企業経営において、個人情報や機密情報をはじめとした様々な情報を安全に管理することは大変重要です。

セキュリティ体制が未整備であったりコンプライアンス教育が行き届いていなかったりなどリスク対策が不十分だと、情報漏えいが生じるリスクが高まります。

ひとたび情報漏えいが起きれば、企業の信頼が失墜し業績悪化につながることもあるため注意が必要です。

本記事では、企業の情報セキュリティ向上やリスク対策として大切な、情報セキュリティ監査について分かりやすく解説します。

目次
情報セキュリティ監査とは
情報セキュリティ監査には目的設定が必要
情報セキュリティ監査の2つの基準
情報セキュリティ監査をする上で取っておきたい資格
情報セキュリティ監査を行うなら資格取得を検討しよう

情報セキュリティ監査とは、企業の情報セキュリティ対策について、第三者的な目線でチェックすることを指します。

情報セキュリティ監査では、企業が情報を管理するシステムや体制に対し、正しいセキュリティ対策が行われているかどうかの検証や評価を行います。

ひとたび情報漏えいが起きると、企業の社会的信頼は失墜し経営に支障をきたすケースもあるため、情報セキュリティ監査を定期的に行うことには大きな意味があります。

情報セキュリティといえば「サイバー攻撃」など、外部からの攻撃のみに注目している企業もあるでしょう。

しかし、実際の情報セキュリティ事故の多くは、企業内部の人的要因が原因となっていることも把握しておきましょう。外部・内部ともに十分な対策が必要です。

企業は、個人情報をはじめとした様々な機密性の高い情報を資産として保有しています。

「個人情報保護法」の施行や業務のIT化などがきっかけで、多くの企業が情報資産に対するセキュリティ体制の整備強化の必要性を感じているでしょう。

従業員教育による情報リテラシー向上は情報セキュリティ対策の1つです。また、企業のシステムに不具合が生じ、サービスの停止などが起きると社会的に大きな影響を与えるケースがあります。

システムの不具合を引き起こす可能性の高い、ウイルスやハッキングへの対策も情報セキュリティ対策です。

関連記事：アビタス CISA®「情報資産とは？その重要性や管理方法、取り扱いリスクを解説」

大企業から中小企業に至るまで、どの企業にとっても情報セキュリティ監査は欠かせません。ただし、情報セキュリティ監査に求める目的は、企業によって異なります。

自社のニーズを満たした監査を受けられるよう、事前に監査の目的を明確にしておきましょう。目的設定をしたあとは、その目的に適した情報セキュリティ監査を選択することが大切です。

情報セキュリティ監査には大きく分けて2つの種類があります。

• 保証型監査
• 助言型監査

それぞれどのような内容か、詳しく見ていきましょう。

監査の範囲内の情報セキュリティマネジメントについて、適切かどうか「保証」するための監査を保証型監査といいます。

ただし、このまま運営を継続しさえすれば、絶対にインシデントが発生しないという「保証」ではありません。

監査手続きの範囲において、一定の尺度に照らし合わせて判断した場合に、情報セキュリティマネジメントが合理的な内容であることを「保証」する、という意味です。

なお、情報セキュリティマネジメントが不適切であった場合は、監査報告書に「不適切である」旨が意見表明されます。

自社の情報セキュリティマネジメントについて一定の保証を得たいと考えている場合は、保証型監査を選択するとよいでしょう。

参照：日本セキュリティ監査協会「情報セキュリティ監査 用語集」

監査の結果、情報セキュリティ上に欠陥や懸念事項など、何らかの問題があった場合に、必要な提言や助言をする監査を助言型監査といいます。

保証型監査の場合は、ある一定の尺度に照らし合わせて「適していた」あるいは「適していなかった」ということしか分かりません。

具体的にどこが問題で、どのように改善していけばよいのかを知りたい場合には保証型監査では不十分です。

自社のセキュリティ対策に不安がある、情報セキュリティを向上させたいと考えている場合は、助言型監査を選択するとよいでしょう。

参照：日本セキュリティ監査協会「情報セキュリティ監査 用語集」

情報セキュリティ監査には、経済産業省によって以下の2つの基準が設けられています。

• 情報セキュリティ監査基準
• 情報セキュリティ管理基準

それぞれの基準について解説します。

参照：経済産業省「情報セキュリティ監査基準 Ver1.0」

情報セキュリティ監査には「情報セキュリティ監査基準」という指針が存在します。「情報セキュリティ監査基準」は監査を行う主体の行為規範を示すものとして設定されています。

