活用事例情報システム部ISO 27001ISMS

ISMS 更新審査の前に、規程と附属書A管理策のギャップを AI に洗い出させてみた

情報セキュリティ関連規程が ISO/IEC 27001:2022 の附属書A 管理策（技術的・組織的・人的・物理的）を満たしているかを審査前に点検。未整備の管理策を根拠つきで可視化しました。

ININDX 編集部プロダクトチーム｜2026年5月28日｜約8分で読めます

「更新審査の前に規程を見直したいが、2022年版で再編された附属書Aの管理策が本当に全部手当てできているか、自信が持てない——」。 ISMS 事務局が毎年直面するこの悩みを、INDX Compliance で実際に解いてみました。本物の操作画面とともにご紹介します。

背景

「附属書A管理策と規程の突き合わせ」は、なぜこんなに大変なのか

ある企業の情報システム部の ISMS 事務局が、ISO/IEC 27001:2022 への移行審査を前に、情報セキュリティ関連規程群の一斉点検に取りかかりました。確認したいのは、「附属書A の全管理策（A.5 組織的〜A.8 技術的の合計93策）が、自社規程のどこかで手当てされているか」という、一見シンプルな照合作業です。

ところが実際には、2022年版で11の新管理策が追加され、既存の管理策も大幅に再編されています。旧版（2013年版）との番号の対応表を手元に置きながら、規程の条文を1つずつ引っ張ってきて突き合わせる——その作業量は、担当者2名で丸2週間を要するほどの規模でした。

ぶつかっていた課題

2022年版で再編された附属書A管理策と既存規程を1つずつ突き合わせ、審査準備に丸2週間かかっていた
新設・統合された管理策（脅威インテリジェンス・クラウドセキュリティ等）の規程への反映漏れに気づきにくい
SoA（適用宣言書）と規程の記載内容が一致しているかの確認に別途工数がかかる
審査機関の指摘を受けてから慌てて規程を改訂し、是正処置で余分なコストが発生していた

01やってみた

自然文の指示だけで、AI が確認手順を自動生成

難しい設定は何もしません。「附属書Aの管理策ごとに根拠を示しながらギャップをチェックして」と、普段 ISMS 事務局の内部レポートに書くような言葉で入力しました。すると AI が、確認に必要な4ステップの手順を自動で組み立ててくれます。

app.indx-compliance.com/start/draft

管

あなたが入力した指示（自然文でOK）

「ISMS の更新審査の前に、情報セキュリティ関連規程が ISO/IEC 27001:2022 の附属書A 管理策を満たしているか確認したい。管理策ごとに根拠を示しながらギャップをチェックして。」

AI がチェック手順を自動生成draft · 4 ステップ

01附属書A管理策と社内規程を取り込み
ISO/IEC 27001:2022 附属書A・情報セキュリティ規程群・SoA を対象に取り込み
02管理策ごとに整備状況を評価
各管理策が社内規程で手当てされているかを1つずつ判定
03判定の根拠と自信度を検証
根拠となった管理策番号・規程の該当条を実在チェック
04人による最終レビュー
要確認・不適合の管理策だけを ISMS 事務局に回す

画面①入力した自然文の指示から、AI が「規程・SoAの取り込み → 管理策ごとの整備評価 → 根拠の実在チェック → 人の最終確認」という4ステップを自動生成。内容を確認して保存するだけ。

プログラミングの知識も、特別なルール設定も不要です。生成された手順は中身を見て修正でき、一度作れば次の定期審査でも同じ観点でそのまま使い回せます。

02やってみた

実行すると、管理策ごとに「根拠つき」で適合状況が並ぶ

手順を保存して実行すると、附属書Aの各管理策について、社内規程でどこまで手当てされているかを AI が1つずつ判定します。結果はこの1画面に集約されます。重要なのは、すべての判定に「管理策番号・規程の該当条」という根拠が必ず添うこと。AI の判断を鵜呑みにせず、人が原文で確かめられます。行をタップすると根拠の原文が開きます。

app.indx-compliance.com/runs/run_isms-2022

管

ISMS 更新審査情報セキュリティ規程群

ISO/IEC 27001:2022 附属書A（A.5組織的・A.6人的・A.7物理的・A.8技術的）/ 情報セキュリティ規程群 / SoA と照合

ISO 27001 附属書A 適合チェック

2026-05-20 実行｜ 10 管理策

根拠つき

合格

要確認

不適合

適合 60%

判定の根拠ISO/IEC 27001:2022 附属書A 8.8 p.12
情報システムにおいて、技術的脆弱性に関する情報を入手し、評価し、適切な処置をとる。処置の期限及び責任者をあらかじめ定める。
照合した基準
ISO/IEC 27001:2022 附属書A 8.8
原文との照合
規程に手当てなし（不適合）
AIの自信度
86%
脆弱性管理の手順・対応SLAが規程に未整備。2022年版で要求が明確化された管理策の漏れ。

