ここから本文です

「情報セキュリティ監査」を形だけで終わらせないためには

@IT 8月4日(木)20時53分配信

●監査の本来の役割とは

 日本人は「形」を整えるのは得意だ。セキュリティポリシーの策定にせよ、CSO/CISOの設置にせよ、セキュリティ製品の導入にせよ、そして最近流行のCSIRTの構築にせよ、「どうやら世間一般で必要といわれているらしい」というものを導入し、“形を整える”ことに関しては実に素早い。

 だが、そうやって導入したものに魂はこもっているだろうか。導入すること自体が目的に終わったりせず、きちんと本来の目的——セキュリティレベルの向上や被害最小化――を達成するために活用されているだろうか。そして、活用されているかどうかを見極める「チェック」の体制は整っているだろうか(もう1つ付け加えるならば、そのチェック制度自体が形骸化せずに機能しているだろうか)。

 そうしたチェック体制として重要な役割を果たすと期待されているのが「監査」というプロセスだ。この監査体制の推進や適切なスキルを備えた監査人の育成などに取り組んでいる日本セキュリティ監査協会(JASA)は、2016年6月27日に「JASA 情報セキュリティ監査セミナー」を開催した。

 報道によれば、先に佐賀県で発生した学生による不正アクセス事件では、セキュリティポリシーの中で内部監査の実施が定められていたにもかかわらず、3年にわたって監査が実施されていない実態があったという。一方で、相次ぐ標的型攻撃による被害を受け、内閣サイバーセキュリティセンター(NISC)では監査に関する規定を強化し、定期的に報告するよう義務付けている。セミナーではこうした流れを整理するとともに、セキュリティ向上のために監査をどのように活用すべきか、そのポイントが紹介された。

 冒頭にはJASA会長の土居範久氏があいさつに立ち、監査制度をめぐるおおまかな状況を説明した。さまざまなセキュリティ事件を踏まえ、日本政府もサイバーセキュリティ政策に本腰を入れている。その1つが、サイバーセキュリティ基本法の制定と、それに基づくNISCの機能強化だ。これに伴いNISCは、各府省庁を対象に情報セキュリティ監査を実施することになった。この枠組みはサイバーセキュリティ基本法の改正でさらに強化され、独立行政法人なども含め90以上の官公庁・組織を対象とすることになっている。

 土居氏はこうした取り組みにより、「政府機関全体に対し、必要な水準の監査が行われることによって、より客観的に情報セキュリティ対策の水準を確認できることになる」と述べた。ただし同氏は、「日本における情報セキュリティ監査のニーズや重要性は高まっている一方で、JASAが認定している監査人はまだ少ない」とも指摘し、特に公認情報セキュリティ監査人が200人に満たない状況に触れながら、「監査人の育成が急務である」と呼び掛けた。

●広がる監査の対象、設計と現実運用の乖離をあぶり出す役割を

 最初の講演には、前NISC副センター長として政府のサイバーセキュリティ戦略を推進してきた谷脇康彦氏が登場し、2015年に発生した日本年金機構に対する標的型攻撃も踏まえつつ、政府がどのような取り組みを進めているかを解説し、その中で監査が果たす役割を説明した。

 もともとサイバーセキュリティ基本法では、NISCが中核となって政府機関のセキュリティ対策を推進する枠組みが定められていた。NISCによる監査の権限強化も明記されており、PDCAのサイクルが回っているかを確認する「マネジメント監査」と、システムの脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」の2つを全省庁で実施することとされ、2015度から段階的に実施してきたという。

 標的型攻撃対策には幾つかのポイントが挙げられる。谷脇氏はまず「標的型攻撃のトリガーとなるメールは、一定の割合で必ず開いてしまう。入口だけで防ぐのは無理で、どれだけ早く攻撃に気付き、被害を最小化してリカバリーするかが重要だ」と述べた。

 そして「もう1つ、監査の観点からは、システムの『設計』と『運用』の違いもある」と、自身の経験も踏まえて振り返る。もともとサイバーセキュリティ基本法の基準では、基幹系の情報、機微性の高い情報は、インターネットとは切り離されたクローズドな環境に置くことになっていた。にもかかわらず、年金機構の事案が示すように、「実運用では、オープンなところに置かれていた」ことが被害を拡大させた。監査は、こうした設計と運用との乖離(かいり)を洗い出す上で大きな役割を果たすと期待できる。

 政府は2015年9月に閣議決定したサイバーセキュリティ戦略を踏まえ、2016年6月、政府機関のセキュリティ統一基準の改定案を公表した。統一基準では「各省庁のセキュリティの底上げを図るため、ボトムアップのアプローチを取った。とりわけ、標的型攻撃対策に力点を置いている」(谷脇氏)。また今回の改定案では、サイバーセキュリティ基本法の改正を踏まえ、監査対象を省庁だけでなく独立法人や特殊法人にも広げることに加え、標的型攻撃の実被害を踏まえて内容に改訂を加えた。「設置されていたにもかかわらず実効性のある形で機能していなかったCSIRTや、連絡体制の整備、要件について丁寧に記述している他、重要な情報を扱うところはインターネットから分離し、ログを管理することなどにも触れている」(谷脇氏)。

