SAAJK

ようこそ!NPO日本システム監査人協会近畿支部サイトへ

本サイトは近畿支部からの情報発信、活動報告、会員間の情報共有を目的として、ITサービスグループによって運営されています。(2009年~)
※協会本部サイトについては、こちらをご参照下さい。

研究論文、研究成果、コラム&エッセイ、活動報告等のコーナー

Clip to Evernote

日本システム監査人協会近畿支部では、支部会員を始め各研究プロジェクト等で活発な研究活動を行っています。このコーナーでは、発表者の許諾をいただき研究論文研究成果活動報告などを掲載しています。

New!
「事業継続マネジメント(BCM)の本質とは?」

コンテンツの一覧表が表示されていない場合は、ここをクリックしてください。

   

発表資料

Clip to Evernote

タイトルをクリックするとドキュメントを閲覧できます。

公開日 区分 タイトル(リンク) 発表者 発表日 更新/備考
2017年5月24日 発表資料 事業継続マネジメント(BCM)の本質とは? ⼩⼭俊⼀ 2017年5月19日 SAAJ近畿支部第166回定例研究会にて発表
2017年4月18日 発表資料 事業継続計画(BCP)の概要とIT-BCPについて 野原英則 2017年3月17日 SAAJ近畿支部第165回定例研究会にて発表
2017年2月3日 発表資料 これまでのシステム監査からこれからのシステム監査を考える 松田貴典 2017年1月20日 SAAJ近畿支部第164回定例研究会にて発表
2016年12月26日 発表資料 個人情報を巡る最新動向と企業に与える影響~改正個人情報保護法の施行に備えて~ 福本洋一 2016年12月17日 SAAJ近畿支部第163回定例研究会にて発表
2016年12月26日 発表資料 スクラムと監査についての一考 近藤博則 2016年11月5日 2016年度西日本支部合同研究会にて発表
2016年11月30日 発表資料 情報科学教育の現状について〜経営者から⾼等学校まで〜 松井亮宏 2016年11月18日 SAAJ近畿支部第161回定例研究会にて発表
2016年11月30日 発表資料 個人番号カードの多目的利用の課題と展望 津田 博 2016年9月16日 SAAJ近畿支部第160回定例研究会にて発表
2016年06月21日 発表資料 事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント 粕淵 卓 2016年5月20日 SAAJ近畿支部第159回定例研究会にて発表
2016年04月25日 発表資料 システム監査の多様性について 林裕正 2016年1月15日 SAAJ近畿支部第157回定例研究会にて発表
2016年04月25日 発表資料 標的型攻撃をはじめとするサイバー攻撃の現状と対策 植垣雅則 2015年11月20日 SAAJ近畿支部第155回定例研究会にて発表
2016年04月25日 発表資料 ツールが無くてもここまでできる SAP ERP内部統制監査 浦上豊蔵
梅谷正樹
下田あずさ
木ノ原真由美
中川昭仁
2015年09月18日 SAAJ近畿支部第154回定例研究会にて発表
2015年07月21日 発表資料 ソフトウェア著作権監査のためのツールと監査手法 荒牧裕一 2015年07月17日 SAAJ近畿支部第153回定例研究会にて発表
2015年05月17日 発表資料 失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介 松井秀雄 2015年05月15日 SAAJ近畿支部第152回定例研究会にて発表
2015年01月28日 発表資料 IT-BCPの実効性を高める訓練・演習とその監査 松井秀雄 2015年01月16日 SAAJ近畿支部第150回定例研究会にて発表
2014年12月05日 発表資料 システム監査の勘所 ~ITストラテジストとシステム監査~ 林裕正 2014年09月20日 JISTAオープンフォーラム2014in関西にて発表
2014年12月05日 発表資料 クラウドソーシングによる災害対策 吉田博一 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年12月02日 発表資料 BCP研究プロジェクト2014年度活動報告(IT部門の初動対応をモデルとした演習の紹介) 金子力造 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年09月20日 発表資料 情報通信技術者が知るべき著作権(基礎編)-「著作権のシステム監査」の実践のために- 松田貴典 2014年09月19日 SAAJ近畿支部第148回定例研究会にて発表
2014年07月19日 発表資料 暗号通貨ビットコインの脆弱性と可能性 荒牧裕一 2014年07月18日 SAAJ近畿支部第147回定例研究会にて発表
2014年04月22日 発表資料 ソフトウェア資産管理とシステム監査 松井秀雄 2014年04月19日 SAAJ近畿支部第41回定例勉強会にて発表
2013年08月22日 発表資料 J-SOXへの取組みと内部監査の考え方 是松徹 2008年11月21日 SAAJ近畿支部第110回定例研究会にて発表
2013年08月12日 発表資料 コンプライアンスのシステム監査について 雜賀努 荒牧裕一 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年08月12日 発表資料 クラウドコンピューティングのシステム監査 深瀬仁 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年04月10日 発表資料 マネジメントシステム規格の統合的な利用と効果的な認証審査 吉谷尚雄 2013年03月15日 SAAJ近畿支部第139回定例研究会にて発表
2012年11月21日 発表資料 BCP研究会報告(ITを中心とするBCP策定支援の実践 荒町弘 2011年11月19日 SAAJ 西日本支部合同研究会にて発表
2012年11月21日 発表資料 近畿支部サイトWG活動報告 金子力造 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年08月25日 発表資料 ASP・SaaSに対する情報セキュリティ監査をふまえたクラウドコンピューティングに対する一考察(プレゼン発表用) 佐々木志津香 古江健一 鬼松嵩 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年06月30日 発表資料 「システム監査の法的義務化」等のIT政策提言 田淵隆明 横山雅義 中田和男 神尾博 2012年06月16日 SAAJ近畿支部第32回システム監査勉強会にて発表
2012年05月14日 発表 資料 セミナーWG平成23年度活動報告 三橋潤 2011年11月25日 SAAJ近畿支部2011年度研究大会にて報告した資料より作成
   

