JSSA システム監査学会
  

研究プロジェクト


ホーム>研究プロジェクト

 2017年度(2017.4〜2018.3)は8つの研究プロジェクトを設置します。


 2016年度の各プロジェクトの研究成果は2017年6月2日の設立30周年記念研究大会で報告しました。
   研究成果資料を公開しています。
   2007年度〜2016年度の研究成果はこちら



<研究プロジェクト登録方法>


 登録を希望される方は、「研究プロジェクトの登録」のページからお申し込みください。

(注)前年度から継続して参加するプロジェクトについても継続意思確認のため、再度登録をお願いします。


   
  参加資格:会員(正会員/学生会員/賛助会員)のみ

◆2017年度研究プロジェクト一覧◆


「情報セキュリティ」研究プロジェクト(継続)

(主査:川辺良和)

※「情報セキュリティ専門監査人部会との合同プロジェクトを開催」
研究テーマ
と概要
 中小組織を対象に、主としてマネジメントの側面に着目して情報セキュリティの諸問題を取り上げ、セキュリティの確立と強化のために有効な考え方や具体的実施策を提案し利用してもらうことを目標にしている。
 今年度も、テーマの選定からはじめて、関係する情報の収集と分析、宿題を持ち寄っての意見交換、それを整理し次に展開するという作業を全員で繰り返して行い、1年後には具体的な研究成果にまとめ発表する予定である。
計画日程  7月初旬より開始、平均月1回の頻度で開催する。場所は地下鉄東西線竹橋駅徒歩2分にある「ちよだプラットフォーム」会議室を予定している。今年度も情報セキュリティ専門監査人部会との合同研究を考えている。
2016年度
の活動成果
 2016年度も情報セキュリティ専門監査人部会と合同で研究を進めた。
 前半は主として、2016年度の研究テーマの絞り込みに向け、2015年12月に経済産業省発表のサイバーセキュリティ経営ガイドラインなどの展開や最近のセキュリティ事件・事故への対応策等の情報セキュリティをめぐる話題について自由に意見交換を行った。
 後半は、サイバーセキュリティ経営ガイドラインとISMS、IoTやビッグデータなど関心の高いテーマを検討しつつ、IPAから「サイバーセキュリティ経営ガイドラインの解説書」 (2016.12)が発行されたので、研究会ではと中小企業とハンドブックの内容を整理・検討し、これらの研究成果を大会で発表する予定。2017年度は新たに研究テーマを設定して研究を行う。  

▲このページのトップに戻る

「リスクマネジメント」研究プロジェクト(継続) 

(主査:森宮 康/副主査:黒澤兵夫)

研究テーマ
と概要
■テーマ
 国内外の経営・事業環境の激変とリスクマネジメントの実践的研究
■概要
 今日、経営・事業環境は国内のグローバル化と著しく速い展開と激変が、企業・組織を取り巻く経営・事業のリスクマネジメントの必要性が高く求められている。これらに対応すべく事業継続システム(BCP/BCMS)について、いかに企業・組織として取組みを行うべきか、リスクマネジメントの視点から考察する。
 成熟度モデルで管理統制された企業・組織へどのようなアプローチが最もよいか種々調査・研究する。
 また、BCMSの国際認証ISO22301をベースに、特に運用(第8項)の展開と実践を図る。
 さらに、事業継続システム(BCP/BCMS)の面から、リスクマネジメントの重要性をシステム監査の視点に基づき、適用範囲を拡大させ、リスクマネジメントの枠組みの検討を行う。これにより社会情報システム全体に拡大し、適用を図る中で、次の研究を行う。

