情報セキュリティ・キーワード 2025 ⑨ 監査とコンプライアンス

情報セキュリティ対策が適切に実施され、有効に機能しているかを評価する「監査」と、法令や規制を遵守する「コンプライアンス」に関わるキーワードを取り上げます。

• 9.1 情報セキュリティ監査
• 9.2 コンプライアンスの評価と改善
• 9.3 サードパーティリスクマネジメント

9.1 情報セキュリティ監査

情報セキュリティ監査 (Information Security Audit)
組織の情報セキュリティ対策が、確立された基準（セキュリティポリシー、法令、規格など）に照らして適切に実施され、有効に機能しているかを、独立かつ客観的な立場から評価し、改善を促す活動。

内部監査 (Internal Audit)
組織内の独立した部署（例：監査室）が、自組織の情報セキュリティ対策を評価する監査。継続的な改善を目的とする。

外部監査 (External Audit)
組織の外部の第三者機関（公認会計士、情報セキュリティ監査法人など）が、客観的な立場で情報セキュリティ対策を評価する監査。利害関係者への説明責任を果たすためなどに実施される。

監査計画 (Audit Plan)
監査の目的、範囲、期間、対象、実施体制、手順などを定めた計画書。

監査証跡 (Audit Trail)
システムやネットワーク上で行われた操作やイベントの記録。誰が、いつ、何を、どのように行ったかを追跡できるようにするために利用され、監査において重要な証拠となる。

監査報告書 (Audit Report)
監査の結果（発見事項、指摘事項、改善勧告など）をまとめた文書。

監査基準 (Audit Criteria)
監査の評価基準となる、法令、規制、国際規格（ISO/IEC 27001など）、組織のセキュリティポリシーなど。

コントロール (Control)
情報資産を保護し、目標達成を確実にするための管理策。技術的、物理的、組織的など様々な種類がある。

9.2 コンプライアンスの評価と改善

コンプライアンス (Compliance)
法令、規制、業界標準、組織の内部規定、倫理規範などに違反することなく、これらを遵守すること。情報セキュリティの分野では、個人情報保護法、不正アクセス禁止法、GDPR、ISMSなどへの準拠が求められる。

法令遵守 (Legal Compliance)
情報セキュリティに関連する法律（個人情報保護法、サイバーセキュリティ基本法、不正アクセス禁止法など）を遵守すること。

規制遵守 (Regulatory Compliance)
業界団体や政府機関が定めた特定の規制（例：PCI DSS、医療情報ガイドラインなど）を遵守すること。

標準・ガイドライン遵守 (Standard/Guideline Compliance)
ISO/IEC 27001（ISMS）、NIST Cybersecurity Frameworkなどの国際標準や、IPAが発行する各種ガイドラインなどを遵守すること。

ポリシー遵守 (Policy Compliance)
組織が独自に定めた情報セキュリティポリシーや規程を遵守すること。

継続的モニタリング (Continuous Monitoring)
コンプライアンス状況やセキュリティ態勢を継続的に監視し、ポリシーからの逸脱や新たなリスクを早期に検知する活動。

9.3 サードパーティリスクマネジメント

サードパーティリスク (Third-Party Risk)
業務委託先、クラウドサービスプロバイダー、サプライヤーなど、自社以外の第三者が原因で情報セキュリティインシデントが発生するリスク。

サプライチェーンリスク (Supply Chain Risk)
製品やサービスの供給網（サプライチェーン）に関わる企業やプロセスが原因で発生する情報セキュリティリスク。サードパーティリスクを含むより広範な概念。

委託先管理 (Vendor Management / Supplier Management)
業務を外部に委託する際に、委託先の情報セキュリティ対策が適切であることを評価し、契約内容にセキュリティ要件を盛り込み、継続的に監視すること。

デューデリジェンス (Due Diligence)
契約締結前や買収前に、相手方（委託先、提携先など）の資産や負債、リスクなどを詳細に調査し、評価する活動。情報セキュリティの観点からも行われる。

SLA (Service Level Agreement)
サービスプロバイダーと利用者間で合意されるサービス品質に関する契約。情報セキュリティの観点から、サービスの可用性、セキュリティ要件なども含まれる。