sg sg-management system_audit sg-security-management isms
まず結論
情報セキュリティ監査とシステム監査の違いは、主に何を対象にして確認するかです。
- 情報セキュリティ監査:情報資産を守るための管理策や対策が適切かを確認する
- システム監査:情報システムの利活用や管理が適切かを確認する
どちらも監査なので、基準と証拠にもとづいて客観的に評価します。
SG試験では、情報を守る管理策が中心なら情報セキュリティ監査、情報システム全体の管理が中心ならシステム監査と切り分けましょう。
直感的な説明
情報セキュリティ監査は、会社の「情報を守る仕組み」の点検です。
たとえば、個人情報や機密情報について、アクセス権限、ログ管理、情報漏えい対策、教育、委託先管理などが適切かを確認します。
一方、システム監査は、会社の「情報システム全体の使い方・管理のしかた」の点検です。
たとえば、システムが業務目的に合っているか、変更管理や障害対応が適切か、ITガバナンスやリスク管理が機能しているかを確認します。
つまり、情報セキュリティ監査は守りの管理策に寄った監査、システム監査はITシステム全体の管理に寄った監査と考えると分かりやすいです。
定義・仕組み
2つの違いを表で整理します。
| 観点 | 情報セキュリティ監査 | システム監査 |
|---|---|---|
| 主な対象 | 情報資産、セキュリティ管理策、情報セキュリティ対策 | 情報システム、ITガバナンス、ITマネジメント、コントロール |
| 見るポイント | 機密性・完全性・可用性を守れているか | 情報システムを有効かつ適切に利活用・管理できているか |
| 代表例 | アクセス管理、ログ管理、情報漏えい対策、教育、委託先管理 | システム運用、変更管理、障害管理、システム企画、IT統制 |
情報セキュリティ監査は、情報セキュリティに関する管理策や対策が、基準に沿って整備・運用されているかを確認します。経済産業省の情報セキュリティ監査制度では、情報セキュリティ監査に関する基準や管理基準が整理されています。
システム監査は、情報システムの利活用に係る検証・評価を行い、ガバナンス、マネジメント、コントロールの適切性などについて保証や助言を行う監査です。経済産業省のシステム監査基準でも、ITシステムの利活用に係る検証・評価を行うものとして整理されています。
SG試験では、細かい基準名よりも、情報セキュリティ監査は情報を守る管理策、システム監査は情報システム全体の管理と押さえることが大切です。
どんな場面で使う?
情報セキュリティ監査は、情報資産を守る対策が適切かを確認したい場面で使います。
- 個人情報や機密情報の管理が適切か確認する
- アクセス権限の付与・削除がルールどおりか確認する
- ログの取得や確認が実施されているか確認する
- 情報セキュリティ教育が行われているか確認する
- 委託先のセキュリティ管理が契約どおりか確認する
システム監査は、情報システムの管理や利活用が適切かを確認したい場面で使います。
- システムが業務目的に合っているか確認する
- システム変更時の承認やテストが適切か確認する
- 障害対応やバックアップ運用が適切か確認する
- IT投資やシステム企画が経営方針と合っているか確認する
- 情報システムに関するリスク管理ができているか確認する
両者は重なる部分もあります。システム監査の中でセキュリティ対策を確認することもあります。
ただしSG試験では、選択肢の中心がどこにあるかを見ます。
- 情報漏えい、アクセス管理、機密性などが中心 → 情報セキュリティ監査
- システムの利活用、ITガバナンス、運用管理などが中心 → システム監査
よくある誤解・混同
誤解1:システム監査はプログラムのバグを探すこと
システム監査は、プログラムのバグ探しだけを目的とするものではありません。
バグを探す活動は、システムテストやレビューの文脈で扱われることが多いです。
システム監査では、情報システムの管理、運用、統制、リスク対応が適切かを評価します。
誤解2:情報セキュリティ監査は技術的対策だけを見る
情報セキュリティ監査は、ファイアウォールや暗号化だけを見るものではありません。
情報資産の分類、アクセス権限、教育、委託先管理、インシデント対応、ログ保管など、管理面も確認します。
SG試験では、情報セキュリティ監査を「技術チェックだけ」と考えると、ケース問題で迷いやすくなります。
誤解3:監査人が対策を直接実施する
どちらの監査でも、監査人は基本的に確認・評価・報告・助言を行う立場です。
監査人が自ら運用作業や改善作業を実施してしまうと、後で自分の作業を自分で評価することになり、客観性が弱くなります。
選択肢で「監査人が開発する」「監査人が運用する」「監査人が対策を実装する」とあれば注意しましょう。
誤解4:情報セキュリティ監査とシステム監査は完全に別物である
両者は対象が重なることがあります。
たとえば、アクセス管理やログ管理は、情報セキュリティ監査でもシステム監査でも確認対象になり得ます。
その場合は、問題文が何を主役にしているかを見ます。情報資産を守る話なら情報セキュリティ監査、情報システム全体の管理ならシステム監査です。
まとめ(試験直前用)
情報セキュリティ監査とシステム監査は、どちらも基準と証拠にもとづいて客観的に評価する監査です。
試験では、次の基準で切り分けましょう。
- 情報セキュリティ監査:情報資産を守る管理策・対策を見る
- システム監査:情報システム全体の利活用・管理を見る
- セキュリティ中心:機密性、完全性、可用性、アクセス管理、情報漏えい対策
- IT管理全体中心:ITガバナンス、システム運用、変更管理、障害管理
- 監査人は実施者ではない:確認・評価・報告・助言を行う立場
迷ったら、選択肢の中心が情報資産を守る話か、情報システム全体を管理する話かで判断しましょう。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- アローダイアグラムとは?作業順序と所要日数を表す図【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】