JASA セキュリティ監査自動化に向けた現状と可能性

こんにちは、丸山満彦です。

日本セキュリティ監査協会が、「セキュリティ監査自動化に向けた現状と可能性」という文書を公表しています。

米国ではFedRAMPの効率を20倍にしようというOSCALという監査用の言語を利用したセキュリティ監査の自動化に挑んでいますが、日本もISMAPの効率化のために監査自動化は必要と思います。

ということで、こういうことに思いのあるメンバーが集まって、今回この文書をつくりました...

基本的にはセキュリティ対策が自動化されているので、それを監査するのも自動化できるはず、リアルタイムでできるはず、という発想です...

多くの人に読んでもらい、これからのセキュリティ監査の効率性が向上すればよいなぁと思っています。

 

● 日本セキュリティ監査協会 (JASA) - クラウドセキュリティ推進協議会

・2025.09.10 [PDF] 監査自動化レポート～セキュリティ監査自動化に向けた現状と可能性～

 

目次...

1. はじめに

2. セキュリティ監査の現状と課題
2.1. 監査ライフサイクル
2.2. 各登場人物の役割と課題
2.3. 自動化のメリット

3. 監査自動化のフレームワーク
3.1. 自動化の方針
3.2. 監査プロセス
3.3. ツール
3.4. 監査人の人材能力

4. 自動化の対象となる監査プロセス
4.1. 今すぐに自動化可能な監査プロセス
4.2. 将来自動化可能な監査プロセス
4.3. 自動化が困難な監査プロセス
4.4. 監査プロセスの自動化 まとめ

5. ISMAP などの認証に伴う監査における自動化の考察
5.1. 監査の自動化による恩恵
5.2. 言明書の作成
5.3. 個別管理基準の作成
5.4. 監査業務における自動化
5.5. 監査完了報告書の作成
5.6. 申請書類の作成
5.7. 課題の整理

6. おわりに：“理想的な”監査自動化に向けて