重要なのは、この基準が非常に多様な主体に適用される点です。下記のような多岐にわたる組織がこの基準を利用します。

• 監査法人
• 情報セキュリティのシステム構築ベンダー
• 一般のシステム構築ベンダー
• 情報セキュリティ監視サービスを提供する専門企業
• システム監査企業 など

また外部だけでなく、内部でもこの基準に従って監査活動を行います。内部目的に加え外部目的のための監査にも適用されることが特徴的です。

さらに、この基準は保証型監査だけでなく、助言型監査にも利用されます。そのため情報セキュリティ監査基準は、業種や主体の種類を問わず、共通して適用される幅広い指針となっています。

参照：経済産業省「情報セキュリティ監査基準 Ver1.0」

「情報セキュリティ管理基準」とは、情報セキュリティ監査を行う際の判断の基準となるものです。

情報セキュリティ監査では、単に「情報システム」を対象とするのではなく、「情報資産」全体を対象としています。そして、その情報資産に対してリスクマネジメントが適切に行われているかどうかを確認するのがその目的となります。

監査を進めるにあたり、この「情報セキュリティ管理基準」を基本にしますが、組織や状況によっては、必要に応じて新たな項目を追加したり、不要な項目を削除したりすることも考えられます。

そのため、組織ごとにカスタマイズして、最適な管理基準を策定し、監査活動に活用することが求められます。

このように、情報セキュリティ管理基準は柔軟性を持った基準であり、それぞれの組織の特性やリスクを考慮して適切に活用することが重要です。

参照：経済産業省「情報セキュリティ管理基準（平成28年改正版）」

多くの企業にとって、情報セキュリティの向上は欠かせないものの1つです。

しかし、情報セキュリティ監査について専門的な知識を有する人材が社内におらず、どのように進めていけばよいか分からず困っているケースもあるでしょう。

情報セキュリティ監査をする上で役立つ資格には次のものがあります。

• 公認情報セキュリティ監査人
• CISA®（公認情報システム監査人）

それぞれの資格について、詳しく見ていきましょう。

公認情報セキュリティ監査人は、情報セキュリティ監査制度についての知識や経験を有していることを証明する資格です。

「特定非営利活動法人日本セキュリティ監査協会（JASA）」によって認定されます。

監査計画の立案、計画に基づく監査の実施、報告書の作成、被監査主体に対する監査結果報告などの役割を担います。

資格を得るには、情報技術分野で少なくとも4年以上の業務経験が必要です。また、そのうちの2年以上は、情報セキュリティ関連分野での業務経験が求められます。

参照：特定非営利活動法人 日本セキュリティ監査協会「公認情報セキュリティ監査人」

CISA®は情報システム監査やセキュリティ、コントロールに関する専門的な知識・技能・経験を持つことを証明する国際的な資格です。

世界約80の国で試験が実施されており、ISACA®（情報システムコントロール協会）が認定しています。資格認定試験は1978年に開始されており、長い歴史を持つ資格でもあります。

国際的な資格ですが、日本語での受験が可能です。そのため、英語力は必要ありません。

CISA®は情報セキュリティ関連の上位資格として知られています。そのため、情報セキュリティ監査を実施する際にも、役立つ資格といえます。

受験資格は特になく、誰でも受験が可能です。ただし、CISA®の認定を受けるためには、最低5年間の情報システム監査等、所定の実務経験の証明などが必要になります。

関連ページ：アビタス CISA®「公認情報システム監査人（CISA®） とは？資格の概要や魅力を解説」

情報セキュリティ監査は、企業の情報セキュリティを高め、多くのリスクから遠ざけるためにも、ぜひ実施したい監査です。

しかし、情報セキュリティ監査を実施する際は、高い専門知識やスキルが必要になります。

個人情報をはじめとした情報資産の価値は高く、業務のIT化は日々進んでおり、情報セキュリティ監査の重要性は、今後ますます高まることが推測されます。

情報セキュリティ監査に欠かせない「公認情報セキュリティ監査人」や「CISA®（公認情報システム監査人）」などの資格取得を検討しましょう。

情報セキュリティ監査に役立つ、CISA®の取得を目指すならアビタスを検討してみましょう。

アビタスのCISA®プログラムは2007年4月の開講以来、多くの合格者を輩出し続けています。最新の試験情報を踏まえた、分かりやすいオリジナル教材を利用することで、約75％という圧倒的な合格実績を誇っています。

ライブ講義に出席する「通学コース」とWeb上で学ぶ「eラーニング限定コース」があり、自分に都合の良いほうを選択できます。

効率よく学習できるよう、充実した学習ツールを準備しており、最短250時間での合格が可能です。

アビタスではオンラインによる無料説明会を実施しています。興味のある方はお気軽にご参加ください。

CISAについてもっと知りたい方はこちら