システム・セキュリティ監査のため「本当に」使える書籍
はじめに
システム、セキュリティに関する監査は通常の業務監査以上に未経験の方にはハードルが高いものかもしれません。
監査上の評価尺度云々以前に、被監査部門となるシステム開発・運用部門の業務自体が上手く理解できない、技術用語についていけない等の問題が生じるためです。
最低限の技術的な知識や概念を理解すること、そのうえでシステム監査のやり方の基本を学ぶこと、その両方の観点からお勧めできる書籍をご紹介してみたいと思います。
『IT監査とIT統制(改訂版) ―基礎からネットワーク・クラウド・ビッグデータまで―』(2015)
システム、セキュリティ監査をはじめる人に最適
いわゆる「システム監査」に関する知識・監査の進め方・留意事項を分かりやすくまとめています。
システム開発のライフサイクル、ネットワーク、情報セキュリティ、事業継続管理、クラウド、ソーシャルメディアなど各種テーマが網羅的に収録され、それぞれの基本的な技術知識やチェックポイントも紹介されています。
実務上の監査要点、つまり具体的に確認するポイントに落とし込むにはやや情報量が足りない面がありますが、それでも全体感や重点監査項目となり得る要点などを把握するには十分です。
筆者はこの本で監査範囲・監査項目を大まかに検討したのち、FISC「システム監査指針」「安全対策基準」から具体的な基準設定していくという形で、本書を活用していました。少し古い本になってしまいましたが、分量もそれほど多くなく、読みやすい一冊です。とにかくよくまとまっています。
『絵で見てわかるOS/ストレージ/ネットワーク~データベースはこう使っている (DB Magazine Selection)』(2008)
非エンジニアには心強いシステムの「振る舞い」が分かる本
これは内部監査系書籍ではありませんが、システム監査の際に大変役に立ったので紹介します。
エンジニアの実務をしたことがないメンバーは、「システム管理基準」(経済産業省)や「システム監査指針」(FISC)に基づき システム監査やセキュリティ監査を行う際大きな壁に直面します。
本書はふんだんにイラストや図で概念や遷移、処理の流れを解説しています。目に見える形でこれまで「分かっているようで分かっていない」こと、例えば『帯域の制御』『DNSはどこで何をする?』『SANとNASはどこが違うのか』
『TCPレイヤの役割』『ストレージとOSの関係図』などを教えてくれます。
相当かみ砕いてくれているとはいっても、基本的にはエンジニア向け書籍なので、非エンジニアには理解が難しい箇所もありますが、これを読み終えるとシステム監査では格段にヒアリングでの理解力が向上したことがわかるでしょう。
※2019/9/13に新装版がでました。筆者はまだ購入していないので参考として紹介します。
『情報処理教科書 情報処理安全確保支援士 2019年版』(2018)
本書はタイトルのとおり、情報処理技術者試験の一つ「情報処理安全確保支援士」の試験対策本ですが、セキュリティに関するあらゆる知識が網羅されており、セキュリティに関する監査を行う者の知識習得には適した本といえます。
セキュリティの基礎概念から始まり、脅威と脆弱性、セキュリティマネジメント、暗号化やアクセス制御・認証等のセキュリティ技術対策、さらには各種法制度に至るまでセキュリティ、特に情報セキュリティのみならず近年とみにリスクを増しているサイバーセキュリティ分野について体系的に学ぶことができます。
技術的な内容が多いですが、必ずシステム上の振る舞いやイメージが図示されているので、予備知識が十分でなくても一定の理解ができるように構成されている点もポイントです。
難点は700ページを超えるボリュームです。精読するには相当の根気と時間は必要とするでしょう。ただし逆にいえば、時間を掛けて理解すれば必ず力になるでしょう。
※2019年に新版が出ています。筆者はまだ購入していないので参考として紹介します。
最後に
システム・セキュリティ監査は技術的な知識や理解をビジュアルに保持したうえで行えるかが、大切なポイントになります。特に非エンジニアでこれからシステムやセキュリティの監査に本格的に取り組む方は、一定以上の時間を掛けてその点をクリアすることが必要でしょう。
今回ご紹介した書籍がそうした参考になれば幸いです。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員