1. 情報セキュリティマネジメントの推進又は支援に関すること(5/7)~情報セキュリティ監査~

情報処理安全確保支援士
2025.07.27

1-5 情報セキュリティ監査

概要 (引用)

情報セキュリティ監査及びシステム監査において,監査人を技術的な側面から支援する。
情報セキュリティ監査及びシステム監査の後の監査対象組織による改善計画策定及び改善活動について,必要な指導・助言を行い,支援する。

要求される知識

・ 情報セキュリティ監査,システム監査,内部監査,業務監査に関する知識
・ 監査のプロセス,関連文書(監査計画書,監査調書,監査報告書など)に関する知識
・ 監査証拠(システム,ネットワークのログなど)に関する知識

要求される技能

・ 組織が利用しているセキュリティ技術及び導入している情報セキュリティ対策が十分か,並びに適切に実施されているかを評価する能力
・ 事業,業務,情報システム上の制約を考慮した上で,実現可能な管理策を検討し,指導・助言する能力

情報セキュリティ監査の役割

情報処理安全確保支援士における情報セキュリティ監査の役割は、主に以下の2点に集約されます。

① 技術的側面からの監査支援

情報セキュリティ監査やシステム監査において、監査人(監査責任者や監査チーム)に対して、ネットワークやサーバ、アプリケーション、アクセス制御、ログ管理などの技術的な観点からの評価や分析を支援します。
例えば、不適切なアクセス権限の設定や脆弱性のある構成などを見逃さないよう、監査人の判断を補完する専門的な知見を提供します。

② 改善活動の支援

監査結果に基づいて、監査対象組織が策定する改善計画の妥当性や実現可能性について助言・支援を行います。
さらに、改善活動の進捗確認や技術的な課題解決に向けて、継続的なフォローアップと指導を実施します。これにより、形式的な改善にとどまらず、実効性ある情報セキュリティ対策の実施を促します。

監査に関する知識

情報セキュリティ監査、システム監査、内部監査、業務監査は、それぞれ目的や範囲、視点が異なります。以下に、それぞれの概要と特徴を説明します。

① 情報セキュリティ監査

  • 目的:情報資産の機密性・完全性・可用性(CIA)を確保するための管理体制・対策の有効性を評価する。
  • 特徴
    • 対象は情報セキュリティポリシー、アクセス制御、暗号化、ログ管理、物理的セキュリティなど。
    • 技術的・管理的観点の両面から評価。
    • ISMS(情報セキュリティマネジメントシステム)に準拠して行われることも多い。

② システム監査

  • 目的:情報システムの信頼性・安全性・効率性・有効性などを評価し、リスクの最小化と統制の有効性を確認する。
  • 特徴:
    • システム開発、運用、保守、BCP、変更管理、IT統制などが対象。
    • 技術・業務プロセス両方の視点が必要。
    • 情報セキュリティ監査を含む広義の監査として行われることもある。

③ 内部監査

  • 目的:企業内部の業務や統制状況を客観的に評価し、ガバナンスや内部統制の改善を支援する。
  • 特徴:
    • 経営陣の一部門として、独立した立場で実施。
    • 財務、法令順守、業務プロセス、リスク管理など幅広い分野が対象。
    • システム監査や業務監査を含む場合もある。

④ 業務監査

  • 目的:業務の効率性、効果性、経済性を評価し、業務改善を図る。
  • 特徴:
    • 対象は業務プロセス、組織の活動、業務実績など。
    • 「ムリ・ムダ・ムラ」などの非効率や改善点の発見が重視される。
    • 経営資源の最適活用や業績向上が狙い。

【まとめ:4つの監査の違い(主な視点)】

種別 主な目的 対象領域 視点
情報セキュリティ監査 情報資産の保護とリスク評価 セキュリティ対策全般 技術・管理
システム監査 情報システムの信頼性・統制確認 システムライフサイクル全般 技術・業務
内部監査 組織全体の統制と経営支援 全社的な業務・リスク・統制 客観・独立
業務監査 業務の効率・有効性・経済性の評価 業務プロセス・実績 経営改善志向

これらの監査は相互に連携・補完しあうものであり、情報処理安全確保支援士は特に情報セキュリティ監査やシステム監査において専門的知見を発揮する役割を担います。

まとめ

以上のように、情報処理安全確保支援士は、技術の専門家としての立場から監査業務を補佐し、改善の実現までを支えることが求められます。
これは、単なる監査支援にとどまらず、組織のセキュリティレベルの向上に貢献する重要な役割です。