講演・報告要旨一覧
 <基調講演>「日本の自由貿易(TPPほか)とグローバルでオープンな技術標準戦略によるガバナンスについて」 "Japan Strategic Architecture Principle for Global Open “ Trans Pacific Partners "" |
| オープン・グループ 日本代表 藤枝 純教氏 |
| <講演> 「ICT継続マネジメントに必要な動的情報セキュリティと監査の視点」 "Dynamic Information Security Management for ICT Continuity Management and Critical Aspects for Systems Auditing" |
| 名古屋工業大学大学院工学研究科社会工学専攻 教授 渡辺 研司氏 |
| 企業の経営環境を取り巻くリスクが多様化し、実際の事案やインシデントが多発するようになってきた状況下、業務やビジネスの依存度がますます高まる情報・通信技術(ICT)を中心とする情報システムの継続性が、事業継続マネジメント(BCM)へのニーズの高まりに伴い、ますます重要になっている。本講演ではICTの継続性の重要性と、それをどのように監査できるのか、といった論点を中心に課題も含めた考察を展開する。
|
| 報告(専門監査人部会活動報告/研究プロジェクト成果報告) |
| <個人情報保護専門監査人部会活動報告> 「国民IDの要件定義とシステム監査」 "A System Audit Report of National ID System" |
| 富士通(株) 桃澤 正和氏 |
| 政府が検討している「社会保障と税の一体改革」において、国民ID制度のような基盤が必要とされるが、本制度は国民にとって有効に働くのかどうか、懸念事項などはないのか、システム管理基準に照らし合わせ評価した結果を報告する。 |
| <会計システム専門監査人部会活動報告> 「SAP ERPの業務処理統制の実際的例の研究」 "Example of IT Application Control for SAP ERP" |
| 情報システム監査(株) 迫田 修氏 |
| 2011年度の会計システム専門監査人部会の研究活動は、SAP ERPシステムを監査するシステム監査人の理解を助ける目的で、2010年度に作成した販売管理プロセスの業務処理統制の評価手続き例に引き続き、2011年度は購買管理プロセスの業務処理統制の評価手続き例について、チェックリストの精査を実システム上で行い、加筆・修正を行った結果を報告する。また、精査時に収集した情報を使って、各手続きに対する実システムの表示内容を、サンプルとして可視化した結果も併せて報告を行う。 |
| <情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト合同成果報告> 「情報セキュリティとシステム監査に対する経営者の認識の現状と課題」 "Managers' perception of current situation and problems toward "information security" and "System audit"" |
| NECソフト 高野 美久氏 |
|
2010年度は、中小企業組織を対象に企業全体として実効性のある、すなわち最適な情報セキュリティマネジメントとシステム監査への取組みを検討した。 しかし現状では、情報セキュリティマネジメントとシステム監査の実施率は、今なお低いのが現実である。 そこで2011年度は、なぜ経営者が情報セキュリティとシステム監査を受入れないのか、その理由を考察し、その対応策を検討した。 具体的には、経済産業省発表の「平成22年情報処理実態調査」のデータをもとに、情報セキュリティとシステム監査に対する経営者の認識の現状を評価・分析し、さらに、経営者が情報セキュリティとシステム監査に対して抱く心理および考え方を推測し、その上で、経営者に対し情報セキュリティとシステム監査の重要性を認識させるためにはどのように取り組めばいいのか、その課題と対応方法を検討した。 |
| <リスクマネジメント研究プロジェクト成果報告> 「システム監査と事業継続マネジメントシステム-成熟度モデルの実務活用-」 "Considerations of systems audits and business continuity management system - Take advantage of practice of Maturity Model -" |
| 足立 憲昭氏 |
|
