Sphere System Consulting ltd. スフィアシステムコンサルティング株式会社

Vol.36 身の丈に合った情報セキュリティとは?その2

 コラム

身の丈に合った情報セキュリティとは?その2

 

前回のコラムでは身の丈に合った情報セキュリティを定義する際、忘れてはいけないのは運用であるということについて書きました。

外部へ情報セキュリティ運用を委託するとしても限界があり、自社での運用を忘れては、何も対策していないのと同じ状況になってしまいます。

そして、外部からの攻撃を防ぐことが中心となる外部対応と、内部である社内をチェックすする内部対応の2種類があることも書きました。今回は内部対応の運用についての注意点をお伝えします。

 

内部統制の一環としてIT統制によるチェックが必要な大規模組織もありますし、プライバシーマークに関連する監査等もあるため、内部をチェックする機会はますます増えてきています。

 

内部をチェックする(監査する)場合の注意点は、手段の目的化に陥らない事です。

 

自社内の監査項目を自社社員がチェックする場面を想定してみます。
チェックする担当者に陥りがちな事ですが、チェックそのものが目的となり形式ばった検査項目を押し付けてしまうことがあります。

心理的な要因として、チェックする側に回るということは、チェックされる側よりも優位に立つことを暗示しています。ですから、少し偉そうな態度になってしまうことも否めません。これら心理的な要因を差し引いたとしても、盲目的に監査を推し進めるばかりでは堅苦しい物になってしまいます。

 

内部監査の問題は、極論で言えばモラルの問題であり、ルールを守るために本業に支障が出るのは本末転倒なはずです。

 

しかし、ルールだからという理由だけでカタチだけのルール順守や監査のための監査が横行してしまいます。

 

背景にあるのは、監査をクリアしたいがために、外部機関の言うとおりにグレーゾーンを認めない厳格なチェック体制を作ってしまう傾向があります。ただし、こちらに専門知識がないのでやむを得ない側面もあります。そこで、監査本来の目的を忘れずにいかに楽にチェックをするかがポイントとなります。

 

内部監査の手間を減らすためにシステム側でやっておくべきことは、チェックする仕組みをあらかじめシステムに組み込んでおくことです。

 

アクセス権限の制限など対応している情報システムは多いのですが、もう少し踏み込んで、データベースへのアクセスログ等のログのチェックまで可能かどうかがポイントです。

 

今現在使用中のシステムがそこまで監査を意識した作りになっていなくても、この先何年後かに訪れるシステムの更改時点の時流を考えれば、外部の状況はより堅牢な情報セキュリティを求める傾向にあることは確実です。

 

もちろん、仕組みを組み込むだけでなく、運用が伴って初めて機能します。
身の丈に合った情報セキュリティの構築にはシステムのアシストと運用の組み合わせが不可欠です。

 

堅苦しい監査の手間をなるべく減らす方法は、システムに求めるのが賢いやり方です。
内部監査が手段の目的化にならないように本来の目的を見失わないようにしましょう。