セミナー情報監査の種類と求められる対応
組織として決められたルールや基準に合って運用されているか、改善点はないかを第三者あるいは内部で確認する活動として「監査」があります。ITに関する代表的な監査と、監査で注目される資産管理について、何が対象なのか、どのような対応が必要なのかを知っておきましょう。
監査の種類と違い
一般に、ITに関係する代表的な監査として、「情報セキュリティ監査」と「システム監査」があります。
特定の条件を満たす大規模企業以外では、ITに関する監査の実施は義務ではありません。それでも監査が実施される理由として、経営者にとっては運用状況を評価するだけでなく、企業の経営に活かす改善につながることが挙げられます。
実施が義務づけられているわけではない監査であれば、実施する時期や範囲を企業が自由に決められます。当然、自社の従業員が監査をすることもできますし、社外の専門家に依頼することもできます。
このとき、誰が実施するかによって「外部監査」と「内部監査」があります。
外部監査は組織に属さない第三者の専門家によって、業務の適正性を客観的に評価するもので、会社法や金融商品取引法などで義務付けられている組織が対象となります。
一方の内部監査は自社のルールや方針、業務プロセスが適切に運用されているかを内部の視点でチェックし、改善につなげるための監査で、社内の内部監査部門や監査担当者が中心で実施します。
| 外部監査 | 第三者の専門家によって実施される。会社法や金融商品取引法などで義務付けられている組織が対象。 |
|---|---|
| 内部監査 | 社内の内部監査部門や監査担当者が中心となって実施される。自社のルールや方針、業務プロセスが適切に運用されているかをチェックする。 |
さらに、実施する目的に応じて、「助言型監査」と「保証型監査」があります。
助言型監査は問題点を検出し、改善についての提言をする監査です。組織内でのセキュリティに不安がある、向上させたいといった目的で実施され、内部の専門スキルを持っている人によって実施されることが多いものです。
一方の保証型監査は対策が適切であることの「お墨付き」を与える監査です。多くの場合、ISOやJISなどの規格に基づく認証を受けるために実施されます。
外部の第三者の認証機関が実施することが多く、認証を取得したあとも定期的にサーベイランス審査(年次)や更新審査(数年ごと)が実施されます。
サーベイランス審査は、定められたマネジメントシステムが問題なく機能しているかを確認するとともに、過去に指摘された内容が改善されたかを確認するためのものです。
| 助言型監査 | 問題点の検出から改善に向けての提言をおこなう監査。セキュリティに関する不安の解消・セキュリティレベルの向上などを目的として実施される。 |
|---|---|
| 保証型監査 | 外部の認証機関によって実施される、各対策が適切であることのお墨付きを与える監査。ISOやJIS規格に基づく認証が代表的。 |
情報セキュリティ監査
情報セキュリティ監査は情報セキュリティに特化した監査で、情報の機密性、可用性、完全性を守るための仕組みが適切に運用されているかを確認するものです。
情報セキュリティ監査を運用するときの基準として「情報セキュリティ監査基準」と「情報セキュリティ管理基準」が経済産業省によって定められており、2025年8月に最新の改訂版が公開されました。
なお、情報セキュリティ監査についての資格として「公認情報セキュリティ監査人」や「公認情報セキュリティ主任監査人」があります。
システム監査
システム監査は企業に導入されているITシステムに問題が起きていないか、正しく活用・運用されているかを確認します。
このシステム監査を実施する監査人の行動規範や判断の尺度として「システム監査基準」と「システム管理基準」が経済産業省によって定められています。
また、IPA(独立行政法人情報処理推進機構)が実施している情報処理技術者試験の「システム監査技術者試験」や、国際的な認知度が高い「CISA(公認情報システム監査人)」があります。
どのような監査が実施されるのかを知りたいときは、こういった資料に目を通しておくとよいでしょう。
監査で求められる資産管理
情報セキュリティ監査でもシステム監査でも対象となるものとして、「資産管理」があります。一般に、資産というとヒト・モノ・カネ・情報などが挙げられますが、ITに関連する監査で注目されるのが情報資産です。
パソコンやサーバーのようなハードウェア、OSやアプリ、ミドルウェアのようなソフトウェアに加え、データやネットワーク、文書や使用しているサービスなど、現代のビジネスに欠かせないあらゆるものが該当します。
そして、これらの資産が整理され、適切に管理されているかを確認します。特に「重要な資産」については、誰が責任者か、どのようにアクセス権限が付与されて保護しているかを明示しておく必要があります。
まずは資産一覧の整備です。一般的には、資産台帳を作成し、何をどれだけ保有しているかを一覧にします。ここには、資産の名前や型番、設置場所、担当部署、管理者、導入日、廃棄予定日などを記録します。
小規模であればExcelなどの表計算ソフトでも十分ですが、一度だけ記録すればよいわけではありません。導入から廃棄までの一連の流れを把握する必要があり、特に廃棄時の情報漏えい対策として消去や破壊は重要です。
そこで、一般的には資産管理ソフトを使用することが多く、自動的に更新するなど漏れなく記載されていることを確認します。
これに加えて、資産の分類と重要度を評価し、取り扱いルールを決定します。
まず、保有するすべての資産に対してその重要度や機密性などの視点から分類します。たとえば、公開情報、社内限定情報、機密情報などが重要度の分類として挙げられます。
そしてそれぞれの資産に対して、誰が管理者なのか、そのアクセス権限を確認します。この管理者は、監査では「誰に聞けばその資産のことがわかるか」を確認するためのものです。
また、権限管理においては、必要な人に最小限の権限を付与し、人事異動や退職などにおいてアカウントや権限が適切に管理されていることが重要です。
これらの分類によって、暗号化やアクセス制御、バックアップ頻度などの取り扱い方法が決まるため、その手順や手法が規程などで整備されていることも求められます。
監査に向けた準備と対応
監査を受ける側として、特に情報システム担当者の準備について考えます。
まずは監査範囲の確認です。どのシステム、どのデータ、どの部署が対象なのかを確認し、その範囲にもとづいて関係者に協力を依頼します。具体的には、説明をする担当者を決め、想定質問と回答を準備します。
そのうえで、必要な書類が準備されていることを確認します。例えば、資産台帳やアクセス管理台帳、変更管理記録、バックアップログ、インシデント対応記録、ポリシー類などが挙げられます。
監査は「証拠を見せて納得してもらう」活動なので、手順書、台帳、ログ、承認記録、テスト結果など、証跡を整理・保存しておきます。
つまり、データのバックアップ方針(頻度や保持期間、保管場所)、復旧手順を明確にしておくとともに、誰がいつ何をしたかを記録するログの保存と監視も求められます。
さらに、担当者や利用者への定期的な教育と、資産取り扱いのルール周知も必要です。年1回のセキュリティ研修や理解度チェックなどが挙げられます。
監査で指摘があった場合には、その原因を分析し、改善計画(期限、担当者、対策内容)を作成して実行します。
監査は一度で終わりではなく、定期的に見直して運用を改善していくことが求められるため、どのような改善を実施したのか、その内容を証跡として残しておきます。
まとめ
監査は「叱られる場」ではなく、「現状を点検し、信頼性と安全性を高める機会」です。普段から資産を正確に把握し、担当者や管理方法、証跡を明確にしておく習慣をつけておくと、それを説明するだけです。
最初は大変に感じるかもしれませんが、普段の準備が重要です。現時点で課題があるのであれば、少しずつ改善を続けることが大切です。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