SAAJ近畿支部第165回定例研究会報告 (報告者: 荒町 弘)

Clip to Evernote

会員番号 1709 荒町 弘

1.テーマ 「事業継続計画(BCP)の概要とIT-BCPについて」
2.講師 京セラ株式会社 本社 経営推進統括部 経営企画部 事業継続計画課責任者 野原 英則 氏
3.開催日時 2017年3月17日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師の所属する組織では、2011年の東日本大震災の後、事業継続に対する会社の取り組みを明確にすべく、経営企画部門に組織を設置し、BCP策定に取り組んで来た。講師の野原氏はその部署の責任者としてBCPの運用状況の点検評価及び継続的な改善を担っている。
企業にとってBCP策定と運用は経営上の必須事項であるとの認識のもと、IT部門での経験もいかしてIT-BCPの策定と運用管理についても担当している。企業にとってのBCPとは何なのか、という基礎部分からステップを踏んだBCP策定の手順の紹介、そして、そのステップを応用したIT-BCP策定手法について、国が示すガイドラインを活用しての取り組み方法を紹介いただいた。

(第1部)事業継続計画(BCP)概論

事業継続への取り組みが高まりつつある背景と事業継続計画とは、といった基本部分の解説について、内閣府の示すガイドラインでの定義と国際規格であるISO22301の定義について説明いただいた。内閣府公表の日本国内におけるBCPの策定状況としては、大企業では「策定済み」が6割程度、「策定中」を合わせると8割程度の普及率であるが、中小企業においては、「策定済み」が3割程度、「策定中」を加えても4割程度の普及率であり、まだまだこれからという感が強い。また、BCPの策定はできたが、実効性のあるBCPとするためには、定期的な訓連や点検評価による継続的な改善が必須となるが、企業の現場では、なかなかそのような時間をつくること自体が難しいといった現実がある。
次に、BCP策定の基本的なステップとして、方針策定から是正・見直しまでを7つのステップに分けてその取り組みについて解説いただいた。ポイントは以下のとおり。

【ステップ1:方針策定】
全てを守るのは難しいという前提でもって、事業戦略やステークホルダーの要求に基づき方針策定から継続的に改善していくための体制を確立する必要がある。

【ステップ2:リスク/事業影響度分析】
災害の特定から事業への影響を確認し、目標復旧時間/レベルを考える。重要な経営資源は5M+1E+1Iの視点で分析する。重要な経営資源が想定災害発生時に受ける影響を予測し、かつ、現在の経営状況でどの程度の事業中断が許容できるのかを把握する。