●日本年金機構の痛い経験は、これからの監査にどう生かされるのか

 続けて、厚生労働省 前情報セキュリティ対策室 室長を務めた橋本敬史氏が登場し、監査というプロセスをどのように対策に生かしていくかについて説明した。同氏は日本年金機構を狙った標的型攻撃が明るみに出た後、2015年8月21日情報セキュリティ対策室に配属され、再発防止策の取りまとめに当たった担当者として、「技術的な対策も大事だが、組織文化や業務の在り方も見直していかなくてはならない」と述べ、監査を活用しながら自律的に取り組むことが重要だと呼び掛けた。

 既に報告書が公開されている通り、厚生労働省では今回の事案を受け、対策室の設置やCISO/CSIRTの即応機能強化、職員に対する教育・訓練、リスク評価とインターネット分離、入口・出口対策といった再発防止策をとることを表明し、その幾つかは既に実施に移している。「そもそもセキュリティの重要性に対する意識が希薄で、備えが不十分だった。組織的な危機管理体制が欠如しており、組織横断的、有機的な連携も足りておらず、迅速な対応ができなかった」(橋本氏)という反省に基づくものだ。

 厚労省自身、そして所管法人に対する監査も、これら再発防止策の中に位置付けられている。「どういった対策が講じられているかをしっかり把握することが大事。その上で、厚労省と所管法人の連携強化の中でどのようなセキュリティ強化策が必要かを助言するために、監査を行っていく」(橋本氏)。

 同省では、政府全体としてのサイバーセキュリティ強化に向けた取り組みも踏まえつつ、これら再発防止策を推進している。「まだ道半ば。意識が足りない部分、対策が徹底していない部分は残っており、厚労省がもっと主体的に、自律的に取り組んでいく必要がある。それにはPDCAを回していくのが不可欠で、監査は、それらの取り組みがしっかりなされているかをチェックする装置として機能する」(橋本氏)。

●問題の本質を見抜けない「形式的で信頼されない監査」に陥らないために

 続けて、主に民間企業の視点から情報セキュリティ監査をどのように生かすかという観点のセッションが行われた。まず、JASA調査研究部会長の長尾慎一郎氏(新日本有限責任監査法人)が、NISCの監査のポイントを解説した。

 もともと情報セキュリティ監査は、政府機関のセキュリティ対策の中に織り込まれてきた。一般的に、情報セキュリティ監査の種類は大きく2つに分けられる。組織のセキュリティポリシーの中に組み込まれ、PDCAの中で実施する「内部監査」と、組織の外部に向けた報告を目的とした「外部監査」だ。

 今回、サイバーセキュリティ基本法の中に盛り込まれたNISCによる監査は外部監査に当たるが、「保証型監査ではなく、助言型監査という新しい取り組みだ。外部監査として制度の中に組み入れ、定期的・継続的に実施していくことになった点が極めて重要だ」(長尾氏)。NISCによる監査の基本方針では、サイバーセキュリティ戦略本部が定めた年次計画に基づいて、NISCの監査チームが監査を行い、発見された事項を取りまとめて報告することになっている。各府省庁はそれに基づいて改善計画を立て、NISCに報告するという流れだ。

 一方、各府省庁が実施する内部監査は、各府省庁の監査責任者が約250項目に上る順守事項が記されている「政府機関の情報セキュリティ対策のための統一基準」に対する準拠性などについて実施する。府省庁の情報セキュリティ関連規定も参照しながら「セキュリティポリシーが統一基準に準拠しているか、実施手順はセキュリティポリシーに準拠しているか、実施手順に沿って実際に運用されているかを評価しつつ、必要に応じて妥当性も評価することになる」(長尾氏)。

 こうした監査作業は、外部——具体的には民間事業者——に委託されることが少なくない。長尾氏はその際に留意すべきポイントも紹介した。

 「政府機関の場合は、ISO27001などとは異なる観点で作られた統一基準が基本となる。加えて、監査人は各府省庁のセキュリティポリシーを理解することが大切だ。また、重要性や緊急性に応じて、リスクの高いものから選定していくリスクベースのアプローチも重要だ。危ないところの絞り込み方がうまければうまいほど、効果的かつ効率的な監査になる。これはつまり、監査対象の組織を深く理解することに他ならない」(長尾氏)

 加えて、個々の監査人のスキルも問われることになると長尾氏は述べる。「例えば『デフォルトのパスワードが変更されていない』といった問題があれば、そこに組織的な根深い問題や似た事例が存在している可能性は高い。1つの問題を指摘したら、類似の問題や根本的な問題を併せてしっかり指摘することが大事だ」(同氏)。

