JSSA システム監査学会
  


システム監査学会第34回研究大会


開催日:2020年11月6日(金)


ホーム研究大会>第34回研究大会
第34回研究大会 タイトル

【開催趣旨】データは「21世紀の石油」とも言われ、世界的に流通量が増加しています。そのデータの流通の中心を担うクラウド環境が提供する先進技術とスケーラブルで大容量のインフラストラクチャーから新しいサービスが次々に生み出され、情報とシステムの舞台はクラウド環境に移りつつあります。
 クラウド環境では、発展し続ける先進技術を誰でもすぐに利用できる一方、CPU、メモリー、ストレージ、ネットワーク等のハードウェアは仮想化され、すべてを仮想環境上のソフトウェア(コード)で制御するため、その管理や監査には従来と異なるアプローチが必要になります。このような環境変化を背景に、統一論題を「クラウド環境の変化とシステム監査-クラウドファーストからデフォルトへ-」といたしました。
 本研究大会では、経済産業省様、EY新日本有限責任監査法人様のご講演、研究プロジェクトの研究成果報告、専門監査人部会の活動報告、研究発表により、システム監査についての多様な議論を予定しています。コロナ禍で、当初の5月開催から延期し、オンラインでの開催となりますが、本学会会員のみならず情報システム、情報セキュリティ、リスクマネジメント、内部・外部監査などの領域において理論と実践に携わっている関係各方面の方々のご参加をお待ち申し上げております。

【プログラム】

【午前第1セッション】

9:40-
9:45
午前開会挨拶第34回研究大会実行委員長   遠藤 正之
9:45-
10:05
【次世代のシステム監査研究プロジェクト報告】
システム監査を取り巻く環境の変化への対応
Responding to changes in the environment surrounding System Audits
大手前短期大学ライフデザイン総合学科  荒牧 裕一  氏情報システムの基盤に関わる新たな技術の登場・普及と、新たな制度の導入に伴い、システム監査の位置付けや監査の方法についても新たな視点が求められるようになっている。本研究PJは、関西地区のメンバーにより、このようなシステム監査を取り巻く環境の変化への対応を研究し情報共有を図っている。
プロジェクト初年度の活動としては、マイナビ事件や、GAFA規制、ダウンロードの違法化等の2019年度に発生した事件・規制等を整理・検討した他、コーポレート・レピュテーション等のシステム監査人が留意すべき新たな企業価値について研究した。それらの概要を報告する。
10:05-
10:25
【情報セキュリティ対策の診断研究プロジェクト報告】
中小企業向けクラウドセキュリティ対策ガイドラインの検討
Study of guideline about cloud security countermeasure for small and medium-sized enterprise
株式会社東芝 システム監査技術者、情報処理安全確保支援士、
CISA    牧野 博文  氏
2015年にISO27017が発行された事を受け、本研究では、クラウド未導入の企業へ、安全でセキュアなクラウド活用の普及と促進を役立てることを目的に、クラウドセキュリティのチェックリスト等のガイドラインをまとめる事を目的に検討を行ってきた。ガイドラインの主な提供先として中小企業を想定し、現在の市場動向に合わせて分析を行い、より実践的になるように検討を重ねた。
 さらに、「クラウドサービスの普及」や、「クラウド安全性評価の監査制度」の活用にもつながる事を想定し、ガイドラインの調整を行った。
10:25-
10:45
【IT監査保証の判断基準研究プロジェクト報告】
Society5.0の実現に向けたクラウドによるITサービスとその監査保証
Cloud-based IT services for realizing Society 5.0 - a study of implementing its audit and assurance
日本電気株式会社 システム監査技術者, CIA, CISA    鈴木 夏彦  氏クラウド・バイ・デフォルト原則など、新たな価値を創出するITサービスの需要が急速に高まり、クラウド環境が提供する先進技術と強力なコンピューティングパワーは、Society5.0を実現するための新しいサービスを生みだすための必須のインフラストラクチャーとなった。一方で、重要インフラへのサイバー攻撃などのリスクも高まっており、安全なクラウドサービスを調達するための制度やプライバシー保護に係わる法や規制、基準等の整備も進んでいる。Society5.0の実現に向け、クラウドを活用した安心・安全なITサービスを継続的に提供するITサービスとその監査保証の判断基準について考察する。
10:45-
11:00
休憩