【ステップ3:戦略・対策の検討・決定】
重要な経営資源に対する対策の考え方として、「被害を最小化するための対策」「被災したとしても早期に復旧するための対策」「復旧するまでの代替策」の3段階で考える必要がある。また、早期復旧対策を考えるプロセスでは、原因から想定被害を導き出す原因事象で考えるアプローチだけでなく、被害が起こった場合にどうするか、といった結果事象から対策を考えるアプローチも有効である。事業継続戦略を考えてから対策に考える方法もあるが、対策を考える中で事業継続戦略が決まるという考え方もある。

【ステップ4:対策実施】
BCPは経営であるという認識のもと、リスクを許容する選択肢やリスクファイナンスで対応することも必要。

【ステップ5:行動計画の作成】
初動と復旧のそれぞれのフェーズにおいて、時間の流れ(タイムライン)に応じた組織のとるべき行動と役割分担を明記するようにする。各組織間で相互の行動を理解し合い、各部門が連携のとれた対応行うことが重要。

【ステップ6:訓練実施】
自部門の復旧対応が他部門の復旧の妨げとなることがあるため、全体で調整し、全体を俯瞰した事業復旧が求められる。

【ステップ7:是正・見直し】
是正・見直しの対象が、特定組織の改善事項であるのか、他組織に共有すべき改善事項なのかを判断し、他組織に共有すべき改善事項があれば、組織全体に是正を促す。あくまで経営判断として行うことであるとの認識事項である。

(第2部)「中央省庁における情報システム運用継続計画ガイドライン」をもとにIT-BCPを考える

中央省庁の情報システム担当者に向けのガイドラインとして手引書である標題のガイドラインを企業の情報システム担当者向けとして読み替えてみた。具体的には、IT-BCPの策定と運用の流れについて、第1部で紹介した活動ステップ1~7と比較して解説いただいた。

1.基本方針の決定
優先復旧すべき重要システムについて定め、合意形成する段階である。ポイントは業務システムだけでなく、そのシステムを支える共通情報インフラが対象範囲から漏れないようにすること。

2.実施・運用体制の構築
実施・体制を考えるうえでのポイントは、IT部門の位置づけである。全社的なIT部門であるのか、例えば事業部内IT部門であるのかとうことである。

3.想定する危機的事業の特定
IT-BCPの対象とする危機的事象について決定する。ここでのポイントは、関連部門の業務継続計画で対象とした危機的事象だけでなく、情報システム特有の危機的事象(故障・ウイルス感染・不正アクセス等)も対象として考え、関係部門やユニットごとのBCPとの整合性を持たせること。

4.情報システムの復旧優先度の設定
この段階でのポイントは、優先業務と情報システムとの関連を整理することである。IT担当と業務担当の目線は異なるということを前提に、部門を越えた十分なコミュニケーションを取り、優先復旧後の設定を行う必要がある。目標復旧時間(IT-RTO)設定にあたっては、代替手段による業務継続も考慮したうえで優先復旧対象業務のRTOを基準として設定する。

5.被害状況の想定
危機的事象が発生した際に重要な情報システムに係る重要な経営資源を明らかにする。重要な経営資源の選定は、5M+1E+1I(*)の視点で行うということがポイントである。
(*) 5M:Machine(機械・設備)、Material(資材品・サービス)、Man(作業者)、Method(作業方法)、Measurement(検査・測定) 1E:Enviroment(環境) 1I:Information System(情報)
また、実効性ある対策を策定することが目的であるため、軽すぎる被害状況の想定にしないことが重要である。

6.現状対策レベルの確認と脆弱性の評価
ここでの留意すべき点は、情報システムごとに、IT-RTOを達成できる対策レベルにあるのかを評価する。情報システムの復旧継続を困難とさせる重大な脆弱性について最低限評価しておく必要がある。
・危機的事象発生時の体制と連絡方法の整備状況
・同一拠点内でのハードウェアの対策状況
・重要なデータのバックアップ状況
・ハードウェアやソフトウェアの再調達が困難になる可能性の有無の把握

7.構成要素ごとの目標対策レベルの設定(復旧戦略の策定)
情報システムをIT-RTO内に復旧させるための、復旧対策の計画を立案し、目標復旧レベルを設定し、目標レベルを達成できるように管理していくことを定める(復旧戦略の策定)。

8.事前対策計画の検討
目標対策レベルと現状対策レベルのギャップを解消し目標対策レベルに近づけるための方策をシステムごとに検討し、事前対策計画を作成する。予算等の関係から、目標として定めた対策をするに実施することが難しい場合には、「優先的に取り組むべき対策」を整理していくことが望ましい。

