4月開始の
「情報セキュリティ監査制度」で何が変わる？

こんにちは。ＩＳＯ総合研究所の藤原と申します。http://www.isosoken.com/
「毎度！ＩＳＯニュースです」をご購読頂きまして誠にありがとうございます。
今日は、ＺＤ Ｎet　平成１５年３月２１日の記事からです。どうぞ、ご覧下さい！
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
■■■[ＩＳＭＳ］
■■■４月開始の「情報セキュリティ監査制度」で何が変わる？
■■■

　経済産業省では４月１日をめどに、「情報セキュリティ監査制度」をスター
トさせる予定である。企業や政府などの情報セキュリティ対策について客観的
な評価を行うことにより、セキュリティの向上・確保を図ることが目的だ。

　一方で、同省所管の公益法人である日本情報処理開発協会（ＪＩＰＤＥＣ）
では、昨年より「情報セキュリティマネジメントシステム（ＩＳＭＳ）適合性
評価制度」を展開している。技術的な側面だけでなく、運用・管理面などマネ
ジメントに対する視点も踏まえて、情報セキュリティ管理システムが適切に構
築・運用されているかを評価、審査するものだ。４月からは、経営者層の責任
関与やマネジメントプロセスの導入などを盛り込んだ「ISMS認証基準（Ｖｅｒ
．２．０）」の運用が予定されている。

　では、情報セキュリティ監査制度とISMS適合性評価制度とでは、いったい何
が違うのだろう？わざわざ２つもこのような制度を運用する必要があるのだろ
うか？経済産業省の答はもちろん「イエス」だ。

　日本ネットワークセキュリティ協会が３月１８日に行ったセミナーの中で、
経済産業省情報セキュリティ政策室の山崎琢矢氏は次のように述べた。「ＩＳ
ＭＳ適合性評価制度と情報セキュリティ監査制度は別々のもの。前者は、情報
セキュリティ対策が一定の基準以上に達しているという、いわば“お墨付き”
を与えるものであるのに対し、後者は“助言”や“一部の保証”を利用しなが
ら、段階的にセキュリティレベルを向上させていく。もちろん両方とも重要で
あり、経済産業省としてはどちらも推進していく」（同氏）。

ＩＳＭＳ認証との違いとは？

　山崎氏によると、情報セキュリティ監査制度にはいくつかの特徴がある。例
えば、「情報システム」だけでなく「情報資産」のセキュリティ確保も視野に
入れていること、「全体」に対する保証・助言だけでなく「一部」という概念
も組み入れていること、必要に応じてウイルス対策など他の基準を追加し、カ
スタマイズを図れること、それに、現状と目指すべき基準との間のギャップを
指摘することでそれを是正し、段階的なレベル向上を図ることなどだ。何より
も大きな違いは、ＩＳＭＳ適合性評価制度が主に「保証」を念頭に置いたもの
であるのに対し、情報セキュリティ監査制度はまず「助言」を重視しているこ
とである。

　こうした特徴を持つことで、情報セキュリティ監査制度はＩＳＭＳ適合性評
価制度との間で相乗効果を生み出せると山崎氏は述べた。

　世の中にはさまざまな組織や企業がある。そのセキュリティ意識もまちまち
だ。ＩＳＭＳ適合性評価制度で認定を取得できるだけのマネジメントサイクル
を確立している企業もあれば、一方で、セキュリティポリシーが空文化してい
たり、あるいはポリシーそのものが存在しない企業もある。

　情報セキュリティ監査制度は、セキュリティポリシーすら存在しないといっ
た企業に対しても、現状把握と助言、一部分への保証を提供し、セキュリティ
レベル向上のための措置を取れるよう支援するものだ。たとえ、そのセキュリ
ティ対策がＩＳＭＳが求める基準をずっと下回っている組織でも、同制度を活
用することで、それまで欠けていたセキュリティ対策を取り、目標とすべきレ
ベルとのギャップを埋めていくことができる。さらには、こうして徐々に組織
のセキュリティレベルを向上させていった後、しかるべき段階でＩＳＭＳ認証
を取得するといった流れにもっていくことが、同省の狙いの１つでもある。