【午前第2セッション】

11:00-
11:20
【BCP/BCMSと新システム監査制度研究プロジェクト報告】
大規模災害におけるBCPの課題について
Studies of BCP in large-scale disaster
みずほEBサービス株式会社 内部監査室  竹淵 広志  氏2018年4月の「システム管理基準」改定以降も、BCPの見直しを促すような大災害が続いている。2018年9月の北海道胆振東部地震では、日本初のブラックアウトが発生。2019年の台風15号・19号によるライフライン途絶の長期化と浸水被害。世界経済フォーラム(WEF)の「グローバルリスク調査報告書2020年版」では、今後、起き得る長期リスクの上位5項目すべてが環境関連で占めるという結果となっている。また、2019年12月に発生した新型コロナウイルス関連肺炎は、世界保健機関(WHO)が2020年1月30日に国際緊急事態を宣言して以降、本原稿執筆時点でまだ終息が見えておらず、パンデミックを想定したBCPの重要性もますます認識されてきている。
当研究会では、新システム監査制度(新監査基準および新管理基準)の普及と啓蒙を目的とし、業務継続管理および人的資源管理におけるシステム監査等について、調査・研究を行った。
11:20-
11:40
【ITガバナンス研究プロジェクト報告】
Society5.0とITガバナンスのあり方
Society5.0 and IT Governance
多和田 肇  氏経済産業省で取りまとめられた「GOVERNANCE INNOVATION:Society5.0の時代における法とアーキテクチャのリ・デザイン」報告書(案)によって「イノベーションの促進」と「社会的価値の実現」を両立する、新たなガバナンスモデルがあらわされた。そのなかでシステム監査がはたす役割について、2019年度の「ITガバナンスと内部統制」研究プロジェクトでの議論を踏まえて検討する。
11:40-12:00
【法とシステム監査研究プロジェクト報告】
大規模情報漏えい事件に関する裁判例から考えるシステム監査のポイント
Point of the system audit considered from cases about a large-scale information leak event
弁護士・システム監査技術者  荒木 哲郎  氏大規模に個人情報が流出した事件である、いわゆるベネッセ顧客情報漏えい事件については、2019年に2つの高裁判決が出され、どちらも、直接に個人情報を管理していた開発の業務受託会社のみならず、業務委託会社にも損害賠償責任を認めている。
本報告では、2つの裁判例を比較すると共に、システム監査において注意すべき点等について、システム管理基準などから検討した内容を報告する。
12:00-
13:00
昼休み

【午後第1セッション】

13:00-
13:05
午後開会挨拶システム監査学会 会長  石島  隆
13:05-
13:15
挨拶経済産業省 商務情報政策局 情報経済課長 松田 洋平 氏
13:15-
13:50
【基調講演】
クラウド・バイ・デフォルトと情報政策の動向
Cloud by default and information policy trends経済産業省 商務情報政策局 情報経済課 課長補佐  堂上 和哉 氏
13:50-
14:25
【特別講演】
クラウド環境におけるSOC保証業務〜SOC 2保証報告書の有効利用〜
SOC Assurance Service in Cloud Environment-Effective Use of SOC 2 Assurance Report-
EY新日本有限責任監査法人 シニアパートナー  遊馬 正美 氏クラウド環境における SOC(System and Organization Controls)保証業務である米国公認会計士協会(AICPA)のSOC 2を中心に、2020年秋頃(見込)運用開始となる経済産業省推進の「クラウドサービスの安全性評価制度」(仮称)、情報セキュリティ監査制度、ISO認証について、それぞれの制度が目指すところ、利用者の視点等を理解し、また、金融情報システムセンター(FISC)の「金融機関等コンピュータシステムの安全対策基準・解説書」(安全体策基準)第9版改訂版におけるクラウドサービスへの対応に触れながら、日々変動するクラウド環境とどう向き合っていけば良いのか、クラウド環境への対応のヒントをご提供できればと考えております。
14:25-
14:40
休憩

