IT棚卸し・IT監査の目的
IT棚卸し・IT監査は、組織のIT環境の現状を正確に把握し、セキュリティリスク・コスト無駄・コンプライアンス不備を可視化するための活動です。定期的な実施により「知らなかった」リスクを排除し、IT環境を最適な状態に維持します。
- セキュリティリスクの発見:退職者アカウントの残存、MFA未適用、パッチ未適用デバイスの検出
- コスト最適化:未使用ライセンスの発見、重複SaaSの統合
- コンプライアンス対応:ISMS、Pマーク、個人情報保護法で求められる定期的な点検への対応
IT監査チェックリスト
| 監査領域 | チェック項目 | 確認方法 |
|---|---|---|
| アクセス管理 | 退職者のアカウントが無効化されているか | Entra IDのユーザー一覧と人事台帳の突合 |
| アクセス管理 | 特権アカウント(グローバル管理者)の棚卸し | 管理者ロール一覧の確認 |
| パスワード | MFA(多要素認証)が全ユーザーに適用されているか | Entra IDのMFA登録状況レポート |
| デバイス | 全PCにEDRが導入されているか | Intuneのコンプライアンスレポート |
| データ保護 | バックアップが正常に取得されているか | バックアップログの確認、リストアテスト |
| ネットワーク | ファイアウォールルールが最新か | ルール一覧のレビュー |
| ライセンス | 未使用ライセンスがないか | M365管理センターのライセンスレポート |
| 外部共有 | OneDrive/SharePointの外部共有設定が適切か | 共有レポートの確認 |
監査の実施頻度
| 監査タイプ | 頻度 | 対象 |
|---|---|---|
| アカウント棚卸し | 四半期 | 全ユーザーアカウント、管理者権限 |
| セキュリティ設定レビュー | 半期 | MFA、条件付きアクセス、DLP |
| ライセンス棚卸し | 半期 | M365、SaaS全般 |
| 総合IT監査 | 年次 | 上記すべて+BCP/DR、コンプライアンス |
監査レポートの書き方
監査レポートは経営層が読むことを前提に、発見事項(Finding)→ リスク評価 → 推奨対策 → 対応期限の構成で作成します。技術用語は避け、ビジネスリスクとして説明しましょう。
- Critical(重大):即座に対応が必要。放置するとインシデントに直結
- High(高):1ヶ月以内に対応。セキュリティリスクが高い
- Medium(中):3ヶ月以内に対応。改善により運用が効率化
- Low(低):次回監査までに対応。ベストプラクティスへの準拠
監査に役立つツール
- Microsoft Secure Score:M365テナントのセキュリティ状態をスコア化(無料)
- Entra ID レポート:サインインログ、リスクのあるユーザーの検出
- Nessus / OpenVAS:ネットワーク脆弱性スキャン
- IT資産管理ツール:LANSCOPE、SKYSEA等でPC・ソフトウェアの棚卸し
コンプライアンスとの関連
IT監査は各種法令・規制へのコンプライアンス確認としても機能します。個人情報保護法では「安全管理措置」の実施が義務付けられており、IT監査でアクセス管理やデータ保護の状況を定期的に確認することが法令遵守の証跡となります。取引先から求められるセキュリティチェックシートの回答にも、IT監査の結果をそのまま活用できます。
まとめ
IT棚卸し・IT監査は年1回以上の実施が推奨されます。チェックリストに基づいてアクセス管理・デバイス・ライセンス・ネットワークを網羅的に確認し、監査レポートで経営層に報告しましょう。ISMS・Pマーク等の認証を維持する企業にとっては必須の活動です。