【初心者向け】セキュリティ監査の手順とは?実施の4ステップとチェック項目を解説

2025年12月12日

【初心者向け】セキュリティ監査の手順とは?実施の4ステップとチェック項目を解説

「PマークやISMSの更新で、セキュリティ監査が必要になった」
 「取引先から監査報告書の提出を求められたが、何から始めればよいのか分からない」
 「社内のセキュリティレベルを客観的に確認したい」

情報漏洩リスクが高まる昨今、自社のセキュリティ対策が適切に機能しているかを確認する「セキュリティ監査」の重要性は高まっています。しかし、初めて担当する場合は、具体的な手順やチェックすべきポイントが分からず悩むこともあるでしょう。

本記事では、セキュリティ監査の基本的な手順(フロー)から、監査の種類、見落としがちなチェック項目までを分かりやすく紹介します。

この記事を監修したのは

代表弁護士 春田 藤麿
代表弁護士春田 藤麿
第一東京弁護士会 所属
経歴
慶應義塾大学法学部卒業
慶應義塾大学法科大学院卒業
宅地建物取引士

詳しくはこちら

そもそも「セキュリティ監査」とは?(内部監査と外部監査)

手順に入る前に、監査には大きく2種類あることを理解しておきましょう。目的によって、重点を置くポイントが異なります。

種類

実施者

目的

特徴

内部監査

社内の監査担当者(または委託先)

改善・自浄作用

社内ルールが守られているか確認し、弱点を洗い出して改善する。コストを抑えられるが、身内意識で甘くなりやすい。

外部監査

第三者機関

証明・信頼性

ISMS(ISO27001)などの認証取得や対外的な信頼性の証明に利用される。客観性が高いが、費用がかかる。

ポイント
 本記事では、企業が自主的に行うことの多い 「内部監査」 の手順を中心に解説します。

セキュリティ監査の実施手順:基本の4ステップ

監査は場当たり的に行うものではありません。以下の4つのフェーズで進めるのが一般的です。

監査計画の策定(Plan)

最も重要な準備段階です。ここで監査の「範囲」と「基準」を決めます。

目的の明確化

何のための監査か(定期チェック、Pマーク更新、事故後の再発防止など)

対象範囲(スコープ)の決定

全社なのか、特定部署(例:開発部)や特定システム(例:顧客管理システム)なのか

監査基準の決定

「何を正解とするか」
 (社内セキュリティ規程、IPAのガイドライン、ISO27001など)

チーム編成

監査リーダーとメンバーを選定
 ※公平性の観点から、監査対象部署の職員は監査人になれません。

予備調査とチェックリスト作成(Plan:準備)

現場に行く前に、書類などを使って事前確認を行います。

書類確認

セキュリティ規程、システム構成図、過去の監査報告書など

アンケート実施(自己点検)

例:「パスワード管理はどうしていますか?」「入退室ログは取得していますか?」

チェックリスト作成

アンケート結果や規程を基に、監査時に確認すべき項目(監査調書)を作成します。

本監査の実施(Do:実行)

実際に現場に入り、証拠(エビデンス)を収集します。主に次の2つの手法を使います。

インタビュー(ヒアリング)

担当者に直接質問
 例:「ウイルス対策ソフトの更新頻度は?」「退職者のID削除手順は?」

実査(現地確認・ログ確認)

口頭回答を実際の状況と照合

    • PC画面でOSバージョンを確認
    • 入退室記録のログと実際の利用状況を突き合わせる
    • キャビネットの施錠を確認する

評価と報告・フォローアップ(Check & Act)

監査は「実施して終わり」ではありません。改善につなげることが重要です。

結果の評価

証拠を基準と照合し、「適合(OK)」か「不適合(NG)」か判定

監査報告書の作成

問題点、リスクの大きさ、改善提案をまとめて経営層へ報告

是正処置の確認

指摘事項について、現場が改善策を実施したか後日確認します。

「マネジメント監査」と「テクニカル監査」の違い

「何をチェックするか」によって、取るべき手法が異なります。現代の監査では両方の視点が必要です。

マネジメント監査(ルールベース)

「ルールがあるか」「そのルール通り運用されているか」を確認します。

対象

ポリシー、規程、記録簿、契約書

手法

文書レビュー、インタビュー

テクニカル監査(技術ベース)

システムに技術的な脆弱性がないかを確認します。

対象

サーバー、ネットワーク機器、Webアプリケーション

手法

  • 脆弱性診断(ツールで既知のセキュリティホールを確認)
  • ペネトレーションテスト(専門家による模擬攻撃)

絶対に確認したい「重点チェック項目」リスト

抜け漏れを防ぐための代表的な項目です。

人的・組織的対策

  • 入社・退職時に秘密保持契約(NDA)を締結しているか
  • 全社員向けのセキュリティ教育を年1回以上実施しているか
  • インシデント発生時のマニュアルが最新か

物理的対策

  • サーバー室や重要区画に施錠があり、入退室記録が残っているか
  • クリアデスク運動(机上の放置物なし)が徹底されているか
  • 廃棄PCやHDDの物理破壊またはデータ消去証明書があるか

技術的対策

  • OS・ソフトウェアに最新パッチが適用されているか
  • ウイルス対策ソフトの定義ファイルは最新か
  • 共有IDを使用せず、個人IDを付与しているか
  • パスワードが十分な複雑性を持ち、MFAを導入しているか
  • アクセスログを取得し、定期的に確認しているか

監査を成功させるためのポイント

初めての担当者が陥りやすい失敗を避けるためのコツです。

「犯人探し」にしない

監査の目的は「欠陥の発見と改善」であり、「担当者の失敗を責めること」ではありません。
 高圧的な態度は協力を得にくくなるため、「会社をより安全にするための協力をお願いする」という姿勢が大切です。

完璧を求めすぎない(リスクベースアプローチ)

すべての項目を完璧にするのは現実的ではありません。「顧客情報漏洩」など企業にとって重大なリスクを優先的に監査・改善します。

ツールを活用する

手作業だけでは限界があります。
 IT資産管理ツールのログや、脆弱性診断ツールの活用により、監査の効率と精度を向上できます。

まとめ

セキュリティ監査の基本は 「計画 → 予備調査 → 本監査 → 報告・改善」 の流れを回すことです。形式的なイベントにせず、実効性のある監査にするためには、事前準備と現場との信頼構築が欠かせません。

まずは自社の「情報セキュリティ規程」を手元に置き、現状とのギャップがないか「簡易チェック」から始めてみてはいかがでしょうか。

情報セキュリティのコラムをもっと読む

※内容によってはご相談をお受けできない場合がありますので、ご了承ください。