DXの浸透により、月並みな例では在宅ワーク(リモートワーク)が一般化しました。
リモートワークでは自宅等のネットワーク環境からのアクセスが増え、従来とは異なるアクセス制御や利用者統制が求められます。
また、その影響でセキュリティリスクの増加を懸念する声を聞く機会も多いのではないでしょうか。
セキュリティリスクの一例としては、VPN機器を狙ったサイバー攻撃などがあります。
セキュリティリスクに適切に対応し従業員が安心して働けるセキュリティ対策は、企業や組織にとって重要かつ継続的な課題です。
こうした課題に対応するためには、定期的なセキュリティ監査が有効とされています。 企業や組織はセキュリティ監査に向けて情報システム運用管理規則を整備し、セキュリティレベルの維持と業務環境の安全性の確保を図る必要があるでしょう。
このセキュリティ監査ですが、スムーズな対応には相応の準備が必要となってきます。
それでは早速、セキュリティ監査の実施を控えたとある会社の様子を見ながら、監査の準備や対応方法について考えていきましょう。
目次
セキュリティ監査に対応してください」と言われたものの…
とある会社の様子です。
年に1回実施されるセキュリティ監査の時期を迎えたようです。
セキュリティ監査では情報システム運用管理規則に則って、社内システムの運用管理が適切に行えているか、情報資産を適切に管理出来ているかなどをチェックし、実践できていない項目については改善するよう求められます。
例えば、以下のような内容をチェックします。
・情報システム運用管理規則と運用状況
・資産管理
・システムとログの管理・運用状況
・インシデント発生時の対応と報告体制
・関係する法令・規則遵守の確認
など
このような観点から定期的に情報システムがチェックされるので、リスクの可視化やインシデントの早期発見・予防、コンプライアンス遵守などに役立つ重要な活動と言えるでしょう。
あわせて、セキュリティ監査は自社の管理体制が見直せる良い機会でもあります。しかしながら、その対応には準備も必要になってきます。
セキュリティ監査は「準備」がカギ
セキュリティ監査の準備として例えば以下の点を把握しておくと、監査がスムーズに進む可能性が高いです。
・自社の情報システム運用管理規則内容と運用実態
・資産管理方法
・システム構成図、アクセス権限一覧、ログの保存状況
・過去のインシデント履歴と対応策
・委託先との契約内容と管理体制
など
これらはほんの一部ですが、常日頃からこれらをしっかり把握・管理できている企業や組織は少ないのではないでしょうか。
また、セキュリティ監査は頻度の多いものではないので、経験者だとしても慣れていない、または準備すべき内容や前回の対応内容を覚えていないという方も多いと思います。
重要性が増すセキュリティ監査ですが、このように社内に十分な知見がない場合、知見のある会社に支援を依頼することでスムーズに監査対応が行えるかもしれません。
情シスだけで対応するのは難しい? 外部サポートを活用すべき理由
セキュリティ監査は、企業や組織の情報資産を守るための重要な活動ですが、社内の情シス担当者だけで対応するにはハードルが高い分野でしょう。
監査では、ネットワーク構成やアクセス権限の適切性、ログ管理の状況、脆弱性の有無など、多岐にわたる項目について専門的な視点で精査します。
さらに、ISMSやNIST CSFなどのガイドラインへの準拠も求められるため、最新の知識と経験が不可欠です。
また、場合によっては親会社やグループ全体の方針により、突如としてより厳格な監査を求められることもあります。
突発的な要求に対して、社内リソースだけで迅速かつ的確に対応するのは難しく、外部の専門会社の支援が大きな助けになるでしょう。
特にDXの進展によってクラウドやSaaSの導入が進む中で、従来の監査手法では対応しきれないケースも増えています。
外部に支援を求める場合は、以下のポイントを意識するのがおすすめです。
・監査実績が豊富か(業種や規模が自社に近い事例があるか)
・最新のセキュリティ基準に精通しているか
・クラウド環境やDX関連の知見があるか
・報告書の品質や改善提案の具体性
セキュリティ監査に慣れている外部の専門会社に支援を依頼することは、スムーズかつ確実な対応につながるだけでなく、情シス部門が本来の業務に集中できるというメリットも得られます。
そのため、信頼できる外部パートナーとの連携が、効率的かつ安全な選択肢と言えるでしょう。
『情シスSAMURAI』にお任せください!
今回セキュリティ監査の対応に課題を感じたとある会社は、クロス・ヘッドが提供する『情シスSAMURAI』に支援を依頼することを選択しました。
『情シスSAMURAI』はお客様の情シス部門の課題を解決するための情シス支援サービスです。
オンサイト/リモートを駆使し、簡単な作業からITコンサルティング業務まで、お客様の課題やお悩みに寄り添う伴走型支援で情シス業務全般に関する幅広いご支援を行っています。
社内に知見がなくとも、『情シスSAMURAI』が現状把握を行い、セキュリティ監査のご支援を行います。
セキュリティ監査のベースである情報システム運用管理規則の内容を把握し、現行環境と比較し、状況を精査。
もし親会社やグループ全体の方針が監査の背景にある場合は、もちろんその方針を尊重してチェックを行います。
そして現状と情報システム運用管理規則に記載の内容との差異をお客様に説明し、お客様自身の手で報告できるようにご支援します。
「チェックして終了」ではない、セキュリティ監査のPDCAを回そう
監査対応で明らかになった課題についてもお任せください。
セキュリティ監査の実施だけでなく、監査で明らかになった課題の解消までご支援します。
例えば従業員へのセキュリティ教育の実施など、対処すべき課題についての具体的な改善方針も提示可能です。
今回のケースでは、監査対応のご支援を通じて情シス環境をより良い姿へと導くことができました。
ぜひ皆さんの情シスにまつわる課題も『情シスSAMURAI』にお聞かせください。
今回ご紹介した当社事例以外にもIT業務のお困りは数多くあるかと思います。
別のコラムでも具体的な情シス支援の事例をご紹介しています。
皆さんの会社でもこの事例に似たようなIT業務のお困り、お悩みはありませんか?
クロス・ヘッドが提供する『情シスSAMURAI』がお悩み解決に伺います。
まずはお気軽にご相談ください。
こちらのページではセキュリティ対策支援に関するケーススタディをご紹介しています。
ぜひ、本コラムと併せてご覧ください。
『情シスSAMURAI』サービスページはこちらから