画面②合格6 / 要確認3 / 不適合1 を一覧で。各行をクリックすると、判定の根拠となった附属書Aの原文（ハイライト箇所）と、規程との照合結果がその場で開きます。実際に行をタップして試せます。

今回 AI が見つけたのは、「A.8.8 技術的脆弱性の管理」に対して、手順書・対応SLAまで規程化できていないという1件の不適合。ISO/IEC 27001:2022 で要求が明確化された管理策ですが、旧版からの移行対応で見落とされていた典型的な漏れでした。更新審査で必ず確認される箇所を、審査前に自力で拾えました。

03やってみた

ISMS 事務局は「要確認・不適合」だけを見て、確定する

AI が合格と判定した 6 件は、根拠つきなので素通しで確認できます。ISMS 事務局が頭を使うのは、要確認 3 件と不適合 1 件の、合わせて 4 件だけ。事務局担当者は不適合だった管理策を情報システム部に差戻し、手順書・SLA が追記された規程を再実行して、最終的に承認・確定しました。

app.indx-compliance.com/runs/run_isms-2022/review

管

最終レビュー（人が確定）

不適合A.8.8 技術的脆弱性の管理

2022年版で要求が明確化された管理策。脆弱性管理の手順書・対応SLAが規程に未整備のため、情報システム部に差戻し。

人が見るのは要確認・不適合の4件だけ。合格6件は根拠つきで素通しでき、審査エビデンスの準備に集中できます。

監査ログ（改ざん不可）

10:14AI
10 管理策を判定（合格6 / 要確認3 / 不適合1）
hash c3d7…2a
10:31ISMS事務局中村
「A.8.8 技術的脆弱性の管理」を差戻し（手順・SLA の規程化を依頼）
hash e9b1…5f
14:02情報システム部山田
脆弱性管理手順書・SLA 定義を追記し再実行 → 合格
hash a2f4…88
14:04ISMS事務局中村
全管理策を承認・確定。審査エビデンスとして登録
hash b6c9…d1

画面③左：事務局が確認するのは要対応の管理策のみ。右：AI の判定から人の承認・差戻しまで、すべての操作が改ざん不可のログに自動で残り、審査エビデンスとしてそのまま使えます。

一連の操作・判断はすべて改ざんできない監査ログに記録されます。「いつ・誰が・どの管理策を・どの根拠で判断したか」が後から完全にたどれるため、更新審査でのエビデンス提出にそのまま活用できます。

できたこと

結果：2週間の審査準備が、1日に

目視で丸 2 週間かかっていた管理策の突き合わせが、観点の準備から最終確定まで1日で完了しました。何より、2022年版で要求が明確化された脆弱性管理の漏れを審査前に拾えたことが、事務局にとって最大の成果でした。

2週間→1日
更新審査の事前点検時間: 100%
判定に根拠がついた割合: 4件 / 10件
人が見るべき管理策に圧縮

この事例のポイント

チェックの設定は自然な日本語の指示だけ。ISO の専門知識がなくても観点を組み立てられる。
すべての合否に附属書Aの管理策番号・規程の該当条という根拠が添うので、AI を鵜呑みにせず人が確かめられる。
ISMS 事務局が見るのは要確認・不適合だけ。判断と是正に集中でき、見落としも減る。
操作・判断は改ざん不可のログに残り、更新審査のエビデンスにそのまま使える。

まとめ

規程・SoA・手順書——「ものさし文書との照合」はすべて同じ形で

今回は ISO/IEC 27001:2022 の附属書A管理策と情報セキュリティ規程群の照合事例でしたが、INDX Compliance の使い方はどれも同じです。「ものさしになる文書（管理策・法令・社内基準）」と「確認したい文書（規程・SoA・手順書）」を渡し、根拠つきで突き合わせる。契約書のレビュー、申請書の不備チェック、ISO 9001 内部監査の事前点検——ルールとの照合が発生するあらゆる業務に、同じ手順がそのまま使えます。