セキュリティコンサルティングの業務において、「監査」「評価」というキーワードは、頻繁に登場する主要なテーマです。事実、寄せられる多くの相談・提案依頼には、このいずれかのキーワードが登場しています。
背景
前回の記事では、キーワードとしてはポピュラー、ただし、日常業務の遂行中は意識する機会が少ない、スリーラインディフェンス(3線防御)について解説しました。セキュリティ管理だけでなく、より上位の経営管理活動における主要テーマとしても登場する本キーワードを基に、リスク・コンプライアンスに関連する主管部門である“2線”と、現場のユーザー部門である“1線”をつなぐ役割としての“1.5線”の重要性、さらには“1.5線”の抱える悩ましい課題についての考察を行いました。
そして、今回も同様に「日常業務の遂行中は意識する機会が少ない」という意味では興味深いかつプリミティブな「監査」「評価」という2つのテーマを説いていきます。
さて、セキュリティ管理活動において欠かせない、かつ、何気なく会話の中で使われがちな2つの活動に関して、読者の皆様はどのように認識・理解し、そして使い分けているでしょうか。もしくは、同義の活動として扱っているでしょうか。
結論として、本記事内では、この2つの活動は“似て非なるもの”と位置付けております。それでは、以降、監査と評価のそれぞれの位置付けと関係性を解説しつつ、この2つの活動を組み合わせることでの実効性について、筆者である私の持論を展開したいと思います。
日常的に使用される「監査」「評価」
セキュリティコンサルティングの業務において、「監査」「評価」というキーワードは、頻繁に登場する主要なテーマです。事実、寄せられる多くの相談・提案依頼には、このいずれかのキーワードが登場しています。それでは、具体的にどのような依頼があるでしょうか。以下、その一部を紹介します。
【依頼事例①】
「先日、社員のPCがマルウェアに感染する騒動があった。こうした事態が起こった。
原因は詳細調査中であるが、これを機に社内のセキュリティ管理レベルがどの程度であるか、外部の専門家に“監査”してほしいと考えている」
【依頼事例②】
「先日、自業界の某外郭団体から連絡があり、自社のセキュリティ成熟度がどの程度であるか、現状及び今後の目標を参考として共有いただきたい、と相談があった。取急ぎ、昨年度の内部監査の結果サマリを提出しようと考えている」
さて、上記の2つの事例を見て、どう思いますか。「あれ?」という違和感を覚えた方は、アンテナの高い方とお見受けします。というのは、上記の2つの依頼事例は、「監査」「評価」の位置付けが曖昧であるからです。一見すると「監査」「評価」は同等の活動にも見えますが、本記事では、その本質は似て非なるものと位置付けて持論を展開します。それでは、まず「監査」「評価」それぞれの定義・位置付けを踏まえた上で、両者の違いをいくつかの観点で解説していきましょう。
「監査」の定義・位置付け
監査とは、組織や事業体の財務情報や業務プロセスが適切かつ正確であるかを判定する手続きです。監査は、内部監査と外部監査の2種類に分けられ、内部監査は企業内部の専門組織主導で実施されるのに対して、外部監査は独立した第三者によって行われます。なぜ、こうした2種類の監査に分類されるかというと、監査で重要となる条件の1つとして「独立性」があります。監査における独立性とは、監査を行う者が、その監査対象の企業や組織からの影響を受けず、客観的かつ公正に監査を実施できる信頼性が確保された状態を指します。そして、独立性には「精神的」「実体的」という2つの側面があります。前者は、精神的な自由度、後者は取引関係的な依存度を意味します。
そして、監査の目的は、所定の監査基準に照らしてみて改善が必要と考えられる事項、つまりは「発見事項」を整理することです。そして、必要に応じて、その解決のために推奨される改善事項も提言されます。なお、一般的に、監査は公的な法令・ガイドライン等に沿って実施されます。そしてこの拠り所は、業界さらには監査対象となる業務によっても様々となりますが、参考としての例示は、以下の通りです。
例1:会社法(特に第441条から第454条):
監査法人や監査役の設置、監査の実施、監査報告書の作成等を規定
例2:内部監査基準:
日本内部監査協会が策定している基準で、内部監査の実施に関する指針を提供
