ここから本文です

“性善説”で考えるセキュリティ、もうやめませんか?

ITmedia エンタープライズ 6月30日(木)16時15分配信

 こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。

【画像:米国公認会計士協会が実施している監査「SOC2」】

 突然ですが、読者の皆さんは自社の情報セキュリティをどのようにして評価していますか? 規模はさまざまだと思いますが、何かしらの対策や決まりごと、はたまた暗黙なルールや自制心などがあるのではないでしょうか。

 情報セキュリティが担保できているかどうかを評価するためには「一定の基準」が必要になります。その基準を用意してくれるのが外部の監査機関です。

●“史上最強”の情報セキュリティ監査――「SOC2」って何ですか?

 セキュリティ監査と言えば、日本国内ではプライバシーマーク制度が有名ですが、これはあくまでも国内に限った話ですし、個人情報の取り扱いについてのみ言及されているもので、プライバシーマークを取得している企業だからといって、情報セキュリティが担保されていることの証明にはなりません。

 そこでISOをはじめとする多くの国際セキュリティ基準が存在するわけですが、この連載ではその基準の1つ、米国公認会計士協会(AICPA)が実施している監査「SOC2(サービス・オーガニゼーション・コントロール2)」について紹介していきます。

 端的に書くとSOC2は、“史上最強”の国際的情報セキュリティ監査だと私は考えています。国際的な大手IT企業における外部監査の受領状況を確認すると分かりますが、海外では既にSOC2が浸透しています。日本でもいくつかの会社がSOC2レポートを受領していますが、諸外国に比べると圧倒的に少ないのが現状です。

 これほど浸透していないのは、J-SOX法(内部統制報告制度)の存在や、日本語で対応できる監査機関が少ないこと、そして国内ではSOC2がビジネスに直結しない場合が多いため(SOC2がなければ案件が進まない、などということがない)だと思います。

 ではなぜ、それでも企業は「SOC2レポート」を取得したがるのでしょうか。それは、一定の基準で評価された監査内容とその結果、監査法人によるコメントがレポートとして記録され、取引先に対して提出できることに尽きます。

 取引先の立場からすれば、多くの情報セキュリティ監査は、その監査に合格し、資格を取得できたかできていないかという結果のみで判断せざるを得ません。具体的に何をしている会社なのか、実際にどんな監査だったのか、監査中の様子はどうだったか、どんな項目が指摘されたのかなど、SOC2はその全てがレポートに記載され、外部に公開できるのです。

 情報セキュリティにおける重要な要素に「透明性」というものがあります。このSOC2はその透明性が強く求められる監査だといえるでしょう。

●「SOC2」ではセキュリティの何を見られるの?

 SOC2は一般的な外部監査と同様、クライテリアと呼ばれる一定の基準が存在します。以下の5項目から2項目以上を選択することが必須となっています。

・セキュリティ
・可用性
・処理のインテグリティ
・機密保持
・プライバシー

 さらにSOC2には「type1」と「type2」という2種類があり、ある1日の状態を示したレポートがtype1、ある3カ月以上を切りだした状態を示したレポートがtype2となります。type2については、セキュリティにまつわる運用がきちんとできているかという点も見られると考えてください。従って、SOC2ではこれら5項目全てを選択し、type2で監査されたものが、最も厳しい監査だと考えてよいでしょう。

 ISMSなどをはじめとした多くの監査では、1年に1回の更新審査がありますが、SOC2にはそれが存在せず、あくまで自主的に更新することを求めています。例えばAmazon Web ServicesのSOC2 type2レポートは、半年に1回の頻度で自主更新しているのです。

●“性善説”が一切許されない「SOC2」――cloudpackでは1年半もかかった

 SOC2における全ての監査要求事項では一貫して、セキュリティにおける「性悪説」が問われるのが特徴です。例えば、「もしも、管理者が悪意を持ってシステムを破壊したらどう対応するのか」「もしも経営者が事故で業務不可能に陥った場合に、事業継続できるのか」などです。そんなケースまで想定するの? と思った方もいるかもしれません。

 一般的なIT企業の場合、現場部門に一定の権限を渡すことで業務効率が飛躍的に上がるのはよくある話ですが、それはそれとして情報セキュリティを会社としてどう担保しているのかを証明する必要があります。

 SOC2の興味深いところは、これらの無理難題を“クリアしなさいとは言ってこない”点です。あくまでもレポートとして記述されるので、会社のありのままの状況が記述されます。つまり、ダメな部分はリスクとしてはっきり記述されてしまうわけです。せっかく素晴らしいSOC2レポートを作ろうとしているのに、ダメ出しばかりではとても顧客に開示できる資料にはなりません。なので、皆必死になって環境整備を始めるのです。

 cloudpackでは、SOC2をやろうと決めてから、オフィスの堅牢性、物理セキュリティや人材計画、教育、ネットワーク総入れ替え、クラウドサービスの選定と評価、認証基盤の再設計など何もかもをやり直した結果、1年半ほどかかりました。

 その結果、自社の情報セキュリティ状況を全て開示できるまでになり、さらには「監査のためだけに資料を準備して、その日だけ乗り切る」というありがちなこともなくなりました。業務効率の向上を最優先にして監査項目をクリアさせたため、社内の環境は劇的に改善されたのです。

 次回からは、普段あまり目にすることのない「SOC2」のクライテリアと、cloudpackのSOC2監査内容に沿って、企業のセキュリティ体制について気を付けるべきポイントを紹介しつつ、セキュリティの大切さに気付いてもらうための上司の説得方法も紹介していこうと思います。お楽しみに!

最終更新:6月30日(木)16時15分

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]