1.対象とするGSCMSの適用・拡大
2.GSCMSに関するリスクマネジメント深耕
3.GSCMSにおけるリスクマネジメント評価(JRMS2010)
4.ISO22301の適用と展開および実践
5.BCP/BCMSに関する進化と深化およびシステム監査の実践
6.経営者の執行態様と評価〜中小スーパーにおける採用環境の厳しさがもたらすリスク管理の変化
7.管理基準、監査基準との整合性、および新規提案等
計画日程  7月より開始し、1回/2~3か月の頻度で開催し、MLで検討も行う。場所は 明治大学等の会議室を予定している。理論と実践的な成果のとりまとめを行う。 次回の研究発表大会で研究成果を報告する予定である。
2016年度
の活動成果
・頻度:1回/2〜3か月
・内容:事業継続計画/事業継続マネジメントシステム(BCP/BCMS)とシステム監査について、流通業をモデルとして、JRMS2010、ISO31000、ISO22301を適用しMSS(PDCA)と成熟度の向上を図る調査・検討および情報発信を行っている。あわせて、システム監査として必要な監査項目、管理項目を洗い出し、実際に企業/組織へ適用を図り、課題・改善点を調査・検討し、提言と情報の発信を行っている。活動成果「〜中小スーパーにおける採用環境の厳しさがもたらすリスク管理の変化」を設立30周年記念研究大会で発表した。
 

▲このページのトップに戻る

「情報セキュリティ対策の診断」研究プロジェクト(継続)

(主査:木村裕一)

研究テーマ
と概要
■テーマ
 「在宅(自宅)勤務のセキュリティ監査」

■狙い・議論すること
 働き方の多様化が推進されるなかで、在宅勤務が少ずつ増加している。テレワークをサポートする環境が整備されつつあり、利用できるツールなども広がっている。一方、安全対策としてこれまでは情報をなるべく外部に持ち出さない、情報は安全な環境で取り扱うなどの対策を行ってきたが、在宅勤務ではこれと逆行する面がある。多様な業務環境が想定される在宅勤務について、業務を安全・確実に実施するための管理をどのように実現させるか、その監査はどこに重点を置き、どのように実施するかについて研究する。
 具体的な議論は以下をたたき台として、詳細は参加者でつめることとする。

1. 在宅勤務とは(研究の対象範囲の特定)
2.次の監査の立場を想定する 社員を在宅勤務させる企業/自分の業務環境を業務委託者に説明する(義務がある)個人事業主
3.監査対象
 <セキュリティ>がテーマなので、
 1)取り扱う情報
 2)業務環境
 3)在宅で扱うことが多い業務
 4)在宅で扱うことは難しいような業務、在宅での扱いを避けた方が良い業務、などについて、検討する
4.監査基準(管理区分)  考えるべき管理分野として、たとえば次を切り口として研究する。
 1)在宅勤務で、一般企業の環境とは管理運営が異なる項目
 2)在宅勤務での弱点項目、運用が難しい項目―入退室管理、情報環境、ネットワーク環境など 
 3)企業の環境と比べてきちんと確認しなければならない管理項目、など

■目標とする成果
・上記の検討結果を整理する
・在宅勤務の監査の考え方をまとめる
・在宅勤務の監査チェックリスト
実際のシステム監査で利用できるものを目指したい。
計画日程 日程:原則として毎月中旬1回の定例会
   平日の18:30から、場所:東京都南部労政会館 会議室
   (山手線大崎駅5分) 他
 なお、詳細についてはご連絡をくださった方にお知らせします。
2016年度
の活動成果
  • 1.研究会は、毎月中旬、平日の夜間に大崎、永田町、その他の会議室にて約2時間実施した。
  • 2.テーマ: 「中小企業へのサイバー攻撃を防御するためのCSIRT導入の考察」
     中小規模企業も多くの重要な情報を保有し、利用している状況では、大企業同様に標的型攻撃により狙われる対象になっている。中小規模企業の対策実施は経営者の認識に左右される。企業としてCSIRTの導入が必要か否かを判断するための現状把握方法を検討した。また、経営資源が少ないこと、技術力も十分ではないことを考慮してCSIRT導入の方法を検討する。2015年度からの継続研究である。この内容をシステム監査学会の論文としてまとめた。
    なお、課題として中小企業へのCSIRT導入方法を適用して有効性確認が実証研究として残っている。しかし、研究に対応する企業の当てがないため2017年度の年間テーマと出来ないが、継続的に準備し検討していく。

