セキュリティ監査は、組織の情報セキュリティ管理体制が、定めた方針・規格・法令に沿って機能しているかを客観的に検証する活動です。ISMS、Pマーク、SOC 2、J-SOXなど、各種規格・法令の維持に必須のプロセスとして位置づけられます。

しかし、中堅企業の多くは「監査対応の負荷が膨大」「指摘が毎年同じ」「形式的に通すだけの儀式」になりがちです。監査の本来目的である「改善サイクルの実装」が機能せず、認証維持コストだけが累積する状態に陥ります。

本記事では、企業向けセキュリティ監査を実務で機能させるための実施方法を、内部監査と外部監査の観点から整理します。年間計画の立案から指摘事項の改善対応、監査効率化の運用設計まで、中堅企業の情シスが運用できる現実解を示します。

対象読者は、内部監査責任者、情報セキュリティ責任者、ISMS・Pマーク・SOC 2認証の維持を担う管理部門、外部監査対応を主導する情シス部門長です。

セキュリティ監査とは｜内部監査と外部監査の役割

セキュリティ監査は、内部監査と外部監査の2種類に大別されます。それぞれ目的・実施主体・成果物が異なるため、組織として両方を統合的に運用する設計が必要です。

中堅企業では監査体制の不足から、外部監査直前にだけ慌てて準備するパターンが多く見られます。内部監査が機能していれば、外部監査の負荷は大幅に軽減できます。

内部監査の目的と実施体制

内部監査は、組織自身がISMSなどの管理体制が要求事項通りに運用されているかを点検する活動です。ISO/IEC 27001の要求事項9.2「内部監査」で、計画的な実施が義務付けられています。

実施主体は組織内の監査担当者で、被監査部門から独立した立場が求められます。中堅企業では専任監査担当を置くのが難しいため、相互監査（情シス部門が他部門を監査するなど）の運用が現実的です。

外部監査の種類と特徴

外部監査には、認証審査機関が実施する認証審査（ISMS、Pマーク、ISMAP）、独立した監査法人が実施する保証業務（SOC 2、J-SOX）、顧客企業が実施するサプライヤ監査などがあります。

それぞれ目的・基準・成果物が異なります。ISMS審査は認証維持、SOC 2は顧客への保証提供、J-SOXは内部統制の有効性証明など、目的を明確にして対応します。

内部監査と外部監査の連動

内部監査で検出した指摘を確実に改善し、その記録を外部監査時に提示することで、PDCAサイクルが機能している証拠になります。両監査を連動運用することで、組織全体の管理水準が向上します。

参考：ISO/IEC 27001:2022 内部監査要求事項 - JIPDEC

参考：Pマーク制度概要 - JIPDEC

セキュリティ監査の年間計画立案

セキュリティ監査は単発のイベントではなく、年度計画として継続的に実施する活動です。年間計画を立案することで、監査リソースの最適配分と被監査部門の負荷分散を実現できます。

中堅企業の監査計画は、ISMS・Pマーク・SOC 2など複数規格を統合した一覧で管理することが効率的です。

年間監査スケジュールの設計

年度の監査スケジュールは、外部審査日程から逆算して設計します。ISMS定期審査、Pマーク更新審査、SOC 2 Type II報告期間などの外部マイルストーンを起点に、内部監査の実施タイミングを配置します。

外部審査の3〜4ヶ月前に内部監査を完了させ、指摘事項の改善期間を確保することが標準的な設計です。改善が間に合わない指摘は、外部審査でも指摘として残ります。

監査範囲の設定

監査対象は、組織全体を一度に監査するか、部門・拠点・テーマごとに分割するかを設計します。中堅企業では、年度内に全範囲を一巡する分割監査が現実的です。

範囲設定の際は、リスクアセスメント結果を踏まえて優先順位を付けます。高リスク領域（重要システム、機密情報を扱う部門、外部委託先など）は重点監査の対象とします。

監査チェックリストの整備

監査実施前に、対象範囲ごとのチェックリストを整備します。ISO/IEC 27001のAnnex A管理策、Pマーク要求事項、SOC 2のTrust Services Criteriaを参照し、自組織の対策基準と紐づけたチェック項目を準備します。

