▼ 目次
1. はじめに
1.1. 記事の目的と想定読者
本記事では、ISMS(情報セキュリティマネジメントシステム)における内部監査の実施方法や使える質問例、さらに審査時にも役立つ対策ポイントを具体的にまとめています。
想定読者
ISMS内部監査を担当し、どんな質問をすればよいか知りたい初担当者
既にISMSを運用中だが、内部監査の進め方や質問内容に不安がある管理職・社員
外部審査(ステージ1・ステージ2)への対策として、内部監査を強化したい企業
1.2. なぜISMS内部監査が重要なのか?
ISMSは組織の情報を安全に守る仕組み。内部監査は、この仕組みがきちんと機能しているかを自社で点検・改善するための大切なステップです。
内部監査で発見した不備を早期に是正すれば、外部審査での不適合リスクを下げ、認証維持や顧客からの信頼獲得につながります。
コンサル視点: 「内部監査が形骸化しがち」「質問が浅くて見落とし多発」といった声は多いですが、しっかり手順と質問例を理解すれば有効な改善手段となります。
1.3. 本記事で得られるメリット(質問例・監査実施の流れ・指摘対応など)
内部監査の具体的な流れが把握できる
質問例やチェックリストの作り方が参考になる
よくある不適合や指摘を事前に防ぐ方法がわかる
実務で活かせる対策ポイントを知って、外部審査や社内改善に役立てられる
2. ISMS内部監査の基本概念と役割
2.1. 内部監査とは?外部審査との違い
内部監査: 自社のメンバーが、自社のISMS(情報セキュリティマネジメントシステム)の運用実態をチェックし、問題があれば改善提案を行う仕組み。
外部審査: 認証機関の審査員が、ISO27001の基準に沿ってISMSが正しく運用されているかを評価。合格すれば認証取得・維持となる。
ポイント: 内部監査での指摘事項をきちんと修正できれば、外部審査での不適合発生を最小限に抑えられる。
2.2. PDCAサイクルと内部監査の位置づけ(Check→Actの重要ステップ)
PDCAサイクル:
Plan(計画)→ Do(実行)→ Check(監査・点検)→ Act(改善)
内部監査は“Check”に相当し、Act(是正・改善)を行うために欠かせないステップ。
コンサル経験: 内部監査の質が高いと、運用レベルがどんどん上がり、セキュリティ事故が激減する。
2.3. ISMS認証の維持と内部監査の関係
ISMS認証: 外部審査で合格しても、その後も定期的にサーベイランス審査がある。
内部監査: 年1回以上行い、社内でリスクやルールの守り方をチェックすることで、認証の維持やセキュリティの継続向上につながる。
3. 内部監査実施の流れ:全体像を把握しよう
3.1. 監査計画の策定(対象範囲・スケジュール・チーム編成)
対象範囲: どの部門・システム・拠点をいつ監査するかを決定。全範囲を一度にやる場合もあれば、期間を分割して段階的に行う方法も。
スケジュール: 半年または1年単位で計画し、監査に要する期間を確保。
チーム編成: 各部門から監査員を選出し、監査の独立性(自部署の監査を別の部署が行う)を守る。
3.2. 事前準備(文書レビュー、リスクアセスメント再確認)
文書レビュー: セキュリティポリシー、手順書、リスク評価表など最新の状態に更新されているかチェック。
リスクアセスメントの確認: 新たなリスクが増えていないか、管理策を適切に実施できているか。
コンサルアドバイス: 事前に読んでおくべき文書や記録をリスト化し、監査当日にバタバタしないよう準備。
3.3. 監査実施(ヒアリング・証拠確認・記録)
ヒアリング: 社員や担当者に質問し、実際の運用を把握。質問内容をあらかじめ決めておくと効率的。
証拠確認: ログ、文書、スクリーンショット、入退室記録など、ルールどおり運用されている証拠を収集。
