平成26年度 秋期 ITパスポート試験 公開問題 問83 解説 ISMS監査の実施手順

監査の基本原則は計画から

システム監査を実施する際、最初に行うべきことは「監査計画書の作成」です。監査とは、組織のルールや方針に沿って業務が行われているかを客観的に評価する行為です。目的や範囲、手法を明確にせずに行う調査は、ただの「確認作業」に過ぎず、組織的な監査としては認められません。まずは何を、どの範囲まで、どのような基準で調べるかを文書化することがスタート地点となります。

なぜ計画書が最優先なのか

システム監査のプロセスは、一般的に以下の手順で進みます。

1. 監査計画の策定
2. 監査の実施（予備調査・本調査）
3. 監査報告書の作成と改善勧告

今回の設問にある「設定の見直し」や「ログの確認」「脆弱性検査」は、すべて上記の2番目、つまり「監査の実施」段階で行う具体的な作業です。もし計画を立てずにこれらの作業を始めてしまうと、以下の問題が発生します。

• 監査の目的が不明確になり、本当に守るべき情報が保護されているか判断できない。
• 調査の範囲が広がりすぎて時間が足りなくなる、あるいは逆に重要な範囲が漏れてしまう。
• 客観的な評価基準がないため、結果の正当性を証明できない。

監査は「何を守るために、どこを、どのように評価するのか」という合意形成ができて初めて成立するプロセスです。そのため、計画書を作成し、関係者の承認を得ることが、監査人にとって最も重要な最初のアクションとなります。

実務現場における監査の考え方

この知識は、ITパスポートの試験範囲を超えて、実際の職場におけるプロジェクト管理やリスク管理の考え方にも直結します。

例えば、新しいシステムの導入や定期的なセキュリティ点検を行う際にも同じことが言えます。いきなりツールを動かしたり、設定画面を開いて触り始めたりするのではなく、「なぜこれを行うのか（目的）」「どこまでをチェック対象にするのか（スコープ）」「何をもって正常とするのか（基準）」を定義することから始めます。

無計画な作業は手戻りや見落としを招き、最悪の場合は監査対象のシステムを停止させるなどの事故にもつながりかねません。監査の基本プロセスを理解することは、仕事において「準備」がどれほど重要であるかを理解することと同義です。効率的かつ安全に業務を進めるためのマネジメント能力として、この考え方を定着させておきましょう。

参考リンク

• 【ITパスポート】システム監査とは？プロセスや目的を分かりやすく解説！
• 脆弱性診断ツールを実際に動かしてみた：NmapとOWASP ZAPで始めるセキュリティチェック
• システム監査基準 - 経済産業省