【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第1回脆弱性検査［前編］

（2005年05月23日）

情報セキュリティ監査制度

　脆弱性検査について説明する前に、関連する制度として、2003年4月に経済産業省から告示・施行された「情報セキュリティ監査制度」を紹介しておこう。同制度の基準とガイドラインを図2に示した。

　図2にあるように、この制度には3つの柱がある。1つ目は「情報セキュリティ管理基準」であり、監査を行う際に判断の尺度として用いられることが想定されている。2つ目は監査人の行動規範が示されている「情報セキュリティ監査基準」であり、監査の品質を確保し、効率的に監査を実施することを目的としている。3つ目は、実際に情報セキュリティ監査サービスを行う業者を登録する「情報セキュリティ監査企業台帳」である。この台帳から、監査サービスを行う登録業者の一覧と各事業者の監査実績の概要を入手できる。

　現時点での監査基準やガイドラインの内容を見るかぎり、具体的な取り決めは監査を受ける組織の判断に任されている部分も少なくない。そうした点からも、同制度はより一層の充実が求められるが、情報セキュリティ監査の必要性を訴求するうえで、この制度が始まった意義は大きい。

　なお、情報セキュリティ監査基準では技術的な監査に限らず、セキュリティ・ポリシーやその運用を含む情報セキュリティ管理全体を監査の対象としている。脆弱性検査は情報セキュリティ監査基準の構成要素の一部であることから、今後はこれらの基準に沿うことが要件として求められると予想される。

　また、情報セキュリティ監査制度でも定義されているが、一般に監査は公正かつ客観的に行われることが重要である。つまり、監査を受ける側と行う側は利害関係にあってはならず、独立していなければならない。

　脆弱性検査も基本的にはこのルールに従うべきである。しかし、すべての検査を外部に委託すると、運用やコストの面で大きな負担が予想される。その場合、簡単な検査は内部で行いたいという要望が出てくるだろう。そこで以下、自社で脆弱性検査を行う際に役立つ情報として、その種類や手順などを説明する。

図2：情報セキュリティ監査制度の基準・ガイドライン類

脆弱性検査を行うタイミング

　まずは、脆弱性検査を行う主なタイミングを3つ挙げる。なお、①と③のタイプの検査は、セキュリティ事故が発生してから慌てて実施することだけは避けたい。

①情報セキュリティ対策の入り口として行う
　情報セキュリティ対策や管理を始めるにあたり、事前に実施した検査で見つかった危険性の高い脆弱性についてあらかじめ対策を施しておく。これにより、当面の技術的なリスクを減少させるとともに、現状の技術的なセキュリティ対策のレベルをつかみ、それを情報セキュリティ対策を進める際の検討材料とする。

②自社ですでに行われている情報セキュリティ管理の一環として行う
　ISMS（情報セキュリティ・マネジメント・システム）などに規定されている情報セキュリティ管理のライフサイクル（計画→実行→確認→見直し）の中で確認作業の1つとして定期的に行ったり、ネットワークやサーバの設定変更時など、セキュリティ・ポリシーで決められたタイミングで実施したりするケースが相当する。

③顧客へ提供する情報サービスやシステムの安全性を示すために行う
　情報サービスやシステムのアウトソーシングを受けている顧客の間でも、情報セキュリティへの関心は高まっている。そのため、サービスを提供するベンダー側は、顧客からの信頼を得るために、検査を通じて公正な視点から安全性の検証や説明を積極的に行うなどの対応をとる必要がある。よって、上記の②と同様に、アウトソーシング・サービスに対する検査もセキュリティ・ポリシーの中に盛り込んでおくべきである。