　山崎氏は、そもそもどちらの制度もＪＩＳ Ｘ ５０８０（ＩＳＯ／ＩＥＣ１
７７９９、その前身はＢＳ７７９９）をベースとしており、整合性に問題はな
いと指摘。さらに「情報セキュリティ監査制度は、ISMS適合性評価制度の裾野
を広げるともに、同認証取得後にも必要な部分に応じて重点的にセキュリティ
強化を図れるという効果をもたらす関係にある」と述べた。

「経済産業省に情報セキュリティ政策室が設置されてから３年。この間、暗号
技術評価事業の“ＣＲＹＰＴＲＥＣ”やＩＳＯ１５４０８（ＪＩＳ Ｘ ５０７
０）に基づくセキュリティ評価、電子署名法やISMS適合性評価制度などに取り
組んできた。情報セキュリティ監査制度はその最後の布石だ」（山崎氏）

４月頭の告示で本格スタート

　情報セキュリティ監査制度は、４月１日に告示が予定されている複数の規則
によって本格的に開始される予定だ。同制度は主に２つの柱からなっている。

　１つは、情報セキュリティ監査に関する標準的な基準の策定だ。これには、
ＪＩＳ Ｘ ５０８０をベースとし、監査の際の判断尺度となる「情報セキュリ
ティ管理基準」と、監査人の行為規範を示す「情報セキュリティ監査基準」の
２つがある。前者はＪＩＳ Ｘ ５０８０ベースではあるが、不正アクセス対策
基準や既存の社内管理規定など、他の基準を織り込んでカスタマイズされるも
の。つまり、業種ごと、その組織ごとに独自に策定することが望ましいという
。経済産業省では、２つの基準それぞれについてガイドラインを示すとともに
、１つの指針として「電子政府情報セキュリティ管理基準モデル」「同監査基
準モデル」を提示していく。

　もう一方の柱となるのは、この監査を行う主体――監査法人やセキュリティ
専業の企業、システムインテグレータなど――だ。経済産業省では、これら主
体が任意に登録できる「情報セキュリティ監査企業台帳」を創設し、監査を受
ける側が同省Ｗｅｂサイトなどで情報を確認できるようにする。この登録は毎
年度ごとに行い、その際に前年度の監査実績や概要などを申告する仕組みだ。
これら内容に虚偽があった場合、登録は抹消される。また、全国一律の台帳だ
けでなく、地域ごとの台帳も作成し、地方市場ごとにサービスを展開するため
の基盤にしていくという。

　これら監査主体の質を確保するため、実際に監査作業に当たる人物には「専
門の資格があることが望ましい」とした。ただし、具体的にどの資格を対象と
するかについては、まだ検討課題だという。また、上記の情報セキュリティ監
査企業台帳に記載された企業が一堂に集まり、監査担当者に対する継続教育や
監査企業のピアレビュー、ノウハウ蓄積などを行う場を整備することも検討す
るという。


　　　　　　　　　　　　　　　　　　　ＺＤ Ｎet　平成１５年３月２１日
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

こんな情報が来るかと思ったとか、
こんな情報が欲しいんだというご意見も承っております。
皆さんのＩＳＯのお取り組みを少しでもサポートできれば幸いかと思います。
これからもよろしくお願い致します。
　　　　　　　　　　　　　　　　　　　　　　ＩＳＯ総研　　藤原　将博
　　　　　　　　　　　　　　　　　　　　　　http://www.isosoken.com/
------------------------------------------------------------------------
ＩＳＯ総合研究所
http://www.isosoken.com/
プリンスキー
http://www.prinsky.com/
ちっこんなメルマガいらねーや（メルマガ解除）
http://www.mag2.com/m/0000068644.htm