情報セキュリティ監査

 

情報セキュリティ監査とは、 重要データの保護などの情報セキュリティ管理が効果的に実施されるように、その対策や運用状況を、専門的知識を持った第三者が客観的に評価し助言を与えることです。
情報セキュリティ監査は通常、経済産業省の情報セキュリティ監査企業台帳に登録されている機関が実施していますが、情報セキュリティ監査企業台帳に掲載されている情報は各企業が任意で登録しているため、この台帳に掲載されていることが質の高い情報セキュリティ監査サービスを保証するわけではありません。
第三者による監査の必要性が強調されるようになってきたのは自社でのチェックには限界があると考えられているためですが、第三者機関にチェックを依頼したとしても、その機関に十分な情報セキュリティ監査のノウハウが蓄積していなければ、自社チェックほどの成果も得られないケースが起こり得ます。

また、情報セキュリティ監査を受けると問題点を指摘され改善案が示されますが、その改善案に対応したとしても、結果的に得られたのは「ある情報セキュリティ監査機関によって指摘された問題点を解決した」という成果に過ぎません。監査企業の監査の経験及び知識には差があるため、その監査を受けたことによってセキュリティレベルがどの程度向上したのか客観的に判断するのは簡単ではありません。

ECSEC Labが情報セキュリティ監査によってお客様に提供したいのは、「IT製品の評価・試験機関に要求されるセキュリティレベルと同等のセキュリティレベル」です。
ECSEC Labは主要事業であるIT製品のセキュリティ評価・試験事業を行うにあたり、製品ベンダから設計に関わる文書やデータの提供を受けます。これらの機密データの保護のための仕組みを構築し、日米それぞれの公的な試験所認定機関(製品評価技術基盤機構及びアメリカ国立標準技術研究所)によるセキュリティ監査を隔年で受けています。こうして構築及び維持している仕組みを元に、他機関に対する情報セキュリティ監査サービスを実施しています。

ECSEC Labが監査によってチェックされた問題点を、他機関を対象とした監査内容に反映することにより、他機関に対して「IT製品の評価・試験機関に要求されるセキュリティレベルと同等のセキュリティレベル」を構築するための提案を行うことを可能としています。

■ ECSEC Labを監査している機関その1

監査機関 NITE (独立行政法人 製品評価技術基盤機構)
認定制度 ASNITE
認定番号 ASNITE 0003 T
認定分野 情報技術(コモンクライテリア評価、暗号モジュール試験、システムLSI侵入テスト)
認定規格 ASNITE試験事業者IT 認定の一般要求事項
ISO/IEC 17025(試験及び構成機関の能力についての一般要求事項)
監査頻度 隔年
認定情報URL http://www.iajapan.nite.go.jp/asnite/pdf/jigyosya/ASNITE0003T.pdf

 

■ ECSEC Labを監査している機関その2

監査機関 NIST (アメリカ国立標準技術研究所)
認定制度 NVLAP (National Voluntary Laboratory Accreditation Program)
認定番号 200835-0
認定分野 Cryptographic and Security Testing
認定規格 NIST Handbook 150 (NVLAP手続き及び一般要求事項)
NIST Handbook 150-17 (NVLAP 暗号及びセキュリティ試験)
監査頻度 隔年
認定情報URL http://ts.nist.gov/Standards/scopes/2008350.htm

 


ECSEC Labはコモンクライテリア評価、暗号モジュール試験などの、IT製品のセキュリティを評価・試験するサービスを提供している機関です。日常的に機密情報を含むお客様の設計情報を預かり管理する施設であることから、日米両国の機関による監査は一般的な企業を対象としたセキュリティ監査より厳しいものとなっています。この監査対応を通してECSEC Lab自身の情報セキュリティ対策は定期的に見直され、改善されています。
ECSEC Labでは被監査部門が他機関に対する情報セキュリティ監査を行っているため、自社の情報セキュリティの見直しがただちにお客様の情報セキュリティ監査を行うための手法の見直しと改善に反映されます。

ECSEC Labではコモンクライテリア評価、暗号モジュール試験などの、IT製品のセキュリティを評価・試験するサービスを主要事業としており、このIT製品のセキュリティ評価・試験の知見を活用した専門的なセキュリティ機能チェックを行うことが可能です。
お客様の情報セキュリティの仕組みにおいて基幹となる情報システムに対して、セキュリティ機能レベルでのチェックを行うことは一般的な情報セキュリティ監査企業では困難な場合がありますが、ECSEC Labではコモンクライテリア評価者、暗号モジュール試験者のサポートを得ることにより、このような高度な監査内容を可能としています。

ECSEC Labの監査は、業務フロー分析を起点とします。そこから保護しなければならない情報資産を特定し、情報システムの安全管理状況及びマネジメントシステム運用状況を確認します。これらを判断材料に、脅威と脆弱性(業務運営面と情報システムに関して)を特定します。

ECSEC Labの情報セキュリティ監査は、次の規定文書に基づいています。

・個人情報保護マネジメントシステム要求事項(JIS Q 15001)
・情報セキュリティマネジメントシステム要求事項(JIS Q 27001)
・情報セキュリティ管理基準

また、ECSEC Labが監査によってチェックされた問題点を、他機関を対象とした監査内容に反映することにより、次の規定文書にも間接的に関連を持ちます。

・ASNITE試験事業者IT 認定の一般要求事項
・ISO/IEC 17025(試験及び構成機関の能力についての一般要求事項)
・NIST Handbook 150 (NVLAP手続き及び一般要求事項)
・NIST Handbook 150-17 (NVLAP 暗号及びセキュリティ試験)


ECSEC Labの情報セキュリティ監査の監査項目は大きくは三分野あり、物理的セキュリティ監査人的セキュリティ監査及び技術的セキュリティ監査です。それぞれの分野の中で監査項目がさらに細分化されています。

監査結果は報告書でお客様にレポートされます。例えば、理想とするセキュリティのレベルと監査を実施し判断されたセキュリティのレベルをレーダーチャートなどで対比させて示します。

監査期間は対象範囲によりますが、下記の条件が満たされていれば1.5ヶ月〜3ヶ月が目安となります。

・情報資産管理台帳等が維持・管理されている
・業務プロセスの詳細なドキュメントが存在する

また、費用は対象範囲等により作業が異なるため個別見積になります。


  
 お問い合わせ

   評価又は試験のご依頼、ご質問、ご相談は、下記までお気軽にお問い合わせください。
   電子メールでの質問も受け付けています。

      ■電話      03-5259-8061
      ■電子メール   labinquiry@ecsec.jp