記録: 見つかった不備や観察事項を記録し、後で報告書にまとめる。
3.4. 報告書作成とフォローアップ(是正措置、次回監査計画)
報告書: 指摘事項、不適合レベル、改善提案、担当者、期限などを明確化。
フォローアップ: 次回監査や審査前に、指摘を直せているか再チェック。
コンサル視点: 形だけの監査で終わらず、是正措置の実行まで回すことが重要。
4. 監査に使える具体的な質問例:項目別に紹介
4.1. リスクアセスメント関連の質問例
4.1.1. 「リスク評価の手順はどのように行っていますか?」
- 具体的な手順書があるか、担当者が理解しているかを確認。
4.1.2. 「選んだ管理策はリスクレベルに合っていますか?」
- 重大リスクなのに管理策が弱くないか、非適用なら正当な理由があるか。
4.2. アクセス制御・権限管理の質問例
4.2.1. 「退職者や異動者のIDはどうやって削除・変更していますか?」
- 手動なら、担当部門との連携が確実か確認。
4.2.2. 「パスワード方針は周知され守られていますか?」
- 社員がどの程度理解し、実践しているかをヒアリング。
4.3. 物理セキュリティの質問例
4.3.1. 「サーバールームの施錠・入退室記録はどう管理されていますか?」
- 鍵の保管場所や入退室ログの保管期間を確認。
4.3.2. 「重要書類の廃棄手順を説明してください」
- シュレッダー使用のルール、溶解処理などが適切かを見る。
4.4. インシデント対応・ログ管理の質問例
4.4.1. 「過去のインシデント対応記録はどこに保管されていますか?」
- 再発防止策が実行されたか追えるようになっているか。
4.4.2. 「ログ取得は定期的に監視されていますか?期間は?」
- 保管期間や監視頻度、突発的な異常検知の仕組みを確かめる。
4.5. 教育・意識向上策の質問例
4.5.1. 「社員教育の内容と頻度を教えてください」
- テストや確認アンケートがあるか、集合研修かeラーニングか。
4.5.2. 「新入社員や派遣社員にもルールが伝わっていますか?」
- 入社初日にセキュリティ説明をしているか、派遣先と契約書を交わしているか。
5. よくある指摘事例と背景:何が問題になるのか
5.1. リスクアセスメントが形骸化(記録だけで実運用なし)
原因: 定期的に更新せず、リスクが古いまま。説明できない状態。
対策: 半年~1年ごとにリスクアセスメントを見直し、新たな脅威(クラウド化など)を反映。
5.2. 退職者アカウントの削除不備(アクセス権限が残っている)
実例: 退職後もアカウントが残り、不正アクセスのリスク→ 審査時に重大指摘
対策: 人事とIT担当で退職日即時のアカウント削除ルールを決め、チェックリストを運用。
5.3. 文書管理の更新漏れ(古い手順書が残っている)
背景: 過去のマニュアルが並行して残り、社員がどれが最新か混乱
解決: バージョン管理システムで最新化を徹底し、旧版はアーカイブして参照不可に
5.4. 物理セキュリティ対策が一部部署で守られていない
例: 営業部だけドア鍵が壊れて放置、サーバールームに無関係社員が自由に出入り
対策: 全部門を対象に定期点検し、報告義務化→ 次回監査までに修理・運用徹底
5.5. 教育履歴や研修記録が曖昧で証拠不足
原因: 研修をやっているが、出席簿や内容が記録されない→ 証拠無しで審査に通らない
対策: スライドや資料、受講者リストなどを電子保存。社内ポータルで告知・ログを残す
6. 指摘を防ぐ・改善するための対策ポイント
6.1. 運用ルールの明文化・定期見直し(簡単なマニュアル化)
アドバイス: 長い文書より“1ページ簡易マニュアル”など社員が目を通しやすい形が効果的
メリット: 運用ルールが明確になり、質問例に対して社員が答えやすくなる