チェックリストは年度ごとに更新します。前年度の指摘傾向、新規導入システム、組織変更などを反映することで、形骸化を防げます。

参考：Pマーク内部監査への対応 - JIPDEC

内部監査の実施手順｜5ステップで進める標準フロー

内部監査は、計画立案から指摘改善まで5つのステップで構成される標準フローで進めます。各ステップでアウトプットが明確になっているため、監査未経験者でも運用しやすい構造です。

中堅企業では、初年度は外部コンサルタントの支援を受けて型を作り、2年目以降は内製化するパターンが効率的です。

ステップ1：監査計画書の作成

監査の目的・範囲・基準・実施日程・監査チームを記述した監査計画書を作成します。被監査部門との事前合意を取り、監査開始日の2〜4週間前に通知します。

計画書には、監査の主目的（規格適合性、運用有効性、改善機会の特定など）を明示します。目的が曖昧だと、監査結果も焦点を欠いた内容になります。

ステップ2：事前資料レビュー

被監査部門から、対象範囲のポリシー・手順書・運用記録を事前に提出してもらい、書面レビューを実施します。事前レビューで論点を絞ることで、現地監査の効率が大幅に上がります。

書類上の不整合（規程と実態の乖離、記録の欠落、承認の漏れなど）を事前に把握し、現地監査での重点質問項目を整理します。

ステップ3：現地監査・ヒアリング

被監査部門で実地のインタビューと記録確認を実施します。監査チェックリストに沿って質問しながら、運用実態を確認します。文書ではわからない実態を、現場の担当者の言葉で把握します。

ヒアリングでは「どうすべきか」ではなく「実際にどうしているか」を聞くことが重要です。指摘事項の事実関係を、被監査部門と双方確認しながら記録します。

ステップ4：監査報告書の作成

監査結果を報告書にまとめ、適合事項・観察事項・不適合事項を区分して記述します。不適合事項には、不適合の内容・該当する規格要求事項・改善期限・責任者を明記します。

報告書は被監査部門にレビューしてもらい、事実認識のズレを解消したうえで確定します。確定後、ISMS委員会または経営層に報告します。

ステップ5：是正処置と効果測定

不適合事項に対する是正処置計画を被監査部門が作成し、監査チームが妥当性を確認します。改善実施後は、フォローアップ監査で効果を検証します。

是正処置は、原因分析→対策実施→再発防止策の3段階で設計します。表面的な対症療法だけでは、同じ指摘が翌年も繰り返されます。

参考：ISMS-AC 制度概要

外部監査対応の実務｜ISMS・Pマーク・SOC 2

外部監査の負荷は、事前準備の質で大きく変わります。慌てて直前準備をすると現場の負担が膨大になり、本業に支障が出ます。

中堅企業では、内部監査・日常運用・外部監査を一連のプロセスとして設計することで、外部監査時の追加準備を最小化できます。

ISMS定期審査・更新審査

ISO/IEC 27001の認証は、初回取得後、年1回の定期審査と3年ごとの更新審査で維持します。定期審査では、Annex A管理策の運用記録、内部監査記録、マネジメントレビュー記録を中心に確認されます。

中堅企業では、運用記録の網羅性が課題になりがちです。アクセスレビュー記録、退職者アカウント停止記録、インシデント対応記録などを、ツールで自動取得できる体制が有効です。

Pマーク（プライバシーマーク）審査

JIS Q 15001:2023準拠に基づき、個人情報保護マネジメントシステムの運用状況を審査します。JIPDECによると準備から取得まで概ね6か月〜1年が目安で、書類審査と現地審査の2段階で実施されます。

審査では、個人情報の特定・リスク分析、本人通知・同意取得記録、委託先監督記録、漏えい時対応手順などが重点確認項目です。SaaS利用拡大により、委託先管理の証跡整備が中堅企業の負荷になっています。

SOC 2 Type II報告

SOC 2はAICPAが定める基準で、Trust Services Criteria（セキュリティ、可用性、処理の完全性、機密性、プライバシー）に基づいて運用統制を評価します。Type IIは初回3〜12ヶ月（多くは6ヶ月）の運用記録を対象とします。

