JSSA システム監査学会
  

第30回研究大会講演要旨

(2016/6/2 updated)


ホーム研究大会>第30回研究大会講演要旨


講演・報告・発表要旨一覧

プログラム・参加受付はこちら
【基調講演】 「サイバー社会とフォレンジックについて」
  (株)KPMG FAS パートナー 伊藤益光 氏
(調整中)

報告(専門監査人部会活動報告/研究プロジェクト成果報告)

【会計システム専門監査人部会 活動報告】
「会計システム監査人とシステム監査」
“Future roles of Certified Master Auditor for Accounting System on system audit”
Right Way・SAC(株) 平塚康哲 氏
会計システム専門監査人は、制度発足からすでに12年の歳月が過ぎている。会計システムに関連したIT統制等の分野で、ITの専門知識とシステム監査の能力というコンビネーションによる高度な視点を持った監査人として社会に貢献することを主な役割として、これまで活動を行ってきた。
一方で、世の中では、経済上の状況としてさまざまな事象が発生し、刻々と変化している事も事実である。専門監査人は常にその時代の要求に応えられる資質を求められており、先進の事態に備えつつ業務を行う必要がある。そこで、改めて専門監査人としての役割がどうあるべきかを、将来を見据えた観点から考察したことを現時点で示せる範囲で発表する予定である。
【情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト 合同研究成果報告】
「情報セキュリティ対策における営業秘密保護の考察」
"Study of including " the protection of the trade secret " in the information security management system"
  ISU  植野俊雄 氏
情報セキュリティの保護対策の隙をついて秘密情報を持ち出し、競合企業や名簿業者等に持ち込むという事件が繰り返し発生したことから、これら意図的な情報持出・搾取に対して、効果的な対策を講じることが求められている。経済産業省では、「営業秘密管理指針」(2015改訂版)に対応して秘密情報を保護するための具体的な対策方法を「秘密情報の保護ハンドブック」(2016.2)としてまとめて公表した。
当研究プロジェクトではこのハンドブックの内容を精査し、営業秘密の具体的な保護方法、そしてISMSの情報セキュリティ管理策との関連性を明らかにすべく検討したので、これら研究成果を発表する。
【個人情報保護専門監査人部会&マイナンバー特別研究プロジェクト 研究成果報告】
「マイナンバーとシステム監査」
”Study of My Number Systems and Systems Audits”
   KDDI(株) 白川里至 氏
マイナンバー法へのシステム監査の対応について、共通フレームをベースに次の事項の検討・調査をした結果を報告(中間)する。
・PKG、ASP
・アウトソーシング
・体制
・教育 など
【リスクマネジメント研究プロジェクト 研究成果報告】
「システム監査と事業継続マネジメントシステム(BCMS)
〜重大事故事例をレピュテーションリスクの観点から研究〜
“BCMS: Business Continuity Management System - Study the serious accident case from the view point of reputation risk -”
イオンエンターテイメント(株)  足立憲昭 氏
当研究プロジェクトは、事業継続マネジメントシステムについてJRMS2010成熟度モデルを活用しながら、各レベルにおけるマネジメントスタイルの特徴を研究してきた。メンバーが、次々起こる事件・事故の背景について、多面的にディスカッションを重ねて評価してきた。
2015年度は、重大事故を時間軸(事故発生後の対応スピード)や組織軸(組織の成熟度レベル)から検討した。さらにISO22301(事業継続マネジメントシステム)を参考にしながら、2014年度に引き続きレピュテーションリスクの観点からも話し合った。
その結果、サプライチェーンにおいて、許容される復旧時間があり、これを超えると新しいサプライチェーンが生まれて、復旧が遅れた企業に大きなダメージを与えてしまうことがわかった。また、従業員・取引先・地域との日常の関係性が、復旧時間のスピードに大きな影響を及ぼしていることが推測された。特に、「従業員を人財として大切にしている企業」が、レピュテーションリスクの観点からも優位に立っていることが見えてきた。
【情報セキュリティ対策の診断研究プロジェクト 研究成果報告】
「中小企業へのサイバー攻撃を防御するためのCSIRT導入の考察」
“Study of the CSIRT introduction to defenced the cyber attack to the small and medium enterprises”
東京電機大学大学院先端科学技術研究科  久山真宏 氏
