１．ISMSの内部監査とは

ISMSにおける内部監査とは、組織が自らの情報セキュリティ管理体制を評価し、改善点を見つけるために行う内部的な監査プロセスです。

組織が定めた情報セキュリティに関するルールや手順が、実際に正しく運用されているかどうかを定期的に確認する活動のことです。

PDCAサイクルのC（チェック）にあたります。

２．ISMS内部監査の目的

ISMS内部監査には、２つの目的があります。

適合性の判定と、有効性の判定です。

・適合性の判定：定めたISMSの規定や手順が、規格（＝ISO/IEC 27001）の要求事項に適合しているかを確認します。

・有効性の判定：ISMSの規定や手順が、実際の業務において効果的に機能しているかを確認します。

これらを評価することで、ルールが形骸化してしまうのを防ぎます。また、組織のセキュリティレベルを維持・向上させるために、情報資産の機密性、完全性、可用性の確保を目指しています。

３．内部監査の進め方

⑴内部監査員の選定

内部監査員を決定します。

ISMS内部監査の監査員選定は、監査の質を大きく左右する重要な要素です。最適な人物を選ぶためには、以下①～③の点を考慮する必要があります。

• ①情報セキュリティに関する知識がある：情報セキュリティやISMSの規格について理解している人が望ましいです。監査の経験がある人であればなお良いです。
• ②客観的に監査できる：監査対象部門との利害関係を避け、客観的な視点で監査を実施できることが重要です。
• ③コミュニケーション力がある：対象者との円滑なコミュニケーションを図り、必要な情報を正確に収集できる能力が必要です。

社内に内部監査員に最適な人物がいないという場合は、外部講習を受けてもらって内部監査員を育成するか、社外の専門家（コンサルタント）を監査員として招くことも有効です。

⑵内部監査の計画を立てる

実施時期、実施者、対象部門、監査範囲を決めて、内部監査チェックリストを作成します。

選定された内部監査員は監査チェックリスト作成を実施します。チェックするべき項目は被監査対象組織や部門によって異なります。部門の特性、状況に応じて、監査すべき項目は柔軟に決定すべきです。

(3)内部監査を実施する

計画に基づいて、チェックリストを使って内部監査を実施します。

文書のレビュー、関係者へのインタビュー、現場観察などを通じてISMSのルールや手順が現在の業務の実態に合っているか、適切に更新されているかを確認します。

収集した情報を基に、適合性や不適合の有無を判断します。不適合が見つかった場合は、その原因を分析し、改善のための提案を行います。

内部監査終了後、内部監査結果を監査報告書に詳細記録します。監査報告書はその後のマネジメントレビューでも利用する重要な記録となりますので、具体的かつ鮮明な記録が求められます。

(4)フォローアップ

監査で指摘された不適合や改善提案に対する対応状況を確認します。必要に応じて、改善策の実施状況を追跡し、再監査を行うこともあります。

４．内部監査を行う際の注意点、ポイント

(1)内部監査員の資質

繰り返しになってしまいますが、監査員選定は監査の質を大きく左右します。①～③に該当する人物を選びましょう。

• ①情報セキュリティに関する知識がある
• ②客観的に監査できる
• ③コミュニケーション力がある

(2)内部監査員が指摘しにくい状況を避ける

内部監査員より被監査対象組織の担当者がかなり上の上席の立場にあたるような場合、監査員から指摘事項を提示しにくい状況が生まれる可能性があります。

よって、監査者、被監査者ともに同格程度の人材を選定することが望ましいです。

(3)適切なルールが設定されているかチェックする

ルールに基づいたISMS運用ができているかだけではなく、ルール自体が適切なのかを判断するのが重要です。

ISO27001の認証を維持するためだけに内部監査を実施すると、無駄なルールばかりになってしまい運用が非効率になります。要求事項で求められている内容を上回った厳しいルールに縛られて、業務がしづらくなっている組織をたくさん見てきました。繰り返しになりますが、ルール自体が適切なのかをしっかりチェックしましょう。適切なルール設定ができていれば、従業員の ISMS 理解を向上させることができます。