当研究プロジェクトは、システム監査と事業継続マネジメントシステムの構造化を仮説モデルを使いながら検討した。 @SCMにおけるBCMとSAのモデル化AGSCMリスクチェックシート作成BJRMS2010の活用と進んできた。今回はJRMSの評価結果を参考にしながら、リスクマネジメントのレベルが1〜2の企業をどのようにレベル3まであげていくかを検討した。 研究プロジェクトの中で判明してきたのはレベル3がレベル5までの通過点ではなかったことである。その途中に大きな壁があり、経営層・マネジャー層現場層がそれぞれの立場で「創造的な破壊」が必要であった。 まだまだ結論に至っていないが、新しい頂きまでの道程がぼんやりと見えてきた。今回の発表はメンバーがさまざまな事件・事故を振り返りながら取り纏めてきたことを報告する。 |
| <情報セキュリティ対策の診断研究プロジェクト成果報告> 「利用者のためのソーシャルネットワーキングサービスに関するセキュリティ研究」 "Study of security about Social Networking Service users" |
| (株)デンカク 尾崎 孝章氏 |
|
本年の企業への実証による情報セキュリティ対策診断を通じて、企業経営者が直面する危機として取り上げられる話題に、「Facebook(フェイスブック)」「twitter(ツイッター)」などのSNSを中心とした社員の発言から、企業の情報管理を問われる事故が多く聞かれた。社員によるSNSの利用は個人利用の側面が強く、経営者から見てその利用実態はブラックボックスである。また急速に普及するSNSに対して企業としてルール作りが追い付いていない現状がある。 当研究プロジェクトでは、SNSを起因とした企業の信用失墜や風評被害など多大な影響を及ぼすセキュリティ上の懸案事項を早急に解消していく取組みが必要であると判断し、社員によるSNSの利用に対する利用上の指導および、指導に基づく利用実態を監査する仕組みについて、情報セキュリティ対策診断の過程で発生したこの問題に急遽スポットをあてて研究を行ったので、その成果を報告する。 |
| <ITを利用したガバナンス研究プロジェクト成果報告> 「ITの利用の拡大と統制」 "Expansion use of IT and expand control by governing body to achieve its governance of IT" |
| (株)コンシスト 清水 惠子氏/ 公認会計士 三浦 泰史氏 |
| SNSの進展やスマートフォン等の業務への利用により、企業の従来のガバナンスの統制概念では想定していないリスクに企業はさらされている。自社の統制外にあるネットワークやシステムの障害によって業務が停止したり、また、従業員が企業機密の漏えいになりかねない情報をツイッターでつぶやいたりしている。ここでは、ITの利用の拡大によるリスクとそれらのリスクに対する統制について考察する。
|
| <システム監査用語研究プロジェクト成果報告> 「システム監査用語研究プロジェクト報告」 "Report of system audit term study project" |
| 城西国際大学 本田 実氏/ みずほ情報総研(株) 大島 誠氏/ MS&ADシステムズ(株) 中村 晴夫氏/ 日本銀行 細野 浩一郎氏/ 東京地方裁判所 芳仲 宏氏 他 |
| 「システム監査用語の定義と解説」(2005年度版)を踏まえ、情報セキュリティ管理基準の改正、IT統制やITの国際規格の対応、システム監査技術者試験シラバスの対応、共通フレーム2007の対応、新技術の対応等を考慮して、7年ぶりに改定する。現行の用語集の139個の用語を見直し、また45個の用語を追加し、よりわかりやすく、使いやすくしている。 本プロジェクトの成果物はdraft版として位置づけ、今後学会の用語部会で正式版としていく。 |
| <クラウドコンピューティングのシステム監査研究プロジェクト成果報告> 「クラウド・コンピューティングのシステム監査(中間報告)〜システム管理基準からのアプローチ〜」 "System auditing of Cloud Computing -Approach from the System Management Standards-" |
| パナソニック溶接システム(株) 深瀬 仁氏/ 大阪成蹊大学 松田 貴典氏 |
