サイバーセキュリティ辞典 2026-04-08
セキュリティ監査
組織のセキュリティ対策が規定・基準・コンプライアンス要件を満たしているかを体系的に評価するプロセス。内部監査と外部監査があり、ログ審査・設定確認・インタビューを組み合わせて実施する。
セキュリティ監査とは?
セキュリティ監査は、組織のセキュリティ対策・プロセス・技術的な管理策が、設定された基準・ポリシー・コンプライアンス要件を満たしているかを体系的に評価・検証するプロセスです。
内部監査 vs 外部監査
| 項目 | 内部監査 | 外部監査 |
|---|---|---|
| 実施者 | 社内のセキュリティ担当・内部監査部門 | 第三者の認定審査機関 |
| 目的 | 継続的な改善・問題の早期発見 | 認証取得・法的証明 |
| 頻度 | 定期的(月次・四半期) | 年1〜2回(認証要件に応じて) |
| コスト | 低〜中 | 高い |
主な監査基準・フレームワーク
| フレームワーク | 対象 |
|---|---|
| ISMS(ISO/IEC 27001) | 情報セキュリティ管理全般 |
| PCI DSS | クレジットカード情報を扱う組織 |
| SOC 2 | SaaSプロバイダーのデータ管理 |
| NIST CSF | 米国政府・重要インフラ向け |
| プライバシーマーク(Pマーク) | 個人情報保護(日本) |
監査の主な確認項目
- アクセス権限の適切な設定(最小権限の原則)
- パスワードポリシーの実施状況
- パッチ適用の状況
- インシデント対応手順の整備
- バックアップの実施・復旧テスト
- ログの保全と監視
まとめ
セキュリティ監査はISO 27001やPCI DSSなどの認証取得の核心プロセスです。定期的な内部監査で問題を早期発見し、外部監査での認証取得で顧客・取引先への信頼性をアピールできます。
おすすめの高速レンタルサーバー PR
関連する用語 (サイバーセキュリティ辞典)
全109件を見るセキュリティ用語: NIST Cybersecurity Framework とは
情報セキュリティの重要キーワード「NIST Cybersecurity Framework」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Single Sign-On (SSO) とは
情報セキュリティの重要キーワード「Single Sign-On (SSO)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: DNS Spoofing とは
情報セキュリティの重要キーワード「DNS Spoofing」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
セキュリティ用語: Bug Bounty とは
情報セキュリティの重要キーワード「Bug Bounty」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む
APIセキュリティ
WebAPIへの不正アクセス・データ漏洩・DoS攻撃を防ぐためのセキュリティ対策群。OWASP API Security Top 10に基づく認証・認可・レート制限・入力バリデーション等が含まれる。
詳しく読む
セキュリティ用語: Endpoint Detection and Response (EDR) とは
情報セキュリティの重要キーワード「Endpoint Detection and Response (EDR)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
詳しく読む