研究プロジェクト & 専門監査人部会要旨
| 情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト報告 「システム監査における情報セキュリティ監査の位置づけ」 “A Consideration of Information security audit within Systems Audit” |
|---|
| インターギデオン 川辺 良和 氏 |
| システム監査は情報システムが監査対象、情報セキュリティ監査は情報資産が監査対象、情報システムは情報資産の中に含まれるのでシステム監査は情報セキュリティ監査に含まれるとする議論がある一方、システム監査の対象領域として、セキュリティ監査をテーマ別監査の1つとして捉える考え方もある。ここでは、システム監査学会における“情報セキュリティ研究”の意義について、システム監査の対象領域、監査制度、監査人、監査の実施側面等から考察した内容を中心に報告する。 |
| リスクマネジメント研究プロジェクト報告 「システム監査と事業継続マネジメントシステム(BCMS)〜多様化する社会におけるリスクマネジメント〜」 “BCMS: Business Continuity Management System−Study of The Risk Management System in the diversity of society−” |
|---|
| (株)生活品質科学研究所 足立 憲昭 氏 |
| 当研究プロジェクトは、リスクマネジメントの考え方に基づき、事業継続マネジメントシステムが中小企業に適応できる方法をモデルケースに使い研究してきた。小売・サービス業では、高齢化・少子化社会の到来で若年層の採用がますます厳しくなる一方であり、その結果、現場で働く外国籍従業員が増加している。また、大組織における不祥事も続いており、次々起こる事件・事故の背景について、研究メンバーが多面的にディスカッションを重ねてきた。さらに、システム管理基準・監査基準の改訂作業も計画されているなかで、ISO22301(事業継続マネジメントシステム)を参考にしながら、「8.1運用の計画及び管理」を中心に話し合った。その結果、従業員・取引先・地域との日常の関係性が、事業継続マネジメントシステムに大きな影響を及ぼしていることが推測された。特に、急成長するITを積極的に活用する新しいサービス業においては、取引先(協力会社)との信頼関係の構築とインターネットによるコミュニケーション改革やリスク情報の共有化が、ますます重要となっている。今後は、同志としてともに成長していく関係性構築まで、求められつつあることが見えてきた。 |
| 情報セキュリティ対策の診断研究プロジェクト報告 「在宅(自宅)勤務のセキュリティ監査」 "Security audit of work at home" |
|---|
| (株)デンカク 尾崎 孝章 氏 |
| 働き方改革として人材確保の手段などでテレワーク業務を導入する企業が増えている。企業が業務をテレワークで実施しようがしまいが、顧客あるいはサービスを受ける立場からは、成果は保障されなければならない。テレワークの安全性確保は、導入する企業の責任である。企業として安全性確保を保障するためには実現されたテレワーク業務の状況に対して、一貫した視点からの監査が必要となる。テレワーク導入には各種ガイドラインも公表されているが、監査で何をどのように確認すればよいか、監査のチェックリストはない。基本のテレワーク形態である自宅における業務遂行(在宅勤務)を対象に監査チェックリストを検討し作成した。テレワーク業務を実施する企業がその安全性を向上させることを目的として、監査計画と併せて成果を報告する。 |
| 法とシステム監査研究プロジェクト報告 「最近のパッケージシステム導入プロジェクトをめぐる紛争からの考察」 "Study from recent litigation over package system Implementation project" |
|---|
| 多和田 肇 氏 |
| 当研究プロジェクトでは、2017年の活動として、2017年に第二審の判決があった大学病院の電子カルテパッケージソフトウエア導入に関する一審、二審の判決文をよみすすめた。今回の報告では、プロジェクトの成果として、判決文に記載された内容をもとに。パッケージソフトウエア導入をめぐる問題点と、システム監査の観点での紛争の防止の可能性、システム管理基準との関係などについて検討する。研究プロジェクトで判決文を読み進めていく中で、判決は多様な切り口での検討が可能であるので、今年度は1年目としてプロジェクトの初期に着目して、報告を行う予定である。 |
| IT監査保証の判断基準研究プロジェクト報告 「スマート社会に向けたガバナンスとITマネジメントのフレームワークへの提言 」 “Recommendations to Governance and IT Management Framework for Enabling Smart Society” |
|---|
| システム監査技術者、CIA、CISA 成田 和弘 氏 |
| IT監査保証の判断基準研究プロジェクトでは、FinTech、AI等のビジネスとシステムの最新動向、サイバーセキュリティとクラウドおよび新COSOERM等の監査・評価手法等にかかるグローバルな標準・基準の動向について調査研究を行ってきた。インダストリー4.0やSociety5.0等、今後の情報システムの活用においては、多数のセンサーやデバイスからクラウドに集められたビックデータを活用した自動運転等、多数のシステムが組織を越えてつながり、システムが人に代わってサービスを提供するスマート社会が想定されている。その実現に向けて、COSOやCOBIT等のフレームワークがどう変わっていくべきか、その改訂への提言について報告する。 |
| ITガバナンス研究プロジェクト報告 「仮想通貨とガバナンス」 “Governance for virtual currency” |
|---|
| 公認会計士 清水 惠子 氏 |
| 仮想通貨については、その仕組についての取引ルールが確立しないままに、取引規模が拡大し、マネーロンダリングや課税、保管、保証等種々の問題が明らかになってきている。従来の通貨とは異なるものであり、ガバナンスの在り方について考察する。 |
| 個人情報保護専門監査人部会&マイナンバー特別研究プロジェクト報告 「マイナンバーの現状と今後の展開」 “Around the Individual Number.” |
