« 私が私であることの証明 | Main | IPA ウェブサイト脆弱性対策のチェックポイント »

2005.06.23

情報セキュリティ監査 保証型監査の課題

 こんにちは、丸山満彦です。日本セキュリティ監査協会で昨年度の部会活動発表を行いました。保証型監査の課題を説明しました。

 
 保証型監査の課題を2つ挙げました。

① 適正性監査と準拠性監査
② 保証水準


①は経営者の意思決定の適正性についても評価するか。と言う問題です。例えば適正性監査では、パスワードが8文字は適正ですか?ということを評価します。一方、準拠性監査は、パスワードが6文字に設定するとなっていてその通りであれば6文字でも問題ないとします。

判断基準であるCriteriaが利害関係者に受け入れられていない場合は準拠性監査というのは意味をなさないです。


②保証水準には

(1) 「適正である」といえる水準
(2) 「適正でないとはいえない」といえる水準

の2つがあるという話をしました。会計士の世界では、(1)を合理的保証水準、(2)を限定的保証水準と言っています。
 2つの監査があるのであれば、報告書の内容も変えないといけないと言う話をしました。


 そして、当日は説明しなかったのですが、まだ課題はあります。


③ 成熟度モデルにおける評価と保証
④ 独立性の程度と利害関係者への伝達


③成熟度モデルは、

●Aを行っているか
の評価だけでなく
●Aをどの程度行っているのか
という評価する。

 つまり、「何をしているか」と「どの程度しているか」の二次元で評価するものです。


④独立性の程度

 ひとつの定まった制度にすれば(例えば、会計監査とかISMS審査のように)独立性の程度も規定できます。しかし、様々な保証型監査がある場合は、独立性の程度を利害関係者に伝達する必要があると思います。これも未検討の課題です。

 基調講演で、経済産業省の田辺課長補佐、内閣官房の山崎参事官補佐、稲垣弁護士が保証型監査の実施の重要性を言っていたようです。


まだまだあるでしょうね・・・まぁ、ぼちぼち課題を解決していくしかありませんね。



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 私が私であることの証明 | Main | IPA ウェブサイト脆弱性対策のチェックポイント »

Comments

丸山様、お世話になります。
どこに書いていいのかわからなかったので、ここに書きます。

トーマツさんでPC紛失事故が起きたそうなのですが、そのPCのHDDは
暗号化されていたのでしょうか?

「現在想定しうる可能な限りの多段階のセキュリティ対策」というのはどの程度なのか、
差支えない範囲で教えてください。

Posted by: 吉田洋 | 2005.06.23 14:26

なーにノンキに"保証型"ですか
トーマツが今回起こした問題についてきちんとふれてください

それとも、そういうことができない"障害"でもあるのですか?それなら内部告発してくださいね

丸山先生のご英断に期待!!

Posted by: ツッコミ役 | 2005.06.23 22:34

吉田様、ツッコミ役さん、コメントありがとうございます。この件について、回答というか私が考えたことに少し触れさせていただきます。長くなりますが、私の考えた事について付き合ってください。
 この件について、実は、当初ブログでお知らせしようと思っていました。ところが前日からココログにアクセスできず、ブログに書くことができませんでした。(鈴木さん、深夜から早朝にかけてしつこく「管理画面にログインできない」とメールを出して申し訳ございませんでした。実はこういう背景がありました。)結局、「はてなダイアリー」に一時的なブログを作りました。しかし、最後の最後で書くのを止めました。
 その理由は・・・
 まず、会社の一員として書くなら謝罪的なことを書く事になるのでしょうが、このブログは私が個人的な立場で書いているものなので会社の立場にたったコメントを書くべきではないと思ったからです。
 また、イチ個人としての立場からしても「書くべき内容ではない」と思ったからです。
 二番目の理由が正しかったかどうかということになろうかと思うのですが、今までパソコン紛失について漏えいの恐れが少ない場合にまで、そのことを書き立てて世の中の不安をあおりたくないと思っていましたし、本当に重要な問題が見えにくくなるので良くない思っていましたので、今回も書くべき内容ではないと思いました。今までもパソコン紛失についての記事を書いていないと思います。
 これが私が考えたことです。ココログに書き込みができなかったことで、少し時間をかけて考えることができました。結果的にはこれでよかったと思っています。

 吉田さんのコメントにある「PCのHDDは暗号化されていたのでしょうか?」「現在想定しうる可能な限りの多段階のセキュリティ対策」の具体的な内容については規定が社外秘になっているのでお答えできないのでが、確かに多段階の対策は採っています。お答えにならずにすみません。
 ツッコミ役さんの「そういうことができない"障害"でもあるのですか?それなら内部告発してくださいね」については、触れなかった理由は上記の通りで、別に障害を感じて書かなかったわけでは無いです。

 このコメントを書く事により社内で処分されるかもしれないと思いつつもあえて書いたのは、この件については回答する義務のようなものがあると思ったからです。ツッコミ役さん(どなたかは存じあげませんが・・・)からみると「英断」とはいえないのかもしれませんが、自分の置かれている立場と状況を意識すると「英断」しているつもりです。

こんなところでよろしいでしょうか?