高度サイバー攻撃対策として、府省庁や行政機関などに向けては、NISC(内閣サイバーセキュリティセンター)の「高度サイバー攻撃対処のためのリスク評価等のガイドライン」等で、CSIRT(Computer Security Incident Response Team)の導入を義務化しているが、民間企業(特に中小規模企業)については、適切に対策するためのガイドラインがなく、対策は一部の企業を除き普及していない。
セキュリティの対策が進まない要因の一つとして中小規模企業の経営者が高度サイバー攻撃のリスクの内容や大きさを十分に認識していないことが考えられる。そこで、経営者がサイバー攻撃のリスクを認識し、対策要否の判断ができるように、その必要性に気付かさせる方法を検討する。
また、中小規模企業においてもCSIRT導入を容易に進めることができるようにするためのアプローチを研究した。
【法とシステム監査研究プロジェクト 研究成果報告】
「サイバー社会におけるITのガバナンスとマネジメント 〜年金機構事案の教訓〜」
“Governance and management of IT for the organization in cyber-society - Warning from Japan Pension Service's problem –”
システム監査技術者、CIA、CISA 成田和弘 氏
年金機構事案を境に日本のセキュリティの常識が変わったといわれている。当該事案については詳細な調査報告書が執拗に侵入を試みるサイバー攻撃の実体を生々しく伝え、整備が遅れた情報システムなど、どこの組織にもありうる検討すべき課題を示唆している。
この事案がIT環境の変化を示す重要な警鐘であるとの認識のもと、公開された報告書から、年金機構にどのようなリスクと課題があったのか、サイバー空間においてリスクを低減しつつビジネスを展開するため、ガバナンスとマネジメントに何が求められるのかをシステム監査の視点で考察する。
【IT監査保証の判断基準研究プロジェクト 研究成果報告】
「情報インテグリティ」の概要と医療分野への適用事例」
“A summary of "Information Integrity" and a case study in the field of the healthcare”
(株)ピーアンドアイ  長野加代子 氏
IT監査保証の判断基準研究プロジェクトでは、AICPA、CICA公表の「Information Integrity」の白書を基に、ICTの活用についての急速な外部・内部環境変化への対応の実態を分析・評価してきた。これまでの活動報告として、翻訳した「Information Integrity」の概要と医療分野を中心とした適用例について報告する。
【システム監査の多様性研究プロジェクト 研究成果報告】
「システム監査の多様性研究プロジェクト報告 −組織保護の新たな観点−」
”Report by "Diversity in System Audit" Research Project - A new perspective of the organization protection - ”
   京都聖母女学院短期大学 荒牧裕一 氏
ICTを利用した情報システムが高度化し適用範囲が広がるに従って、システム監査においても従来と違う視点が求められている。 本研究プロジェクトでは、このように多様化する情報システムについて、システム監査の視点からの検討・討議を行っている。今回その1年間の成果報告として、組織保護に関する新たな観点とシステム監査のあり方について報告する。
【ITガバナンスと内部統制研究プロジェクト 研究成果報告】
「ITガバナンスへの企業の取組みについて」(仮題)
"IT Governance & Audit"
  公認会計士、システム監査技術者  清水惠子 氏
 企業の不祥事を受けて金融監督庁は「会計監査在り方に関する懇談会」の提言で高品質な会計監査を実施するための環境整備として監査におけるIT活用を上げている。企業のビジネスプロセスがITに支えられている時には、電子データが取引の証拠となるが、ITを利用するデータ監査はどのように企業内で実施されるべきかを監査の視点から検討する。
【システム監査に関するアンケート 分析・評価ワーキンググループ 報告】
「システム監査に関するアンケートの結果と課題について」
“The result of the questionnaire on system audits, and the issues which should be discussed”
(株)ピーアンドアイ 長野加代子 氏/システム監査技術者、CIA、CISA 成田和弘 氏
システム監査学会では、情報システム・ユーザー会連盟主催「システム監査講演会(2015/10/22)」、NPO法人日本システム監査人協会主催「月例研究会(2015/11/19)」、システム監査学会主催「第28回公開シンポジウム(2015/11/20)」の参加者に対し、システム監査の実施状況、利用する基準、規程類、現行基準の見直しの必要性について意識調査を実施し、「システム監査に関するアンケート 分析・評価ワーキンググループ」を組成して、アンケートデータの詳細分析を踏まえ、監査役の視点等の日本独自の経営との関係についての考察、サイバーセキュリティ戦略の観点でのポイントとプロセスフロー等の課題検討を行った。
同ワーキンググループがとりまとめた分析結果と今後の課題について報告する。

