企業における定期的な情報セキュリティ監査のすすめ

18世紀半ばから19世紀にかけて起こった産業革命によって、公認会計士などの新しい職業が誕生しました。そして、デジタル革命によって、情報セキュリティ監査人が登場しています。しかし今のところ、年次会計監査と比べると、独立した情報セキュリティ監査は企業経営の健全性を調査するうえで必要不可欠なものとは広く認知されていません。

情報セキュリティは人の生死にかかわる問題になり得る

フィンランドでは、情報セキュリティの重要性を思い知らされる、人の生死にかかわる卑劣な事件が起きています。国の医療制度を通じてカウンセリングを提供している民間の精神療法施設であるVastaamo (ヴァスターモ)は、2018年から2年にわたり攻撃を受けており患者の治療記録がハッキングされました。10月には、犯人からVastaamoの患者に対して、身代金を支払わなければ個人の記録を公開すると脅迫するEメールが送信されました。さらに、24時間後にはその要求額は2倍になったのです。

この事件では、ハッキングされた情報が公開される恐れがあることが、いかに深刻な被害をもたらし、生命にかかわる危険性さえあることを示しています。今後、Vastaamoのような事態を防止するためには、機密性の高い個人データを処理するすべてのシステムに対して適切な情報セキュリティ管理が必要になります。

監査すべきデータは膨大で、時間はあまりにも少ない

現在、セキュリティ監査が実施されているのは、サイバーリスク評価の重要性を認識している組織に限られています。近い将来には、これらのデータ監査が、現在の会計監査と同様に、日常的かつ必要不可欠なものになると思います。しかし、政府による監査を期待しているとしたら実現は覚束ないでしょう。

フィンランドのデータオンブズマンを退任したばかりのReijo Aarnio（レイヨ・アールニオ）氏は、Data Protection Authority（データ保護機関）の現有リソースを使用して、フィンランドの個人データを処理するすべてのシステムを完全に監査するには、1万年かかると推定しています。つまり、情報セキュリティ監査を政府職員に委ねることは、独立した会計監査を政府の税務調査員による年次検査に置き換えるようなもので、不見識と言わざるを得ないのです。

スマートなセキュリティ監査とは

クリティカルなシステムにおける情報セキュリティに対しては、国際基準、認証機関、および定期的な検査が必要です。私たちは、他の分野では当局が認証および検査機関を認可する必要があることを認識しています。また、当局は要件や標準の開発に参加することもできますが、できればWTOの6つの基本原則（透明性、公開性、公平性とコンセンサス、有効性・妥当性、一貫性、開発次元）に従う標準制定組織が主導することが望まれます。認証と検査は、独立した民間の認証組織によって実施されるべきです。そして、情報セキュリティ監査における自動化は、コスト管理だけでなく、タイムリーにすべての範囲を徹底的に検査することを保証するためにも、重要な役割を果たすことになります。

企業の意思決定者は、自社で検査しなくても、望むと望まざるとに関わらず誰かに検査されることを理解する必要があります。必然的に脆弱性は発見され、それが自社や委託したテストプロバイダによるものでなければ、インターネットをクロールして脆弱性を発見するハッカーやボットだったり、危害を加えようとする攻撃者かもしれません。したがって、インターネットに接続するすべてのシステムとデバイスは、信頼できる独立組織によってテストされるべきなのです。

確かに、これは企業に新たな義務を課すことになります。しかし、Vastaamoの事件で明らかのように、最も貴重な資産である顧客データを保護するためには、時間や予算がないことはまったく言い訳にならないのです。