荒井 英夫さん －監査人インタビュー

情報セキュリティ監査人制度創設に関わった監査のプロに聞く、監査の意義とは

JASA、および情報セキュリティ監査人制度（CAIS）の創設に深く関わられ、監査法人、事業会社、そして現在のコンサルタントとして、長年セキュリティ監査の最前線を見つめてこられた荒井英夫さんに、制度が生まれた背景、現代における情報セキュリティ監査の真の意義、そして企業が監査から得るべき価値や、監査人が持つべき視点について、お話を伺いました。

荒井英夫さん

監査の専門家としてJASA設立に関わる

－荒井さんの自己紹介、現在のお仕事、そしてJASAと関わるようになったきっかけについてお聞かせください。

荒井さん:現在、インフォシスというインドのIT企業で、セキュリティコンサルタントとして、働いています。お客様にはセキュリティに関わるコンサルティングから、実際の対策実装までのサービスを提供しています。

JASAとの関わりは、ちょうどJASAが設立される時でした。当時、私は監査法人に勤務しており、システム監査などを担当していました。会計監査の一環としてのシステム監査に従事する中で、当時の上司がJASAの立ち上げに関わっていたため、私も一緒に携わることになったのがきっかけです。

－JASAの立ち上げに携わられたとのことですが、当時の情報セキュリティ監査を取り巻く状況や、制度構築の経緯、特に苦労された点についてお聞かせいただけますでしょうか？

荒井さん： 当時は、情報セキュリティ監査をどのように実施すべきかという、根本的な議論から始める必要がありました。監査の基準も作成しなければならず、例えば「保証型監査」とは何か、セキュリティ監査で保証型監査が可能なのか、といった点も含めて議論を重ねたことを記憶しています。

制度構築のワーキンググループで活動していた際、監査法人としての「監査」という概念と、一般企業が考える「監査」の受け止め方に、かなりの隔たりがあることを感じました。監査法人が提供する「監査」は会計監査に限定され、法的な制約もあり、現在でも「セキュリティ監査」と名乗ることは難しい状況です。これは、「監査」という単語が持つ重みや責任に対する受け止め方が、監査法人と一般企業で大きく異なるためです。どちらが正しいという絶対的な答えはない中で、様々な観点から議論を深めるプロセスは非常に興味深く、当時の私にとっては視野を広げる貴重な経験となりました。

制度としては、こうした異なる認識を踏まえつつ、情報セキュリティ監査の方法論や基準を整備し、専門家を育成することに意義があると考えていました。

－ご自身でも公認情報セキュリティ主任監査人の資格を取得されたとのことですが、実際に実務ではどのように役立ちましたか？

荒井さん: CAISの制度ができたばかりの頃に、これまでの経験を活かして主認監査人の資格をいただきました。資格取得後は、名刺に記載したり、官公庁の入札条件となる案件でメンバーとして参画できるといった形で役立ちました。

－後に事業会社で監査を受ける側の立場も経験されたとのことですが、その際に監査の知識はどのように活かされましたか？

荒井さん:監査法人を退職後、一般事業会社でセキュリティ部門の「第二線」として監査を受ける立場を経験しましたが、その際に監査やセキュリティ監査についてよく理解していたことは非常に有用でした。例えば、外部監査人が求める証跡や、インタビューで何を答えるべきかといった点をスムーズに進めることができたのは、監査の知識があったからだと考えています。

サイバーリスクの高まりと共に高まる情報セキュリティ監査のニーズ

－黎明期にはセキュリティ監査の引き合いは少なかったとのことですが、現在、特にこの数年で企業からのニーズは高まっていると感じますか？

荒井さん: 黎明期は引き合いがほとんどありませんでしたが、現在、特にこの4、5年で、セキュリティに対する脅威が非常に増大し、「自分たちは本当に安全なのか」と確認したいという企業のニーズは非常に高まっていると感じます。

