対象試験と出題頻度
情報セキュリティ監査は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者の全区分で出題範囲に含まれています。
特に、同じ「監査」の名前がつくシステム監査基準との混同を狙った選択肢が繰り返し使い回されており、「どちらが情報資産を対象とし、どちらが情報システムを対象とするか」を正確に区別できるかが得点を左右します。
対象試験と頻出度の詳細
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
ランサムウェアによる情報漏えい事故が後を絶たない中、「うちのセキュリティ対策は本当に大丈夫なのか?」を第三者の目で確かめる仕組みへの関心が高まっています。
IPA試験でもこの背景を踏まえた出題が続いており、令和7年のITパスポートでも正面から問われました。
情報セキュリティ監査(Information Security Audit)とは、一言で言うと
「組織の情報資産に関わるリスクマネジメントが有効に機能しているかを、独立した専門家が検証・評価する活動」
のことです。
イメージとしては、「自宅の防犯診断を、警備会社のプロに依頼すること」です。
自分では「鍵をかけている、窓も閉めている」と思っていても、プロが見れば「裏口の鍵が旧式で簡単にピッキングされる」「2階の窓に補助錠がない」と死角を指摘してくれます。自分自身では気づけない弱点を、専門知識と独立した立場から洗い出すのが情報セキュリティ監査の役割です。
📊 情報セキュリティ監査の基本情報
| 項目 | 内容 |
|---|---|
| 策定者 | 経済産業省 |
| 監査の対象 | 情報資産(紙の書類・音声記録なども含む) |
| 判断尺度 | 情報セキュリティ管理基準(JIS Q 27001 / 27002 準拠) |
| 監査人の行動規範 | 情報セキュリティ監査基準 |
| 目的の2類型 | 保証型監査 / 助言型監査 |
解説
なぜ「情報セキュリティ」専用の監査が必要なのか
システム監査は情報システムの信頼性・安全性・効率性を幅広くチェックする活動ですが、監査の対象はあくまで「情報システム」です。
一方、組織が守るべき情報資産には、紙の契約書、会議室でのホワイトボードの板書、口頭でやりとりする顧客情報なども含まれます。
情報システム以外の情報資産をカバーするために、情報セキュリティに特化した監査の枠組みが設けられました。
2つの基準の役割分担
この監査制度は「情報セキュリティ監査基準」と「情報セキュリティ管理基準」の2本柱で構成されます。
名前が酷似しているため、役割の違いを正確に押さえてください。
情報セキュリティ監査の2つの基準
情報セキュリティ監査基準
【誰に向けた基準?】
→ 監査人(検査する側)
【何を定める?】
→ 監査人の行為規範
(どう調べ、どう報告するか)
情報セキュリティ管理基準
【誰に向けた基準?】
→ 組織(管理する側)
【何を定める?】
→ 監査の判断尺度(ものさし)
(何をどの水準で管理すべきか)
※ 監査基準=人のルール / 管理基準=評価のものさし。この対比はシステム監査基準とシステム管理基準にも共通する構造
保証型監査と助言型監査
情報セキュリティ監査には、目的の異なる2つのタイプがあります。ここだけは確実に押さえてください。
| タイプ | 目的 | 具体例 |
|---|---|---|
| 保証型 | セキュリティ対策が一定の基準を満たしていることを監査人が「お墨付き」として表明する | 不特定多数の利害関係者がいるWebサービスで、安全性を外部に示したい場合 |
| 助言型 | 対策の欠陥や懸念事項を洗い出し、改善策を提言する | 自社のセキュリティ体制を初めて構築する段階で、弱点を把握したい場合 |
実務上は、まず助言型で弱点を改善し、一定水準に達してから保証型に移行する流れが一般的です。
両者は排他的な関係ではなく、1回の監査で保証と助言の両方を目的にすることもできます。
システム監査との対象範囲の違い
ここが混同しやすいポイントです。下図で対象範囲の広さを比較します。
監査対象の範囲比較
システム監査
対象=情報システム
情報セキュリティ監査
対象=情報資産(紙・口頭情報も含む)
▲ 情報セキュリティ監査は情報システム以外の情報資産まで対象に含むため、範囲がより広い
覚えるのはこの3点
・対象は情報システムではなく「情報資産」全般(紙・口頭情報も含む)
・監査基準=監査人の行為規範、管理基準=判断の尺度(ものさし)
・保証型(お墨付き)と助言型(改善提言)の2つの目的を持つ
試験ではこう出る!