Posted by: 丸山満彦 | 2005.06.24 01:21

横槍すみません。

>自分の置かれている立場と状況を意識すると
丸山さんは単なる従業員ではなく組織側の人間になられている訳で、その立場や状況を鑑みますと、十分「英断」に値するかと思います。(軽々しく「英断」などと言っていいものかどうかはわかりませんが)

このブログはあくまで「組織とは関係ない私見」とされてはいますが、簡単には切り離せない状況になりつつあるのではないかという危惧もあります。

Posted by: waka | 2005.06.24 11:51

丸山様、答えにくいことを聞いてしまいすいませんでした。
私が属する会社でも、同様のケースが起きる可能性があるので、
トーマツさんの対応を参考にしたいという気持ちがありました。
以下に少し詳しい情報がでていますね。

http://www.mainichi-msn.co.jp/it/solution/news/20050623org00m300065000c.html

あと、私の知人から聞きましたがセキュリティについては、
トーマツさんは「具体的内容を話すことで漏洩リスクが高くなる可能性がある」
ということで、開示しないということのようです。

これは、非常に参考になりました。

Posted by: 吉田洋 | 2005.06.24 13:17

wakaさん、吉田様、コメントありがとうございます。

===
「組織とは関係ない私見」とされてはいますが、簡単には切り離せない状況になりつつあるのではないかという危惧もあります。
===
私の中では少なくとも意識して切り離していないといけないですね。

===
トーマツさんの対応を参考にしたいという気持ちがありました。
===
 気持ちは分かります。これからも応援よろしくお願いします。

Posted by: 丸山満彦 | 2005.06.24 18:43

言葉足らずですみません。

>私の中では少なくとも意識して切り離していないといけないですね。

丸山さんがいくら意識的に分離されていたとしても、読み手がそう解釈してくれなくなるのでは?という事が言いたかったんです。
今後丸山さんがトーマツのパートナーとして各方面に高名を轟かせるほどに、丸山さん=トーマツの構図が強く印象付けられ、ブログの私見もトーマツの意見と採られる可能性があるのではないかと危惧した次第です。

Posted by: waka | 2005.06.27 13:03

Wakaさん、コメントありがとうございます。
=====
丸山さんがいくら意識的に分離されていたとしても、読み手がそう解釈してくれなくなるのでは?という事が言いたかったんです。
=====
理解していましたよ。だらかこそ、私の中では少なくとも意識して切り離していないといけないと思っているんですよ。人はともかく、自分がしっかりしていないとね・・・

Posted by: 丸山満彦 | 2005.06.28 01:17

丸山 様

夏井です。

「書き手」がどのように配慮しながら書いても「読み手」がそれをどのように理解するかはまったく自由なので,いちいち気にしていたらやってられないですね。

だからこそ「表現の自由」を最大限に尊重しなければならないわけです。

聴くべき意見には耳を傾けるべきでしょう。コメントの形式で自分の考えを表現するのは各人の自由ですね。けれども,コメントなどに対していちいち応答すべき義務は誰にもない。無視したり削除したりするのもまったく自由だと思っています。

誰かが何かを期待するのはまったく自由なのだけれど,契約上の義務も何もないところで相手の期待に応じなければならない義務などまったくない。

日本人はとかく情動にしたがってものごとを判断しがちですが,私はすでにそのような発想をやめてしまっています。

丸山様ご自身の信念に基づいて自信をもってこのblogを続けられたらよかろうと思います。

Posted by: 夏井高人 | 2005.06.28 08:43

夏井先生、コメントありがとうございます。

 このブログは、公正中立で正確無比な報道機関のつもりでも無いし、みなさんのコメントに完全に応えてもいないし、まぁ、表題の通り、「きまぐれ」でやっています。

 もちろん、私のブログがもとでひどく傷ついたりする人や、多大な迷惑をこうむる人がでることを望んではいないし、そのような場合は、責任をとらないといけなくなることは理解しています。

 ということで、ぼちぼち続けていきます。

Posted by: 丸山満彦 | 2005.06.28 09:59

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 情報セキュリティ監査 保証型監査の課題:

« 私が私であることの証明 | Main | IPA ウェブサイト脆弱性対策のチェックポイント »