9.非常時の対応計画の検討
非常時の対応として、まずはじめに重要なことは、現場でリーダーシップを発揮して組織をあるべき方向・活動に導くキーマンの存在である。いざというときに、このような行動をとれるキーマンを育成する、あるいはそのような意識付けを行っておくことが重要である。また、システムベンダやOB・OGによる外部からの応援なども考えておく必要がある。

10.教育訓練計画・維持改善計画の検討
教育訓練における目的は、大きく以下の3つがある。
・平常時の情報システム運用継続計画の維持改善活動への理解の向上
・非常時対応計画の理解と対応系能力の向上
・事前対策内容の動作確認と検証

 

(第3部)「IT-BCP策定モデル」をもとに監査の視点で、IT-BCPの課題を考察する

NISC(内閣サイバーセキュリティセンター)から「IT-BCP策定モデル」が示され、その中で、東日本大震災の事例をもとに検討すべき諸課題について指摘しており、実効性の高い計画策定のモデルとして取りまとめが行われている。以下は、諸課題の例である。
(1)非常時の意思決定に関する在り方
(IT-BCP策定時にIT部門と関連部門を含めた連携体制づくりの必要性)
(2)非常時の情報収集・伝達・発信や業務系の情報システムの在り方
(災害発生後の情報システムの制約事項(リソース状態等)を前提とした計画の必要性)
(3)データの消失を回避するための対策の在り方
(大規模災害時に同時被災しない場所でのデータ保管について)
(4)教育・訓練の在り方
(訓練は、情報システム切替/切戻の手順確認+IT-BCPの継続的改善も目的であるということ)

実効性の高いIT-BCPであることをどのように確認・評価すればよいか。野原氏が実際に監査するにあたり、確認すべきポイントについて紹介いただいた。
・目標復旧時間(RTO)に対して訓練時の結果はどうであったか。
(訓練は2年に1回くらいの頻度で行っている)
・本番系と別サイトに構築したコールドスタンバイ環境とのデータの整合性。
・復旧作業にあたるオペレータの移動時間。

(所感)

このたびの講演では、実効性あるIT-BCPの策定とその維持管理に必要となる準備から対策の検討と実践について、細かな点を含めて理解を高めることができました。ご説明の内容をお聞きして、各種ガイドラインの読み込みと、野原氏ご自身が所属企業の事業継続計画の実践責任者として日頃実践していることから得られる知見の豊かさを感じました。
経営層に対してIT-BCPの必要性を説明しても、経営に資するIT-BCPという観点で理解を得るのは難しいと感じていました。IT-BCPは戦略の一部であり、災害発生時の業務復旧戦略としてのIT-BCPという認識であれば経営層からの理解も得やすいのでは考えます。参考となる講演、ありがとうございました。

以上

   

SAAJ近畿支部第164回定例研究会報告 (報告者: 是松 徹)

Clip to Evernote

会員番号 0645 是松 徹 (近畿支部)

1.テーマ 「これまでのシステム監査からこれからのシステム監査を考える」
      ~事故、犯罪、法制度の歴史的課題からICT時代のシステム監査を考察する~
2.講師 大阪成蹊大学 名誉教授  大阪経済法科大学 客員教授 松田貴典氏
  博士(国際公共政策)/技術士(情報工学)/公認システム監査人
3.開催日時 2017年1月20日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

ICTの高度化が生み出した豊かな情報化社会に潜む「情報システムの脆弱性」を念頭に置き、システム監査に関連する事故や犯罪、法制度等の歴史的課題からシステム監査を振り返るとともに、これからのシステム監査について課題を含めて幅広くお話しいただきました。

<講演内容>

5-1 ICTの高度化にともなうビジネス活用の進化とシステム監査を俯瞰

 電子計算機として普及しはじめた1960年代のEDPSの時代から、現在のICTによる「U-Japan」構想に至るまで、ビジネス活用における進化が続いている。
 ICTの高度化に伴い、2010年代からクラウド/IoT/ITガバナンス/ビッグデータといった概念が監査対象となり、情報システムの多様性やコンプライアンス問題等が監査の課題として浮上してきた。

 