情報セキュリティ監査の問題は、IP・SG・FE・APいずれでも午前(科目A)で出題されます。
出題パターンは3つに分かれますが、いずれも「情報資産のリスクマネジメントの検証・評価」というキーフレーズを軸にした選択式です。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| IP R7 問38 |
情報セキュリティ監査の説明として最も適切なものを選ぶ問題。 | ・「情報資産のリスクマネジメントの検証・評価」が正解 ・システム監査の説明、ITガバナンスの説明、物理的保護ツールの説明がひっかけ |
| SG H31春 問40 |
保証型監査と助言型監査の実施に関する記述で適切なものを選ぶ問題。 | ・「不特定多数の利害関係者がいる場合は保証型を定期的に実施」が正解 ・「保証型から始める」「排他的」「監査人が単独で決める」は全て不正解 |
| FE R2免除 問58 |
物理的セキュリティ対策についてJIS Q 27002に基づく監査で指摘すべき事項を選ぶ問題。 | ・「共通の暗証番号」で個人特定ができない点が指摘事項 ・管理基準の具体的な管理策が判断尺度として使われている実例 |
| AP H31春 問60 |
FE R2免除 問58と同一構成の問題(流用)。 | ・FEとAPで同じ問題が使い回される典型例 |
📝 出題パターン分析
パターン1:「情報セキュリティ監査の説明を選べ」
4択の中から情報セキュリティ監査の定義を選ぶ形式。ひっかけ選択肢にはシステム監査の説明(「ITシステムの利活用に係る検証・評価」)やITガバナンスの説明(「IT戦略の方針策定」)が紛れ込む。決め手は「情報資産」「リスクマネジメント」という2つのキーワード。
パターン2:「保証型と助言型の関係を選べ」
SG H31春 問40のように、両者の運用上のルールを問う形式。「助言型→保証型の順が自然」「排他的ではない」「目的は監査依頼者のニーズで決まる」の3点を押さえれば正答できる。
パターン3:「具体的な管理策を判断尺度にした指摘事項を選べ」
FE R2免除 問58のように、JIS Q 27002の管理策に照らして「どの対策が不適切か」を選ばせる実践的な形式。この場合は情報セキュリティ管理基準の中身(アクセス制御、物理的対策など)の知識が必要になる。
パターン1と2は定義の暗記で対処できます。パターン3はFE・AP寄りの出題で、管理策の具体例を1~2個知っていると有利ですが、全暗記は不要です。
受験生が混同しやすい「4つの基準」の整理
IPA試験のシステム監査分野には、名前が酷似した4つの基準が登場します。選択肢で入れ替えて出題されるため、ここで一覧化して整理します。
| 基準名 | 対象 | 役割 | 見分けキーワード |
|---|---|---|---|
| 情報セキュリティ 監査基準 |
監査人 | 監査人の行為規範 | 行為規範、監査人 |
| 情報セキュリティ 管理基準 |
組織 | 監査の判断尺度(ものさし) | 判断尺度、管理策 |
| システム 監査基準 |
監査人 | システム監査人の行為規範 | 行為規範、ITガバナンス |
| システム 管理基準 |
組織 | システム監査の判断尺度 | 判断尺度、共通留意事項 |
覚え方はシンプルです。「監査基準」と名のつくものは全て「監査人の行為規範」、「管理基準」と名のつくものは全て「判断のものさし」。この法則は情報セキュリティ系でもシステム系でも共通です。
【確認テスト】理解度チェック
Q. 情報セキュリティ監査の説明として、最も適切なものはどれでしょうか?
- A. 組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかを、独立した専門家が検証または評価する活動である。
- B. 一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、ガバナンスの適切性に対する保証や改善の助言を行う活動である。
- C. 組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針を策定し、その実現のための活動を指す。
正解と解説を見る
正解:A
解説:
情報セキュリティ監査は、情報資産に対するリスクマネジメントの状況を、独立かつ専門的な立場の監査人が検証・評価する活動です。対象が「情報資産」である点が決定的な判別ポイントになります。
選択肢Bはシステム監査の説明です。対象が「ITシステムの利活用」となっており、情報資産全般を対象とする情報セキュリティ監査とは範囲が異なります。選択肢CはITガバナンスの説明です。IT戦略や方針の策定は経営陣の役割であり、監査活動とは位置づけが根本的に異なります。
よくある質問(FAQ)
Q. 情報セキュリティ監査は社内の人間が行ってもよいですか?
行えます。外部の監査法人に委託する「外部監査」だけでなく、社内に独立した監査部門を設けて実施する「内部監査」も認められています。ただし、いずれの場合も監査人は監査対象の業務・部門から独立している必要があります。自分のチームが運用しているセキュリティ体制を自分で監査する、という形は独立性を欠くため不適切です。
Q. ISMSの認証審査と情報セキュリティ監査は何が違いますか?
ISMS認証審査は、ISO/IEC 27001の要求事項に適合しているかを認証機関が審査し、合格すれば「ISMS認証」を取得できる制度です。これに対し情報セキュリティ監査は、必ずしもISO規格への適合を前提としません。組織独自の方針やリスク状況に応じた柔軟な基準で検証・評価できる点が特徴です。ISMS認証は「規格の合否判定」、情報セキュリティ監査は「リスクマネジメントの有効性評価」とイメージすると区別しやすくなります。
Q. 情報セキュリティ監査基準は最近改訂されましたか?
経済産業省は令和7年(2025年)8月に、情報セキュリティ監査基準と情報セキュリティ管理基準の双方を改訂・公表しました。ISO/IEC 27001・27002の国際規格改正を受けた対応です。試験では改訂年や条文番号まで問われることはないため、「経済産業省が策定し、国際規格の改正に合わせて随時更新される」と把握しておけば十分です。
Q. 監査で問題が見つかった場合、改善するのは誰の責任ですか?
改善の実行責任を負うのは被監査側(組織の経営者や管理部門)です。監査人の役割は問題点の指摘と改善勧告までであり、実際に対策を実施するかどうかは組織の判断に委ねられます。監査後に改善状況を確認する活動はフォローアップと呼ばれ、こちらも監査人の業務範囲に含まれますが、改善の主体はあくまで組織側です。
この用語の関連記事ネットワーク
【前提知識】 システム監査基準 / 内部統制 / コントロール(統制)
【関連用語】 監査証拠 / 指摘事項 / 改善勧告(助言) / リスクアプローチ
【発展】 ITガバナンス / コーポレートガバナンス
