セキュリティ監査 せきゅりてぃかんさ
情報セキュリティ内部監査外部監査コンプライアンスリスク管理ISMS
セキュリティ監査について教えて
簡単に言うとこんな感じ!
会社のセキュリティ対策が「ちゃんとできてるか?」を第三者や社内の専門家がチェックすることだよ。健康診断みたいなもので、「問題が起きてから対処」じゃなく「問題が起きる前に発見する」ための仕組みなんだ!
セキュリティ監査とは
セキュリティ監査とは、組織の情報システムやセキュリティ対策が、あらかじめ定めたルール・基準・法令に沿って正しく機能しているかを、体系的に点検・評価するプロセスです。監査の結果は報告書としてまとめられ、経営陣や関係部門に共有され、改善活動の根拠として使われます。
監査の目的は「セキュリティ上のリスクや脆弱性を早期に発見し、対策を講じること」です。個人情報の漏洩・不正アクセス・内部不正など、インシデントが発生してからでは遅い場合がほとんどです。定期的な監査によって、問題を事前に摘み取ることができます。
ビジネスの観点では、取引先や顧客から「セキュリティ体制を証明してほしい」と求められる場面が増えており、監査の実施・認証の取得は信頼性の担保としても重要な役割を果たしています。
セキュリティ監査の種類と構造
セキュリティ監査は「誰が実施するか」「何を対象とするか」によって分類されます。
| 分類軸 | 種類 | 説明 |
|---|---|---|
| 実施主体 | 内部監査 | 自社の監査部門や情シスが実施。コストが低いが客観性に限界あり |
| 実施主体 | 外部監査 | 独立した第三者機関が実施。客観性が高く、認証取得に必要なことも |
| 対象範囲 | システム監査 | ITシステムの設計・運用・アクセス制御などを点検 |
| 対象範囲 | コンプライアンス監査 | 法令・社内規定・業界基準への準拠を確認 |
| 対象範囲 | ペネトレーションテスト | 実際に攻撃を試みて脆弱性を発見する実践的な手法 |
| 頻度 | 定期監査 | 年1回・半期ごとなど、スケジュールを決めて実施 |
| 頻度 | 随時監査 | インシデント発生時・システム変更時などに臨時で実施 |
監査の流れ(基本ステップ)
① 監査計画の策定
↓ 目的・範囲・基準・スケジュールを決める
② 事前調査・資料収集
↓ ポリシー文書・ログ・インタビューなど
③ 現地調査・テスト
↓ システム確認・アクセス権チェック・脆弱性スキャンなど
④ 監査報告書の作成
↓ 発見事項・リスク評価・改善推奨事項をまとめる
⑤ 改善対応・フォローアップ
↓ 指摘事項に対する是正措置の実施と確認主な評価基準・チェックポイント
監査で確認される代表的な項目は次のとおりです。
- アクセス制御:必要な人だけが必要なシステムにアクセスできているか
- パスワード管理:複雑なパスワードの設定、定期変更ルールが守られているか
- ログ管理:操作履歴・アクセス履歴が適切に記録・保管されているか
- パッチ管理:OSやソフトウェアに最新のセキュリティ更新が当たっているか
- バックアップ:データのバックアップが定期的に実施・確認されているか
- 物理セキュリティ:サーバールームや端末への物理アクセスが管理されているか
- インシデント対応手順:万が一の際の手順書が整備・周知されているか
歴史と背景
- 1990年代:企業のIT化が進むにつれ、システムの信頼性・安全性を確かめる「システム監査」の概念が日本でも普及。通商産業省(現・経済産業省)が「システム監査基準」を策定(1985年初版)
- 2000年代初頭:米国でエンロン事件などの企業不祥事が続発し、SOX法(サーベンス・オクスリー法)が制定(2002年)。ITシステムの内部統制評価が義務化され、監査の重要性が急上昇
- 2002年:日本でも個人情報保護法の整備が進み、情報セキュリティに関する監査ニーズが拡大
- 2005年:ISO/IEC 27001(情報セキュリティマネジメントシステムの国際規格)が正式発行。認証取得のための監査が一般化
- 2010年代:クラウドサービスの普及により、クラウド上のデータ管理・アクセス制御を対象とした監査が増加
- 2020年代:テレワークの拡大・ランサムウェア被害の急増を背景に、監査の頻度・範囲を見直す企業が増加。サプライチェーン全体を対象にした監査も重要視されるようになった
関連する規格・フレームワークとの比較
セキュリティ監査を実施する際には、何らかの「ものさし(基準)」が必要です。代表的な規格・フレームワークを整理します。
内部監査 vs 外部監査 — どちらを選ぶ?
| 比較項目 | 内部監査 | 外部監査 |
|---|---|---|
| 実施者 | 社内の監査部門・情シス | 独立した第三者機関 |
| コスト | 比較的低い | 高い(数十万〜数百万円) |
| 客観性 | 低い(自己評価の限界あり) | 高い |
| 認証への活用 | 不可(ISO取得などには使えない) | 可能 |
| 実施頻度 | 高頻度に実施しやすい | 年1回程度が一般的 |
| おすすめシーン | 日常的なチェック・改善サイクル | 認証取得・取引先への証明 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(ISMS)の要求事項。監査の主要な評価基準 |
| ISO/IEC 27007 | ISMSの監査に関するガイドライン |
| ISO 19011 | マネジメントシステム監査のガイドライン(品質・環境・セキュリティ共通) |
| RFC 2196 | Site Security Handbook。サイトセキュリティポリシーの策定・監査の参考ガイド |
関連用語
- ISMS — 情報セキュリティマネジメントシステム。ISO/IEC 27001に基づくセキュリティ管理の仕組み
- 脆弱性スキャン — システムの弱点を自動ツールで発見する手法。監査の技術的調査で使われる
- ペネトレーションテスト — 擬似攻撃によって実際の脆弱性を検証する手法
- リスクアセスメント — 情報資産に対するリスクを識別・分析・評価するプロセス
- コンプライアンス — 法令・規則・社内ルールを遵守すること。監査の重要な評価軸
- ログ管理 — システムの操作履歴を記録・保管・分析する仕組み。監査証跡として必須
- 個人情報保護法 — 日本における個人情報の取り扱いを定めた法律。監査の評価対象となる
- 内部統制 — 組織が適切に運営されるための管理体制。ITシステムとセットで監査される