5-2 銀行が体験したコンピュータ犯罪と脆弱性

 1981年に某銀行行員がオンライン端末を不正操作して巨額の現金他を横領するオンライン横領・詐欺事件が発生した。本事件は、裁判官により社会インフラとなったコンピュータシステムが内部要員により容易に悪用され得る弱点(脆弱性)を潜在化させることを明らかにされ、社会に大きな影響を与えた。
 本事件を契機に法改正がなされ、「電子計算機使用詐欺罪」が新設された。このように何かがあると法律が変わる流れであり、先行して予防するまでにはなかなか至らないのが現実である。

 5-3 個人情報の漏洩と法・制度への影響

 1989年に行政機関を対象とした旧法が施行されたことを皮切りに、個人情報保護法の全面施行(2005年)、番号法の施行(2015年)と運用開始(2016年)、改正個人情報保護法/番号法の施行(2017年)と法・制度の整備が進められてきた。
 その一方で、1999年に発生した地方自治体での住民票データ22万人分の流出以降、国内における個人情報漏洩事件等が続いている。IC乗車券の利用履歴のベンダー提供や大手教育出版系企業における事例は個人情報保護法改正の背景ともなった。
 これらを通し、社会における大量の個人情報の散在、組織の隠蔽体質、プライバシー侵害への危険性・不安の増大、プライバシーパラドックス、ビッグデータとしての個人情報の利用が困難等の問題がクローズアップされてきた。
 監査との関連では以下のように考える。
 特定個人情報保護評価では、リスク対策の監査と自己点検が求められる。また、罰則が強化されるためコンプライアンス視点での監査も重要となる。
 ネットワークビジネスの高度化を背景に社会は厳格な個人情報保護を求めており、ビジネスプロセス全体や経営視点での監査の実施、外部監査の義務付け等の監査の進化が要請される。
 個人情報保護マネジメントシステムの監査は内部監査として行うが、監査意見の強化と指摘改善を図るために、少なくとも年1回の外部監査が必要である。

5-4 情報資産の保護とコンプライアンス監査

 情報システムに関する法的な問題は、経営者自身の無知、従業員の無知・考慮不足等による違法行為が多い。システム監査人は助言・勧告のみならず、緊急改善を指摘することが求められる。
 【著作権法の侵害行為】:ソフトウェア不正コピーの重大事件(事例紹介4件)が散発している。さらに、ビジネス情報に関連した著作権侵害行為(一般的侵害行為、企業や組織内での違法行為)が発生しているが、企業や組織ぐるみの犯罪行為を引き起こすことがあり、当事者の違法性認識が薄い場合も多い。最近のDeNA事件(まとめサイトでの他人の著作物の無断転用等)は、組織的な「情報倫理」「企業倫理」の欠如例と言えよう。
 【インターネット取引の対応】:ビジネスプロセスとして以下があり、それぞれに対応する法律・制度等が存在する。①Web広告・宣伝、②通信による契約、③商品発送、④決済、⑤その他(Webサイトの安全性確保) 例えば、①のWeb広告・宣伝プロセスでは、特定商取引、景品表示法、著作権法、消費者契約法、不正競争防止法等による法的規制が存在する。
 【不正競争防止法の侵害行為】:代表的な事例としてインターネット「ドメイン名」事件がある。(事例紹介3件) また、話題となった不正競争防止法関連事件が見受けられる。(事例紹介8件)ICT関連として、事例を通して不正競争行為とされる行為の類型が整理できる。
 【コンピュータウイルス関連】:ウイルス作成による事件を契機にウイルス作成・配布を不正指令電磁的記録に関する罪(コンピュータウイルス作成罪)とする刑法改正が行われた。(2011年施行) 最近のウイルス関連事件では、パソコン遠隔操作事件(男性4名の誤認逮捕を誘発)、スマホ遠隔操作の一斉摘発があげられる。ウイルスの作成やバラマキ防止の法改正は後追いの対応であり、スマホのぞき見等からストーカー行為に発展する事例もあり、「情報倫理」の問題として幼い頃からの教育が必須と考える。
 ICTが高度化すると情報システムの多様化が起こり、コンプライアンス監査がより求められる。コンプライアンス監査はICT関連のみではないものの、ICTに関連する監査は「法とICT」の両面からのアプローチが必要であり、システム監査人が監査を行うことになる。