国内中堅企業でも、海外顧客や上場企業との取引拡大に伴いSOC 2取得ニーズが増えています。継続的な運用記録の取得が重要で、ツールによる自動化が有効です。

参考：ISMS認証制度の仕組み - JIPDEC 参考：SOC 2 概要 - AICPA

監査で頻出する指摘事項と対策パターン

中堅企業の外部監査・内部監査で頻出する指摘事項には共通パターンがあります。事前に把握して対策することで、認証維持の負荷を大幅に軽減できます。

指摘事項の根本原因は、運用プロセスとツール基盤の整備不足にあるケースが多く、ITツールによる自動化が有効な解決策になります。

指摘1：退職者アカウント残存

退職した従業員のSaaSアカウントが停止されないまま残るケースは、ISMS・Pマーク・SOC 2のいずれでも頻出指摘事項です。手作業の退職処理では、複数SaaSの停止漏れが発生します。

対策は、人事システムと連携したID自動停止の仕組み導入です。人事側の退職処理をトリガーに、全SaaSのアカウントを自動停止できる体制が標準解です。

指摘2：アクセスレビューの形骸化

アクセス権の定期レビューが形式作業になり、過剰権限が放置されるケースです。「特権アカウントが業務で必要な範囲を超えている」「異動者の旧部門アクセス権が残存している」などが具体的な指摘です。

対策は、アクセス権の可視化と定期レビューの仕組み化です。SaaS管理ツールでアクセス権一覧を自動取得し、責任者承認による棚卸しサイクルを構築します。

指摘3：シャドーIT・ライセンス未管理

部門が独自に契約したSaaSがIT部門で把握されておらず、情報資産台帳に載っていないケースです。シャドーITは、データ流出・コンプライアンス違反のリスクを増幅します。

対策は、SaaS可視化ツールによる利用実態の継続的な把握です。SSO・人事システム・経費精算データなどから、利用中のSaaSを自動検出する仕組みが有効です。

指摘4：操作ログ・監査証跡の不足

特権操作のログ、システム変更記録、データアクセス履歴などの監査証跡が不足しているケースです。事故発生時の影響範囲特定や原因調査に必要な情報が欠落します。

対策は、各システムの操作ログを自動収集し、改ざん防止された状態で保管する仕組みです。SaaS管理ツールやSIEM製品の活用で対応できます。

指摘5：教育記録の不備

情報セキュリティ教育の実施記録、理解度確認結果、未受講者のフォロー記録などが不十分なケースです。教育の有効性を客観的に証明できないと、認証審査で指摘を受けます。

対策は、eラーニングシステムによる受講記録の自動取得と、未受講者への自動リマインドの仕組みです。年次教育計画と連動した運用が求められます。

参考：セキュリティ対策の落とし穴 - IPA

用語集｜セキュリティ監査で押さえる10語

監査実務で頻出する用語を整理します。被監査部門との認識ズレを防ぐため、組織内で用語の解釈を揃えることが重要です。

監査計画書・チェックリスト・報告書で一貫した用語を使い、現場の混乱を避けます。

• 内部監査：組織自身が管理体制を点検する活動。ISO/IEC 27001要求事項9.2で義務化
• 外部監査：第三者機関が実施する監査。認証審査・SOC 2・サプライヤ監査など
• 適合事項：規格要求事項に沿って運用されている事項
• 不適合事項：規格要求事項を満たさない事項。是正処置が必須
• 観察事項：不適合ではないが改善の余地がある事項
• 是正処置：不適合の原因を取り除き、再発を防止する処置
• マネジメントレビュー：経営層がISMSの有効性を定期的に評価する活動
• 適用宣言書（SoA）：適用する管理策を明示した文書。ISMS必須文書
• 監査証跡：システム操作・運用活動の記録。監査時に確認される
• Trust Services Criteria：SOC 2で用いる5つの評価基準

ジョーシスで監査対応を効率化する方法

セキュリティ監査の負荷の多くは、運用記録・操作ログ・台帳更新の手作業にあります。ジョーシスのプラットフォームは、ISMS・Pマーク・SOC 2が求める運用記録の多くを自動取得し、監査対応工数を大幅に削減します。

