セキュリティ対策は企業価値を支える基盤として欠かせないものとなった。それに伴い、社内のシステムはセキュリティ基準を満たしているか、ガバナンスは機能しているかを客観的に判断する「セキュリティ監査」の重要性も増している。
本記事では、セキュリティ監査の基本と国際的な情報システム監査の資格である「CISA」について、公認情報システム監査人・松本照吾氏が解説する。
本記事では、セキュリティ監査の基本と国際的な情報システム監査の資格である「CISA」について、公認情報システム監査人・松本照吾氏が解説する。
セキュリティ監査の役割と基本
セキュリティ監査の定義とは、「組織のシステムやセキュリティ対策が、定められた法令や社内規程などの基準に対し、適切に運用され機能しているかを“客観的な目線”で検証・評価する取り組み」だ。
監査の内容は目的によって異なり、必ずしも決まった項目があるというわけではない。例えば、Pマークの認証取得が目的であれば、Pマークの審査基準が監査範囲となり、IPOが目的であれば財務に関わるシステムの内部統制が対象に含まれるといった具合だ。監査対象はシステム単位にとどまらず、組織全体のガバナンスにまで及ぶ。
また、監査は実施主体によって「内部監査」と「外部監査」に大別される。
●
内部監査
:組織内の専門部署や担当者が行うもので、組織の実情に即した詳細な検証がしやすい利点がある反面、客観性の担保が課題となる場合がある。
●
外部監査
:監査法人や専門企業といった独立した第三者機関が実施する。高度な専門知識に基づき、客観的で信頼性の高い評価が期待できる。
松本氏によれば、「監査とは企業の信頼を作るための仕組み」であり、誰かが代わって見てあげることによって信頼を高めることができるものだと言う。そのため、客観的な目線で物を見れる人が必要なのだ。