【午後第2セッション】(研究発表コメンテーター 堀江正之氏、黒澤兵夫氏)

14:40-15:00
【研究発表1】
「システム監査基準」、「システム管理基準」の継続的改善に向けた取り組み
Efforts for Continuous Improvement on
 “System Management Standard”
情報セキュリティ大学院大学  神橋 基博  氏経済産業省が2018年4月に公開した「システム監査基準」、「システム管理基準」においては、ITガバナンスが明確化されるだけでなくクラウドサービスやアジャイル開発など新しい技術・サービスが取り入れられた。しかしながら、日進月歩の技術革新において、常に新しい技術・サービスへの目配りが必要である。両基準を真に企業にとって役立つものとするためには、継続的に改訂を続ける必要がある。
関係団体の協力の下、「システム監査基準」、「システム管理基準」の継続的な改善を目指す「システム監査・管理基準連絡会」の取組みについて解説し、将来に向けた展望を示す。
15:00-
15:20
【研究発表2】
クラウドを効果的に活用するアーキテクチャとシステムのデザイン、
およびその監査に関する考察
A study of architecture and systems design for effective use of cloud services by utilizing audit.
システム監査技術者、CIA、CISA 成田 和弘  氏クラウドサービスが急速に普及し始め、クラウドサービス提供者のインフラとハードウェア上の仮想マシン、仮想環境またはアプリケーションサービスを使って、誰もがITの先端技術を活用したサービスを高速に開発し、世界中に提供することができるようになった。このクラウドサービスを効果的に活用することは、ITの活用が不十分で、生産性の低い我が国において喫緊の課題である。
クラウドを活用して安心・安全なサービスを提供し続けるためのアーキテクチャはどうあるべきか、それぞれのサービスはどのようにデザインすべきか、その管理と監査はどうあるべきかについて、クラウドサービスの技術的側面やクラウド利用に関する考え方の国際的な動向を踏まえて考察する。
15:20-15:40
【研究発表3】
Game Based Learning 手法を使用した若年層向け情報セキュリティ教育の実践「異世界で学ぶ情報セキュリティ 」
Practice of information security education for young people using Game Based Learning method  
株式会社電脳商会  西澤 利治 氏
(以下グループメンバー)
一般社団法人インターネットコンテンツ審査監視機構  久保谷 政義 氏
早稲田大学基幹理工学部  齋藤 大輔 氏
ダブルインフィニティコーディネート  齋藤 博美 氏
明治大学サービス創新研究所  タツナミシュウイチ 氏
若年層に対する情報セキュリティ教育では、知識や技能を伝達すると同時に、態度や理念も養成しなければ実践的な対応力が身に付かない。 これを実際のサーバー環境上で行うと、態度や理念の養成が十分でないと、学んだ知識をサイバー攻撃に転用する学習者が出ることも懸念される。そこで 本事例では、情報セキュリティのインシデントをロールプレイングゲーム風に再現したワールド(異世界)をサンドボックス型ものづくりゲームであるMinecraftの仮想空間に構築し、学習者はゲームプレイヤーとして、世界のインシデントに対話的に対応することで情報セキュリティ対策を体験的に学ぶGame Based Learningの手法 を用いたデジタル教材を制作したので報告する。
15:40-
16:00
【研究発表4】(オンデマンド配信の対象外、録画・録音も禁止といたします)
プロジェクトマネジメント義務と協力義務
〜札幌高等裁判所判決からの考察〜
Project management obligation and Cooperation obligation
〜 A consideration of Sapporo High Court Judgement 〜
システム監査学会 正会員、 「法とシステム監査」研究プロジェクト、
「情報セキュリティ」研究プロジェクト、 「AIと個人情報」研究プロジェクト、
システム監査技術者、 ISMS認証登録判定委員会委員、
ITコーディネーターインストラクター  芳仲  宏  氏
昨年も同様のテーマで、契約書にプロジェクトマネジメント義務、協力義務が具体的に明記されたケースを取り上げた。その際、旭川医科大とNTT東日本の紛争にも触れたかったが、判決の最終結果が、その時点では確認できなかったので、あらためて、検証しようと考えていた。
この事件では、NTT東日本(ベンダ)のプロジェクトマネジメント義務と旭川医科大(ユーザ)の協力義務の判断が、旭川地裁と札幌高裁で、大逆転の判決となった。この経緯を札幌高裁判決文から検証し、本稿で述べる。
大逆転の判決が出たが、最高裁へ上告されたので、札幌高裁判決が確定した訳ではなかった。最高裁の見解が注目されたが、最高裁資料の入手に手間取り、大逆転の判決(札幌高裁)の確定が確認できたので、あらためて、プロジェクトマネジメント義務と協力義務を考察し、システム管理基準との整合性を見る。
16:00-
16:15
休憩

