top of page
検索

情報セキュリティ対策の点検

  • 執筆者の写真: 舩生 好幸
    舩生 好幸
  • 1月23日
  • 読了時間: 5分

更新日:2月12日

~「中小企業の情報セキュリティ対策ガイドライン」に基づきご紹介~


投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2026.1.23

(更新:2026.2.12)


現在の情報セキュリティ対策について、

・計画通りに実行されているか

・見落としている対策はないか

・対策がセキュリティ事故防止のために役に立っているか


などを確認するため、定期的に点検を行いましょう。



〇点検の方法はいろいろあります

IPAが公開する「中小企業の情報セキュリティ対策ガイドライン」では以下のような点検の方法が挙げられています。


  • 質問(インタビュー): 従業員や委託先の管理者などに直接質問して回答してもらう

  • 閲覧(レビュー): 関連する文書や記録、パソコンの設定画面など対策を実行した証拠となるものを確認する

  • 観察(視察): 点検の対象となる職場に出向き、従業員が規程や標準規格などに従った行動をしていることを確認する

  • 技術診断: 専用ソフトウェアなどを使ってコンピュータやネットワークのセキュリティ対策が実行されているかを確認する

  • チェックリスト:チェックリストや質問書を配付して回答してもらう


さらに、情報セキュリティ監査による確認もあります。




〇点検の基準

点検は何らかの基準に基づいて実施します。

点検の際の基準には以下のコンテンツを用います。


・組織が策定した情報セキュリティ対策に関するルール・規程


※立ち上げたばかりの組織等で、情報セキュリティに関するルールが整備途中である場合は、以下の「中小企業の情報セキュリティ対策ガイドライン」付属資料に掲げられた対策を暫定的なルールとして運用し、点検の基準にも用いることも可能です。


・「情報セキュリティ5か条」

・「5分でできる!情報セキュリティ自社診断」(25の対策の部分利用も可)


いずれも、IPAのHPよりダウンロードして利用できます。

「情報セキュリティ5か条」パンフレット
「情報セキュリティ5か条」パンフレット
「5分でできる!情報セキュリティ自社診断」表紙
「5分でできる!情報セキュリティ自社診断」表紙

〇点検結果の報告・評価

点検結果は集約し、最終的に経営者に報告します。

経営者は、意図するセキュリティ対策が実現できているか、確認と評価を行います。


また、点検の結果は記録として保管し、経営者の評価と共に、情報セキュリティ対策改善のためのインプット情報として活用します。


(ご参考)

「中小企業の情報セキュリティ対策ガイドライン」第3.1版、P.30、第2部.4.(3)「点検と改善」

ガイドライン表紙
ガイドライン表紙

上記ガイドラインや付属資料のダウンロードはこちらから

 (情報処理推進機構サイトURL)



〇初めての「点検」(監査)に際しての注意点

情報セキュリティ対策の点検を始めるに際しては、点検を受ける側の心理的な負担感や抵抗感なども無視できないため、実施するハードルが高いと考える事業者様も多いのかもしれません。


そこで、国際規格ISO19011:2018「マネジメントシステム監査のための指針」や筆者のこれまでの経験から、役立つと思われるポイントをいくつかご紹介しましょう。


*点検者(監査員)を立てるなら正式な任命・指名を行う

上述した質問・閲覧・観察、或いは監査のように、実際に誰かが情報セキュリティ対策の実施状況を確認する方法をとる場合、点検者や監査員を経営者等から正式に任命・指名することは大切です。

任命・指名を行うことで、点検者や監査員の責任や権限を明確にすることに繋がります。


点検者や監査員は、目的を達成するために必要な力量を考慮に入れて、選定されることが望ましいです。


そして「監査員」の場合は、点検を受ける側から「独立した立場」である点にもご留意ください。


さらに、ISO19011:2018の「4.監査の原則」の筆頭には「高潔さ」が挙げられている点にも留意されるとよろしいと思います。


*点検する側と受ける側は対等

公平性の観点から、点検する側と点検を受ける側は対等な関係であることに注意を払います。


*点検の実施は計画的に

点検側と受ける側とが事前に日時を調整するなどして、点検は計画的に行いましょう。

調整の段階で、何に関する点検か、点検にあたっての基準は何か、点検者はだれか、といった点は文書等で明確にしておきましょう。


*「基準」に沿って点検を行う(念押し)

情報セキュリティの点検であれば、点検の基準となる社内ルールなどに沿って確認します。

点検者のその場の思い付きで、上記基準の範囲外の確認項目を追加する、などは望ましい行動とはいえませんのでご注意を。


*「慣れていない」職場への配慮

情報セキュリティの対策の実施や点検に慣れていない職場であれば、点検を行っても最初からよい結果は出にくいと思われます。


その際、最初2,3回の点検は、情報セキュリティ対策やルールの普及・啓蒙や、職場のメンバーへのカウンセリングの機会ととらえ、点検者・監査員からの対策やルールの説明や、職場のメンバーの方の理解や納得感の醸成などに重点を置く、といった対応もありえます。


*国際規格ISO19011:2018「マネジメントシステム監査のための指針」(JISQ19011:2019)は以下のサイトから閲覧できます。ご参照ください。


・JISC・日本産業標準調査会・マネジメントシステムのページ(要アカウント登録・無料)

・日本産業規格の簡易閲覧


*皆様の組織の状況に合わせて無理なく、かつ効果的な情報セキュリティの点検を計画し、実施しましょう。


(Primary-f/向実庵 代表)



<ご案内>

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。



コメント

bottom of page