内部監査で指摘事項が出た場合、一概にルールを守れなかった従業者が悪いとは言い切れません。当該指摘事項をきっかけに周知不足やルールの難解さ、遵守困難なルールであること、業務非効率などの問題発見にもつながりますので、ルールの適切性にも焦点を当ててみてください。

５．内部監査で必要な３つの記録

⑴内部監査計画

ISMSの内部監査は事前の計画に基づいて実施されます。選定された内部監査員がチェックリスト作成後、内部監査計画として記録化します。計画には、以下の項目を含めることが一般的です。

①実施時期：監査の実施日を具体的に定めます

②実施者：監査を実施する担当者を明確にします

③対象部門：監査対象となる部門を特定します

④監査範囲：監査の対象範囲を詳細に定めます

⑤引継ぎ：前回の監査からの引継ぎ事項

事前に計画を策定することで、監査の目的を明確にし、効率的な実施に繋がります。

⑵内部監査チェックリスト

内部監査チェックリストは、監査の実施において重要なツールです。チェックリストを作成することで、監査項目を漏れなく網羅し、客観的な評価が可能になります。

チェックリストには、以下の項目を含めることが一般的です。

• ①監査項目: 監査対象となる各項目を具体的に列挙します。
• ②評価基準: 各項目に対する評価基準を明確にします。
• ③証拠: 評価結果を裏付ける証拠を収集するための項目を設けます。

チェックリストを活用することで、監査の効率化を図り、客観的な評価結果を得ることができます。

⑶内部監査報告書

内部監査報告書は、監査結果をまとめた文書であり、ISMSの改善に不可欠な資料です。報告書には、以下の項目を含めることが一般的です。

• ①監査の概要: 監査の目的、対象、範囲、実施期間などを記載します。
• ②監査結果: 監査で得られた結果を具体的に記載します。
• ③発見された問題点: 監査で発見された問題点を詳細に記載します。
• ④改善策の提案: 各問題点に対する改善策を具体的に提案します。
• ⑤結論: 監査全体の結論をまとめます。

報告書は、関係者に監査結果を共有し、改善活動を推進するための重要なツールです。 

６．内部監査チェックリストをうまく活用しましょう

内部監査チェックリストは、あくまで監査を円滑に進めるためのツールです。形式的な項目チェックに終わらず、監査員がチェックリストの質問事項を深掘りすることで、より効果的な監査を実施できます。質問を展開し、具体的な状況や背景を明らかにすることで、ISMSの運用状況を正確に把握し、改善点を見つけることができます。

例えば、「利用システムへのログイン認証設定」の項目があれば、YES/NOで答えさせず、利用するシステムやログインの実態について詳細を質問します。いわゆるどのような認証設定、ログイン手法を取られているのか実態を確認し、本当に問題がないか確認することが重要です。

また、チェックリスト項目を徐々にアップグレードしていくことで、「内部監査の質の向上」が期待できます。内部監査を実施する上で重要な事項があるとインプットしたら、監査結果報告にて備考情報としてインプットし、次回内部監査へとつなげていくこともＰＤＣＡサイクルを潤滑に回すためのポイントです。 

７．ISMS内部監査の最新動向

ISMSの内部監査は組織の情報セキュリティレベルを維持、向上させる上で不可欠な活動です。近年、情報セキュリティを取り巻く環境は急速に変化しており、内部監査にも新たな傾向が出てきています。

・デジタル化の進展とリモートワークの増加

クラウドサービスの利用拡大、IoTデバイスの普及、リモートワークの増加に伴い、攻撃対象が増加し、新たなセキュリティリスクが生じています。これらの変化に対応するため、内部監査では、クラウド環境、リモートアクセス、IoTデバイスに対するセキュリティ対策が適切に実施されているかを確認する必要があります。

・サイバー攻撃の高度化

ランサムウェア攻撃や標的型攻撃など、高度化・巧妙化するサイバー攻撃に対応するため、内部監査では、最新の脅威に対する対策が実施されているか、インシデント対応計画が有効に機能しているかを確認する必要があります。 

まとめ

以上のように、ISMS運用における主要項目でもある内部監査について基本的な知っておくべき要素について認知いただけましたでしょうか。ISMSにおいて内部監査は非常に重要かつ効率的に活用しなければいけないイベントとなります。ぜひ今回の内容を考慮して、より有効な内部監査にしていただければ幸いです。