top of page
検索

情報セキュリティの内部監査

  • 執筆者の写真: 舩生 好幸
    舩生 好幸
  • 9月2日
  • 読了時間: 6分

更新日:9月11日

~内部監査は組織によるセルフチェック。情報セキュリティ対策の点検のこと~


投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2025.9.2

(更新:2025.9.11)


出典:写真AC(https://www.photo-ac.com/)
画像出典:写真AC(https://www.photo-ac.com/)

日本語で「内部監査」と書くと物々しい雰囲気が漂いますが、英語では”Internal Audit”。

組織のセルフチェックの一種で、実施状況のヒアリングや実地点検のことです。


ISO/IEC27001・ISMSの第三者認証を受けている組織では、年に1回以上の内部監査を実施することが求められています。


ISMS認証を受けていない組織にとっても、ISO/IEC27001の要求事項を読み解くことは、情報セキュリティ対策の参考になります。


ここでは、ISO/IEC27001の記述に沿いつつ、極力平易な表現で、情報セキュリティ内部監査について書いてみたいと思います。


〇情報セキュリティの内部監査のあらまし


情報セキュリティの内部監査は、年に1回以上、組織が定めたルールなどが、有効に実施されて維持されていることを、任命された内部監査員が現地に出向く、などして実施します。


ISO/IEC27001規格に基づいて行う内部監査は、計画的に行うことが求められています。

ポイントは、

・内部監査の計画段階から、監査する範囲や、拠り所となる基準(ルール)を明確に定める

・監査員は自組織の監査は行わないなど、客観性及び公平性を確保できるよう監査員を選定し、監査を実施する


等があります。


ISO/IEC27001規格では上記のように、内部監査の「骨組み」だけが規定され、詳細は実施する組織の裁量に委ねられています。


以下は、国内でよくある情報セキュリティ内部監査の様子を書いてみます。


*監査を取り仕切る組織

多くの場合、社内の情報セキュリティ対策やマネジメントシステム運営を主管する組織が「内部監査事務局」となり、当年度の情報セキュリティ対策基本計画に沿って、情報セキュリティ内部監査が企画・実施されます。


この事務局が内部監査員の選抜・選任を行ったり、監査員への事前オリエンテーションや教育の機会を提供することもあります。


*誰が内部監査員を務めるか

内部監査員が社員から選ばれる場合、業務や情報セキュリティに明るいベテラン社員や管理者、また次世代のリーダー候補の若手社員が経験を積むために選任される、といった場面が多くみられます。


また、社内に適切な人材が乏しい場合は、コンサルタントなど外部の有識者が内部監査員として活用される場合も多くあります。


*内部監査チーム

内部監査は1名~数名程度のチームで、対象組織を監査します。複数名のチームの場合は経験豊富なメンバーがチームリーダーを務め、実施する監査を取り仕切る、経験の浅い監査チームメンバーを教導する、等が行われます。


監査する内容・項目は事務局よりチェックリストなどの形(詳細度や形式は組織によってまちまち)で監査チームに提供され、それに沿って当日の監査が進行する、というパターンが多いです。


*監査結果の取扱い

内部監査の結果は、受審した組織に伝えられるだけでなく、関連する管理層(社内の情報セキュリティを統括する組織や経営層など)に報告することが規格で求められています。


また内部監査の結果は記録や証拠となります。

文書化した情報として残し、利用可能な状態にすることが規格で求められています。


以下はご参考として、ISO/IEC 27001の箇条の抜粋を提示します。


--(引用:JIS Q 27001:2013(ISO/IEC 27001:2013)9.2項より)ーー


9.2 内部監査


組織は,ISMSが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

a) 次の事項に適合している。

1) ISMSに関して,組織自体が規定した要求事項

2) この規格の要求事項

b) 有効に実施され,維持されている。


組織は,次に示す事項を行わなければならない。

c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。


d) 各監査について,監査基準及び監査範囲を明確にする。

e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

f) 監査の結果を関連する管理層に報告することを確実にする。

g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。


--(引用ここまで:JIS Q 27001:2013(ISO/IEC 27001:2013)9.2項より)ーー


(筆者注:第三者認証を目指す組織においては最新版であるISO/IEC27001:2022=JISQ27001:2023の記述もご確認ください。)


*上記箇条中の「監査プログラム」追記:

特定の目的に向けた,決められた期間内で実行するように計画された一連の監査に関する取決め。

---JIS Q 19011:2019 (ISO 19011:2018)「マネジメントシステム監査のための指針」より抜粋---


〇内部監査で不備や不具合が見つかったら


内部監査の結果、何らかの不備や不具合が見つかることは普通のことです。


普段の情報セキュリティ対策の中で、できる限り抜け・漏れのない状況を目指す姿勢は大切ですが、監査の結果、不備や不具合が見つかった場合は、冷静かつ客観的、そして速やかに修正(問題点の除去)や是正(再発の防止)に向けた取り組みを進めましょう。


〇不備や不具合は組織の問題として取り組む


また、修正や是正に際して、多くの場合でポイントとなるのは、


不備や不具合の原因を、個人の理解不足や力量不足などに帰するのではなく、メンバーがそのような状況に陥る結果となった組織の在り方や仕組み上の問題点、ルール上の不備などを洗い出し、改善することこそが重要です。


*修正や是正に関しては後日、別ブログを投稿したいと思います。


〇重層的な意味や価値をもたらす内部監査

内部監査は組織による情報セキュリティのセルフチェック。

組織内に構築された情報セキュリティマネジメントシステムの、点検や改善の機会であるとともに、その一方で、社員が普段できない経験を積む機会や、情報セキュリティを中心とした組織文化継承の機会も提供できると思います。


きちんと行うには相応に手間がかかりますが、中長期的な視点から、組織に重層的な意味や価値をもたらす活動と言えるのではないでしょうか。


積極的に取り組まれることをお勧めいたします。


*ご参考ブログ:手軽に職場の情報セキュリティ状況をチェックしたいなら:


(Primary-f/向実庵 代表)



<ご案内>

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。


コメント

bottom of page