【午後第3セッション】(研究発表コメンテーター 堀江正之氏)

16:15-
16:35
【研究発表5】
電子データの信頼性
Reliability of electronic data  
清水 惠子  氏税務申告書の電子化が進んでいる。「プラットフォームサービスに関する研究会トラストサービス検討ワーキンググループ」でSociety5.0に向けて、トラストサービスの基盤となる技術が取り上げられている。現状と課題を整理し、電子データの信頼性について、紙で提出の場合と比較して検討する。
16:35-
16:55
【情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト報告】
情報セキュリティ合同研究会メンバー募集と研究テーマ事例
Information security joint Study Group Members Wanted
インターギデオン  川辺 良和  氏情報セキュリティ合同研究グループでは、10年以上にわたり中小企業の情報セキュリティを中心に研究を重ねてきた。昨年は「1人情報シスや1人SE」をテーマとして取り上げた。
情報セキュリティをめぐる状況は、昨年から今年にかけ公表されたサイバーフィジカルセキュリティ対策フレームワーク、クラウド安全性評価制度をはじめ、話題の2025年の崖克服やITの利活用といったDX(デジタルトランスフォーメーション)やSDGs、加えて昨年の台風やゲリラ豪雨などがもたらす自然災害のリスク、AIシステムの問題など、今後10年を踏まえ非常に重要な局面を迎えていると思う。
本研究会では、こうした状況を踏まえ、新規研究メンバーを募集して、新メンバーの意見も反映する中で新しい研究テーマを決定し、取り組んで参りたいと考えている。
現在、以下のようなテーマが挙がっている。
・AIとシステム監査
・サイバーフィジカルセキュリティ対策フレームワーク
・バイタルBCP:安否確認システムと事業継続システムの連携
皆様のご参加を心よりお待ち申し上げる次第である。
16:55‐
17:15
【AIと個人情報〜AIの諸問題と個人情報保護~
研究プロジェクト&個人情報保護専門監査人部会報告】
AI及び個人情報とシステム監査について
Consideration of systems audits in personal information for AI systems
CISA  朝倉 俊道  氏個人情報保護専門監査人部会で「AIとシステム監査」をテーマに勉強会を行ってきた。ここでは、その内容について報告する。
テクノロジーの技術的進展は目覚ましく、AI、クラウド、5Gをベースにしたデータ・テクノロジーの動きは、今後システム監査を行っていく上でもインパクトは大きく、AIを利用した開発のリスク、AIをめぐる個人データの取扱い、安全面の配慮等、課題も多く見受けられ、検討しておく必要に迫られた。主に資料/文献調査をベースに、AI(機械学習、ディープラーニング)の開発プロセス、AIの得意・不得意、AI利用のリスク、個人情報との兼ね合いを理解することで、システム監査をする上でのシステム管理基準等の課題をあげ、最後に「AIとシステム監査」プロジェクトの今後の方向性を示す。
17:15‐
17:35
【会計システム専門監査人部会報告】
企業会計のDXと専門監査人の関わり
DX for corporate accounting and how CMAAS auditor work in the movement
平塚 康哲  氏企業会計に関し、財務省での電子化推進及び監査法人の電子化対応が、世の中全体のDXの方向性に準じて進んで来ている。一方で、この方向性に併せると共に、昨今のコロナ禍により、企業側でも様々な面での電子化の採用が試みられてもいる。会計システム監査人が、この状況変化にどの様に対応すべきかを考察する。 
17:35-17:40 閉会の挨拶  システム監査学会副会長   清水 惠子

