まず結論

セキュリティ認証と監査の違いは、認証は一定の基準を満たしていることを示す仕組み、監査はルールどおりに管理・運用されているかを確認する活動です。

SG試験では、次のように切り分けると分かりやすいです。

認証：基準を満たしていることを示す 監査：実際に適切に運用されているかを確認する

特に、ISO/IEC 15408やJISECのような製品・システムの評価認証と、システム監査やISMS監査のような組織・運用の確認を混同しないことが大切です。

SG試験では、単語だけで判断するのではなく、何を見ているのかを確認すると選択肢を切りやすくなります。

直感的な説明

セキュリティ認証と監査は、どちらも「安全かどうかを確認する」考え方に見えます。

ただし、見ているものが違います。

たとえば、会社で入退室管理システムを導入するとします。

セキュリティ認証は、次のようなイメージです。

この製品は、決められた評価基準に基づいて確認され、一定の条件を満たしている

一方、監査は次のようなイメージです。

その製品を使っている会社が、入退室権限を正しく管理し、記録を確認し、ルールどおりに運用しているかを見る

つまり、認証は基準への適合を示すもの、監査は実際の運用状況を点検するものと考えると分かりやすいです。

SG試験では、製品の評価なのか、組織の運用確認なのかを見分けることが重要です。

定義・仕組み

セキュリティ認証とは、製品・システム・組織などが、あらかじめ定められた基準に適合していることを、第三者などが確認して示す仕組みです。

認証にはいくつかの種類があります。

種類 見る対象 例

製品・システムの認証 IT製品やシステムのセキュリティ機能 JISEC、ISO/IEC 15408に基づく評価 組織の認証 組織の管理体制や仕組み ISMS認証

一方、監査とは、組織の活動やシステムの管理・運用が、方針、規程、契約、法令、基準などに沿っているかを確認する活動です。

監査では、次のような点を確認します。

ルールが整備されているか

ルールどおりに実施されているか

証跡やログが残っているか

問題があった場合に改善されているか

委託先や利用部門も適切に管理されているか

システム監査では、情報システムに関するリスクや統制が適切に管理されているかを確認します。

ここで大切なのは、認証も監査も「安全を高めるための確認」ではありますが、目的と見方が違うという点です。

観点 セキュリティ認証 監査

主な目的 基準を満たしていることを示す 適切に管理・運用されているか確認する 見る対象 製品、システム、組織の仕組みなど 実際の業務、運用、管理状況 結果 認証、評価結果、認証書など 監査報告、指摘、改善提案など SG試験での切り口 評価基準・適合性 運用確認・証跡・改善

SG試験では、認証済みだから終わりではなく、認証後も監査や運用管理が必要だと考えるのがポイントです。

どんな場面で使う？

セキュリティ認証は、製品や組織の信頼性を外部に示したい場面で使われます。

たとえば、次のような場面です。

セキュリティ製品を調達するとき

取引先に管理体制を示すとき

委託先の選定条件にする

公的な調達条件を満たす

組織としてISMSを構築していることを示す

一方、監査は、実際の運用が適切かを確認する場面で使われます。

たとえば、次のような場面です。

アクセス権限が定期的に見直されているか確認する

ログが取得・保管・確認されているか確認する

委託先が契約どおりに管理しているか確認する

情報セキュリティポリシーが守られているか確認する

インシデント対応手順が実際に機能するか確認する

SG試験では、科目Aでは用語の違い、科目Bではケース文中の状況判断として出やすいです。

たとえば、次のように考えると切り分けやすくなります。

ケース文の内容 考える方向

製品がISO/IEC 15408に基づいて評価された 認証・評価の話 委託先が契約どおりログを確認しているか見る 監査・委託先管理の話 組織がISMS認証を取得している 管理体制の認証の話 実際にアクセス権限が棚卸しされているか確認する 監査・運用確認の話

選択肢では、「基準に適合していることを示す」のか、「実際の運用を確認する」のかを意識しましょう。

よくある誤解・混同

誤解1：認証を取れば監査は不要だと思う

認証を取得していても、監査は不要になりません。

認証は、一定の基準を満たしていることを示すものです。

しかし、実際の運用では、時間がたつと次のような問題が起こることがあります。

権限が増えたまま放置される

ログを取得しているだけで確認していない

委託先の運用が契約内容とずれている

手順書はあるが現場で使われていない

パッチ適用が遅れている

そのため、認証を取得した後も、監査や点検によって運用状況を確認する必要があります。

SG試験では、「認証済みなので確認不要」という表現が出たら注意です。

誤解2：監査は認証を与えるためのものだと思う

監査は、必ずしも認証を与えるためだけに行うものではありません。

監査の目的は、業務やシステムの管理・運用が適切かを確認し、必要に応じて改善につなげることです。

監査結果として、指摘事項や改善提案が出されることがあります。

SG試験では、監査を問題を見つけて改善につなげる活動として考えると理解しやすいです。

誤解3：JISECとISMS認証を同じものとして覚える

JISECとISMS認証は、どちらもセキュリティに関係しますが、見ている対象が違います。

用語 見る対象

JISEC IT製品・システムのセキュリティ機能 ISMS認証 組織の情報セキュリティ管理体制

JISECは、ISO/IEC 15408に基づくIT製品・システムの評価認証制度です。

ISMS認証は、組織が情報セキュリティを継続的に管理する仕組みを持っているかを見るものです。

選択肢で、製品のセキュリティ機能が中心ならJISEC寄り、組織の管理体制や継続的改善が中心ならISMS寄りと考えます。

誤解4：監査は技術的な脆弱性診断と同じだと思う

監査と脆弱性診断も混同しやすいです。

脆弱性診断は、システムやアプリケーションに技術的な弱点がないかを調べる活動です。

一方、監査は、管理体制や運用、証跡、ルールとの整合性などを広く確認します。

用語 主な目的

監査 管理・運用が適切か確認する 脆弱性診断 技術的な弱点を見つける

SG試験では、技術的な欠陥を探す話なのか、管理・運用を確認する話なのかで切り分けます。

SG試験でのひっかけポイント

SG試験では、セキュリティ認証と監査について、次のような形で問われることがあります。

認証済み製品を導入した後の管理として適切なものはどれか。 システム監査の目的として適切なものはどれか。 製品評価と組織の運用確認の違いとして適切なものはどれか。

このときは、次の判断基準で選択肢を切ります。

認証は、基準への適合を示すものか

監査は、運用状況や証跡を確認するものか

認証済みだから管理不要としていないか

製品評価と組織運用を混同していないか

監査を単なる技術診断にすり替えていないか

特に、「絶対安全」「確認不要」「監視不要」のような表現は強すぎるため、誤りとして判断しやすいです。

まとめ（試験直前用）

セキュリティ認証は、一定の基準を満たしていることを示す仕組みです。

監査は、ルールどおりに管理・運用されているかを確認し、改善につなげる活動です。

JISECは製品・システムのセキュリティ機能、ISMS認証は組織の管理体制を見るものです。

認証済みでも、設定、監視、ログ確認、権限管理などの運用は必要です。

選択肢では、「基準への適合」なのか「実際の運用確認」なのかを見て切り分けましょう。

---

🔗 関連記事

• 入退室管理とは？物理アクセス制御の基本【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• アンチパスバックとは？不正な入退室を防ぐ仕組み【情報セキュリティマネジメント】
• 情報資産台帳とは？リスク管理の出発点を整理【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← JISECとは？ITセキュリティ評価及び認証制度を整理【SG試験】 監査ログとは？不正検知と追跡の基本【SG試験】 →