セキュリティ監査チェックリスト（セキュリティかんさチェックリスト）

ネットワーク層の監査は、境界防御（Perimeter Defense）と内部ネットワークのセグメンテーション（分割）が正しく機能しているかを確認します。

1. ファイアウォールおよびIPS/IDSの設定

外部からの不正アクセスを遮断し、内部からの不正な通信（C2サーバーへの通信等）を検知できるかを確認します。

• 確認事項: 不要なポート（例：Telnet 23, FTP 21）が開放されていないか。
• 具体的な数値: 通信スループットが 10Gbps の負荷下でも、IPS（侵入防止システム）機能が遅延なく動作するか。
• 関連製品: Fortinet FortiGate 60F などの次世代ファイアウォールにおける、ルールセットの定期レビュー。

2. ネットワーク機器の構成管理

スイッチやルーター、無線アクセスポイント（AP）の管理が必要です。

• 確認事項: 管理用インターフェースへのアクセスが、特定の管理端末（VLAN）からのみに制限されているか。
• 具体的な数値: 無線LANの認証プロトコルが、脆弱な WEP/WPA ではなく WPA3 に設定されているか。
• 関連製品: Cisco Meraki MX シリーズを用いた、クラウド管理下での構成一貫性の確認。

3. ネットワークインフラの監査指標

• レイテンシ: セキュリティ検査（SSLインスペクション等）による遅延が 1.0ms 以下に抑えられているか。 Man-in-the-middle（中間者攻撃）を防ぐための、証明書検証の整合性。
• 帯域幅: セキュリティログの転送（Syslog/SIEM）が、ネットワークの帯域を圧迫せず、100Mbps 程度の帯域内で安定して処理できているか。
• 可用性: ネットワークの冗長化により、99.99% の稼働率（アップタイム）を維持できているか。

アイデンティティ（ID）およびデータ管理の監査項目

「誰が、どのデータに、どのような権限でアクセスできるか」を管理する、ゼロトラスト・アーキテクチャの核となる領域です。

1. アクセス制御と多要素認証（MFA）

IDの盗用は、最も成功しやすい攻撃手法の一つです。

• 確認事項: 特権ID（Administrator等）に対して、MFAが強制されているか。
• 具体的な数値: パスワードの複雑性を「12文字以上、英大文字・小文字・数字・記号の混在」に設定。
• 手法: TOTP（Time-based One-Time Password）や、FIDO2準拠の物理セキュリティキーの使用。

2. データ保護とバックアップ

データの完全性と可用性を担保するための監査です。

• 確認事項: バックアップデータが、ネットワークから論理的に隔離された「オフライン」または「不変（Immutable）ストレージ」に保存されているか。
• 具体的な数値: バックアップの復元テストを、最低でも 四半期に1回 実施しているか。 分類された重要データ（機密情報）が、256-bit AES 等で暗号化されているか。

ID・データ管理の監査項目リスト

• 最小権限の原則: ユーザーに業務に必要な最小限の権限のみを付与しているか。
• アカウントの棚卸し: 退職者や異動者のアカウントが、24時間以内 に無効化されているか。
• ログの保持期間: 監査証跡（Audit Log）が、法的・コンプライアンス要件に基づき、最低 180日間 以上保存されているか。
• 特権管理: 特権アクセス（Privileged Access）の利用時に、承認ワークフローが機能しているか。

セキュリティ監査チェックリスト：標準構成 vs 次世代構成（2025-2026年）

2025年から2026年にかけて、セキュリティ監査の基準は「静的な設定確認」から「動的な振る舞い確認」へとシフトします。以下の表は、従来型の監査項目と、最新のインフラに求められる高度な監査項目の比較です。

セキュリティ監査の実施プロセスと運用サイクル

セキュリティ監査は、一度実施して終わりではありません。PDCA（Plan-Do-Check-Act）サイクルに基づいた継続的な運用が求められます。

監査の実施頻度とステップ

1. 計画（Plan）: 監査対象（資産）の特定、監査基準（ポリシー）の策定、監査スケジュールの決定。
2. 実行（Do）: チェックリストに基づいた実地調査、設定値のサンプリング、ログの解析。
3. 検証（Check）: 発見された不備（Non-conformity）の特定、リスク評価（影響度 × 発生確率）。
4. 改善（Act）: 修正アクションプランの策動、再発防止策の策定、次回の監査基準への反映。

運用における技術的留意点

• スケーラビリティ: 組織が 100人規模 から 1,000人規模 へ拡大しても、監査プロセスが機能するか。
• 自動化の導入: 構成管理ツール（Ansible, Terraform等）を用い、インフラのコード化（IaC）が進んでいる場合、監査自体をコードで検証する「Compliance as Code」の導入を検討してください。
• コスト管理: セキュリティ対策の予算（例：年間予算 ¥10,000,000）に対し、監査コストが過大にならないよう、重要資産に絞ったリスクベースのアプローチを推奨します。

よくある質問（FAQ）

Q1: セキュリティ監査の頻度は、どの程度が適切でしょうか？ A1: 組織の規模や扱うデータの重要度によりますが、一般的には「ネットワーク・インフラの構成確認は年1〜2回」、「エンドポイントのパッチ適用確認は月1回」、「特権IDの棚卸しは四半期に1回」といった、階層的な頻度設定が推奨されます。ただし、2025年以降の高度な脅威環境下では、重要な変更（ネットワーク構成変更や新システムの導入）があった直後に随時実施する「イベント駆動型監査」が重要です。

Q2: チェックリストを作成する際、何から手をつければよいですか？ A2: まずは「守るべき資産（資産目録）」の特定から始めてください。どのサーバーが最も重要か、どのPCに機密データが入っているかを明確にします。次に、その資産に対する「現在のルール（セキュリティポリシー）」を確認し、そのルールが守られているかを問う形式で項目を書き出していきます。

Q3: 監査で見つかった不備（脆弱性）を修正する際、業務への影響が心配です。 A3: 修正（パッチ適用や設定変更）を行う際は、必ず「検証環境」でのテストを先行させてください。例えば、Windowsの更新プログラムが、社内の基幹システム（ERP等）の動作に影響を与えないかを、テスト用の仮想マシン（VM）で事前に確認します。また、修正作業には、ダウンタイムを最小限に抑えるためのメンテナンスウィンドウ（計画停止時間）を設定し、関係者への事前通知を徹底することが重要です。