あべこべつべこべリバースアプローチ～セキュリティ監査はご存知ですか？

過去に担当したコラムでは、サイバー攻撃を受けた「その後」について書くことが多かったのですが、今回は珍しく、被害抑止のためのセキュリテイ対策の一つである「セキュリティ監査」について書いてみたいと思います。

セキュリティ監査について、まずはChatGPTにきいてみました。

「セキュリティ監査制度は、組織の情報セキュリティ対策が適切に実施されているかを評価・検証する仕組みです。具体的には、情報システムの運用、管理、リスク対策などについて、第三者が客観的に評価し、問題点を明確にすることで、セキュリティの向上を図ります。」
少し、惜しい、「予め選定された基準を用いて行う」点が抜けています。

では、日本国内ではセキュリティ監査制度はどのように位置づけられているのでしょうか？日本セキュリティ監査協会によれば、2003年4月、「情報セキュリティ監査制度」が開始されました。その背景には、情報セキュリティに関する様々な問題の発生があり、自組織だけでセキュリティ対策の評価を行うだけでは不十分になったことも挙げられます。とはいえ、セキュリティ監査には、なかなか普及しきれないのという課題があります。その理由は、セキュリティ監査ができる人材の不足や、監査を受ける側が効果を実感しにくいこと、受けたことで明確なインセンティブが得にくいこと等が考えられます。そして、その中の一つにセキュリティ監査の利用しにくさ、プロセスそのもの複雑さもあるのではないかと思います。

では、そのプロセスとはどのようなものでしょうか。
一般的には、「監査依頼→監査契約→監査計画→監査実施→監査意見の形成→監査報告」が主なプロセスです。その中の監査計画のプロセスでは、監査の目的・目標、スケジュールや監査対象範囲、監査に用いる基準を記載した監査基本計画書を作り、それをもとに、基準に則ったセキュリティ対策が行われているかを確認するための詳細な実施計画を作ります。

・・・・こんなにあれこれ出てくると、この時点でかなり複雑です。

監査を依頼する側（以下、被監査主体）の意図は、監査依頼の際に作成する監査依頼書に集約されていますが、そこから具体的な監査実施計画に展開する際に、監査を行う側が、詳細さや正確さを追うあまり、あれこれと監査項目をあげて、つべこべ言い出してしまい、監査実施計画が当初の監査の目的から離れる可能性もあります。実際には、監査チームのリーダーが適宜修正を求め、監査の目的から乖離しないようにつとめますが、そのためには監査チームのリーダーには高いスキルが求められます。

・・・さらに大変そうです。

セキュリティ監査では、一つの前の段階でのアウトプットが次の段階のインプットになるのが基本ですが、今回、タイトルに掲げた「リバースアプローチ」という考え方は、文字通りいったん「逆順（あべこべ）」に監査のプロセスを考えます。具体的には監査依頼を受け、監査契約を結んだ時点で、監査報告書のイメージを「仮説」として作ります。そして、「仮説」を得るために必要な監査の範囲、監査の対象とする業務、必要な監査手続きを検討し、監査計画書を作ります。そうすることで、従来のアプローチでは陥りがちな、監査実施計画の中で理想を追いすぎて時間がかかったり、膨大な監査実施計画になったりすることを防ぎます。必要な範囲に必要な監査を的確に実施できることは、セキュリティ監査の活用が進むためには重要ではないでしょうか

ただし、「リバースアプローチ」では、監査報告書のイメージに沿った結論を求めたり、「仮説」ありきの監査になったりしないように注意が必要です。そのためには、監査依頼の後、契約を締結する前に情報収集を行い、非監査主体の目的や意図への理解を深める必要もあります。また、監査の実施前に行う予備調査を経て、「仮説」に基づいて立てた監査計画を修正しなければなりません。これらができて初めて、監査の目的を確かめるための具体的な活動を記載した監査手続書が出来上がります（実際はさらに詳細な手続きがありますが、本コラムでは主要なものに絞っている点はご容赦ください）。

・・・監査人ってたいへんだぁ

情報セキュリティ監査における「リバースアプローチ」は、的確に監査を行うのに重要である反面、監査する側にはこれまで以上に情報収集能力、分析力が問われます。特に、監査チームのリーダーには、監査に用いる基準に関する知識、リスクを把握する能力、事実と監査人の意見を混同しない冷静さが求められます・・・・こう書くと大変さばかりを強調するようですが、「リバースアプローチ」にはもちろんメリットもあります。たとえば、質の高い情報収集や予備調査が必要になる分、非監査主体と十分にコミュニケーションをとれる可能性があります。また、完成形をイメージして修正を行うことで、所要時間や非監査主体の負担を減らすこともできます。

このように、情報セキュリティ監査全体のプロセスを通し、より分かりやすく、より具体的で、より相互にコミュニケーションを取りやすい方法であることが、今後の情報セキュリティ監査に対するイメージを変えるためには有効ではないでしょうか。そして、そのために知識と技術、対話スキルを磨き続けることが、情報セキュリティ監査に携わる者に求められるのだと思います。また、ここで紹介した「リバースアプローチ」ですが、実は情報セキュリティ監査だけでなく、日常生活の様々な場面、たとえば料理を作る時などにも、似たような考え方をしていることがあります。スパイスカレーの出来上がりの味を想像してハーブやスパイスの比率を考える、これぞまさに「リバースアプローチ」そのものです（※前回のコラム参照　https://www.pcnw.gr.jp/diary/2024/09.html）。

どちらかといえば、「古い」と言われがちな監査ですが、扱う対象は日々更新されるシステムや情報資産、今、実際に働いている人達、防ぐべきは日々新たに開発される攻撃手法による被害。監査する側も、新しい手法を考え、新たな規格や基準が公開されれば積極的に採用します。だからこそ、このコラムが今までとは違うアプローチも駆使して臨む監査の世界に少しでも触れるきっかけになれば幸いです。