| 本発表は、システム監査学会・システム監査人協会の共同プロジェクトである【クラウド研究会】にて活動している内容をもとに発表する。 今年度は、研究会メンバーが具体的イメージを合せられるように、企業業態・規模を仮説として定めた上で、システム管理基準のパート(情報戦略・企画・開発・運用・保守・共通)ごとに、クラウドにおける留意ポイントを追記したガイドラインを作成している。まだ過程ではあるが、研究会にて議論となった要点をまとめ、今回はそのうちの企画・開発・運用・保守にターゲットをあて、その内容を紹介する。 |
| <コンプライアンスのシステム監査研究プロジェクト成果報告> 「コンプライアンスのシステム監査について(第U期報告)」 "System Auditing of Information System Compliance(Second term report)" |
| (株)ニイタカ 雜賀 努氏/ 大阪成蹊大学 松田 貴典氏 |
| コンプライアンスのシステム監査研究会では、情報システムに係る法的リスクの回避ができるシステム監査について研究している。 2010年度は「部門、業務別コンプライアンスMAP」を作成し、企業全体の法的リスクの整理を行った。 2011年度は、前年度の「部門、業務別コンプライアンスMAP」からシステム開発業務に範囲を絞り込み、システム管理基準の明確化の研究を行った。今回は、システム開発業務のシステム管理基準に対するコンプライアンス面の報告を行う。 |
| <法とシステム監査研究プロジェクト成果報告> 「法とシステム監査研究プロジェクト報告」 "The report about the reserch and future of the Law and the System audit project." |
| 弁護士 稲垣 隆一氏/ 新日鉄ソリューションズ 森久 博氏 |
| システム調達の当事者は,多数の法的リスク,たとえば,契約せずに作業を開始すること,コンプライアンス、見積、代金算定、仕様決定、契約、契約変更、責任などのリスク認識し統制しなければならない。システム監査は,この統制にどのように役立てるか。私たちはこの問題に関するプロジェクトのとりくみを報告する。 |
| 研究発表 |
| 「大規模な個人情報漏えいの特性を考慮した対策について」 "Treatment Measures for large scale Private Information Leakage" |
| 情報セキュリティ大学院大学 原田 要之助氏・菅原 尚志氏 |
| IISECとJNSAで実施した2011年度のインシデント調査と過去の情報を含めて分析することにより情報漏えい規模と頻度がべき乗則に従うことがわかった。べき乗則に従う代表例として、地震の規模と頻度がある。地震では事象が起きたことを想定した対策が取られている。一方、情報漏えいについては、今まで、事前対応を実施し漏えいリスクを受容できるレベルまで下げるという考え方が主流となっている。しかし、情報漏えいがべき乗分布であるということを前提にするならば、大規模な漏えい事件については発生頻度を小さくするという事前対策だけでは十分ではなく、発生したあとの事故の影響を最小限にするというような事後対策も必要となる。 今まで、あまり検討されてこなかった大規模な個人情報漏えい事件が起きたときの事後対策について検討した。最後に、このようなケースでは事後対策の検討状況に対する監査が必須であることを示し、監査の留意点について考察した。 |
| 「システム監査アプローチによるサスティナブル戦略経営ITガバナンス手法」 "Sustainable strategic management approach to IT governance approach system audit" |
| (株)AStar 宮城 郁美氏・萩原 功氏・石井 利侑氏 |
| ITガバナンスの実現は、企業の信頼と価値を向上させるために不可欠である。その手法について現在では、システム監査によるチェック方法が有力である。 これらの監査アプローチを活用し、さらに一歩進め、全体最適化と経営戦略までを考慮した「システム監査アプローチによるサスティナブル戦略ITガナバンス手法」を考案した。 この手法では、まずシステム監査アプローチによるシステム基盤や管理手法についてチェックを行った上で、全体のアプリケーションソフト資産について業務とデータ、サービス等俯瞰的に現状分析を行う。 次に、企業のコアコンピタンスを調査の上、サスティナブルに経営戦略に至るところまでを言及する。 最終的に企業は、効率的で無駄のない最適化されたシステムを獲得することができ、ITガバナンスの実現とともに業界での最優位性を勝ち取ることになる。 そのようなITガバナンスの手法についての研究を発表する。 |
▲このページのトップに戻る