▲このページのトップに戻る

「法とシステム監査」研究プロジェクト」(継続)

(主査:稲垣隆一/副主査:黒澤兵夫)

研究テーマ
と概要
■概要
 システム監査は、情報システムの企画、開発、運用、保守に関する現実的な課題の予防、解決に、いかに役立つのか? レピュテーションリスク、クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバー制度、IOT/IOEシステム、サイバーアタックなど現下の課題、判決例に表れた紛争事例を素材に検討し、その成果を生み出すシステム監査の技法の開発、管理基準の改訂の提案などに結びつける。

■研究テーマと概要
 事例として「レピュテーションリスクマネジメントと情報漏洩」を研究課題として、判例などをベースにシステム監査の観点から調査・研究する。
 並行して次の事項も研究する。

@クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバーシステム、IOT/IOEシステム、サイバーアタックなど、新しいシステム技術に係る法的課題の洗い出しと、これらに対するシステム監査の寄与。

Aシステム開発プロセスのコンプライアンス監査
 システム開発紛争を未然に防止し円滑なシステム開発を支援することを目的とするシステム監査の尺度と技法を検討する。


 具体的には、システム開発に関する裁判例や参加者の経験を素材に、システム開発企画、要件定義、仕様決定、契約、開発工程、外部委託、情報漏えい対策、クラウド利用、システム統合、個人情報保護法、不正競争防止法、下請法、派遣業法、金融検査マニュアルなど外部規範への適合などを検討し、システム開発態勢におけるシステム監査の位置づけ、紛争の未然防止を監査目的とするシステム監査の尺度、監査技法を研究して、システム開発紛争を防止し、円滑なシステム開発を支援するためにシステム監査が果たし得る機能を明らかにする。
計画日程 頻度:原則として1回/2〜3か月の定例会。平日午後18:30から開催。
場所:稲垣弁護士事務所
2016年度の
活動成果
・頻度:1回/2〜3か月
・内容:「最近の調達、契約等におけるトラブル」について、事例、判例等を検討・調査し情報発信する。
 この事例をもとに、システム管理基準、監査基準の改定、追記などの検討と提言を試みる。
 企業/組織は素早く適切な対応を取らなければ存亡の危機に追い込まれる。これをシステム監査の立場から提言を図る。
・成果は、2017年6月の設立30周年記念研究大会で発表した。

▲このページのトップに戻る


「ITガバナンスと内部統制」研究プロジェクト(継続)

(主査:清水惠子/副主査:三浦泰史) 

研究テーマ
と概要
■研究テーマ
 ITガバナンスと内部統制をテーマに、ITをどのように企業の戦略目標とクラウドなどの新技術の利用とそのITの信頼性確保をどのようにすべきか昨年度に引き続き、課題について企業としての対応策を考えて、来年6月の研究大会で発表する。
 IT利用したガバナンスの在り方を検討する。ガバナンスと内部統制、取締役会のモニタリング機能とITの利用について検討していきたい。
計画日程 ・隔月1〜2回を予定
(平日の18:30から、2時間程度、場所は未定。会議室提供可能な方歓迎です。)
・ITガバナンスと内部統制について研究し、その成果を研究論文として公表する。
2016年度の
活動成果
企業のガバナンスと効率性と信頼性の担保をクラウドなどの利用を基に検討した。

▲このページのトップに戻る


「IT監査保証の判断基準」研究プロジェクト(継続)

(主査:松尾 明/副主査:成田和弘)

