2月25日 Intelligent Wave Security Day 2009
基調講演:「J-SOX対応における情報セキュリティ監査の有効利用」
- あらた監査法人
- 公認情報システム監査人 (CISA)
- 公認情報セキュリティ主任監査人 (CAIS)
- システム・アンド・プロセス・アシュアランス部
- パートナー 岸 泰弘 氏
ホットなトピック、J-SOXにフォーカスした基調講演
あらた監査法人の岸泰弘氏からは、現在ちょうど初年度を迎えているJ-SOXへの対応について、示唆に富んだ提言がなされた。SOX法はそもそも、財務報告の不正・粉飾をなくすためにつくられた制度であり、「財務報告の信頼性」を取り戻すことが根本目的である。そのためには当然、財務諸表は会計の基準に則って作られなければならないし、正しい内部統制が行われていることを示す必要があるだろう。プロセスとしては「内部統制の整備」をし、それに対し「マネジメントテスト(経営者評価)」を行い、さらに信頼性向上のために「外部(監査法人)が監査を行う」という流れが求められることが、まず確認された。
J -SOXと情報セキュリティとの関わり
さてこのJ-SOXにおいて、情報セキュリティはどのように関ってくるのだろうか。まずは、「内部・外部からの情報の改ざん」。そして、「情報の紛失(会計関連情報)」や、「システム処理の長期中断」。これらへの対策という点で、J-SOXと情報セキュリティの課題はまさに一致する。また、情報の CIA(Confidentiality、Integrity、Availability)の中でも、情報セキュリティは特に Confidentialityに関るものであるが、Integrity、Availabilityの観点からの統制を十分に行う企業ほど、J-SOXと情報セキュリティの関わりは深まるといえるであろう。
効率性を考えた「リスクアプローチ」を
J-SOXへの対応に向け、監査法人や経済産業省からはチェックリストやガイドラインが出されている。しかしこれらは網羅的な内容のため、作業量が増え、効率が悪化する可能性は否めない。本当にやるべきことは何か?省略できる部分はどこか?J-SOXにおいても、リスクアプローチは可能である。キーとなるリスクを押さえれば作業対象が絞り込め、より効率的な対応が行えるのだ。
J-SOXにおける情報セキュリティ監査の活用
「情報セキュリティ監査制度」とは、国の基準に基づき、情報セキュリティ対策について独立した専門家が評価する制度である。この制度はJ-SOX(なかでもマネジメントテスト)において有効に利用することができる。それには2つの方法が考えられるという。
(1)情報セキュリティ監査により、マネジメントテストそのものを一部代替する。(その場合は監査法人との申し合わせが必要となる)
(2)情報セキュリティ監査の「方法論」を援用する。
マネジメントテストの方法については、未だに多くの企業が暗中模索している。しかし岸氏によれば、答えは明快だ。内部統制監査を行う時に、監査人が企業によるマネジメントテストを「利用しない」のであれば、企業の自由度がある程度認められる。ただし「利用する」場合には、企業が監査人の作業を代替するわけであるから、監査人とまったく同様のやり方に揃える必要がある。どちらを選ぶかで、方法論もコストも大きく変わってくるのである。このように、J-SOX および情報セキュリティの本質や相関関係についての理解が、より効率的で無駄のないJ-SOX対策を可能にしていくことだろう。
Session Index
- 基調講演
- 「J-SOX対応における情報セキュリティ監査の有効利用」・あらた監査法人
- 事例講演(1)
- 「村田製作所における機密管理対策」・株式会社村田製作所
- 事例講演(2)
- 「クレディセゾンが実現した統合セキュリティシステム
-物理セキュリティと情報セキュリティの統合-」・株式会社クレディセゾン - 「SSFCとTranC'ertについて」・大日本印刷株式会社
- CWATセッション
- 「CWAT V4.0テクニカルオーバービューと情報セキュリティ PDCA支援サービス」
・株式会社インテリジェント ウェイブ - 招待セッション
- 「Windows Server®で構築する高セキュリティネットワークと
SQL Server® 2008のご紹介」・マイクロソフト株式会社