中堅企業の情シスでは、限られた人員で複数規格の認証維持を求められるケースが増えています。ツールによる自動化が現実解です。

情報資産台帳の自動更新

ジョーシスは350以上のSaaSと連携し、組織内で利用されているサービス・ライセンス・ユーザを継続的に可視化します。情報資産台帳の主要部分が自動更新され、監査時の証跡提示が即座に可能になります。

シャドーITの早期発見、未使用ライセンスの特定、契約状況の可視化まで、ダッシュボードベースで運用できます。

IDライフサイクル管理と監査証跡

入社・異動・退職時のID管理を自動化し、連携済みSaaSの操作を監査証跡として保全します。退職者アカウント残存、アクセス権過剰付与など、監査頻出指摘の発生源を減らせます。

特権アカウントの利用状況、多要素認証の有効化状況、ログイン履歴も継続的に追跡できます。なお、教育・委託先管理・物理セキュリティなどはツールとは別に組織的な対応が必要です。

アクセスレビューの仕組み化

アクセス権の一覧を自動取得し、責任者承認による定期レビューサイクルを構築できます。Excel手動管理での「形式的なレビュー」から、実態に基づいた継続的なレビューへ移行可能です。

実際の導入企業では、IT工数を最大50%、ITコストを最大75%削減した事例があります。監査対応の自動化が、情シス組織の生産性向上に直結します。

ジョーシスは国内外700社以上に導入され、SaaS管理・IDガバナンス・IT資産管理を統合的に担うプラットフォームとして、中堅企業の監査対応を支えています。

CTA: ジョーシスを5分で理解する資料ダウンロード

CTA: 無料デモで自社環境への導入効果を確認する

参考：Josys 公式サイト

よくある質問｜セキュリティ監査の実務疑問

監査対応に取り組む情シスからよく挙がる質問を整理します。実務判断で迷いやすいポイントを中心にピックアップしました。

Q1：内部監査は専任担当が必要ですか

専任が望ましいですが、中堅企業では兼任も認められます。重要なのは「被監査部門から独立した立場」であることです。情シス部門の運用担当が情シス自身を監査するのは、独立性の観点で不適切です。

Q2：監査チェックリストはどこから入手できますか

JIPDEC、IPA、日本規格協会などが業界向けのサンプルを公開しています。これらを出発点に、自社の対策基準と紐づけて自組織版を作成します。コンサルタント支援で初回作成するパターンも一般的です。

Q3：外部審査の指摘を内部で再発させない方法は

是正処置を「対症療法」ではなく「根本原因分析」で進めることが重要です。指摘の背景にある運用プロセスやツール基盤の不足を特定し、構造的に改善する設計が必要です。

Q4：SOC 2 Type II取得には何ヶ月必要ですか

通常、準備期間6〜12ヶ月、運用期間6〜12ヶ月、報告書発行3ヶ月程度で、初回取得には合計1〜2年かかります。継続的な運用記録の取得が前提条件で、ツール基盤の整備が必須です。

Q5：複数認証を取得する場合の効率化方法は

要求事項を統合管理することで、運用記録・教育・監査の重複を排除します。ISO/IEC 27001を軸に、Pマーク・SOC 2・APPIの追加要件を補完する構造が一般的です。共通の証跡で複数審査に対応する設計を推奨します。

まとめ｜継続的監査で組織力を高める

セキュリティ監査は、認証維持の手段であると同時に、組織のセキュリティ管理水準を継続的に高めるためのプロセスです。年間計画に基づく内部監査と外部監査の連動運用、是正処置の根本原因分析、ツール基盤の整備により、形式作業ではなく実務で機能する監査体制を構築できます。

中堅企業では、限られた人員で複数規格の認証維持を求められるなか、SaaS管理・IDガバナンス・IT資産管理を統合したツール基盤の整備が前提条件になります。ジョーシスのような統合プラットフォームを活用することで、情報資産台帳の自動更新、ID管理証跡の自動取得、アクセスレビューの仕組み化が実現でき、IT工数を最大50%削減しながら監査品質を高められます。

まずは自社の監査指摘傾向を分析し、繰り返し指摘される領域から自動化対象を絞り込むことをおすすめします。ツールによる自動化と運用プロセスの見直しを組み合わせることで、監査負荷を構造的に軽減できます。