さて、監査のミッションは、一定の基準に沿ってその判断が妥当であるかどうかを“厳正”に判定することです。 “厳正”と表現したのは、それが客観かつ公正な視点での第三者によって独立的な立ち位置から妥当性の判断を下されるからです。このような言い方をすると、「杓子定規なダメ出し」に見えますかね(苦笑)。ただし、それは手段であり、最も大事なのは、どこに、どのような課題が存在するか、一定の尺度をもって対外的に証明することであり、それは企業のコンプライアンス観点の責任の1つでもあるディスクロージャー活動の一環でもあることはご理解ください。
「評価」の定義・位置付け
次に評価です。定義・位置付けが難しいのはこちらです。というのは、監査と違いこちらは、より自由度が高い活動となります。例えるならば、監査が“相撲”であるのに対し、評価は“プロレス”です。相撲部屋の運営には特定の資格が必要です。親方の資格、相撲部屋の設置基準、相撲協会への登録及びその規制・基準に沿った運営等、監査と同様に何らかの公的な拠り所に沿って厳正に対処する側面があります。その反面、プロレスは、様々な団体が存在する中、その“旗揚げ”は自由度が高いです(要は“名乗る”かどうか)。組織・人間関係におけるハレーション等を加味しなければ、比較的自由に立ち上げやすいという側面があります。
そして、評価はなぜ“プロレス”であるかというと、評価活動そのものは、企業内の自主的な改善活動の一環で取り組まれる傾向にあるためです。つまり、評価は、監査のように「保証」が主目的ではなく、その先にある高度化・改善に主眼を置いた「状態把握」が目的となります。端的に言うと、自組織の“健康診断”に近しいです。健康診断では、血液検査・尿検査・エコー診断等、様々な検査がありますが、〇×では結果は出ません。健康状態に関する標準値と自身の数値があり、その間にどの程度の乖離があるかによって、ABCDのような結果が採点されますが、この採点結果は、あくまでも「自身の状態」となるわけです。なお、セキュリティにおける評価も健康診断と同様に、自身の立ち位置を把握可能な客観的な尺度を用いて行われます。以下の図1をご覧ください。
図1:セキュリティ成熟度レベルの事例紹介
出所:グロービング株式会社 作成資料
3つの例に共通して言えることは、段階的な成熟度レベルにて、自組織の置かれる状態を把握できるということです。そして、そのレベル定義は、様々な考え方があります。公的なリファレンスも参考にしつつ、自組織の目的に合うようなアレンジで使いやすいように工夫するケースが多いでしょう。ちなみに、上記の図1にある一番右側の尺度については、過去に私が手掛けたオリジナルの事例に基づくものとなります。
以上まとめると、評価の目的は○×をつけるのでなく「置かれる状態」を浮き彫りにすることです。一見すると“×”に見えても、それが文字通りの課題なのか、何らかの諸事情による例外的な状態なのかによって、結果の位置付けは大きく変わります。そして、評価の意義は、他社と相対的に比較して自社の位置付けを把握する、さらには最終的に目指すべき水準を見極めることであり、評価の結果はそのための起点であることをご理解ください。
「監査」「評価」の違いを読み解く
さて、ここまで「監査」「評価」の定義・位置付けを見てきましたが、ここから先は、この2つの活動を4つのカテゴリで比べて見ましょう。一部、先ほどまでの話を踏まえた内容も登場しますが、必要に応じて振り返ってみてください。
- 目的
先ほど解説した通り、監査と評価は目的が大きく異なります。監査は〇×や白黒をつける活動です。それに対して、評価は状態把握であり、二極化した結論というよりも、スコアやレベルを用いた状態の程度を把握することとなります。 - 実施主体
これは先ほどまでの解説では、さほど登場していないので、少し丁寧に解説します。まずは「監査」ですが、上場企業を始めとする一定規模の組織になると、内部監査部門が存在するはずです。セキュリティも例外ではなく、企業の内部監査部門が業務を遂行します。ただし、内部監査部門はセキュリティの専門家ではないので、実体としては、内部監査部門からの相談・依頼でセキュリティ部門が監査の実行を担うケースが多いです。
次に「評価」ですが、これは先ほど“プロレス”と表現した通り、必ずしも特定の組織が担うという決まりがあるわけではありません。ただし、傾向としては、セキュリティ専門部署、特にセキュリティを全社的に統括し、ガバナンス活動を担う部門が推進することが多いです。そして、こちらも監査同様に、よりセキュリティ技術にフォーカスした評価を行う場合は、統括部門からの依頼によって、インフラ等の運用実務を担う部門が評価活動を担うケースがあります。加えて、外部委託によって、より専門性の高いセキュリティベンダーやコンサルティングファームが客観的に評価を遂行するケースもあります。 - 判定尺度