研究テーマ
と概要

ドラッカーの『テクノロジストの条件』を基本書として用い、その後の環境変化を再認識し、理論的背景としてまとめて公表する。

  • 研究プロジェクトメンバーの業種にかかるビジネスとシステムの最新動向の研究
  • グローバルな基準・標準に関連する翻訳
  • COSOおよびCOBITの課題抽出と提言
計画日程
a)サイバーセキュリティ、クラウド等にかかるグローバルな標準、基準の動向調査
(OpenGroupのFACE、NISTのフレームワーク、FedRAMPなど)
b)ヘルスケア、金融等、研究プロジェクトメンバーの業種にかかるビジネスとシステムの最新動向の研究
c)監査、評価手法、ツールにかかるグローバルな標準、基準の動向調査
d)上記研究成果を踏まえ、COBITの改定の提言を英語でISACAに行う。
多くの会員の方々の参加をお待ちしています。
全体のプロジェクトの会議は、原則 第2金曜日6時半から市ヶ谷法政大学一口坂キャンパスで行います。
会員でa〜dの研究に参加されたい方は、ご登録ください。
2016年度の
活動成果

・COSO in the Cyber Ageの仮翻訳と研究
・ヘルスケアシステムのシステムの最新動向の研究
・FinTech等の金融システムの動向の研究
・サイバーセキュリティ対応等の日米比較

▲このページのトップに戻る



「マイナンバー特別」研究プロジェクト(継続)
※「個人情報保護専門監査人部会との合同プロジェクトを開催」

(主査:本田 実/副主査:黒澤兵夫)

研究テーマ
と概要
■テーマ
 マイナンバー制度への対応及び個人番号の利用範囲拡大への対応にあたって、システム監査とシステム管理基準の考慮すべき項目を研究する。

■概要
 次の事項について調査・研究を行う。
(1)ガイドラインの適用
2016年度の活動成果「中小企業におけるSLCPのマイナンバー対応ガイドライン」(パッケージソフトウェア&ASPサービスの活用、手作業での対応バージョン等)の実システムへの適用及びレビューと課題検討。
(2)「個人番号の利用範囲拡大の検討状況について」(マイナンバー等分科会)に基づく、1)戸籍事務、2)旅券事務、3)預貯金付番、4)医療・介護・健康情報の管理・連携等に係る事務、5)自動車の登録等に係る事務、の5分野への適用とシステム監査の検討。
(3)前年度に引き続く研究。実際に役立つガイドラインの(作成)提示。
  • @2016年度の成果物のレビュー
  • A中小企業向けにガイドラインの使い方の提示方法の検討
  • B区分として「パッケージソフトウェア&ASPサービスの活用」、「手作業での対応」、「アウトソーシングの活用」および「クラウド」
  • Cコンプライアンス面の強化
  • D成果物を実際に適用し結果の検証
計画日程 原則として月1〜2回開催。平日18:30から2時間程度
場所は、稲垣隆一法律事務所(有楽町)
2016年度の
活動成果
次の事項について中小企業対応の調査・研究を行った。
(1)マイナンバーシステムのヒアリング(運用と課題)
@サービス業
APKG(OBC)
B自治体(F市役所)
(2)「SLCPのマイナンバー対応ガイドライン」(パッケージソフトウェア&ASPサービスの活用、手作業での対応バージョン)の研究

▲このページのトップに戻る



「新技術対応監査技法」研究プロジェクト(新規)

(主査:荒牧裕一/副主査:雜賀 努)

研究テーマ
と概要
 ビッグデータ、ブロックチェーン、AI等、情報システムの基盤に関わる新たなICT分野の登場・普及に伴い、情報システム関連のリスクや対策についても新たな視点が求められるようになり、システム監査人もこれらに対応していくことが必要となっている。
 本研究会では、上述のような新技術やマイナンバー等の新制度に関して、タイムリーな情報収集を行って関連知識の収集と共有に努めると共に、システム監査の視点からの討議を行う。これらの研究会での情報共有と討議を通じて、新技術や新制度に対応した監査技法について研究していくことを目的とする。
 研究会の進め方については、個人発表と合同研究の両者を併用し、テーマによって使い分けていく予定である。また、参加メンバーの関与する企業・団体における事例紹介も随時行っていく。 研究期間は当面2年とし、初年度の研究成果は、2018年6月の研究大会で報告する予定である。
計画日程 毎月1回を予定。
(大阪市立大学梅田サテライトまたは大阪大学中之島センターにて)
▲このページのトップに戻る

2016年度以前の研究成果はこちら