情報セキュリティ監査の品質を測る指標は何でしょうか?
結論は至ってシンプルです。
「被監査部門に対して、どれだけ意味のある気づきを提供できたのか」
まずは、細かい点も含めて、問題点の洗い出しをおこなう必要があります。その上で、検出された問題点を整理して、どのような言葉で被監査部門に伝えるのかを、監査チーム内で検討していきます。
運用が根付いていない部門に対しては、瑣末なルール違反についても見逃さず、細かくフィードバックする必要があります。システムの入れ替えやオペレーションの見直しも含めた抜本的な改善が必要な部署に対しては、大局的な視点からフィードバックをおこなう必要があります。
どのような問題を洗い出すべきなのか、組織の状況やマネジメントシステムの成熟度によって異なります。
「目的の設定→着眼点の設定→監査手法への落とし込み」の順番で決定していき、最終的な検討結果を監査計画に反映させていきます。
代表的な監査手法のオプションを下記に挙げておきます
<チェックシート(ルール)を重視した監査>
チェックシート重視の監査手法です。情報セキュリティポリシーを新たに策定したタイミングにおいて有効な手法ですし、外部からも評価されやすい監査手法です。その他のメリットとして、監査員に高い力量が必要ない、ということが挙げられます。監査項目の意味とチェック方法さえ理解すれば、誰でも同じ品質で監査を実施することができます。ただし、デメリットとしては、業務や情報システムに潜むリスクを検出しにくいことが挙げられます。
<業務プロセスを重視した監査>
業務フローを一つ一つ確認しながら課題を炙りだしていく、プロセス重視の監査手法です。メリットとしては、業務に潜むリスクを検出しやすい点が挙げられます。デメリットとしては、監査員に力量が求められる点です。力量によって監査結果が全く異なってしまうと言って良いでしょう。特にリスクの高い部門や新規に立ち上げた部門を監査する際に利用するのが良いと考えます。
<実態を緻密に確認する監査>
とにかく実態を緻密に確認する監査です。例えば「各自の端末に機密データを保存しない」というルールの遵守状況を確認するとします。その際には、サンプリングした端末に対して、Windowsの検索機能を利用して、csvファイルやエクセルファイルの洗い出しをおこないます。検索されたファイルに怪しいファイル名が付いていれば、中身を確認して個人情報が含まれないことを一つ一つみていきます。情報システム部門に対してはさらに深い監査をおこないます。Active Directoryの設定画面他、システムのコンソール画面を徹底的にチェックしてルールとの矛盾がないかの確認をおこなっていきます。
この監査手法は、内部不正やミスの防止に役立つ監査手法です。情報システム部門やオペレーション部門の監査に適しています。またファクトから改善策を考えるという意味で納得感のあるフィードバックを提供することが可能になります。
<現場リテラシーを確認する監査>
現場の意識向上を目的とした監査となります。「パスワードは何文字に設定していますか?」「個人情報取扱業務が発生した場合にあなたは何をしますか?」などを現場にいる社員の皆さんに無作為に質問していきます。全社的に意識向上を測る際に非常に有効な監査手法です。教育の有効性測定にも適しています。
以上のように、様々な監査手法の中から自社にあった手法を選択して、実施する必要があります。
その上で、監査の結果を言葉にしていく。経営層向け、事務局向け、現場向け、それぞれ使用する言語が異なりますので、被監査部門が動きやすいように言葉、表現方法を緻密に検討することが重要です。