6.2. 社員への周知・訓練(短い研修や定期メールで意識づけ)
短い研修: 30分程度の勉強会、eラーニングで随時テスト
定期メール: フィッシングメール対策やパスワード変更をリマインド
効果: 監査時に「社員がセキュリティ意識を持っている」ことを実感できる
6.3. ログ管理・インシデント対応をシステム化(ツール導入)
例: SIEM(Security Information and Event Management)でログを一括管理、アラートを自動検知
コンサル視点: 大企業だけでなく、中小企業もクラウド型監視サービスを使うと手間が減る
6.4. 定期的な内部監査スケジュール確立→ 結果のフォローアップ
ポイント: 監査を行いっぱなしで終わらず、対策&再監査で次年度審査時に改善が進んでいることを示す
成功例: 半年に1回監査を実施し、都度不備を修正→ 外部審査で重大不適合ゼロ合格
7. 内部監査実施で気をつけたい運用上の注意点
7.1. 内部監査員の独立性(自部署の監査は別部署の監査員が行う)
理由: 自分の部署を自分で監査すると見逃しや甘い評価になりやすい
実務: 社内で監査員を部門シャッフル→ 公平性を担保
7.2. インタビュー時の聞き方(オープンな質問で現場の実態を引き出す)
例: 「パスワード管理はどうしていますか?」→ 相手に詳しく話してもらう
NG質問: 「パスワードは定期変更していますよね?」など誘導的な聞き方は正確な実態が把握できない
7.3. 記録・証拠の収集(スクリーンショット、写真、ログのコピー など)
重要: 口頭回答だけでなく、実際の画面や運用記録を見て裏付けを取る
コンサルアドバイス: 「見ただけ」「聞いただけ」では後から不確かになる→ 証拠を残すのが監査の基本
7.4. 報告書での指摘レベルの設定(重大不適合か軽微不備か)
例: 重大不適合→ セキュリティリスクが高く、即対策しないと認証が危うい
**軽微不備→ 改善すべき点だが運用には大きく支障なし
目的: 指摘レベルを明確にして優先度を付けやすくする
8. 実務に役立つ内部監査チェックリストの作り方
8.1. チェックリスト項目の選定:ISMS規格(ISO27001)をベースに
方法: 各条文や附属書Aの管理策を参照し、自社に必要な項目をピックアップ
ポイント: 項目を増やしすぎると現場負担が大→ 要優先度づけ
8.2. 部門別・テーマ別に質問を整理し、担当者・関連文書を記入欄に設定
例: [テーマ] リスクアセスメント → [関連文書] リスク評価表 → [質問] どの頻度で更新?
コンサル視点: 部門に合った質問を配置すると、ヒアリングがスムーズ
8.3. 他社事例:IT企業S社で使われている簡易チェックリストサンプル
実例: 30項目程度の短いリストで、要点のみ網羅→ 毎回の監査を1日で終了
成果: 社員の負担が少なく、指摘内容は確実に改善→ 外部審査も不適合ゼロで通過
9. 内部監査から外部審査への繋ぎ方:事前準備と不備是正
9.1. 外部審査と内部監査の関係(外部審査前に指摘を洗い出し改善)
外部審査: 認証機関がISO27001基準で審査し、合否を決定
内部監査: 自社で問題を先に発見・修正→ 外部審査で大きな不適合にならないよう事前対策
9.2. ステージ1審査での文書確認に備え、監査結果をまとめる
ステージ1: 文書ベースのチェックが多い→ 内部監査で文書に抜けがないか確認済みだとスムーズ
事例: 製造業M社が内部監査で発見した文書の旧版を更新し、ステージ1通過
9.3. ステージ2審査に向けて実運用の証拠を整理(社員の理解度、ログ、報告書など)
要点: 内部監査結果報告書を引用し、どのように是正したかを文書化→ 審査員への説明がスムーズ
