Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

リモート監査の進化

※今週は(本業の方で)セキュリティ監査対応があり、平日3日間は通常スタイル(記事引用型の)記事をお休みいたします。

 

去年も某施設のセキュリティ監査がリモート対応だったのですが、コロナ禍という事もあり、今年もリモート監査となりました。

1年ぶりの監査対応(※正確に言うと監査補助)となるのですが、昨年の比較的”オトナシメ”な監査を意識してか、施設側は気が抜けた様な印象があり、少し心配な所です。

 

(去年の)リモート監査の印象ですが、やはりオンサイト(実地)監査とは大きく違う印象です。特に「実機確認が出来ない」「現場環境視察が出来ない」と言う”制約”が指摘点数にも現れていた気がします。

 

勘の良い監査官は、こうした現場において、(担当の顔色を読む事も含めて)”違和感”を感じ取るのが非常にうまくその結果、現場が隠している事実(セキュリティ違反)が浮かび上がってくる事が結構あるのですが、リモート監査ではどちらかと言うと書類監査が中心となってしまうので、”楽”な部類に入る監査(指摘点数)に落ち着く傾向がある様です。

 

とは言え、それはコロナ禍になし崩しに巻き込まれた去年の印象であって、今年の監査では、当然の事ながら監査官が制約を把握した上で、緊張感のある”問い”をしてくるだろうと予想しています。

施設側からすると”怖い”要素ではありますが、どうリモート監査が”進化”したのかは、楽しみな所です。

秘密保持の観点から書けない可能性も高いのですが、何か参考になりそうな”進化”事項があれば、情報共有できればと思います。

※尚、個人的にはリモート監査では、(監査側に限界があるので)事前準備が重要となると考えており、施設側にとっては”事前リハーサル”が果たす役割が大きい気がしています。

 

 

余談です。本日チェックしていた海外記事の中では、Europolがイタリアとスペインの”マフィア”を逮捕していた件が気になりました。逮捕容疑の中にオンライン詐欺が含まれており、フィッシング、SIMスワイプ、BECなど幅広くビジネス展開していた様です。

securityaffairs.co

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 仮病のイラスト(男性)

 

更新履歴