Jomo Jomo

セキュリティ監査への対応準備

取引先やISMS認証に伴うセキュリティ監査に、ひとり情シスとして効率的に対応するための準備と当日対応のポイントを解説します。

背景

中小企業でも、大手取引先からのセキュリティ監査への対応や、ISMS(ISO 27001)認証の取得を求められる機会が増えています。監査では、セキュリティ対策の実施状況を文書と実績で示す必要があり、「やっているつもり」では対応できません。

従業員45名のソフトウェア開発会社E社は、主要取引先から年次セキュリティ監査の実施を通告されました。監査対応の経験がないひとり情シス担当者にとって、何を準備すべきか、当日どう対応すべきかが全くわからない状態からのスタートでした。監査まで残り2か月という限られた時間の中で、効率的な準備を進める必要がありました。

課題

  • セキュリティ監査への対応経験がなく、何を求められるか予測できない
  • セキュリティ関連の文書(ポリシー、手順書、記録等)が整備されていない
  • 対策は実施しているものの、実施記録やエビデンスが残っていない
  • 監査対応に割ける人的リソースがひとり情シスのみで限られている
  • 指摘事項への改善対応まで考えると、準備期間が十分とは言えない

対応方法

1. 監査要件の事前確認

取引先に対して、監査で確認される項目のチェックリストや過去の監査レポートの雛形を事前に提供してもらえないか打診しました。これにより、監査の全体像と重点確認項目を把握できました。

一般的なセキュリティ監査で確認される主要領域は以下の通りです。

  • 情報セキュリティ方針・規程の策定と周知
  • アクセス制御(認証、権限管理、ログ管理)
  • ネットワークセキュリティ(ファイアウォール、VPN、Wi-Fi設定)
  • エンドポイントセキュリティ(ウイルス対策、OS更新、暗号化)
  • データ保護(バックアップ、暗号化、廃棄手順)
  • 物理セキュリティ(入退室管理、サーバー室の施錠)
  • 従業員教育・啓発活動
  • インシデント対応体制と手順
  • 事業継続計画(BCP/DR)

💡 ポイント

監査で最も重視されるのは「完璧な対策」ではなく「PDCAサイクルが回っているか」です。現時点で対策が不十分な領域があっても、リスクを認識し改善計画があることを示せれば、大きな減点にはなりません。逆に、対策の未実施を認識していない状態は厳しく指摘されます。

2. 文書の整備

監査対応に必要な文書を優先度順に整備しました。すべてを新規作成するのではなく、既存の資料やテンプレートを最大限活用して効率化を図りました。

📋 具体例

整備した主要文書:(1)情報セキュリティ基本方針(経営者署名入り、A4で1枚)、(2)情報セキュリティ管理規程(対策基準を10項目程度に整理)、(3)情報資産台帳(保有する情報資産の一覧)、(4)リスクアセスメント結果(識別したリスクと対応状況の一覧)、(5)インシデント対応手順書(報告フロー、初動対応、連絡先一覧)、(6)従業員教育記録(研修の実施日、参加者、内容)

3. エビデンスの収集と整理

監査では「やっています」という口頭説明だけでは不十分で、実施の証拠(エビデンス)が求められます。以下のエビデンスを事前に収集・整理しました。

  1. システム設定のスクリーンショット:ファイアウォール設定、ウイルス対策ソフトの稼働状況、WindowsUpdateの適用状況、BitLockerの暗号化状態など
  2. ログの保存確認:アクセスログ、認証ログ、操作ログの保存期間と保存場所の確認
  3. バックアップの実行記録:バックアップジョブの実行ログ、直近のリストアテスト結果
  4. 教育・啓発の記録:研修の実施記録、出席者リスト、教材
  5. 変更管理の記録:システム変更時の申請・承認記録

4. 想定質問への回答準備

監査員からよく聞かれる質問を想定し、回答を準備しました。特に「なぜこの対策を採用したのか」「リスクをどう評価したのか」「不足している対策への改善計画はあるか」といった、意思決定のプロセスに関する質問への回答を整理しました。

⚠️ 注意

監査当日に最も避けるべきことは「嘘をつく」ことと「知ったかぶりをする」ことです。実施していない対策を実施していると言ったり、知らない技術用語を知っているふりをしたりすると、深掘りされた際に矛盾が露呈し、信頼を大きく損ないます。正直に現状を説明し、不足点は改善計画とともに示しましょう。

5. 監査当日の対応

監査当日は、以下の点に留意して対応しました。関係者(経営者、各部門長)には事前に監査の趣旨と協力を依頼し、当日スムーズに対応できるよう準備しました。

  • 質問には簡潔に要点を答え、余計な情報を自ら話さない
  • 資料やエビデンスはすぐに提示できるよう、フォルダ構成を整理しておく
  • 回答に迷う質問には「確認して後日回答します」と対応する
  • 指摘事項はメモを取り、監査終了後に改善計画を速やかに作成する

判断と成果

2か月間の準備期間で監査に臨んだ結果、重大な指摘事項(是正が必須の項目)はゼロという成果を収めました。軽微な指摘事項は5件ありましたが、いずれも改善計画を提示して受理されました。

取引先からは「中小企業としてはしっかり対応されている」という評価をいただき、取引の継続・拡大につながりました。また、監査準備を通じて社内のセキュリティ体制を体系的に整理できたことで、ひとり情シスとしての日常業務の効率化にもつながりました。

監査対応で整備した文書やエビデンスは、次回の監査でもベースとして活用できるため、2回目以降の準備工数は大幅に削減できる見込みです。

推奨事項

  • 監査の要件・チェック項目を事前に取引先・監査機関に確認する
  • 「完璧な対策」より「PDCAサイクルが回っていること」の証明を重視する
  • 文書はIPAのテンプレートなど既存リソースを活用して効率的に整備する
  • 日常業務の中でエビデンスを残す習慣をつける(スクリーンショット、ログ保存等)
  • 不足している対策は正直に認め、具体的な改善計画とスケジュールを示す
  • 監査結果と改善対応の記録を残し、次回の監査に活用する
  • 初回の監査対応を乗り越えたら、ISMS認証取得も視野に入れて体制を強化する