「ISO/IEC15408」国際社会を生き抜くために
内部統制への影響は?
最後に、内部統制への影響について解説します。2006年6月に証券取引法が金融商品取引法へ改正され、2008年4月以降の事業年度(2009年3月期決算)から上場企業については内部統制報告書提出の義務が課されるなど、多くの企業で膨大な経費を費やしたという話を耳にします。
内部統制を構築する際に国際基準に合ったセキュリティ・システムを導入することが、単なるコンプライアンスだけでなく、もっと広い意味で企業の価値/利益につなげられる可能性もあるでしょう。
ところが、現段階において内部統制とセキュリティ製品の間に濃密な関係はなく、J-SOX法の中でもIT製品の調達基準の1つとしてCCがあるのみです。つまり「調達の際にはセキュアな製品を使いましょう」という「推奨」程度に過ぎません。
内部統制は、会社業務全般を客観的事実/証拠で判定するものであるにも関わらず、セキュリティ製品による効果という客観的/第三者的な視点を軽視しているのが現状です。これは改善の余地があると思います。
例えば、内部統制のうち、「モニタリング」の段階でISO/IEC15408を取得しているシステムを使う場合、少なくとも情報セキュリティ分野に関しては監査のレベルを柔らかくするといった動きがあってもいいと思います。監査の際に「ISO/IEC15408認証を取得したセキュリティ製品を運用しているからOKだ」と判断されるのが理想です。
もちろん、ISO/IEC15408認証が監査プロセスに影響を及ぼすようになると、ISO/IEC15408を認証するIPAと監査法人が連携することになります。これは容易ではないかもしれませんが、ぜひ実現してほしいものです。
情報セキュリティ対策のこれから
4回にわたって「情報セキュリティ対策」を軸に解説してきましたが、「情報セキュリティ対策」は、ハミングヘッズのようなセキュリティ・ベンダーでもない限り、企業活動においてメインの業務ではありません。一方で、近年増加するサイバー犯罪や情報漏えいなどの事故、内部統制に求められるIT統制などのように、日々の業務を遂行する際に避けて通れるものでもありません。
技術者やセキュリティ担当者の多くは、個々のインシデント(問題)が引き起こす影響について理解していますが、経営者/マネジメント層ではまちまちです。非常に熱心に学んでいる人が多い一方で、何か起こらなければ実感しない人も残念ながらいます。
「情報セキュリティの分野において大きなインシデントに見舞われるのは交通事故のようなもの」という言葉を聞いたことがありますが、車に保険をかけずに運転する人はまずいません。もちろんインシデントが絶対に発生しないのであれば手間をかけずに済ませたいと考えるのが自然ですが、現実はそうはいきません。
「効率の良い対策(自動化)で最小限の対策で済ませ、あわよくば同時に操作ログを取ることで内部統制構築の手助けや業務改善を行い、収支を可能な限りプラスに持っていく」ようにしたいものです。4回の記事を通じて、ネガティブ・イメージが強い「情報セキュリティ対策」について少しでもポジティブ・イメージを持ってくだされば幸いです。