研究発表セッション

【研究発表1】
「サイバーセキュリティ対応を躊躇する経営陣の意思決定行動に関する考察」
“An approach on decision-hesitating behavior of the management team on cyber security support”
  NPO法人OCP総合研究所  赤尾嘉治 氏
企業の経営陣は震災以降、「グローバル展開」「事業継続」への関心が顕著になっている。特に事業継続中にサイバー攻撃への対応という課題が付け加えられた。各種の経営情報が、「電子化された」ときのリスクを的確に把握している経営者は少ないと言える。発表では不可視で脅威に遭遇していることに気がつかないサイバー攻撃を防御するための経営陣の意思決定行動に関する考察を試みる。
【研究発表2】
「プロセスアセスメントを用いた事業体ベンチマーキング」
“Enterprise benchmarking using Process Assessment Model”
  情報セキュリティ大学院大学 神橋基博 氏
情報セキュリティ大学院大学 原田要之助 氏
良い製品やサービスを生み出すためには、適切なプロセスが必要である。プロセスの適切性は、PDCAの中で評価する必要があり、この評価手法はプロセスアセスメントとして知られている。同様に、事業体のITプロセスについてもITプロセス評価が重要である。ITプロセス評価の重要性を検証する為、専門家へのアンケートを用いた調査結果を分析した。
結果から、事業体のITプロセスに関する強み/弱みを判別することが可能であり、業種毎にITプロセスの強み/弱みの傾向が異なることがわかった。 すなわち、ITプロセスの場合、広範囲にITのプロセスアセスメント結果を収集し、業種毎の平均値をベンチマークとすることで、事業体の相対的なITについての強み/弱みを評価することが可能となる。
【研究発表3】
「リスクシナリオとリスクアセスメントの相互作業とリスク評価の考察」
“Relation of Risk Scenario and self-Assessment in Risk Assessment”
(株)AStar総合研究所  宮城郁美氏/ 田中良治氏/ 中田高史氏/ 萩原 功 氏
昨今、企業を取り巻くさまざまなリスクが懸念され対応を迫られている。リスクに対応する上で想定外のリスクシナリオを作成しテストを行っておくことは、ステークホルダーや取引先、顧客に対して安心や信頼を得るために必要なことである。また、監査人からの指摘の前にセルフアセスメントとして体制を整備しリスク管理を自主的に行うことは、企業の社会的責任(CSR)の一環であり、ITガバナンスを培うという観点でも必要なことであろう。
企業のガバナンスおよびITガバナンスをリスクシナリオとリスクアセスメントという2つのリスク評価方法を対比しながらその相互作業を論ずることで企業のITガバンスの醸成がいかにおこなわれるべきであるかを金融リスクと経済基盤がゆらぐリスクを例として論証するものである。


▲このページのトップに戻る