ITパスポート 令和7年度 問59:securityに関する問題
ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
- aJIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。正答
- bJIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。
- c内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。
- d不定期かつ抜き打ちでの実施を原則とする。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a です。
ISMSは「会社の情報をしっかり守るためのしくみ」。その“内部監査”は、自分たちの守り方が決めたルール通りかを社内でチェックすることです。
そのとき見るのは2つ。「ルールを守れているか(適合性)」だけでなく、「そのしくみがちゃんと役に立っているか(有効性)」も見ます。これが a。
👉 覚え方:内部監査は“ルール通り?+ちゃんと効いてる?”の両方を見る。
ほかの選択肢:b「会社独自のルールだけ見る」=×(決められた標準も見る)/c「前回の結果は考えない」=×(前回も参考にする)/d「抜き打ちが原則」=×(計画して行うのが基本)。
なぜこれが正解か
正解は a。ISMSの内部監査では、JIS Q 27001の要求事項および組織自身が定めた要求事項への適合性を判定するだけでなく、ISMSが組織にとって有効に機能しているか(有効性)も評価する。a はこれを正しく述べている。
各選択肢の解説
- b 「JIS Q 27001の要求事項ではなく組織独自の要求事項を基準とする」:誤り。両方を監査基準とする。
- c 「前回の内部監査の結果は考慮しない」:誤り。監査プログラムの確立では、対象プロセスの重要性や前回監査の結果を考慮する。
- d 「不定期・抜き打ちを原則とする」:誤り。内部監査は計画的(監査プログラムに基づき)実施するのが原則。
覚え方・ひっかけ注意
ISMS内部監査のキーは「適合性+有効性」「計画的実施」「前回結果を考慮」。「〜ではなく」「考慮しない」「抜き打ち原則」など否定・極端な表現は誤りになりやすい。
理論的背景
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の内部監査はJIS Q 27001(ISO/IEC 27001)の要求事項第9.2節「内部監査」に基づいて実施されなければならない。正解aが「JIS Q 27001の要求事項及び組織自体が規定した要求事項への適合性だけでなく、ISMS活動の有効性も判定する」とある通り、内部監査の判定軸は適合性(conformance)と有効性(effectiveness)の二軸から成る。
有効性の評価とは「セキュリティ管理策が実際にリスク低減に機能しているか」を判定することであり、手続きを守っているかどうか(適合性)だけを確認する監査では不十分とされる。例えばアクセスログの取得手続きに適合していても、そのログが誰も分析せず不正アクセスの検知に全く機能していなければ「有効性なし」と評価される。ISO/IEC 27001:2022(JIS Q 27001:2023)では有効性評価の強化が改訂の重点の一つとなっており、測定指標(メトリクス)に基づく有効性評価が明確に要求されるようになった。
実務での使われ方
実務でのISMS内部監査プログラムの設計では、前回監査の結果を必ず考慮することが要求事項に明示されている(選択肢c「考慮しない」が誤りである根拠)。リスクベースの監査アプローチでは、前回監査で不適合・観察事項が多かった部門・プロセスにより多くの監査リソースを配分し、改善効果の確認と再発防止の検証を優先的に行う。これはISO 19011(監査のための指針)のリスクベースアプローチとも整合する。
ISMS認証取得を目指す企業では、内部監査員の養成(ISO/IEC 27001内部監査員研修修了)が必要であり、少なくとも年1回の内部監査実施と監査記録の保管が認証維持要件となっている。選択肢dの「不定期・抜き打ち原則」は誤りであり、実際は計画的・定期的実施が標準であるが、高リスク領域に対する不定期のフォローアップ監査は計画に含めることができる。
試験での位置づけ
ISMSの内部監査はITパスポートのセキュリティ分野で頻出であり、PDCAサイクルとの関係(監査はCチェックフェーズ)、監査員の独立性要件、監査頻度・計画の考慮事項が問われる。本問の選択肢bが誤りである理由(JIS Q 27001の要求事項が監査基準から外れるのは不適切)は、ISMSが国際規格に準拠した管理体系であることを理解していれば明確に判断できる。
情報処理安全確保支援士試験では、JIS Q 27001の要求事項の詳細(適用範囲の設定・リスクアセスメント方法論・適用宣言書SoA・監査プログラム管理・マネジメントレビュー)、JIS Q 27002(管理策の実践規範・93の管理策)の構造、そしてISMS認証審査(ステージ1・ステージ2・サーベイランス審査・更新審査)のプロセスまで問われる領域が広がる。
選択肢の発展補足
選択肢bの「組織自体の要求事項のみを基準とする」という誤りは、ISO認証の本質的な価値を否定することになる。ISMS認証の意義は第三者(認証機関)がISO/IEC 27001の国際標準に基づく適合性を証明することにあり、組織独自基準のみによる内部審査は認証の有効性を失わせる。取引先・顧客・投資家がISMS認証を要求するのは、この国際標準への適合を第三者が保証しているからである。選択肢cの「前回結果を考慮しない」は監査の継続的改善機能を否定するものであり、「前回指摘事項の改善状況の確認」は次回監査プログラムの計画において最重要の入力情報となる。選択肢dの「不定期・抜き打ち」は不正発見を目的とした調査では有効な手法だが、ISMS内部監査はリスクベースの計画的実施が原則であり、「抜き打ちを原則とする」という断定は要求事項に反する。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和7年度 問59/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。