本日は関西情報化維新協議会の情報セキュリティ分科会だったのだけど、そこで出た話でナルホドと思ったこと。
セキュリティ監査がいまひとつ流行らない。セキュリティ監査がどういうことをやるのかということに対しイメージがわかない理由は、会計監査のイメージが強いからじゃないか。で、会計監査では、一応の普遍性のあるルールがあって、まぁ多少は解釈の差はあれ、それに対する違反があるかどうかをチェックする類のものだ。だけどセキュリティにはルールや基準があるわけじゃないから、それを「監査する」といわれてもピンと来ないのかな、という話に。
確かにセキュリティマネジメントでのPDCAサイクルのCにおける監査はPで決めたルールがDでちゃんと実行されているかどうかの監査なので、一応ルールを見て監査してる。つまりいわゆる保証型監査はまだ監査という言葉とのニュアンスの差が小さい。ところが現実にはセキュリティマネジメントがちゃんとしてる組織は少ないので必然的に助言型監査が増える。その助言型監査はルールそのものの不備も指摘したりするわけで、その辺は監査人の腕の良し悪しが結果を左右してしまう。それって本当に『監査』なのかといわれると確かに違和感がある。
いっそ、助言型監査といわずにセキュリティアセスメントと言ってしまったほうがきっとニュアンス的にはしっくりする気がする。ところがどうもセキュリティアセスメントという言葉は流行らない。Googleで"Security Audit""Security Assessment"「セキュリティ監査」「セキュリティアセスメント」それぞれのヒット数を比べると、やっぱりこの国ってお墨付きが好きなのかと思ったり。