－近年、サイバー攻撃が高度化し、多くの企業がセキュリティ対策を導入しています。しかし、対策導入止まりで運用が追いついていない企業も多いと指摘されていますが、こうした現状において、情報セキュリティ監査はどのような役割を果たすべきだとお考えですか？

荒井さん:おっしゃる通り、多くの企業様で、セキュリティ対策を導入しただけで完了と捉えている状況が見受けられます。しかし、実際には導入後に適切な運用を行うことが不可欠で、ログがチェックされていなかったり、運用によって設定が緩められたりして、対策が形骸化しているケースが非常に多いと感じます。

こうした状況に対して、定期的なチェックを行い、適切な運用や一定レベルのセキュリティ対策を維持するために、監査は非常に有効な手段であると私は考えています。監査は、対策導入止まりの現状から脱却し、実効性のあるセキュリティを維持するために不可欠なプロセスと言えるでしょう。

－企業にとってより価値のある監査を提供するために、監査人はどのような姿勢やスキルを持つべきだとお考えでしょうか？

荒井さん: 監査人として監査に入る際、単にルールを100%適用し、「これはダメ、あれもダメ」と指摘するだけでは不十分だと考えます。企業にとっての「最適なセキュリティレベル」をリスクベースで考え、そのレベルを達成・維持するための提案ができることが重要だと思います。最適なレベルは、対象企業のITリテラシー、扱っている情報の機密性、アクセスするユーザーの種類、他のセキュリティ対策の有無といった要素を総合的に考慮して判断すべきであり、必ずしもセキュリティ対策のベストプラクティスを目指すことが最善とは限らないと考えています。

また、基準や推奨事項の「なぜならば」という根拠を説明できる知識が不可欠です。幅広いセキュリティ関連基準（NIST、ISOなど）の知識に加え、経営者に受け入れてもらうためには、コストや投資対効果といった会社の経営に関する背景知識も重要だと考えています。経営層には、具体的な被害額シミュレーション や身近な事例、経済産業省や総務省といった公的機関の発信 を活用し、セキュリティ対策が必要不可欠であることを自分事として捉えてもらえるようなメッセージングが必要です。

企業活動に役立つ監査を

－長年監査に携わってこられた荒井さんにとって、企業にとって監査とはどのような存在でしょうか？企業は監査からどのような価値を得られるべきでしょうか？

荒井さん: 監査には、ルールに対する準拠性確認や不正発見など、様々な目的が存在します。企業にとって監査とは、その目的を明確にした上で、企業の活動に役立つような監査結果を提供できるものであるべきだと考えます。特にセキュリティ監査においては、単なる準拠性確認だけでなく、企業がセキュリティを「最適化」するためのツールとして活用し、「最適な状況とは何か」を示す監査結果を得られることが、真に有用な監査であると言えるでしょう。

－最後に、JASAへの期待についてお聞かせください。創設から長年関わられてきた立場から、情報セキュリティ監査人制度のさらなる発展や普及に向けて、どのような取り組みが重要だとお考えですか？

荒井さん: JASAには、可能であれば、日本国内にとどまらず、グローバル、少なくともアジアにプレゼンスを拡大していくことを期待しています。また、私自身、他の監査人の方々との接点が少ないと感じており、監査人同士が問題や新しい基準について意見交換できるようなコミュニケーションの場、例えばオンラインコミュニティやイベントなどがあれば非常に有用だと考えます。

情報発信という点では、セキュリティトレンドに合わせた監査事例の共有や、技術的な対策と監査が連携していることを示す情報が望ましいです。特に、中小企業は他の同規模の企業がどうしているかといった情報にニーズが高いため、中小企業向けの集合知を共有できるような場や情報提供が有効だと感じます。ガイドラインの解釈のばらつきを埋めるような、具体的な議論ができるコミュニケーションの場を提供することが、制度の発展や普及に繋がるのではないかと考えています。