💻 ITパスポート | マネジメント系
セキュリティ監査
とは?
情報セキュリティ対策がルール通り機能しているか、第三者が客観的に確認・評価する活動。
🎬 こんなシーンを想像
IT企業の情報システム部門。「パスワードポリシーは守られているか?アクセスログはちゃんと取れているか?」を、
自部門でなく社外の専門家に点検
してもらうことになった。
…この活動を何という?
🔍 セキュリティ監査の全体像
監査対象組織
情報セキュリティポリシー
アクセス制御・暗号化 等
ログ・証跡
インシデント対応手順
照合・確認
指摘・勧告
監査人
独立した第三者
(社内または社外)
客観的に評価・報告
監査報告書・改善勧告
▲ 経営者・管理職が承認・指示
🏢 内部監査 vs 外部監査
内部監査
自社の監査部門が実施
日常的・継続的に実施可能
コストが低い
独立性がやや低い
外部監査
社外の専門機関・認証機関
客観性・独立性が高い
ISMS認証等の第三者認証に必要
コストが高い
📋 監査の進め方(PDCAと対応)
① 監査計画(Plan)
監査の目的・範囲・方法・スケジュールを決める。
▼
② 予備調査・本調査(Do)
ヒアリング・ドキュメント確認・実地確認でエビデンス(証拠)を収集。
▼
③ 監査報告書の作成(Check)
問題点・改善勧告をまとめて経営者・被監査部門に報告。
▼
④ フォローアップ(Act)
勧告に対する改善がされたかを確認。次の監査計画に反映。
⚠️ ひっかけ注意ポイント
リスクアセスメントと混同しやすい
リスクアセスメントは
「何のリスクがあるか洗い出して評価する」
活動。セキュリティ監査は
「対策がルール通り実施されているか確認する」
活動。目的が違う。
脆弱性診断と混同しやすい
脆弱性診断はシステムの
技術的な穴を探す
テスト。監査は
管理体制・運用プロセス全体を評価する
もの。
「監査人は自分の担当業務を監査しない」
独立性が監査の命。
自部門・自分が携わった業務は監査できない
。内部監査でも独立した部署が担う。
判断のコツ
「第三者・客観的確認・報告・改善勧告」→
セキュリティ監査
。
🧠 覚え方(無理やりゴロ)
監(ちゃんと見てる?)査(査定する)
=監査
自分では甘くなる→だから「第三者」がやる
「点検」は自分、「監査」は他人
自己点検 → 内部監査 → 外部監査 と"他人度"が上がる
ITパスポート 詳細解説 / itp-security-audit