令和7年度 ITパスポート試験 公開問題 問59 解説 ISMS内部監査

内部監査の目的を理解して正誤を判断する

この問題は、ISMSにおける内部監査の役割と実施プロセスに関する正しい理解を問うものです。ポイントは、内部監査が単なる「ルールのチェック（適合性）」だけでなく、「仕組みが役に立っているかの確認（有効性）」も目的としているという点です。また、監査は無計画な抜き打ちではなく、過去の結果を踏まえて計画的に実施されるというマネジメントの基本原則を押さえておく必要があります。

内部監査における適合性と有効性

ISMS（情報セキュリティマネジメントシステム）の内部監査において、監査対象となる基準は大きく二つあります。

一つ目は、JIS Q 27001という国際規格に定められた要求事項への適合性です。組織が国際的な基準に従って情報セキュリティを管理できているかをチェックします。

二つ目は、組織自らが定めた独自のルールや手順です。組織の業態やリスクに合わせて策定した内部規定を、従業員が正しく守っているかを確認します。

しかし、内部監査の重要な側面は、単にルールを守っているかという適合性だけではありません。そのルールを運用することで、実際に情報セキュリティ事故を防げているか、組織の目的を達成できているかという「有効性」を評価することも求められます。監査は、形式的にルールを満たしているかだけでなく、実態として機能しているかまで踏み込んで確認する活動なのです。

監査プログラムの計画と実施方法

選択肢ウやエで述べられているような「過去の結果を無視する」「抜き打ちを原則とする」といった考え方は、PDCAサイクルを回すマネジメントの原則に反します。

内部監査は、組織の状況や過去の監査で見つかった指摘事項（不適合）などを考慮した「監査プログラム」に基づいて実施されます。どこにリスクがあるか、過去にどのような問題があったか、といった情報を踏まえて効率的かつ効果的に監査の計画を立てることが、改善活動の第一歩となります。

したがって、内部監査は予告なしに行うような特別な活動ではなく、定期的かつ計画的な改善プロセスの重要な一環として位置付けられます。

実務における活用の視点

この知識は、ITの現場や情報セキュリティ担当者として働く際に非常に重要です。監査と聞くと「指摘されて怒られる場」とネガティブに捉えられがちですが、本来の目的は「組織の仕組みをより良くするための健康診断」です。

監査を通じて有効性が確認できない業務プロセスが見つかれば、そこを改善することで業務効率が上がったり、セキュリティレベルが向上したりします。試験対策としてはもちろん、実務においても「監査＝改善のチャンス」という視点を持つことが、マネジメントシステムを適切に運用する鍵となります。

参考リンク

• ITパスポート試験ドットコム｜内部監査
• ISMS（情報セキュリティマネジメントシステム）の内部監査とは？実施手順やチェックリストの作り方（Qiita）
• JIS Q 27001:2023 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項（日本産業標準調査会データベース）