ISMS内部監査では、企業・組織が構築した情報セキュリティマネジメントシステム（ISMS）の運用状況が、規格要求および自社・自組織で定めた管理策に適合しているかを確認します。リスクアセスメントの実施状況、管理策の有効性、文書および記録の管理状態、インシデント対応の仕組みなどを多角的に検証する評価プロセスです。

たとえば情報資産の保護体制が適切に機能しているかを確認し、改善点および潜在的リスクを明確化します。ISMS内部監査は、情報セキュリティマネジメントシステム（ISMS）の継続的改善を実現し、仕組みとしての実効性を維持・向上させるうえで不可欠な役割を担います。

ISO27001規格との関連性

ISMS内部監査は、ISO27001要求事項との適合性を確認するうえで関連性があります。ISO27001では、企業・組織が情報セキュリティリスクを適切に識別・評価し、管理策を運用している状況を確認するため、内部監査の実施を必須事項として求めています。

ISO27001の要求事項に対する適合性を維持するためには、内部監査によって運用状況を定期的に点検し、改善点の有無の把握が必要です。内部監査の結果は、マネジメントレビューおよびISO認証機関による外部審査で、管理体制を証明する証跡としても活用できます。ISMS内部監査は、情報セキュリティマネジメントシステム（ISMS）の継続的改善サイクル（PDCA）の維持に加え、ISO27001の要求事項への適合性確認においても不可欠なプロセスです。

関連記事：ISO27001の要求事項一覧｜構造や各項目を体系的に解説

ISMS内部監査を実施する目的とは？

ISMS内部監査を実施する目的は、情報セキュリティマネジメントシステム（ISMS）の運用状況を客観的かつ体系的に評価することです。たとえば自社・自組織の情報セキュリティ方針および業務規程・手順書類に準拠しているか、組織のリスク低減や継続的改善につながっているかを確認します。以下では、ISMS内部監査を実施する目的について、企業・組織に対する影響・効果を踏まえて解説します。

情報セキュリティリスク管理体制の有効性の評価

ISMS内部監査には、企業・組織が構築した情報セキュリティリスクマネジメントが適切に機能しているか、有効性を評価する目的があります。リスク特定・分析・対応方針の妥当性、管理策の選定と実施状況、運用に関する記録の整備状況などをもとに、リスク低減のための取り組みが有効に実施されているかを確認します。

また、情報セキュリティリスク管理体制の維持に不可欠な、情報セキュリティの3要素（機密性・完全性・可用性）が適切に保たれているか、確認するのもISMS内部監査の役割です。システムの整備・制御などの技術的管理策だけでなく、責任者の選出、非常時に備えた訓練など、組織的管理策も評価対象となります。さらに、AIをはじめとするIT技術やセキュリティ上の脅威は新たなものが発生していることも多々あるため、昨今の情勢を考慮しているかを確認することも重要です。情報セキュリティリスクマネジメントについて全体の管理レベルが適正であるか、継続的改善を行うための基盤が確立されているかという観点での有効性評価が必要です。

情報漏えい・重大インシデントの未然防止

ISMS内部監査には、情報漏えいおよび不正アクセス、業務中断につながる重大インシデントの発生を未然に防止する目的もあります。アクセス管理、ログ管理、バックアップ、端末管理、外部委託先管理など、リスクが顕在化しやすい領域を中心に、管理策が適切に運用されているかを確認します。

加えて、インシデント発生時の対応手順、報告体制の整備状況の確認を通じて、対応の迅速性・確実性の評価も肝要です。情報セキュリティリスクアセスメントを実施し、リスクの特定・分析を行い、その結果が実際のシステム運用に反映されているかを検証します。これらのプロセスを通じて、潜在的リスクの顕在化を抑止し、重大な事故を回避する体制を維持するのも内部監査の重要な役割です。

関連記事：情報セキュリティリスクアセスメントとは？策定手順と対策・評価プロセス

ISO27001要求事項への適合性の検証

ISMS内部監査の目的として、ISO 27001の要求事項に対する企業・組織で導入している情報セキュリティマネジメントシステム（ISMS）の適合性確認も挙げられます。ISO27001認証の取得または維持を目指す場合、内部監査を通じてISO27001規格で求められる運用が確実に実施されているかを、外部審査の受審前に検証する必要があるためです。

