企業活動や組織活動を行う上で、情報セキュリティの取り組みは避けて通れないものとなっています。しかし、どこから何に手を付けたらよいのかわからない、一通りのことはやっているがこれで良いのか不安だ、トップからセキュリティは大丈夫かと聞かれても「多分大丈夫です」としか答えられない、といった悩みを抱えているご担当者も多いのが現実す。

そんな悩みを解決する方法のひとつが情報セキュリティ監査です。このコラムにたどり着いた方は、情報セキュリティ監査とはどのようなものなのか、何ができるのか、どうやって行うのかなどに興味を持っていただいているのではないでしょうか。

例えば、ある企業では、顧客情報の管理がずさんで、情報漏洩のリスクが高い状態でした。そこで、情報セキュリティ監査を実施することで、問題点を見つけ、顧客情報の管理体制を見直すことで、情報漏洩のリスクを大幅に低減し、安心して仕事ができるようになりました。また、別の企業では、従業員のセキュリティ意識が低く、パスワードの使い回しや簡単なパスワードの使用が問題となっていましたが、監査を通じて、従業員教育の重要性を再認識し、セキュリティ意識の向上を図ることで、セキュリティレベルを向上させることができました。このように情報セキュリティ監査は、組織が情報セキュリティのレベルを向上させ、情報セキュリティ事故のリスクを減らすことを支援するツールです。

監査の起源は古く、シェークスピアは戯曲「アテネのタイモン」で、貴族タイモンが父の残した財産を使い果たしたにもかかわらず、濡れ衣をかけられた執事のフレィビアスが身の潔白を「auditor」に訴える場面がありますが、ここで登場する「auditor」が財産の使用状況を客観的に調べるいわゆる監査人でした。

「auditor」を「監査人」、「audit」を「監査」と訳しますが、これらの言葉は、オーディオ(audio)、聴衆（audience）と同じ「聴く」という意味のラテン語「audire」から派生しています。つまり、監査の起源は「聴く」ことにあったようです。執事フレィビアスも「auditor」から会計帳簿を前にして根ほり葉ほり質問をされたのではないでしょうか。

また、タイモンが財産を無計画に浪費しましたが、もっと早くに「auditor」が確認していれば潜在的なリスクを発見でき、財務破綻は免れたかもしれません。これを、情報セキュリティに置き換えてみると、組織が重要な情報を必要以上に共有したり、セキュリティルールを設けずに自由に使わせたりすることで、データ流出やリスクを招く状況に似ています。情報資産を適切に管理しない場合、情報漏えいやランサムウェア攻撃など重大なインシデントが発生し、組織の運営が危機に瀕するおそれがあります。情報セキュリティ監査は情報セキュリティ上のリスクを早期に発見して、迅速に対応し、健全で安心な組織活動を行うための効果的な支援ツールとなります。

次回から監査の仕組みや監査の方法などを解説していきます。

取締役　公認情報セキュリティ主席監査人　太田利次