コンサル談: “何を指摘されどう直したか”がクリアなら、ステージ2でも認証取得に近づく
10. 成功事例:内部監査活用で大きな不適合ゼロ合格を実現
10.1. 製造業A社:細かいチェックリストでリスク評価→ 不適合なしで認証
背景: 初のISMS導入で不安大→ 内部監査を徹底し細部まで質問を用意
結果: 外部審査で複数の軽微指摘はあったが重大不適合はなし→ スムーズに合格
10.2. サービス業B社:社員の意識向上に力を入れ、外部審査もスムーズに合格
方法: 内部監査だけでなく、毎月のセキュリティ勉強会を実施→ 疑問や不安を都度解消
効果: 外部審査時、社員に質問しても適切な回答が多く、評価が高い
10.3. IT企業C社:クラウド運用に特化した監査項目導入→ 顧客からの信用度アップ
事例: 自社開発クラウドサービスのアクセス監視やログ分析を監査項目化→ リスクを常に可視化
結果: セキュリティ事故ゼロ記録を更新し、大手顧客からも信頼される
11. Q&A:ISMS内部監査に関するよくある疑問
11.1. 「内部監査員は資格が必要?どんな研修を受ければいい?」
回答: 必須資格はないが、ISO27001や監査手法を学ぶ研修やリードオーディターコースが役立つ
事例: 大企業では内部監査員がIRCA認定リードオーディター資格を持つケースも多い
11.2. 「監査の頻度は?年1回以上で十分?」
回答: 規格上は“定期的に”とされる。多くの企業は年1~2回実施
リスクが高い部門は半年に1度など、リスクベースで頻度を決めると効果的
11.3. 「クラウド利用時、監査すべき箇所は?責任分界点の確認方法は?」
回答: IaaSやSaaSのセキュリティ責任はベンダーと自社で明確に分ける→ 契約やSLAをチェック
実務: “クラウド事業者が行うセキュリティ”と“自社で設定・運用する部分”を切り分けて監査
11.4. 「小規模企業でも詳細な質問例が必要?省略しても大丈夫?」
回答: 企業規模が小さいほど監査項目を絞って効率化できるが、主要リスクへの質問は必須
コンサル談: 小さく始めて徐々に精度を上げるアプローチが最も効果的
12. まとめ:ISMS内部監査の質問例をわかりやすく紹介!実施の流れ・よくある指摘・対策ポイントを徹底解説
12.1. 記事の総括:内部監査は運用状況を点検し改善を促す“自衛策”
ISMS内部監査をしっかり行うことで、外部審査に先立ち、組織の弱点を見つけ早期に手当てできる
“監査=責める場”ではなく、“運用をよくするための対話の場”と捉えると、社内協力が得やすい
12.2. “質問例”や“チェックリスト”を活かして現場の実態を正確に把握
ポイント: 具体的な質問リストを使い、リスクアセスメント・アクセス制御・物理セキュリティなど分野別に着実に確認
ログや教育記録などの証拠もあわせてチェック
12.3. 最後のメッセージ:定期的な監査とフォローアップでISMSを守り、外部審査も合格しやすくなる
継続的監査: 1回きりではなく、毎年や半年に1回など社内文化として定着
メリット: 自社のセキュリティ水準が高まる→ 顧客・取引先からの信頼、認証の維持がスムーズ
おわりに
ISMS内部監査は、外部審査を受ける前に自社の情報セキュリティ運用状況を細かくチェックし、リスクや不備を早期に発見して改善するための大事な仕組みです。
今回紹介した質問例や実施の流れ、よくある指摘と対策を参考に、ぜひ自社の監査レベルをアップさせてください。
成果: 内部監査をしっかり行えば、外部審査合格だけでなく、実際のセキュリティ事故を減らす効果が期待できます。今後も継続してPDCAサイクルを回し、ISMSを自社にしっかり根付かせましょう。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている
Comments