セキュリティ監査（Security Audit）

セキュリティ監査（Security Audit）とは、ひとことで言えば、組織の情報セキュリティ対策が定められた基準やポリシーに適合しているかを体系的に評価する活動です。たとえば、アクセス制御の設定が社内規程どおりに運用されているか、パッチ適用が期限内に実施されているかを証跡に基づいて検証します。内部監査（自組織で実施）と外部監査（第三者機関が実施）があり、外部監査は客観性・信頼性が高いため、取引先や規制当局への説明に使われます。ペネトレーションテストが「技術的に侵入できるか」を検証するのに対し、監査は「ルールどおりに運用されているか」をプロセス面から評価する点が異なります。