:15
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック