JSSA-システム監査学会-第29回公開シンポジウム　要旨

情報化月間参加行事

基調講演「ITを利用した監査の展望～未来の監査へのアプローチ～」 "The Outlook for IT-Based Auditing: Approaches to Next Generation Audit"
中村公認会計士事務所公認会計士中村元彦氏
日本公認会計士協会ＩＴ委員会から2016年3月28日に、IT委員会研究報告第48号「ITを利用した監査の展望～未来の監査へのアプローチ～」を公表した。　この研究報告は、国内外におけるＩＴを利用した監査のアプローチの動向について検討を行うとともに、将来的にITが全面的に利用されている企業環境において、精査的な手法および統計学的アプローチに比重を置いた監査のアプローチが確立される可能性について、現状における展望の取りまとめを行っている。また、未来の監査の事例として、ITの普及により大量のデータを取り扱うことが可能となった2025年頃の社会を想定し、その時代に即した監査のアプローチを例示している。日本公認会計士協会においてIT担当常務理事として係わったことから、この研究報告を中心にお話しする。

基調講演「ITを利用した監査の展望～未来の監査へのアプローチ～」

"The Outlook for IT-Based Auditing: Approaches to Next Generation Audit"

中村公認会計士事務所公認会計士中村元彦氏

　日本公認会計士協会ＩＴ委員会から2016年3月28日に、IT委員会研究報告第48号「ITを利用した監査の展望～未来の監査へのアプローチ～」を公表した。
　この研究報告は、国内外におけるＩＴを利用した監査のアプローチの動向について検討を行うとともに、将来的にITが全面的に利用されている企業環境において、精査的な手法および統計学的アプローチに比重を置いた監査のアプローチが確立される可能性について、現状における展望の取りまとめを行っている。また、未来の監査の事例として、ITの普及により大量のデータを取り扱うことが可能となった2025年頃の社会を想定し、その時代に即した監査のアプローチを例示している。日本公認会計士協会においてIT担当常務理事として係わったことから、この研究報告を中心にお話しする。

講演1「サイバーセキュリティ対策と監査」
厚生労働省政策統括官付サイバーセキュリティ担当参事官室　　　　　　　　　　　　統括サイバーセキュリティ対策官最高情報セキュリティアドバイザー印藤晃氏
日本年金機構の情報流出事案を受けて、機構を監督する厚生労働省の組織的・人的・技術的な対策および業務運営上の対策と問題点の認識と再発防止策における取組を話す。　また、サイバーセキュリティ基本法改正によるNISCの監査および省内情報セキュリティ監査の概要も触れる。

研究発表セッション1 「ブロックチェーン技術とシステム監査」 "System audit on "Block chain technology"
京都聖母女学院短期大学荒牧裕一氏
ビットコインを始めとする仮想通貨における分散型台帳技術として開発されたブロックチェーン技術を、FinTecと呼ばれる新しい金融サービス等で活用しようとする動きが進んでいる。将来は金融サービス以外の一般のビジネスでもブロックチェーン技術が活用されるようになる可能性も高い。　このようにブロックチェーン技術のビジネスでの活用が進めば、当然、システム監査での配慮も必要になると考えられる。そこで、現時点でのブロックチェーン技術の動向とその問題点を整理し、システム監査人の視点からその信頼性・安全性確保のための留意点を考察し、監査ポイントとして提案する。

研究発表セッション1
「ブロックチェーン技術とシステム監査」
"System audit on "Block chain technology"

京都聖母女学院短期大学荒牧裕一氏

　ビットコインを始めとする仮想通貨における分散型台帳技術として開発されたブロックチェーン技術を、FinTecと呼ばれる新しい金融サービス等で活用しようとする動きが進んでいる。将来は金融サービス以外の一般のビジネスでもブロックチェーン技術が活用されるようになる可能性も高い。
　このようにブロックチェーン技術のビジネスでの活用が進めば、当然、システム監査での配慮も必要になると考えられる。
そこで、現時点でのブロックチェーン技術の動向とその問題点を整理し、システム監査人の視点からその信頼性・安全性確保のための留意点を考察し、監査ポイントとして提案する。

研究発表セッション2 「繋がるシステムの内部統制とシステム監査についての一考察」 "A Proposal for internal control and audit of Cyber-Physical Systems"
システム監査技術者、CIA,CISA 成田和弘
あらゆるモノがインターネット等のネットワークに接続され、そこから得られる多様なデータを収集・分析・活用したり、システムの自動制御に用いたり、API 等によりシステム機能そのものを共有すること等により、新たなサービスが展開されるようになった。これらを支える情報システムでは、システム機能や取り扱う情報が組織を越えて相互に関連し合うため、関係者それぞれが高くかつ永続的な品質と安全を確保し、相互に信頼できるような枠組みを作っていくことが重要になる。　繋がるシステムをサイバー犯罪やサイバー攻撃から防衛し、自動化されたサービスのセキュリティとセーフティを確保し、収集した情報の活用におけるプライバシーを保護し、関係者間の相互信頼を実現するため、どのような内部統制が求められるか、システム監査はどのように貢献すべきかを考察する。

研究発表セッション2
「繋がるシステムの内部統制とシステム監査についての一考察」
"A Proposal for internal control and audit of Cyber-Physical Systems"

システム監査技術者、CIA,CISA 成田和弘

　あらゆるモノがインターネット等のネットワークに接続され、そこから得られる多様なデータを収集・分析・活用したり、システムの自動制御に用いたり、API 等によりシステム機能そのものを共有すること等により、新たなサービスが展開されるようになった。これらを支える情報システムでは、システム機能や取り扱う情報が組織を越えて相互に関連し合うため、関係者それぞれが高くかつ永続的な品質と安全を確保し、相互に信頼できるような枠組みを作っていくことが重要になる。
　繋がるシステムをサイバー犯罪やサイバー攻撃から防衛し、自動化されたサービスのセキュリティとセーフティを確保し、収集した情報の活用におけるプライバシーを保護し、関係者間の相互信頼を実現するため、どのような内部統制が求められるか、システム監査はどのように貢献すべきかを考察する。

研究発表セッション3 「金融機関等のシステム監査指針」におけるIT ガバナンスとの関連性 ~テキストマイニングによる分析の試み~ "The Relation with IT Governance in "FISC Information System Audit Guidelines" Trial of Analysis by Text Mining"
三井住友銀行神橋基博氏
金融庁はIT ガバナンスをシステム投資・システム運用を適正に統制し、組織的に取り組むためのマネジメント態勢と定義し、IT 統括部門による統括機能の発揮を重視している。　IT 統括機能をISO/IEC 38500 のEDM モデルに相当するものと仮定すると、IT ガバナンスの監査では、EDM モデルに該当する機能が存在することを検証する必要がある。そのため、金融機関がシステム監査を行う際に参考にする「金融機関等のシステム監査指針」(以降、FISC 指針と記載)にテキストマイニングを適用し、EDM モデルとの関連性が高い単語とその分布を分析した。　分析結果から、FISC 指針においてEDM モデルとの関連性の高い単語の分布は要点項目によって差異があることが明らかになった。この点を踏まえ、金融機関がFISC 指針に基づいてIT ガバナンス監査を実施する際は、EDM モデルを参考にチェックポイントを補うことを提言する。

研究発表セッション3
「金融機関等のシステム監査指針」におけるIT ガバナンスとの関連性
~テキストマイニングによる分析の試み~
"The Relation with IT Governance in "FISC Information System Audit Guidelines" Trial of Analysis by Text Mining"

三井住友銀行神橋基博氏

　金融庁はIT ガバナンスをシステム投資・システム運用を適正に統制し、組織的に取り組むためのマネジメント態勢と定義し、IT 統括部門による統括機能の発揮を重視している。
　IT 統括機能をISO/IEC 38500 のEDM モデルに相当するものと仮定すると、IT ガバナンスの監査では、EDM モデルに該当する機能が存在することを検証する必要がある。そのため、金融機関がシステム監査を行う際に参考にする「金融機関等のシステム監査指針」(以降、FISC 指針と記載)にテキストマイニングを適用し、EDM モデルとの関連性が高い単語とその分布を分析した。
　分析結果から、FISC 指針においてEDM モデルとの関連性の高い単語の分布は要点項目によって差異があることが明らかになった。この点を踏まえ、金融機関がFISC 指針に基づいてIT ガバナンス監査を実施する際は、EDM モデルを参考にチェックポイントを補うことを提言する。

講演2「IoT開発におけるセキュリティ設計」 "Security Design for IoT Development"
情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー辻宏郷氏
家電、自動車、玩具、産業機器など多種多様な「モノ」がネットワークを介してつながるIoT が注目を集めているが、つながることで発生する脅威に対するセキュリティ対策の不十分さや責任分界の曖昧さなど様々な課題がある。　IPA（情報処理推進機構）は、IoT 開発においてセキュリティ設計を担当する開発者に向けた手引きを作成・公開し、いくつかの例題をもとにIoT システムにおける脅威分析と対策検討の実施例を示した。本講演では手引きを題材として、IoT のセキュリティ、脅威と対策等について解説する。

講演2「IoT開発におけるセキュリティ設計」
"Security Design for IoT Development"

情報処理推進機構技術本部セキュリティセンター
情報セキュリティ技術ラボラトリー辻宏郷氏

　家電、自動車、玩具、産業機器など多種多様な「モノ」がネットワークを介してつながるIoT が注目を集めているが、つながることで発生する脅威に対するセキュリティ対策の不十分さや責任分界の曖昧さなど様々な課題がある。
　IPA（情報処理推進機構）は、IoT 開発においてセキュリティ設計を担当する開発者に向けた手引きを作成・公開し、いくつかの例題をもとにIoT システムにおける脅威分析と対策検討の実施例を示した。本講演では手引きを題材として、IoT のセキュリティ、脅威と対策等について解説する。

講演3「IoT社会における法的責任論についての考察」 "A study of legal responsibility in the IoT society"
弁護士法人エルティ総合法律事務所　所長 IT-ADRセンター所長弁護士／システム監査技術者　　藤谷　護人　氏
IoT 社会は、超人的社会（a superhuman society）である。超人的センサーにより収集した情報を、超人的ビッグデータに蓄積し、超人的ICT により利活用し、社会の利便性・生産性・効率性が劇的に向上し、高齢化社会における労働力の不足などの問題を解消する可能性がある。しかし、そのような社会においては、自由な意思決定による尊厳ある人間存在を根底に組み立てられている現在の法的責任論の意思的契機が著しく減少し、それによって法的責任の根拠や範囲や内容も変化せざるを得ない。収集・利活用の場面においても新たな規範的責任が必要となる。

講演3「IoT社会における法的責任論についての考察」
"A study of legal responsibility in the IoT society"

弁護士法人エルティ総合法律事務所　所長
IT-ADRセンター所長
弁護士／システム監査技術者　　藤谷　護人　氏

　IoT 社会は、超人的社会（a superhuman society）である。超人的センサーにより収集した情報を、超人的ビッグデータに蓄積し、超人的ICT により利活用し、社会の利便性・生産性・効率性が劇的に向上し、高齢化社会における労働力の不足などの問題を解消する可能性がある。しかし、そのような社会においては、自由な意思決定による尊厳ある人間存在を根底に組み立てられている現在の法的責任論の意思的契機が著しく減少し、それによって法的責任の根拠や範囲や内容も変化せざるを得ない。収集・利活用の場面においても新たな規範的責任が必要となる。

▲このページのトップに戻る