ISMS

IT Audit Compass とは IT Audit Compass（IT監査コンパス）は、IT監査・情報セキュリティの実務に携わるすべての方のための情報発信サイトです。 「フレームワークの理論はわかるけど、現場でどう使えばいいかわからない」——そんな悩みを持つIT監査人・情報セキュリティ担当者・内部監査部門の方に向けて、実務に直結するコンテンツをお届けします。 このサイトで学べること 🔍 IT全般統制（ITGC） J-SOX対応の核心であるITGC（IT General Controls）を、アクセス管理・変更管理・運用管理・開発管理の4領域に分けて体系的に解説。現場のチェックリストや証跡の取り方まで踏み込んだ実践的な情報を提供します。 🏛️ フレームワーク・基準 COBIT、NIST、ISO/IEC 27001（ISMS）など、IT監査・情報セキュリティの世界標準フレームワークを実務に落とし込んで解説。試験対策だけでなく、現場での活用方法を重視しています。 📋 J-SOX・内部統制 金融商品取引法に基づく内部統制報告制度（J-SOX）の対応実務を詳解。財務報告に係るIT統制の評価手法、監査調書の作成方法、よくある指摘事項とその対策まで網羅します。 🎓 資格・キャリア情報 CISA（公認情報システム監査人）・CISSP・CIA（公認内部監査人）など、IT監査・セキュリティ分野の国際資格の比較・攻略情報。未経験からのキャリアパスや年収情報も実務目線で解説します。 IT監査の重要性が増す時代 デジタルトランスフォーメーション（DX）の加速、クラウドサービスの普及、そしてサイバー攻撃の高度化——現代のビジネス環境において、ITリスクの適切な管理はもはや経営の最優先課題のひとつです。 IPAの調査によれば、国内企業のセキュリティ人材は2030年に約79万人不足すると予測されています。IT監査・情報セキュリティのスキルを持つ人材への需要は今後も拡大し続けるでしょう。 本サイトが、あなたの実務とキャリアの**羅針盤（コンパス）**となれば幸いです。 最近の記事 最新の記事は記事一覧からご覧いただけます。 カテゴリ 主なテーマ ITGC基礎 アクセス管理・変更管理・運用管理・開発管理 サイト情報 お問い合わせ — 記事へのご意見・ご指摘、取材・執筆依頼はこちら プライバシーポリシー — 個人情報の取り扱いについて

はじめに：なぜ今ISMSが重要なのか 情報漏洩やサイバー攻撃が日常的なニュースとなった現代において、企業が情報資産を守ることは経営上の最重要課題のひとつです。2023年に発生した大手企業の個人情報漏洩事件では、被害件数が数百万件に上り、企業の信頼失墜と多額の損害賠償につながりました。 こうした背景から、ISMS（情報セキュリティマネジメントシステム） への注目が急速に高まっています。ISMSはISO/IEC 27001という国際規格に基づいた情報セキュリティの管理体制であり、日本では2024年時点で7,000社以上が認証を取得しています。 本記事では、IT監査担当者や情報セキュリティ責任者の方に向けて、ISMSの基本概念から実務的な導入ステップ、IT監査との関係まで体系的に解説します。 ISMSとは何か：基本概念の整理 ISMSの定義 ISMSとは Information Security Management System（情報セキュリティマネジメントシステム） の略称です。組織が保有する情報資産を適切に保護するための、体系的な管理の仕組みを指します。 単なるセキュリティ製品の導入や技術的対策とは異なり、ISMSは「人・プロセス・技術」の3つの側面から情報セキュリティを総合的に管理する枠組みです。 ISO/IEC 27001との関係 ISMSの国際規格が ISO/IEC 27001 です。2022年に最新版（ISO/IEC 27001:2022）が発行され、日本ではJIS Q 27001:2023として採用されています。 この規格に基づいて第三者機関の審査を受けることで、「ISMS認証（ISO 27001認証）」を取得できます。認証取得は取引先や顧客への信頼性の証明として機能します。 ISMSが守る情報資産の3要素（CIA） ISMSは以下の3つの観点から情報資産を保護します。 要素 英語 内容 機密性 Confidentiality 権限のある者だけが情報にアクセスできる状態を確保する 完全性 Integrity 情報が正確で改ざんされていない状態を維持する 可用性 Availability 必要なときに情報にアクセスできる状態を確保する この3要素は「CIA」とも呼ばれ、情報セキュリティの基本原則です。IT監査でアクセス制御やログ管理を評価する際も、この3要素の観点から統制の有効性を判断します。 ISMSの核心：PDCAサイクルによる継続的改善 ISMSの最大の特徴は、一度構築して終わりではなく、継続的改善（PDCAサイクル） を組み込んでいる点です。 Plan（計画） リスクアセスメントを実施し、情報セキュリティリスクを特定・評価します。リスクへの対応方針（受容・低減・回避・移転）を決定し、情報セキュリティ目標と管理策を設定します。 実務ポイント： リスクアセスメントは「資産の洗い出し」から始まります。自社が保有するすべての情報資産（顧客データ、設計書、ソースコードなど）をリスト化し、それぞれの脅威と脆弱性を評価します。リスクの大きさは「発生可能性 × 影響度」で算出し、許容できないリスクに対して管理策を選択します。 Do（実施） 計画した管理策を実装します。従業員へのセキュリティ教育、アクセス制御の設定、インシデント対応手順の整備などが含まれます。管理策は技術的対策だけでなく、規程・手順書などの文書整備も重要です。 Check（評価） 内部監査や管理レビューを通じて、ISMSが計画通りに運用されているかを評価します。ここでIT監査が重要な役割を果たします。 内部監査では、管理策が文書通りに実施されているかを証跡（エビデンス）を確認しながら検証します。 Act（改善） 評価結果をもとに、ISMSを継続的に改善します。是正処置・予防処置を実施し、次のPDCAサイクルに反映させます。不適合が発見された場合は、その根本原因を分析して再発防止策を講じます。 ISO 27001:2022の主要な管理策 ISO/IEC 27001:2022では、附属書Aに 93の管理策 が定められています（旧版2013年版の114から統合・整理されました）。これらは4つのテーマに分類されています。 1. 組織的管理策（37項目） 情報セキュリティポリシー、役割と責任、脅威インテリジェンス、クラウドサービス利用のセキュリティなど、組織運営に関する管理策です。 2022年版で新規追加された重要管理策： A.5.7 脅威インテリジェンス：最新の脅威情報を収集・分析する仕組み A.5.23 クラウドサービス利用における情報セキュリティ：AWS・Azure等の利用ルール A.5.30 事業継続のためのICTの準備：BCP/DRとITの統合管理 2. 人的管理策（8項目） 採用前・雇用中・雇用終了時のセキュリティ要件、リモートワークのセキュリティなどを規定します。 ...