 さらに長尾氏は、長年監査業務に携わってきた経験を踏まえ、「悪い監査というのは、受ける側が『早く終わればいいな』と考え、重要な問題があっても『見つからなければいい』と隠してしまい、監査人も質問するだけで精いっぱいになってしまうものだ。こういう監査は避けるべき」と述べた。そして、効率的で、監査を受ける側にとっても監査人にとっても実のある(成長できる)監査を実現していくには、「相手の状況について深い理解を示し、相談に乗れるよう、経験を積んだ監査人を育成していくことこそが重要だ」とした。

 その意味で、「今回の改正による独法などへの監査対象の拡大は、民間企業の受託機会の拡大でもあり、セキュリティマーケットが広がる大きなチャンスになる」と長尾氏は述べ、この機を、人材育成や民間企業への監査拡大のチャンスであると捉え、監査の機運を高めていくべきだと呼び掛けた。

●地方自治体が監査制度を生かすポイントとは

 ケーケーシー情報システムコンサルティング事業部部長の小柴宏記氏は、全国津々浦々で監査業務を行ってきた経験を踏まえ、主に地方自治体における監査の実情と、これからの課題を解説した。

 地方自治体が置かれている状況は苦しい。マイナンバー制度の開始や情報システム強靱性向上モデルの策定に伴ってセキュリティ対策が求められる一方で、住民からのニーズは多様化している。そこに、人事異動や予算の削減といった現実がのし掛かる。「地方自治体は、かなり過酷な状況でセキュリティに取り組まなければならない。情報資産が増え、運用のやり方も変わる中、限られた人材で取り組むことを求められている」(小柴氏)。そこで同氏は、まず情報に対する責任を明確化することが必要だとした。

 一方で、かつてのように「セキュリティの必要性を訴えても上が理解してくれない」というケースはかなり減っているそうだ。むしろ、下の人間が予算の関係を考慮して控えめに提案してきた対策について、上の方が「全面的に展開しよう」と返すなど、「自治体トップがかなり真剣な意識を持つようになっている」(小柴氏)という。

 こんな状況で、トップに「うちは大丈夫か?」と尋ねられたとき、「大丈夫です」と安易に返せる担当者はあまりいないはずだ。適切な答えは、「大丈夫とはいえないが、問題点を見つけてこのように解決に取り組んでおり、残った問題点にはこのようなものがあります」といったより正確な報告だろう。つまり、意思決定、人やモノ、金といったリソースの配分につながる適切な報告がなされ、必要な情報が組織内に流通していることが大事だ。その意味でも、監査は重要となる。「問題点は組織によって異なり、現地で調査しなければ分からない。何が問題かが分かれば、対策のためのリソース配分もできる」(小柴氏)。

 最後に小柴氏は、監査を実施する上でのポイントを幾つか紹介した。

 1つは、中長期的な計画を立てること。「監査は、1回やって100点を取れるものではない。長期にわたり、継続的に実施していく必要がある」(小柴氏)。その際には、極力監査に掛かる負担を減らすため、特定個人情報保護評価書の見直しなどの作業とともに実施する方が、効率的で効果的だという。

 また2点目として同氏は、「内部監査の監査人は、所属部門長が担当する」ことも勧めているそうだ。監査を実施するときには、ポリシーや手順書を精読することになるが、それによってポリシーに対する理解が深まり、どんなエビデンスが必要か分かることで、現場のセキュリティレベルが底上げされるメリットが期待できるのだという。

●監査人の裾野を広げ、情報セキュリティ向上に貢献する

 最後に、JASA事務局長の永宮直史氏が、あらためて監査の役割と人材育成の必要性について説明した。

 永宮氏は、サイバーセキュリティにおける監査は「対策の有効性を示す」「説明責任を果たす」という2つの理由から必要だという。監査により自組織のリスクを認識して管理し、マルウェア感染などの事故が発生しても「鼻風邪」レベルで抑えられるよう対策をする。つまりISMSなどの認定制度が健康管理の枠組みを作るものだとすれば、監査は年に一度の健康診断に当たる。その両方を適切に実施していくことが、情報セキュリティの向上に不可欠だと同氏は述べる。

 「監査とは、組織のどこに問題があって、どう解決すべきかを提案するものだ。そのためには、監査の品質を確保し、監査人のスキルを保つことが重要となる。リスクに応じた監査水準を設定し、きちんとレビューできる能力と倫理観を備えた監査人を育て、裾野を広げていくことが欠かせない」(永宮氏)

 ただ、現在3つ用意されている監査人の資格のうち、最も取得の容易な「情報セキュリティ監査人補」でも資格取得者は415人。より高い知識や経験が求められる情報セキュリティ監査人は148人、主任監査人となると52人しか認定されていない。永宮氏はこの状況を打開する方法として、監査畑の人がIT関連知識を身に付けるよりも、「情報システムの知識がある人が、監査の知識を身に付ける方が比較的スムーズだ」と指摘。監査人の裾野を広げ、より効率の高い監査の実現につなげていきたいと呼び掛け、セミナーを締めくくった。

[高橋睦美,@IT]

最終更新:8月4日(木)20時53分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]