ISMS内部監査では、ISO27001規格の附属書Aの管理策の運用状況、リスクアセスメントおよび対応プロセス、情報・記録類の管理、インシデント対応体制なども確認対象とします。内部監査で適合状況を把握しておけば、外部審査時の重大不適合の指摘リスクを低減できるため、認証維持にも有効です。また、要求事項に対する適合性の定期的な検証は、情報セキュリティマネジメントシステム（ISMS）運用の形骸化を抑止し、継続的改善につなげる基盤の整備にもなります。

ISMS内部監査のやり方・進め方

ISMS内部監査のやり方・進め方は、以下のとおりです。

ISMS内部監査計画の策定
チェックリスト・質問の作成と事前確認
ISMS内部監査の実施
ISMS内部監査の結果整理と報告
経営層への報告
是正処置対応・有効性の再確認

以下では、ISMS内部監査の進行における注意点、ならびに具体的な対応方法について解説します。

1.ISMS内部監査計画の策定

ISMS内部監査を適切に実施するには、年間監査計画および個別監査計画の策定が不可欠です。内部監査計画では、監査対象範囲、監査目的、実施時期、担当監査員、使用する監査手法を明確化します。なお、計画の策定に伴い、内部監査員の任命も必要です。内部監査員は、内部・外部の内部監査員養成研修を受けた、監査対象部門に関与していない人材を任命します。

計画の策定にあたっては、情報セキュリティリスクの高い領域を優先しつつ、情報セキュリティマネジメントシステム（ISMS）の各プロセスを網羅できるよう計画を組み立てる必要があります。また、監査対象部門の業務状況および組織変更も踏まえ、計画の妥当性についての管理責任者への確認も肝要です。内部監査計画を詳細に策定しておけば、内部監査の客観性・効率性が向上し、形式的でなく実効性の高い評価が可能になります。

2.チェックリスト・質問の作成と事前確認

ISMS内部監査の品質および有効性を確保するため、ISO 27001の要求事項および企業・組織が採用している管理策に基づいたチェックリストを作成します。チェックリストは、たとえばリスクアセスメントの運用状況、管理策の有効性、情報の管理、インシデント対応など、確認すべき項目を体系的に整理したものが有効です。

監査員は、事前に関連規程・手順書・記録類を確認し、内部監査で重点的に評価すべき事項を把握しておきます。チェックリストに加え、監査当日に担当者へ行う質問例の作成も、事前準備の精度向上に効果的です。チェックリスト・質問の作成は、監査当日の進行が的確になるだけでなく、監査員の能力による評価の差異を抑制し、実態把握の正確性向上および評価基準の統一において有効な手段となります。

3.ISMS内部監査の実施

ISMS内部監査は三現主義（現場、現物、現実）に基づくことが望ましいと考えます。そのため、インタビューだけでなく、記録確認、現場観察を組み合わせて実施します。担当者への質問を通じて、業務手順・管理策の理解度および実行状況を確認します。記録確認では、リスクアセスメント結果、ログ管理記録、アクセス権限管理台帳など、管理における証跡の妥当性と整合性の検証が不可欠です。

さらに、サーバールーム・オフィス・物理管理エリア等の現場確認を行い、情報セキュリティに対する管理策の運用状況および実用性を評価します。システム制御のような技術的側面の確認にとどまらず、管理策の現場業務における有効性を実態ベースで判断する視点が求められます。

4.ISMS内部監査の結果整理と報告

ISMS内部監査の実施後は、確認した事実に基づき、適合事項、不適合事項、改善が望まれる観察事項などを整理します。内部監査の実施が、ISO27001の認証取得・維持を主目的としている場合、要求事項に対する適合状況の確認は不可欠です。不適合が発生している場合、状況・影響範囲を明確に記録し、改善の方向性を示します。

内部監査終了後は、結果を監査報告書としてとりまとめ、対象部門および経営層へ報告します。報告書には、情報セキュリティリスクに関する課題、管理策の有効性評価、改善に向けた指摘事項などの記載が必要です。内部監査結果に基づいた客観的な報告により、企業・組織全体のセキュリティレベル向上に資するフィードバックが可能となります。

