sg sg-management system_audit sg-security-management isms
まず結論
情報セキュリティ監査とは、組織の情報セキュリティ対策が適切に整備・運用されているかを、第三者的な立場で確認し、評価する活動です。
SG試験では、情報セキュリティ監査を「悪い人を探して罰するもの」と考えると引っかかりやすいです。
大切なのは、次の3点です。
- 監査は、情報セキュリティ対策の状況を証拠に基づいて確認する活動である
- 監査人は、管理策の問題点を評価し、報告する役割を持つ
- 監査結果は、組織の情報セキュリティ改善につなげるために使う
つまり、情報セキュリティ監査は、情報セキュリティ対策が本当に機能しているかを確認する仕組みです。
直感的な説明
情報セキュリティ監査は、会社の情報セキュリティ対策に対する「健康診断」のようなものです。
健康診断では、本人が「元気です」と言っていても、検査をして状態を確認します。
情報セキュリティも同じです。
会社が「ルールはあります」「対策しています」と言っていても、実際には、
- アクセス権限が古いまま残っている
- 退職者のアカウントが削除されていない
- 委託先との契約に守秘義務がない
- インシデント対応手順が使われていない
- 教育を実施した記録が残っていない
といった問題があるかもしれません。
そこで、監査人が、ルール、記録、運用状況などを確認し、情報セキュリティ対策が適切に機能しているかを評価します。
SG試験では、監査を感覚でチェックするものではなく、基準と証拠に基づいて確認するものとして理解しておくと選択肢を切りやすくなります。
定義・仕組み
情報セキュリティ監査では、組織の情報セキュリティ対策について、一定の基準に照らして確認します。
経済産業省は、情報セキュリティ監査制度の中で、情報セキュリティ監査基準と情報セキュリティ管理基準を定めています。公式情報は次のページで確認できます。
監査の基本的な流れは、次のように整理できます。
| 流れ | 内容 |
|---|---|
| 監査計画 | 監査の目的、範囲、対象、方法を決める |
| 証拠収集 | 規程、記録、ログ、契約書、ヒアリング結果などを確認する |
| 評価 | 管理策が基準に照らして適切かを判断する |
| 報告 | 問題点や改善の必要性を監査報告として伝える |
| 改善 | 監査結果をもとに、組織が対策を見直す |
ここで重要なのは、監査人が単に「印象」で判断するのではないことです。
監査では、文書、記録、ログ、契約、運用実績などの監査証拠を確認し、判断します。
監査人の役割
監査人の役割は、情報セキュリティ対策を確認し、問題点や改善点を報告することです。
ただし、監査人は、通常、現場の担当者に代わって対策を実施する人ではありません。
| 役割 | 内容 |
|---|---|
| 監査人 | 対策の整備・運用状況を確認し、評価・報告する |
| 被監査部門 | 監査を受け、必要な情報や証拠を提供する |
| 経営者・管理者 | 監査結果を受けて改善を判断・実行する |
SG試験では、監査人が直接改善命令を出す、監査人が自ら対策を実施するといった選択肢に注意します。
監査人は、問題点を明らかにし、改善につながる情報を報告する立場です。
どんな場面で使う?
情報セキュリティ監査は、組織の情報セキュリティ管理を客観的に確認したい場面で使われます。
社内の情報セキュリティ対策を確認する場面
内部監査部門などが、社内の情報セキュリティ対策を確認する場合です。
例えば、次のような点を確認します。
- 情報セキュリティポリシーが整備されているか
- アクセス権限が定期的に見直されているか
- 退職者のアカウントが削除されているか
- 情報セキュリティ教育が実施されているか
- インシデント対応手順が整備されているか
この場合、監査は内部の改善に役立ちます。
委託先や取引先への説明が必要な場面
顧客情報や機密情報を扱う組織では、取引先から「情報セキュリティ対策は適切か」と確認されることがあります。
情報セキュリティ監査を受けることで、組織の対策状況を説明しやすくなります。
ただし、監査を受けたからといって、すべてのリスクがなくなるわけではありません。
SG試験では、監査はリスクをゼロにするものではなく、対策の状況を確認し改善につなげるものと考えます。
ISMSや内部統制と合わせて使う場面
情報セキュリティ監査は、ISMSや内部統制の運用状況を確認する場面とも関係します。
ISMSでは、情報セキュリティを継続的に改善することが重要です。
監査は、その改善サイクルの中で、ルールや対策が実際に機能しているかを確認する役割を持ちます。
よくある誤解・混同
誤解1:監査は、違反者を探して処罰するためのもの
これは誤解です。
監査では問題点を指摘することがありますが、目的は処罰そのものではありません。
本来の目的は、情報セキュリティ対策の整備・運用状況を確認し、改善につなげることです。
選択肢で、
情報セキュリティ監査は、違反者を特定して処罰することを主な目的とする
のように書かれていたら注意です。
誤解2:監査人は、現場の代わりに対策を実施する
これも誤りです。
監査人は、対策の状況を確認し、評価・報告する立場です。
実際に対策を実施するのは、組織の管理者や担当部門です。
SG試験では、監査する人と対策を実行する人を切り分けます。
誤解3:監査は、担当者へのヒアリングだけで十分
ヒアリングは有効ですが、それだけでは不十分です。
監査では、規程、記録、ログ、契約書、教育記録などの証拠を確認します。
「担当者が実施していると言ったから十分」と考える選択肢は注意です。
誤解4:情報セキュリティ監査基準と情報セキュリティ管理基準は同じもの
似ていますが、役割が違います。
| 用語 | 役割 |
|---|---|
| 情報セキュリティ監査 | 対策が適切かを確認・評価する活動 |
| 情報セキュリティ監査基準 | 監査人がどう監査するかを示す基準 |
| 情報セキュリティ管理基準 | 管理策が適切かを判断するものさし |
SG試験では、
- 監査:確認・評価する活動
- 監査基準:監査の進め方
- 管理基準:管理策の判断基準
と整理すると混同しにくくなります。
まとめ(試験直前用)
- 情報セキュリティ監査は、情報セキュリティ対策が適切かを確認・評価する活動である
- 目的は、違反者の処罰ではなく、対策状況の確認と改善につなげること
- 監査人は、証拠に基づいて評価し、問題点や改善点を報告する
- 監査人は、通常、現場の代わりに対策を実施する立場ではない
- SG試験では、「監査=活動」「監査基準=進め方」「管理基準=判断基準」と切り分ける
確認問題
情報セキュリティ監査に関する説明として、最も適切なものはどれか。
- 組織の情報セキュリティ対策が適切に整備・運用されているかを、証拠に基づいて確認し、改善につなげる活動である。
- 情報セキュリティ監査の主な目的は、違反した従業員を特定し、処罰することである。
- 監査人は、監査で見つけた問題について、現場の代わりに対策を実施する責任を負う。
- 情報セキュリティ監査では、担当者へのヒアリングだけを行えば、証拠の確認は不要である。
回答と解説
正解は **1** です。 情報セキュリティ監査は、組織の情報セキュリティ対策が適切に整備・運用されているかを確認し、改善につなげる活動です。 2は誤りです。監査では問題点を指摘しますが、主目的は処罰ではありません。 3は誤りです。監査人は評価・報告する立場であり、通常、現場の代わりに対策を実施する人ではありません。 4は誤りです。ヒアリングだけでなく、規程、記録、ログ、契約書などの証拠を確認することが重要です。🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 稼働率とは?可用性の考え方とSLAでの判断基準【SG試験】