この記事でわかること
- 情報セキュリティ監査の目的と種類
- 中小企業向けセキュリティ監査チェックリスト(50項目)
- 自社でできるセキュリティ診断の方法
- 外部監査の費用と依頼先の選び方
- 監査結果を改善につなげるアクションプラン
セキュリティ監査とは
情報セキュリティ監査は、組織のセキュリティ対策が適切に機能しているかを第三者の視点で評価するプロセスです。「やっているつもり」のセキュリティ対策が実際に機能しているか、見落としがないかを客観的にチェックします。
監査の種類
| 種類 | 実施者 | 目的 | 頻度 |
|---|---|---|---|
| 内部監査 | 社内の監査担当者 | 自社の対策状況の確認 | 年1〜2回 |
| 外部監査 | 外部のセキュリティ企業 | 第三者による客観的評価 | 年1回 |
| 認証審査 | 認証機関の審査員 | ISMS・Pマーク取得/更新 | 1〜2年ごと |
| 脆弱性診断 | セキュリティベンダー | システムの技術的脆弱性の発見 | 年1〜4回 |
セキュリティ監査チェックリスト
①組織・体制(10項目)
- 情報セキュリティ責任者が任命されている
- 情報セキュリティポリシーが文書化されている
- ポリシーが全従業員に周知されている
- インシデント対応手順が文書化されている
- 情報資産の一覧(台帳)が作成されている
- リスクアセスメントを年1回以上実施している
- セキュリティ教育を年1回以上実施している
- 退職者のアカウント削除手順が明確
- 委託先のセキュリティ管理基準がある
- 経営会議でセキュリティ状況が報告されている
②アクセス管理(10項目)
- パスワードポリシーが定められている(8文字以上、英数記号混在等)
- 多要素認証(MFA)が導入されている(最低でも管理者アカウント)
- アカウントの棚卸しを定期的に実施(退職者・異動者の削除)
- 最小権限の原則で権限設定されている
- 管理者アカウントの利用者が限定されている
- 共有アカウントを使用していない
- リモートアクセス時のセキュリティ対策がある(VPN等)
- ゲスト用Wi-Fiが業務ネットワークと分離されている
- 退職時のアカウント無効化が即日実施されている
- 特権IDの利用ログを記録・監視している
③ネットワーク・インフラ(8項目)
- ファイアウォール or UTMが導入されている
- ウイルス対策ソフトが全端末にインストールされている
- OS・ソフトウェアのアップデートが定期的に適用されている
- Wi-Fiの暗号化がWPA3 or WPA2で設定されている
- 社内ネットワークのセグメント分離がされている
- 不要なポートが閉じられている
- バックアップが定期的に取得されている(日次推奨)
- バックアップからの復元テストを実施している
④データ保護(7項目)
- 個人情報・機密情報の保管場所が特定されている
- 機密データの暗号化がされている(保存時・通信時)
- USBメモリ等の外部記憶媒体の使用が管理されている
- 廃棄PCのデータ消去手順が定められている
- クラウドストレージの共有設定が適切(公開リンクの制限等)
- メール誤送信防止の仕組みがある(送信遅延、上長承認等)
- 紙の機密書類の施錠保管・シュレッダー廃棄が実施されている
セキュリティ監査で最も重要なのは「形式的にチェックを埋める」のではなく「実際に機能しているか確認する」ことです。例えば「パスワードポリシーがある」にチェックしても、実際に全員が守っているか検証しなければ意味がありません。チェックリストの各項目に対して「いつ」「誰が」「どうやって」確認したかを記録してください。
⑤物理セキュリティ(5項目)
- サーバールーム・重要設備への入退室管理がある
- 来客の受付・記録が行われている
- 執務エリアへの部外者の立入りが制限されている
- 盗難防止(PCのケンジントンロック等)が実施されている
- 防犯カメラが重要エリアに設置されている
⑥インシデント対応(5項目)
- インシデント発生時の連絡体制(エスカレーションフロー)がある
- インシデント対応訓練を年1回以上実施している
- ランサムウェア感染時の対応手順がある
- 個人情報漏洩時の報告義務(個人情報保護委員会等)を理解している
- 過去のインシデントの記録と再発防止策が文書化されている
⑦クラウド・SaaS管理(5項目)
- 利用しているクラウドサービスの一覧がある
- 各サービスの管理者アカウントが明確
- シャドーIT(未承認のクラウドサービス利用)の把握・管理
- SaaSベンダーのセキュリティ認証(SOC2、ISO27001等)を確認
- 契約終了時のデータ削除方法を確認
自社でできるセキュリティ診断
無料ツール
| ツール | 対象 | 概要 |
|---|---|---|
| IPA 5分でできる自社診断 | 組織全体 | IPAの自己診断シート(25問) |
| Qualys SSL Labs | Webサイト | SSL/TLS設定の評価(A〜F) |
| Have I Been Pwned | メールアドレス | 過去の情報漏洩に含まれていないか |
| Shodan | 公開サーバー | 外部から見える脆弱性の確認 |
外部監査の費用
| 監査内容 | 費用目安 | 期間 |
|---|---|---|
| セキュリティ診断(Web) | 30〜100万円 | 1〜2週間 |
| セキュリティ診断(ネットワーク) | 50〜200万円 | 2〜4週間 |
| ペネトレーションテスト | 100〜500万円 | 2〜4週間 |
| セキュリティ監査(組織全体) | 50〜300万円 | 2〜4週間 |
| ISMS認証審査 | 80〜280万円 | 審査2日間(準備含め6ヶ月) |
中小企業にまずおすすめしたいのは、IPAの「5分でできる自社診断」です。無料で25問に答えるだけで、自社のセキュリティレベルが分かります。その結果をもとに「赤信号の項目から対策する」だけでも、セキュリティレベルは大幅に向上します。外部監査は年1回、自己診断は四半期に1回のサイクルが理想です。
あわせて読みたい
- ISMS・Pマーク取得ガイド|中小企業の情報セキュリティ認証の進め方
- ISMS(ISO27001)取得の手順|審査対応と必要書類を完全解説
- Pマーク(プライバシーマーク)取得ガイド|費用・期間・申請の流れ
- 中小企業のサイバーセキュリティ対策|攻撃事例と実践的な防御策【2026年版】
- クラウドセキュリティの基本|安全にクラウドを使うための対策
まとめ
- セキュリティ監査は「やっているつもり」を検証するプロセス
- チェックリスト50項目で網羅的に自己診断が可能
- まずはIPAの無料診断から始め、年1回は外部監査を推奨
- チェックの記録(いつ・誰が・どう確認したか)を残すことが重要
- 監査結果から優先度の高い3〜5項目を選び、改善アクションを実行
セキュリティ監査のご相談は、お問い合わせからお気軽にどうぞ。
よくある質問
中小企業でもセキュリティ対策は必要ですか?
はい、必要です。サイバー攻撃は企業規模を問わず発生しており、中小企業はセキュリティ対策が手薄なため、むしろ標的になりやすい傾向があります。IPAの調査でも中小企業の被害報告は増加しています。
セキュリティ対策の優先順位は?
まずはパスワード管理の強化、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入など基本的な対策から始めましょう。その上で、データのバックアップ体制、従業員への教育と進めていくのが効果的です。
セキュリティ対策にかかる費用の目安は?
基本的な対策(ウイルス対策・ファイアウォール等)は月額数千円〜数万円程度から始められます。ISMS認証取得の場合は初期費用50〜200万円、維持費用が年間30〜100万円程度が目安です。
この記事をシェア