情報セキュリティ監査とは？

情報セキュリティ監査とは、組織や企業で管理すべき情報システムが正常に動作しているか、脆弱性が存在しないか、セキュリティの安全性を評価・検証するための取り組みです。

社員一人一人が利用者となるエンドポイントのPCは、常にインターネットを利用した情報のやり取りが行われていることから常に危険にさらされています。このエンドポイントのPCを安全に保つ取り組みが会社を危険から守ることにつながります。

脆弱性を放置してしまうと、サイバー攻撃の被害やマルウェアへの感染リスクも高まります。そういったリスクを低減させるためには、社内に潜む脆弱性情報を収集、分析して速やかに解消するためのプロセスを構築することが重要です。
情報セキュリティ監査では、そのプロセスが適切に運用されていることを第三者的な視点で評価します。

情報セキュリティ監査の目的設定

情報セキュリティ監査に求める目的は企業ごとに異なるため、実施する前に目的を明確にする必要があります。

サイバー攻撃の手口は日々巧妙化しており、最近の動向としてはランサムウェア攻撃の増加が挙げられます。また、企業間のつながりを狙ったサプライチェーン攻撃や、SMS経由のフィッシング詐欺などもここ数年間で増加傾向になっており、こういった背景も考慮して常に最新のセキュリティ動向をチェックしながら情報セキュリティ監査を実施します。

目的設定の例

弊社では、あいまいになっている情報セキュリティの運用ルールやフローを是正することを目的として、次のような観点で情報セキュリティ監査を実施しました。

• 情報資産台帳を適切に作成しているか
• 外部記憶媒体の利用ルールの作成・周知が実施がされているか
• 許可されていない媒体をネットワークに接続している端末がないか
• ウィルス対策ソフトとの自動更新設定や、OS・アプリ-ケーションのアップデートが適切に実施されているか
• アクセスログや操作ログを取得、適切に管理・保護できているか
• 許可されていないソフトウェアやサービスを利用していないか
• メールやチャットツールの利用ルールを遵守しているか

実際に行ったセキュリティ監査について

弊社では週1回の頻度で半年間セキュリティ監査を実施しました。時期によって実施内容は異なりますが、5つの監査項目を中心に監査を行いました。

• 情報持ち出し
  個人情報・機密情報の持ち出しに関する情報セキュリティへの意識向上を目的にファイルまたはペーパーでの持ち出し状況を可視化して評価する。
• OS脆弱性
  月1回のWindows Updateについて、社内規定では1か月の猶予を以て実行となっており、この促進を目的に適用状況を評価する。
• ソフトウェア脆弱性
  ソフトウェア更新の促進を目的として、適用状況を可視化して評価する。
• ウィルス対策ソフト
  ウィルス対策ソフトのインストールとアップデート状況を可視化して評価する。
• MS Office利用状況
  MS Officeの効率的な運用を目的として利用状況を調査する。
• MS Defenderスキャン結果
  マルウェアによる脅威の状況把握と感染に対する意識の向上を目的に、MS Defenderのスキャン結果を可視化して評価する。

セキュリティ監査による効果

監査の詳しい内容についてはこちらの記事をご覧ください。
ログを利用したMicrosoft Officeの利用状況の調査方法
セキュリティソフトは不要？Microsoft Defenderでウィルス対策する方法を徹底解説！
Microsoft Defenderとは？マルウェア対策に効果的な運用方法を解説
セキュリティパッチの重要性と適用状態の確認方法について解説

半年間セキュリティ監査を実施し、情報持ち出しに関するセキュリティ監査では次のような結果となりました。

■未承認／期限切れのクラウドストレージへアップロードされたファイル件数 

承認済みのクラウドストレージ以外へのアップロード件数を毎週監査しています。

未承認または承認期間切れの状態でアップロードを行っているユーザーが多数見受けられたため、情報システム部門に監査結果を共有し、運用フローの是正を実施していただきました。
その結果、セキュリティ監査の最終週では承認済みクラウドストレージ以外へのアップロード数を0件に抑えることができています。

まとめ：定期的なセキュリティ監査で自社のセキュリティ状態を知る

情報セキュリティ監査によって、正しくセキュリティ対策が行われているかどうか確認することができ、不足が発見された場合は迅速に対応することが可能です。また、顧客や取引先へ情報セキュリティへの取り組みのアピールにも繋がります。

It's only fair to share...
00