5-5 これから求められる監査技術の進化への対応

 2010年に検事による証拠データの改竄事件が発生した。この時にはデジタルフォレンジック技術により証拠データを抽出し、改竄が判明した。当技術は、不正アクセスや機密情報漏洩等の犯罪における捜査手法として注目されているが、外部からの侵入やデータ改竄がないか、情報セキュリティ監査や安全対策の面からも重要な技術であり、システム監査人が修得すべき技術である。
 このところ大きな不正会計事件が発生している。(事例紹介2件) 会計監査手法の進化として、試査からCAAT等による精査の方向性が出てきているが、今後(将来)はAIによる精査と分析が考えられる。AIにより常時監視される「継続的監査」が実施されることも想定される。

5-6 これからのIoT時代に備えてIoTセキュリティの監査をどのように考えるか

 IoTには固有の課題が存在する。(IPA「IoT開発におけるセキュリティ設計の手引き」参照) これを踏まえて品質管理に「セキュリティ品質」を定義し導入する。
 IoTのライフサイクル(方針、分析~運用・保守)における各工程別で監査を実施する。監査では各工程でのガイドライン遵守状況から問題点等の洗い出し・分析を行い、PDCAの「C」だけでなく管理基準の改訂に繋げる「A」の役割も果たす。(IoTコンソーシアム・総務省・経済産業省「IoTセキュリティガイドライン1.0概要」参照)
 セキュリティ管理基準は、企業内と業界で統一する。

5-7 これからのシステム監査の課題

 高度情報化時代では脆弱性に関して視野を広げる必要がある。(ICTの脆弱性のみが「脆弱性」ではない。)
 脆弱性には、①情報技術(IT)側面、②経営管理・組織的側面、③国際・社会的側面、④法・倫理的側面の4つの側面が存在し、潜在化する。
 脆弱性は脅威の現実化(顕在化)の誘因となる。脆弱性に対するコントロールの強弱で脅威の現実化(顕在化)する「リスク」が発生し、高くも低くもなる。従って、リスクの起因となる脆弱性を押えることが重要である。
 高度化・複雑化・多様化する情報化の時代のシステム監査は、監査対象に特化した専門監査人が必要であり、必要によっては業界や事業活動独自の管理基準の活用やサブコントロールの作成が望ましいと考える。これからの時代にも主旨・体系等が独自基準のベースとなるシステム監査基準・管理基準はさらに重要となると考えられ、まずは時代に即した当基準の改訂が急務である。
 システム監査は組織体のITガバナンスの実現に寄与し利害関係者に説明責任を果たす役割があるが、今なおこの実現に十分至っていない。進化と多様化する「情報システムの脆弱性」を俯瞰し、求められるシステム監査を追及することが経営者に寄り添う監査の実施には肝要である。

6.所感

事故・犯罪の過去事例や法制度を振り返り、これらと紐づいたシステム監査の課題を具体的に取り上げていただくことで、改めてシステム監査と社会との接点やシステム監査の全体像を見直す有益な機会となりました。中でも、①多様化する情報システムに対してはコンプライアンスの視点が重要であること、②法的な問題は経営者自身の無知、従業員の無知・考慮不足等に起因することが多いこと、③法とITの両面からのアプローチがシステム監査人に要請されること、④今日では、脆弱性をICTの脆弱性のみが対象になっているが、これでは視点が狭く、経営や組織、社会、法律等の側面まで拡げることが重要である等、システム監査の視点の多様化の必要性が印象に残りました。
また、システム監査基準・管理基準が2004年以降に改訂されずにその実効性が気になっていましたが、将来の動向を見据えた上でその重要性について言及されたことを受け、当基準の位置付けや意義について再認識をさせていただきました。今回のご講演は盛りだくさんの内容であり、1.5時間ではとてももったいない状況であり、また是非続編を拝聴したいと感じた次第です。

以上

   

SAAJ近畿支部第162回定例研究会報告 (報告者: 是松 徹)

Clip to Evernote

会員番号 0645 是松 徹 (近畿支部)

1.テーマ 「情報科学教育の現状について ~高等学校から経営者まで~」
2.講師 株式会社メトリックス 代表取締役 松井 亮宏 氏
(公認システム監査人(CISA)、システム監査技術者)
3.開催日時 2016年11月18日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 4階 講義室405
5.講演概要

講師は、SIer、監査法人を経て独立され、現在、システム監査、システム導入支援、セキュリティ監査、セキュリティコンサルティングを実施されている。 これらのご経験を踏まえ、情報科学教育というテーマの下、経営者へのITについての教育及び日本の「情報」教育体系における現状と課題等についてお話しいただいた。

