サイバーセキュリティ辞典 2026-04-08
セキュリティ監査
組織のセキュリティ対策が規定・基準・コンプライアンス要件を満たしているかを体系的に評価するプロセス。内部監査と外部監査があり、ログ審査・設定確認・インタビューを組み合わせて実施する。
セキュリティ監査とは?
セキュリティ監査は、組織のセキュリティ対策・プロセス・技術的な管理策が、設定された基準・ポリシー・コンプライアンス要件を満たしているかを体系的に評価・検証するプロセスです。
内部監査 vs 外部監査
| 項目 | 内部監査 | 外部監査 |
|---|---|---|
| 実施者 | 社内のセキュリティ担当・内部監査部門 | 第三者の認定審査機関 |
| 目的 | 継続的な改善・問題の早期発見 | 認証取得・法的証明 |
| 頻度 | 定期的(月次・四半期) | 年1〜2回(認証要件に応じて) |
| コスト | 低〜中 | 高い |
主な監査基準・フレームワーク
| フレームワーク | 対象 |
|---|---|
| ISMS(ISO/IEC 27001) | 情報セキュリティ管理全般 |
| PCI DSS | クレジットカード情報を扱う組織 |
| SOC 2 | SaaSプロバイダーのデータ管理 |
| NIST CSF | 米国政府・重要インフラ向け |
| プライバシーマーク(Pマーク) | 個人情報保護(日本) |
監査の主な確認項目
- アクセス権限の適切な設定(最小権限の原則)
- パスワードポリシーの実施状況
- パッチ適用の状況
- インシデント対応手順の整備
- バックアップの実施・復旧テスト
- ログの保全と監視
まとめ
セキュリティ監査はISO 27001やPCI DSSなどの認証取得の核心プロセスです。定期的な内部監査で問題を早期発見し、外部監査での認証取得で顧客・取引先への信頼性をアピールできます。
おすすめの高速レンタルサーバー PR
関連する用語 (サイバーセキュリティ辞典)
全109件を見るセキュリティ用語: Deep Web とは
情報セキュリティの重要キーワード「Deep Web」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Symmetric Encryption とは
情報セキュリティの重要キーワード「Symmetric Encryption」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: OWASP Top 10 とは
情報セキュリティの重要キーワード「OWASP Top 10」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
脅威インテリジェンス(Threat Intelligence)
サイバー攻撃の手法・攻撃者・侵害指標(IoC)に関する体系的な情報。組織が現実的な脅威を把握してプロアクティブに防御策を取るために活用されるセキュリティ情報。
詳しく読む
セキュリティ用語: Microsegmentation とは
情報セキュリティの重要キーワード「Microsegmentation」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Social Engineering とは
情報セキュリティの重要キーワード「Social Engineering」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む