TL;DR
- 「対策はやっています」は監査人の追加質問を呼ぶ NG ワード
- 監査回答の 3 点セット: 実施記録 (証拠主義) / 効果測定 (継続性) / 改善計画 (改善性)
- 3 点セットで答えると追加質問が体感 1/5 になる
対象読者
- セキュリティコンサルタント 3-5 年目
- 内部監査・外部監査 (ISMS / SOC2 / 各種業界監査) の対応経験がある方
- 「実施しています」と答えたら追加質問が止まらなくなった経験がある方
なぜ「やってます」では監査人を満足させられないのか
監査人 (内部監査、外部監査、ISMS 審査員、SOC 監査員) の前提:
- 証拠主義: 言ったことではなく、書かれたもの・残されたものを評価
- 継続性: 1 回だけでなく、定期的に実施されているかを評価
- 改善性: 前期と比べて改善しているか、来期の計画があるかを評価
「やっています」は 3 観点のいずれにも答えていない。だから追加質問が飛ぶ。
Before/After 比較表
| # | 場面 | Before | After |
|---|---|---|---|
| 1 | 内部監査ヒアリング | 「アクセス権棚卸は実施しています」 | 「2026/4/15 実施 (記録: 棚卸シート vN1.2)。99 件のうち 12 件無効化 (前回 8 件)。来期は事前通知 1 週間化で漏れゼロを目標」 |
| 2 | 外部監査回答書 | 「脆弱性管理プロセスを運用しています」 | 「毎月第 1 月曜 14:00 運用 (議事録: Confluence #sec-monthly)。平均適用 18 日 (目標 14 日)、来期は CVE 自動検知で 10 日を目標」 |
| 3 | 指摘事項回答 | 「該当事項について改善対応中です」 | 「指摘 A-12 (3 月提出): 改善計画 4/10 提出、進捗 60% (5/15 時点)、完了予定 6/30 (担当: 山田)、効果指標は CSIRT エスカレーション件数」 |
After 共通: 時刻 + 数値 + 担当者 + 次の計画。
監査対応 3 点セット
点 1: 実施記録 (証拠主義への回答)
「やった日」「やった場所」「やった人」「やった結果」の 4 点を必ず書く。
NG: 「アクセス権棚卸を実施」
OK: 「2026/4/15 (火) 実施、担当: 情シス山田、結果: 棚卸シート vN1.2 (Confluence 保管)」
点 2: 効果測定 (継続性への回答)
「前回値 → 今回値 → 目標値」の 3 値を書く。
NG: 「効果が出ています」
OK: 「誤検知率: 前期 12% → 今期 3% (8 月測定)、来期目標 1%」
点 3: 改善計画 (改善性への回答)
「来期目標」「目標達成のための施策」「担当者」「期限」を書く。
NG: 「来期も継続する」
OK: 「来期は CVE 自動検知導入で平均パッチ適用期間 14 日 → 10 日に短縮。
施策: Trivy 連動 CI/CD 構築、担当: 田中、期限: 2026/9 末」
実例: 脆弱性管理プロセスへの監査質問
監査質問: 「貴社の脆弱性管理プロセスはどのように運用されていますか?」
Before (「やってます」のみ)
JPCERT および IPA の脆弱性情報を定期的に確認し、自社環境への影響評価を行ったうえで、
優先度に応じたパッチ適用を実施しています。緊急時には CSIRT を招集し、
24 時間以内の初動対応を取れる体制を整備しています。
監査人: 「定期的とは具体的にいつ?」「優先度判定基準は?」「24 時間以内の実績は?」「証跡を提示」 → 追加質問 5-10 個。
After (3 点セット)
【実施記録】
毎月第 1 月曜 14:00-16:00 に「月次脆弱性 review 会」を定期実施
(議事録: Confluence #sec-monthly、直近 6 ヶ月分閲覧可能)
直近: 2026/5/6 (月)、参加: CSIRT 4 名 + インフラ 2 名、議題: 4 月公開 CVE 47 件のうち
自社該当 6 件をリストアップ、優先度判定し対応計画決定
【効果測定】 平均パッチ適用期間 (CVE 公開 → 自社本番適用までの日数)
2025 年度上期: 32 日
2025 年度下期: 22 日
2026 年度 Q1 (4-5 月): 18 日 (目標 14 日)
緊急実績: 2026 年度 4 月 1 件 (CVE-2026-XXXX、検知から 14 時間で本番適用完了、記録あり)
【改善計画】 2026 年度内に CVE 自動検知 (Trivy 連動 CI/CD) を導入し、
平均パッチ適用期間 14 日 → 10 日を目標
施策: Trivy + GitHub Actions 連携、Slack 自動通知
担当: 田中 (CSIRT 副リーダ)
期限: 2026/9 末
進捗管理: 月次脆弱性 review 会で報告
監査人: 「次の議題に進みましょう」 → 追加質問なし。
監査対応 3 つの罠
- 「実施しています」を多用: NG 語彙トップ 3 → 過去形 + 具体的記録に置換
- 効果測定が定性的: 件数 / 日数 / 率 のいずれかで数値化
- 改善計画に担当者と期限がない: 「希望表明」ではなく「計画書」になっているか
監査対応 3 点セットテンプレ
【質問】 <監査人の質問>
【実施記録】
- いつ: <日付>
- どこで: <場所・システム・会議体>
- 誰が: <担当者・参加者>
- 結果: <記録ファイル名・保管場所>
【効果測定】
- 前回値: <数値>
- 今回値: <数値・測定日>
- 目標値: <数値・期限>
【改善計画】
- 目標: <数値・状態>
- 施策: <具体的なアクション>
- 担当: <個人名>
- 期限: <日付>
シリーズ全体を貫く 1 原則
「読み手の前提に合った粒度で書く」
| 読み手 | 必要な粒度 |
|---|---|
| 経営者 | 売上・コスト・評判 (事業翻訳) |
| 役員会 | 背景・目的・効果 + 議決事項 (3 軸テンプレ) |
| 現場担当 | タスク + 担当者 + 期限 (タスク化) |
| 監査人 | 実施記録 + 効果測定 + 改善計画 (3 点セット) |
同じセキュリティ情報を、読み手の前提に合った粒度で書き分けるだけで「動く文書」になる。
担当者が今日からできる 3 アクション
- 次回の監査回答書を 3 点セットで書く
- 「実施しています」を grep して過去形 + 記録名に置換
- 効果測定指標を 1 つ決めて 3 値で記録する
まとめ — シリーズ完結
5 本の Before/After シリーズ完結。経営者・役員会・現場・監査人、それぞれの読み手に合わせた粒度で書くことで「で?」と言われない報告書になる。
関連記事
- Before/After #1 — 「で?」と言われなくなる 3 つの視点
- Before/After #2 — 経営者向け
- Before/After #3 — 役員会
- Before/After #4 — 現場担当
📌 無料テンプレ提供 (シリーズ完結記念): 「3 点セット」テンプレ、監査回答書の雛形、5 シーンを 1 冊にまとめた総合 PDFを配布。note メンバーシップ で 初月無料。
📣 法人向け: Before/After 報告書改善 5 シーン全対応研修 → intect-i.jp
タグ: #Security #セキュリティ #報告書 #BeforeAfter #監査対応 #ISMS #SOC2 #効果測定