JASA 情報セキュリティ監査セミナー
2007年度 情報セキュリティ監査セミナー in TOKYO
今さらですが、昨年末の12/19に参加したJASAセミナーのメモ。資料は上記URLからダウンロードできる。途中いくつか平凡な内容もあったが、全般的には非常に満足できる内容だった。それにしても参加者の数がハンパじゃなくて驚いた。
「ISMSとセキュリティ監査について」Dr.Angelika Plate 氏
講師の方は、ISO/IEC JTC1 SC27 WG1の Vice Chairを務めている人。27000シリーズのエディターを担当しているらしい。講演ではISMS関連のISO規格の話と、自身の経験から見た、セキュリティ監査における様々な問題点についての紹介。非常に興味深い内容だった。
(1) ISO/IEC 27000シリーズの動向について
いくつか新しい動きがある。
(2) ISMS監査に関する問題
講師の個人的な経験を元にした見解。
- EUでは短い時間で充分な監査をしないまま認証しているケースがある
- 監査人の能力、スキル、経験が不十分。ISO/IEC 27006に監査人に求められるの力量の基準を設けているが、基準が高くなりすぎると必要な人材が不足してしまう。時間が解決する問題か?
- マネジメントシステムの問題。内部監査やマネジメントレビューの必要性についての理解が不足している。また是正措置がメインになっていて、予防措置がおろそかになりがち。
- リスクアセスメント手法の難しさ。複雑すぎるアプローチを採用している会社が多い。また資産登録に漏れがないかのチェックが欠如している。
- 測定基準についての誤解。効果的ではない測定基準が採用されていたり、監査人もどのようにそれをチェックするか知らなかったり。ISO/IEC 27004(Measurements)がカバーする?
「国際標準化を見据えた監査手続き作成ガイド」中尾 康二 氏
- 情報セキュリティ管理基準を改訂中(V2.0)。JISQ27001 Annex Aをベースとする予定。
- これに対応する監査手続きガイドも策定中。これは監査/検証のポイント、対象、手続きのガイドラインをまとめたもの。
- 特に「10. 通信及び運用管理」「11. アクセス制御」「12. 情報システムの取得、開発及び保守」の3つについては技術的な管理施策の監査ポイントを、「技術編」として詳細にブレークダウン。→ ISO/IEC 27008にも提案中(Annex Cとして採用)。
「保証型情報セキュリティ監査の社会的要請について」大木 栄二郎 氏
- 保証型監査の概念フレームワークは以下の3つ。被監査主体と利用者との関係に応じて適切なフレームワークを選択する。
- 社会的合意方式
- 利用者合意方式
- 被監査主体方式
- 被監査主体と利用者との関係は、以下のマトリックスで4種類にわけられる。縦軸は「重要情報の処理を監査対象に委ねる/委ねない」、横軸は「リスク認識を共有する/共有しない」を表す。
共有する | 共有しない | |
委ねる | グループ会社 | 業務委託 |
委ねない | フランチャイズ | 投資対象 |
- 情報セキュリティ監査の価値は「利用者にとっての価値」がもっとも重要
- 「保証」とは専門家(監査人)の意見表明であり、次の3条件が必要
- 専門能力
- 科学的なプロセス
- 品質確保の枠組みと審査制度
「保証型情報セキュリティ監査の利用シーンの紹介」永宮 直史 氏
- 管理策の実施には以下に示す4段階の深さがある。どこまで徹底させるかによって、手間やコストが異なる。下に行くほど負担が大きい。
水準 | 記号 | 説明 |
---|---|---|
規範レベル | N; Norm | 経営者の考え方が明確で社内に浸透 |
規制レベル | R; Regulation | ルールが明記され、ルール通りに実行 |
抑止レベル | D; Deterrence | 行動を監視、記録し、牽制効果と事後の検証が可能 |
防止レベル | P; Prevention | 技術的・物理的に制御 |
- リスク分析の手法としてはOCTAVEを参考にしている模様。
Technorati: JASA, 情報セキュリティ監査, ISO/IEC 27007, ISO/IEC 27008, ISMS