5.是正処置対応・有効性の再確認

ISMS内部監査で指摘事項・不適合が確認された場合には、原因分析を行い、是正処置を策定・実施します。対処すべき事項は、情報セキュリティリスクへの影響度を踏まえて優先順位を決め、責任者、実施期限、実施内容を明確化したうえでの実施が肝要です。

是正処置を講じた後は、再発防止策が適切に運用されているか、手順・管理方法が改訂されているかなどを確認し、是正処置の有効性を検証します。必要に応じてフォローアップ監査を実施し、改善策の定着を確認するのも有効です。内部監査の実施のみならず、指摘事項・不適合の早期発見、是正処置の実施が、情報セキュリティマネジメントシステム（ISMS）の継続的改善サイクル（PDCA）維持、および情報セキュリティ管理体制の強化を実現します。

【サンプル付き】ISMS内部監査のチェックリスト・質問例

ISMS内部監査実施にあたり、確認項目に関するチェックリスト・質問を作成したい場合は、以下のサンプルをもとに自社・自組織の状況に応じた形で作成します。

カテゴリ	チェック項目	質問例	確認ポイント
情報セキュリティポリシーの運用	方針が最新の業務実態と整合しているか	「方針の見直しはどの頻度で行っていますか？」	実際の業務変化に合わせて更新されているか
	方針が全要員に周知されているか	「新入社員へどのように教育していますか？」	教育方法・記録の有無、理解度の確認
リスクアセスメントの実効性	リスクの特定方法が形骸化していないか	「リスク洗い出しはどのような手順で行いましたか？」	Excel入力だけでなく、実態の把握ができているか
	対策の更新が適切か	「新しい業務・システムはリスク再評価しましたか？」	リスク変化に伴う追従性
アクセス管理（ID管理）の運用	アカウント発行・削除手順が遵守されているか	「退職者アカウントを削除した証跡はありますか？」	記録の整合性、タイムラグの有無
	権限付与が最小権限になっているか	「役割変更時の権限見直しはどうしていますか？」	権限過多リスクを排除できているか
ログ管理・監視	システムログの保管・確認が実施されているか	「ログはどの周期で確認していますか？」	記録の有無、確認責任者の明確化
	異常ログ検知の体制があるか	「異常を検知した際のエスカレーション手順は？」	インシデント対応の迅速性・明確性
物理的セキュリティ管理	重要エリアの入退室管理が運用されているか	「入退室記録はどのように確認していますか？」	記録の完全性、管理者の設定
	不審者対策・持込デバイス管理が運用されているか	「外部来訪者の管理方法を教えてください」	持込端末の制御、有効な受付手順
バックアップ運用	取得・保管・リストアの実効性	「リストアテストは最近いつ実施しましたか？」	形骸化せず検証されているか
委託先管理（クラウド含む）	委託先の監視・評価が実施されているか	「SLA遵守状況はどのように確認していますか？」	契約管理だけでなく実運用での監視体制
	委託先に依存する情報資産の把握	「委託先に預けている情報資産はどのように管理していますか？」	自社・自組織で管理できる状態になっているか
インシデント管理	インシデント定義・対応手順の徹底状況	「インシデント発生時の初動はどうしていますか？」	実態に沿った手順があるか
	過去のインシデントの再発防止策の運用	「前回のインシデントから改善された点は？」	再発防止の効果検証ができているか
教育・訓練	定期教育の実施と理解度評価	「教育後の理解度確認はどのように行いますか？」	テスト・アンケートの有無、記録の整合性
	標的型攻撃対策の訓練	「訓練メールの結果を部門で共有していますか？」	教育→改善につながる流れがあるか
変更管理	システム変更時のセキュリティ確認	「新システム導入時のセキュリティチェック手順は？」	リスク評価を経て導入されているか
文書化された情報の管理	文書・記録の更新と保管の適切性	「古い手順書が残ったままになっていませんか？」	最新化、アクセス制御、廃棄手順は明確か
継続的改善（PDCA）	改善が運用サイクルに組み込まれているか	「改善事項はどのように追跡していますか？」	報告→承認→実施→効果確認の流れはあるか