<講演内容>

5-1 経営者へのITについての教育

(1) なぜ経営者にITへの理解が必要か

多くの日本の経営者にとって目に見えるモノではないITは、「お金を生むもの」ではなくコストの認識である。また、ITの概要や本質を体系だって学ぶ機会がなかった。その結果、海外との競争力の低下、ITリスクに対する理解不足、アウトソースによる社内の空洞化等を招いている。
ITがわかる経営者になるには、経営者自身が競争力としてのITとそのリスクが評価できること、情報システム部門をコストセンターではなく経営企画を担う部門として再定義すること、専門家活用に責任をもつこと、が必要である。このための経営者支援としては、技術、サービス、ビジネスモデル等の情報提供、経営視点を備えたIT専門家の育成と経営への参画等が考えられる。

(2)どの分野の教育が必要か

攻めと守りの両面を考える必要がある。攻めのITである以下の分野は経営者の関心も高く、投資対象になりやすいと考える。
・IoT、ブロックチェーン等(ビジネスの競争源としてのIT)
・FinTech、クラウド等(管理のためのIT)
・Industry4.0等(製造イノベーションのためのIT)
一方で守りの性格が強いITリスク対応やサーバーセキュリティ等の分野は、最低限の対応となる傾向がある。この守りのITの教育をどうするかが課題である。

(3) 守りのITについて

一例をあげると、内閣サイバーセキュリティセンター(NISC)の提言である「セキュリティマインドを持った企業経営(平成28年8月2日)」では、サーバーセキュリティはやむを得ない「費用」ではなく積極的な経営への「投資」であり、企業としての「挑戦」とそれに付随する「責任」として取り組むことへの期待が述べられている。
また、経営者における守りのITに対する学びのヒントとして、「金融セクターのサイバーセキュリティに関するG7の基礎要素」(2016/10/11:G7財務大臣・中央銀行総裁により支持)があり、以下の8要素があげられている。
① サイバーセキュリティ・ストラテジーとフレームワーク、②ガバナンス、③リスク管理の評価、
④モニタリング、⑤インシデント発生時の対応、⑥復旧、⑦情報共有、⑧継続的な学習
システム監査人は、経営への積極的な関与を通して経営者を継続的に指導していくことが期待される。

5-2 日本の「情報」教育体系

(1)情報教育の現状

【小学校】:各教科等の指導を通じて教育、【中学校】:技術・家庭の中で教育、【高校】:科目「情報」で教育、【大学】:情報系学部はあるものの科目「情報」を入試で課す又は選択できる大学は9大学と少数派 という状況である。

(2)科目「情報」の課題

科目「情報」は「社会と情報」「情報の科学」で構成され、高校で履修が必須であるにもかかわらず未 履修が約23%(2006年)という統計があり、狙い通りに教えられていない状況が見受けられる。また、教える側では、情報科免許での教員採用枠が非常に少ない、情報科免許所持の専任教員のうち情報科のみの担当は約20%、他教科との兼任が約52%、免許外の担任が残りの約28%という実態も報告されている。

(3)科目「情報」のこれからとシステム監査人の役割

平成28年8月26日の中教審の報告書では、①情報の科学的な指導が必ずしも十分ではないのでないか、②情報やコンピュータに興味・関心を有する生徒の学習意欲に必ずしも応えられていないのではないか、との疑問があげられている。これらを踏まえ、今後の科目「情報」に求められることは以下と考える。

・パソコンの操作やインターネットの使い方ではなく、情報の取り扱い方や情報活用の方法を中心に学ぶ。
・システムやセキュリティの基礎的なことを学ぶ。
・便利さだけでなく、脅威、倫理、やってはいけないことを理解する。
システム監査人は、教育界への情報発信とともにIT業界に教育というキャリアパスがあることを認知させ、ITやセキュリティの専門家が教育に積極的に参画できる環境を整備することが重要と考える。

6.所感

情報科学教育について、高等学校から経営者までの現状を俯瞰することができて有益であった。中でも、高校における科目「情報」の教育実態をお聞きし、教える側も履修する側も狙い通りの成果があがっていない点が気がかりであった。ITやセキュリティに関する人材が質・量ともに不足しており、人材育成が大きな課題であることが社会的に認知されてきている中、講師が言われるようにシステム監査人が教育に携わる意味は大きいと考える。

 以上

   

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:19
累計アクセス数:128630
本日訪問者:15
累計訪問者:15935
2017年6月
« 5月    
 123
45678910
11121314151617
18192021222324
252627282930