許可のない講演・発表の録画・録音は禁止といたします。

プログラムの内容が変更になる可能性がありますが、ご了承ください。

【開催要領】

日時 2020年11月6日(金) 9:40〜17:40
場所 Zoomオンライン開催(期間限定オンデマンド配信付)
Zoom接続に関しては、申込時のメールアドレスからの接続が必要になります。
オンデマンド配信については、所定のダウンロードサイト経由、2週間程度視聴可能となります。
オンデマンドの視聴開始については、大会実行委員会での動画内容確認後となります。
なお、配信の承諾を得られなかった講演・発表については対象外となります。
定員 450名
参加費 会員3,000円/後援団体会員 4,000円/非会員 5,000円
【参加申込、支払方法】

本大会参加には、Peatix による事前申込みとクレジットカードでのお支払いが必要です。
注1)会員、後援団体会員は、事務局等より案内される割引コードを受付時に入力することで、該当金額が表示されます。支払い後の差額返金は行いませんのでご注意ください。
注2)講演者、発表者の都合や通信状況により、プログラムの一部がオンライン実施できないことがありえますが、すべてのプログラムが実施できない場合を除き、返金はいたしません。

※クレジットカード払いのみになります。カード会社から送付される「ご利用明細書」や「引き落とし明細書」が領収書になります。経理上、注文内容の詳細を含む必要がある場合などは、Peatix からのお申込み詳細メールの「領収データ>」をクリックすることで、領収データが入手できます。学会からの領収書は発行いたしません。

申込受付期間 10月6日(火)〜11月2日(月)
後援団体
(予定)
一般財団法人日本情報経済社会推進協会(JIPDEC)
NPO法人日本システム監査人協会(SAAJ)
ISACA東京支部・名古屋支部・大阪支部・福岡支部、
NPO法人日本セキュリティ監査協会(JASA)
日本ITガバナンス協会(ITGI)
一般社団法人日本セキュリティ・マネジメント学会(JSSM)
一般社団法人経営情報学会(JASMIN)
一般社団法人情報処理学会(IPSJ)
公益社団法人日本技術士会(IPEJ)
一般財団法人日本データ通信協会(JADAC)
日本公認会計士協会(JICPA)
日本情報経営学会(JSIM)
一般社団法人日本内部監査協会
ITコーディネータ協会(ITCA)
資格継続
ポイント
について
大会終了後、アンケートにメールアドレス、氏名を回答いただくと、受講証明をご指定のメールアドレス宛に電子メールでお送りしますので、受講証明をご希望の方はアンケートに回答いただくようお願いいたします。

●専門監査人の業績ポイントは10ポイント(複数区分の資格を取得している場合は1区分のみ対象)

●日本公認会計士協会のCPEについては、研修登録番号を参加申込みの時に入力していただきます。

●その他の団体の資格継続ポイントについては、所属する団体にご確認ください。

大会実行委員会
担当理事: 清水 惠子(公認会計士)
大会実行 委員長: 遠藤 正之(静岡大学)
委員 荒木 哲郎  (弁護士)
  足立 憲昭 (日本能率協会)
  堀江 正之 (日本大学)
  神橋 基博 (三井住友フィナンシャルグループ)
  成田 和弘  (三菱UFJトラストシステム)
  黒澤 兵夫  (TAKE国際技術士研究所)
主催 システム監査学会
〒106-0032 東京都港区六本木1-9-9  JIPDEC内
TEL 03-5860-7556
問合せフォームhttps://www.sysaudit.gr.jp/toiawase/index.html
個人情報の取扱いについて

・申込時にご記入いただいた個人情報は、本会の運営管理目的外では利用しません。

・参加者リスト(氏名および所属)を講演者および大会関係者が閲覧することがあります。
ただし、入手した情報を本大会の運営管理以外に利用することを禁止しています。

・個人情報の削除・訂正等を希望される場合は、学会事務局にご連絡ください。


▲このページのトップに戻る