セキュリティ監査 — 組織の安全性を第三者が検証する

導入

「うちの会社のセキュリティは大丈夫」と自社で言うだけでは、取引先やお客様に信頼してもらうのは難しいものです。そこで登場するのが、第三者が客観的に組織の安全性を検証する「セキュリティ監査」です。

くわしく知ろう

セキュリティ監査とは、組織の情報セキュリティ対策が適切に整備・運用されているかどうかを、独立した立場の監査人が検証する活動を指します。自己評価だけでは見落としがちな問題点を発見し、改善につなげることが主な目的です。

監査の手順は大きく3段階で進められます。まず「監査計画」として、監査の目的・範囲・方法を決めます。次に「監査の実施」で、インタビューや文書確認、システムの設定確認などを通じて証拠を収集します。最後に「監査報告」として、発見した問題点（指摘事項）と改善勧告を記載した報告書をまとめます。

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）は、組織が情報セキュリティを体系的に管理するための仕組みを指します。ISMSを構築・運用し、国際規格ISO/IEC 27001の要件を満たすと、第三者機関による審査を経て認証を取得できます。この認証を取得することで、取引先や顧客に対してセキュリティ管理の水準を客観的に示すことができます。

ISMSはPDCAサイクル（Plan：計画→Do：実施→Check：点検→Act：改善）に基づいて継続的に改善していく仕組みになっています。

具体例

たとえば、官公庁や大企業と取引する際に「ISO/IEC 27001認証取得済み」であることが入札条件になっている場合があります。また、金融機関では外部の監査法人がシステムのアクセス制御や操作ログを定期的にチェックし、セキュリティ水準を第三者の目で確認する取り組みが広く行われています。

まとめ・試験ポイント

• セキュリティ監査＝第三者が組織の情報セキュリティ対策を客観的に検証する活動
• 監査の流れ＝計画→実施（証拠収集）→報告（指摘事項・改善勧告）
• ISMS＝情報セキュリティを体系的に管理する仕組み
• ISO/IEC 27001＝ISMSに関する国際規格・認証制度
• ISMSはPDCAサイクルで継続的に改善する
• 試験では「ISMSの目的」「監査人の独立性」「PDCAとの関係」がよく問われる