何らか所定の尺度を用いるという点では、監査も評価も同じです。ただし、その拠り所が、より公的なものかどうかという点が2つの大きな違いとなります。監査で大切なのは、客観的に見てその結果が妥当かどうか、そのためには拠り所とした尺度がいかに信頼性が高いものかどうかが重要な条件の一つとなります。反面、評価の尺度活用においては、「点」としてみた一時点での結果だけでなく、それを今後、どの段階まで伸ばしていくか、その理由は妥当か、という戦略的な視点での活用も含まれます。
なお、私自身、監査と評価の両方の経験を持ちますが、評価は比較的その尺度の切り口に各規格の個性が出る印象をもっていますが、監査はより“厳正”に行う印象です。その1つとして、「整備状況」「運用状況」を明確に切り分けて判定するという特徴があります。「整備状況」の判定は、セキュリティに関するルールやそれを遂行するための体制、プロセス、インフラ等の仕組みが存在するかどうかが観点であり、「運用状況」の判定は、その仕組みが、正確・効果的に機能しているかどうか(当初の目的を果たしているか)が観点となります。「監査」について、杓子定規な判断という印象を持つ方もいるかもしれませんが、私個人としては、こうした点は、判断力を磨く意味でとても勉強になった経験です。そして、色々と失敗した経験でもあり(苦笑)、今でも時折振り返ることで初心に帰る次第です。ということで、参考までに陥りやすい状況を以下の図2で紹介しておきます。ご関心のある方はぜひご覧ください。
図2:「整備状況」「運用状況」の切分けの難しさ
出所:グロービング株式会社 作成資料
- アウトプット
最後に活動成果としての成果物です。監査は「監査報告書」が最終成果物です。報告書は公的な基準の種類に応じた作法もあり、どのような形式・観点で纏めるかはそれぞれの規定を踏まえる必要もあるものの、大事なことは、経営としてオーラサイラズされたものであるという点です。その反面、評価のアウトプットは、比較的自由度が高いです。報告書は必ずしも必須でなく、その報告書も文章ベースの形式もあれば、レーダーチャートやヒートマップ等、より図解形式で視認性を高めたものまで様々です。大事なことは、それを活用する目的に沿って、より使い勝手の良いアウトプットになっているかという点です。なお、評価は経年変化による状態の確認も重視されるため、年毎の比較がしやすい形式にまとめておくことも重要な工夫となります。
図3:まとめ(セキュリティにおける「監査」「評価」の比較)
出所:グロービング株式会社 作成資料
「監査」「評価」の意義とは
コーポレート部門・ビジネス部門の多くの方々は、「監査」「評価」を担う部門と聞くと、以下のようなイメージを持つ方も多いのではないでしょうか。
- ダメ出しをする部門
- 生産性の伴わない部門
- 儀式としてこなしている部門
私が第三者として監査・評価に関わる際にも、そうした声が現場から聞こえることもありました。どうしても、社内では「嫌われ役」とみられる傾向にありますね(苦笑)。
ただし、この点が大きな間違いとなります。そもそも、企業内の経営活動で単なる「ダメ出し」「儀式」などという役割は存在しません。「ダメ出し」はあくまでも手段の1つであり、本質的に大事なことは、その意義です。今回の記事を読み、その意義を理解いただければ、「ダメ出し」というネガティブな言葉は出ないはずです。
そして、「儀式」も同様です。ただし「儀式」という表現は間違いではありません。監査も評価も、定例行事として遂行するべき重要な業務です。仮に「儀式」として認知されているならば、それは浸透度の証としてポジティブに捉えましょう。とはいえ、意義がある儀式でなければいけません。監査・評価を通じて、企業においてどのような価値をもたらすかが重要な前提となります。そして、両者の違いを踏まえた上で、有機的に組み合わせてみましょう。例えば、評価活動の妥当性を監査することで更なるお墨付きを与える、または、双方の活動の結果を共有し合うことで、それぞれの活動がより効率的・正確に実施される余地もあるはずです。
以上、今回の記事によって、セキュリティ管理における「監査」「評価」という一見ネガティブにも見られてしまう活動に対する、企業内でのプレゼンスが向上し、この2つの活動に関わる多くの方々にとって後押しとなれば本望です。