監査人は良き友？IT監査を円滑に乗り切る5つのコツ

監査が大好きなIT管理者はいないだろう。大抵は面目をつぶされ、油を絞られることになるからだ。そこで、監査対応をできるだけ円滑に進めるための5つのコツを紹介しよう。

[Mike Rothman，TechTarget]

　以前は、中堅・中小企業（SMB）は概してコンプライアンスの問題を無視していられた。HIPAA法（医療保険の相互運用性と説明責任に関する法律）やグラム・リーチ・ブライリー法（GLBA法）といった法規制は、医師や銀行などを対象としていた。SOX法（サーベンス・オクスリー法）も、上場企業のみに適用されるため、ほとんどの非上場のSMBには無縁だった。

　しかし、状況は変わった。PCI DSS（Payment Card Industryデータセキュリティ標準）の登場に伴い、コンプライアンス対応は、すべての業種、規模のSMBの共通課題となっている。

　今では、小規模な企業も面目をつぶされる儀式である監査を受ける。監査は非常に多くの場合、「自分たちがやっていることが分かっていない」と監査人に油を絞られて終わる。そこで当然のことながら、多くのSMBは監査人を目の敵にし、彼らから問題を隠そうとする。

　だが、監査に対応するためのもっといい方法がある。以下に、監査対応をできるだけ円滑に進めるための5つの確実なコツを紹介しよう。

1. 監査人を良き友と考える

　こう話すと顧客のほとんどはあっけに取られ、ついにわたしの頭がおかしくなったと考える。だが、これは間違いなくコツの1つだ。監査人を敵に回すべきではない。彼らはあなたと同じ目的を持っている。それは会社の資産を守ることだ。もちろん、彼らにはそうする責任があり、それを果たすことが彼ら自身を守ることになる。

　それが分かる好例がArthur Andersenだ。このコンサルティング会社はもう存在しない。Enronの粉飾会計事件に関連して、米国政府が監査業務の怠慢でやり玉に挙げたからだ。どの監査法人もArthur Andersenの二の舞は避けたいと考えている。そこで彼らはあなたの会社が正しいことをするように、掘り下げて幅広くチェックを行う。あなたの会社が不正を行えば、彼らも責任を問われるからだ。

　従って、最初の一歩はあなたと監査人が同じ船に乗り、同じ方向に進んでいることを理解することだ。進む方法については考えが違うかもしれないが、同じ目的地を目指していることに変わりはない。

2. 監査人から多くを学ぶ

　ベテラン監査人の仕事からは経験の広さがうかがえるが、それに目を向ける情報セキュリティ専門家はほとんどいない。彼らは「監査人は仕事を面倒にするためにだけ存在している」と考えている。監査人が問題解決を手助けしたり、これまでと違う物事のやり方を提案して価値をもたらしてくれるかもしれないとは考えない。

　しかし、幅広い経験こそが監査人の信頼の源泉となっている。彼らは毎週、多くの会社のさまざまな問題に対処している。あなたの会社で何か問題が起こった場合、恐らく彼らは同様の問題に既に遭遇したことがあるはずだ。それに引き替え、あなたは自分の会社という小さな世界に閉じこもってきた。

　このため、監査人との仕事のプロセスではオープンに意見を受け入れる姿勢を持つべきだ。監査人から何か提案があったら、その話によく耳を傾けなければならない。提案を実行できない理由があるかもしれないが、だからといって提案を検討することを通じて学べることがないとはいえない。

3. 自分が完ぺきでないことを認める

　もう1つ意外なことがある。監査人が「問題が見つかるのは当たり前」と思っていることだ。前述のように、監査人は多くの環境でさまざまな問題を見ている。もちろん100％安全な環境などないため、彼らは大抵何かしら見つけることになる。

　そこで大事なのは、監査人から誤りを指摘されたら、それを二度と繰り返さないことだ。そして、インシデントが発生したら迅速かつ効果的に対応することだ。どの企業でも時には問題が起きる。肝心なのは、どう対処するかだ。問題を隔離して修正するために何を行ったか、問題の再発を防ぐためにどのような対策を講じたか、といったことがポイントになる。

　監査人はこうしたことをヒアリングする必要がある。正直に報告すれば、監査人の目から見てあなたの信頼度は格段に高まる。

4. 監査人の求めるものを提出する

　監査の手法や労力の掛け方は、監査人によってまちまちだ。コンプライアンスの枠組みに関する聞き取り調査に力を入れ、具体的な管理対策に関しては、主にあなたが提出するものを評価するにとどまる監査人もいれば、腕まくりをして現場の調査に精を出す監査人もいる。いずれにしてもはっきりしているのは、あなたは監査人がどんなアプローチを取るかを決める立場にはないことだ。

　それを自覚した上で、監査の前にあらかじめ準備を整えておかなければならない。セキュリティプログラムとインシデント対応計画を中心に、枠組みのレベルを整備するとよい。しかし、それを補完するこまごまとした評価材料も一式そろえなければならない。例えば、セキュリティデバイスの設定一覧、第三者による侵入テストの結果、ログファイルとリポートなど、環境を管理するために利用しているものをほぼ網羅する必要がある。

5. 提言に対応するようにする

　監査人の提言を無視することは、監査人に嫌われる原因の最たるものだ。監査人は監査を終えると所見を報告書にまとめ、必要と考える改善策を提言する。その監査人と次に会ったときには、提言を実行していなければならない。

　監査人の提言が実現不可能だったり、実際的でなかったりすることもあるだろう。そうした場合には、なぜ提言を実行できなかったのかを論理的に説明できるようにしておくベきだ。これはごまかすことなく、きちんと説明しなければならない。しかも早急にだ。

　実際、監査人に異議を唱えることは許されている。彼らといえども完ぺきではないからだ。ただし、それが度重なると彼らの心証を悪くしてしまうため、この奥の手は慎重かつ賢明に使わなければならない。これは頭に入れておく必要がある。

　以上の要点を一言で言えば、監査を恐れることはないということだ。監査を受けることは、多くの場合は建設的な学習体験になる。そして、それはプールサイドでマルガリータをすするようなものではないが、麻酔なしで歯の神経を抜くほどのものでもない。

本稿筆者のマイク・ロスマン氏は、アトランタにある業界調査企業、Security Inciteの社長兼主任アナリストを務めており、著書に「The Pragmatic CSO: 12 Steps to Being a Security Master」がある。

関連ホワイトペーパー

コンプライアンス | SOX法 | 内部統制 | ITガバナンス