|---|
| CISA 土井 俊明 氏 |
| 1月23日に個人情報保護専門監査人部会主催 「特別研究会」を開催し、地方公共団体情報システム機構の高原氏、上仮屋氏にマイナンバー制度へのこれまでの取組みと、これからの展開をテーマに講演を頂いた。今回は講演内容の紹介と、今期の活動内容について報告する。 |
| 新技術対応監査技法研究プロジェクト報告 「システム監査の新たな展開」 “New development of system audit” |
|---|
| 大和大学 荒牧 裕一 氏 |
| 本研究プロジェクトは、2016年度で4年間の活動を終えたシステム監査の多様性研究会の成果を引き継ぎ、高度化したICTと拡大する適用範囲に対応したシステム監査のあり方について研究している。 活動初年度においては、IoT・デジタルフォレンジック・ブロックチェーンといった新技術に加え、地方自治体監査・コーポレートレピュテーション・コンプライアンスといったシステム監査の新たな適用分野に関する議論と研究を行った。その概要について報告する。 |
| 会計システム専門監査人部会報告 「会計監査とシステム監査の関わりについて」 “The trend of audit” |
|---|
| Right Way・SAC(株)平塚 康哲 氏 |
| 今までの活動の振り返りとして改めて会計監査とシステム監査の関わりについて振り返る。 |
研究発表セッション要旨
| IoTシステム開発とシステム監査〜IT紛争防止への一考察〜 “IoT Systems Development and Systems Audits 〜 A consideration of prevention of IT disputes 〜” |
|---|
| システム監査学会 正会員 法とシステム監査研究プロジェクト、情報セキュリティ合同研究プロジェクト 東京地方裁判所 専門委員(IT分野)、民事調停委員(IT分野) 芳仲 宏 氏 |
| IoT(Internet of Things)システムの開発が幅広い分野で進展する中、情報セキュリティへの対処が課題となる。 ベンダが受託開発したECシステムで、個人情報が流出し、ベンダ側に、「重過失」ありとされた判決がある。
ベンダ側が適切なセキュリティ対策を講じていなかったことが、「重過失」の根拠とされたが、契約書等にはセキュリティ対策の仕様に関する記載は無かった。 この一審判決に対し、ベンダ・ユーザ側共に、異論があったと思われるが、控訴しなかったので、判決は確定した。 今後、IoTシステム開発において、同様の事態が想定される。 IoTシステム開発に際し、システム監査で、適切なセキュリティ対策の組み込みを確認し、IT紛争防止への一助となることを論じたい。 |
| 製造業のグローバル企業におけるITガバナンスモデルの提案とその評価〜管理の成熟度と新システム監査基準の応用〜 “Proposal and Evaluation of IT Governance Models of Global Manufacturing Companies 〜Practical Use of Management Maturity and New System Auditing Standards〜” |
|---|
| 特定非営利活動法人日本システム監査人協会 中部支部 原 善一郎 氏 |
| 管理項目ごとの成熟度の視点、及び、2018年改訂のシステム監査基準とシステム管理基準を、グローバルで生産と販売を行う製造業の企業に、ITガバナンスの視点で適用するモデルを提案する。 これは、監査部門が、注視すべきITの管理項目を決め、個別の管理項目ごとに成熟度の尺度を設定する。そして、グループ企業各社による自己点検と統括企業によるシステム監査で状況を測定し、グループ企業各社の強み弱みを企業グループ全体の視点で測定する。さらに、結果を企業グループのIT統括部門と連携して、グループ内の弱みの底上げとグループ全体の成長を促す。その結果も監査部門が測定する。 この一連の活動のポイントをシステム監査の一つのモデルとして提案する。このモデルを製造業の企業とベンダーの2つの視点で評価を試みた結果を報告する。 |
| 新「システム管理基準」のポイント “Key points of the new “System Management Standards” |
|---|
| 情報セキュリティ大学院大学 神橋 基博 氏 |
| 経済産業省は2018年に新しいシステム管理基準を公開した。システム管理基準は組織が情報システムを管理する上で共通して留意すべき基本的事項を体系化・一般化したものであり、今回の改訂はクラウドサービスやアジャイル開発といった2004年の改訂後の後に生じた情報技術および情報システムの利用における変化を取り込むことを目的の一つとしている。 筆者が検討会委員として参加した議論を踏まえ、新システム管理基準において留意すべきポイントを検討する。 |
| 事業リスクから考察する情報セキュリティリスクの認識と課題 |
|---|
| 筑波大学 中山 幸雄 氏 |
| 企業が事業を行う上で、情報セキュリティリスクは重要な課題となている。本研究では、事業リスクの一つとして、情報セキュリティリスクの認識の現れを確認するため有価証券報告書を分析した。そして、情報セキュリティ事故が発生した場合の認識の状況と課題を考察した。 |
| サイバーインシデントに対応するダッシュボードの研究 “Study on dashboard to analyze the threat trend of Cyber Incident” |
|---|
| セキュリティ対策の診断研究プロジェクトサイバーインシデント研究グループ 西澤 利治 氏 |
| 「情報セキュリティ対策の診断」研究プロジェクトは、昨年度「中小企業へのサイバー攻撃を防御するためのCSIRT導入の考察」をテーマに、サイバー攻撃の対象となる情報資産のリスクを把握する帳票を研究したが、未知の脅威や攻撃対象が明確ではないサイバー攻撃、情報窃取目的で潜伏するマルウェアなどをスコープすることが難しかった。 そこで今年度は上記研究を発展させて、サイバー攻撃のリスクを外部要因である情勢から評価するという仮説を立て、この検証のため「@ポリス」が公表するサイバーインシデントの情報をもとに、どのようなサイバー攻撃が検知されているかによって防御策の対応を検討する「サイバー攻撃要因分析シート」の考察を行った。 |
▲このページのトップに戻る