SAAJK

ようこそ!NPO日本システム監査人協会近畿支部サイトへ

本サイトは近畿支部からの情報発信、活動報告、会員間の情報共有を目的として、ITサービスグループによって運営されています。(2009年~)
※協会本部サイトについては、こちらをご参照下さい。

近畿支部創設30周年記念研究大会のご案内

Clip to Evernote

【 申込受付中(6/23締切)】

・日時 2018年6月30日(土)13:00~17:00
・場所 エル・おおさか (大阪府立労働センター)
・統一テーマ システム監査ニューフロンティア
・参加者数 150名を予定
・詳細 パンフレット(申込リンクあり)
・報告書 開催後に公開
   

SAAJ近畿支部第171回定例研究会報告 (報告者: 藤原 敏宏)

Clip to Evernote

会員番号 2508 藤原 敏宏

1.テーマ 「地方自治体におけるICT監査の現状と課題」
2.講師 大阪市 行政委員会事務局 監査部  ICT監査担当課長 片岡 学 氏
3.開催日時 2018年1月19日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、企業内内部監査、監査法人による外部監査、会計検査院でのIT分野の会計検査を経験されており、現在は大阪市でICT監査に携われている。それぞれの監査・検査は、異なる役割を持っているが、今回は、地方自治体におけるICT監査の重要性と取り組み事例についてご紹介頂いた。
地方自治体においてもICTの重要性は高まっており、その中でICTが適正に利用されているか、適正利用を阻害するリスクに対するコントロールが適切に整備されているかを助言・勧告するICT監査がますます重要となっているが、ほとんどの自治体において本格的・定期的に実施されていない現状があり、その中で講師が大阪市で実際に取り組まれているICT監査の事例紹介と今後の課題事項についてご紹介頂いた。

<講演内容>

(ア) 地方自治体における監査制度

地方自治体での監査と民間上場企業での監査について、比較して説明頂いた。
そのうえで、地方自治体における監査委員の役割、監査委員監査の流れ等、監査委員監査全体の説明と大阪市での実例を紹介頂いた。その概要は、以下のとおり。
監査委員は、地方自治法によって、人数が定められており、大阪市では、識見を有する者から選任された委員2名(企業経営経験者1名、弁護士1名)、議員のうちから選任された委員2名の計4名で構成されている。識見委員は4年ごとの任期となっている。監査報告書は監査委員4名の連名で作成される。
監査委員監査における事務局スタッフは、監査委員が監査意見を行うための指摘材料等を監査委員に提供する役割を担っており、監査委員の目線にたった監査が必要となる。内部監査等におけるシステム監査では、IT統制上の細かな部分の指摘に留まることもあるが、特に大阪市の監査委員監査では、大阪市のICTに係る経営、戦略などの統制環境上の課題など、より本質的な原因分析や指摘を行う事を目指している。

(イ) 地方自治体におけるICTとICT監査の重要性

地方自治体におけるICTとICT監査の重要性について、その役割やリスクの観点から説明頂いた。その概要は、以下のとおり。
地方自治体においても、住民利便性向上や業務効率化の観点から、ICTを抜きにして語る事は出来ない。加えて昨今では災害に強い基盤作りや情報セキュリティにより配慮したシステム構築も必要となっている。地方自治体におけるICTの重要性が高まる中において、ICTの適正利用を阻害するリスクに対するコントロールが適切に整備されているかを点検・評価するICT監査も重要となってくる。
地方自治体独自の部分として、入札で実施されたシステム化の経費適正化も必要な観点となる。また自治体におけるICT担当職員は、ICTの専門家でなく、事務セクションで、かつ人事ローテーションで異動していく為、情報システムに精通していないケースもあり、ベンダー任せとなってしまう事がある。
また、地方自治体を担当しているICTベンダーにおいても、民間企業を対象としているICTベンダーと比較すると、ICTに係るリスクやコントロールについての認識が必ずしも十分でないように感じられる。
情報セキュリティの領域では、情報セキュリティポリシーについて責任者となる所属長が十分に認識していないケースがあり、個人の資質の問題とせず、組織としてリテラシーを身につけさせていく等、組織としての体制づくりが必要となっている。地方自治体においても、ICT監査が重要であるとの認識を持っているが、平成25~27年度の政令指定都市のホームページで確認した所、ほとんどの団体で本格的・定期的なICT監査は実施されておらず、大阪市を除く19都市の中で単発的に11テーマ程度の実施に留まり、3年間一度も実施していない団体が10都市もあった。
セキュリティ監査の実施については必ずしも多くないものの、総務省からガイドラインも提示されており、ICT監査よりは取り組みが多い状況にある。

(ウ) 大阪市におけるICT監査の取組事例

大阪市におけるICT監査の取組事例について紹介頂いた。その概要は、以下のとおり。
現在の大阪市におけるICT戦略は、ICTの徹底活用とICTの適正利用の二本柱となっているが、そのうちICTの適正利用に着目し、監査に取り組んでいる。
監査委員監査のアプローチとして、どんなリスクを抱えているかに着眼し、リスクを想定し、本質的な問題、経営に係る問題を探っていくことになるが、そのために、大阪市のICT監査では、①本質的な原因を常に探り、個々の問題を掘り下げ、共通的な課題を探る②未然防止に注力することに、特に留意して取り組んでいる。
監査取組みのひとつとして、ICT調達に係る事務の監査を行ったが、ICT調達のガイドラインが有効に機能しておらず、仕組み・手順をICT統括部門が整備しなければならないこと、仕組み、制度がうまくいっているかをモニターする力が弱く、ICT統括部門はモニタリングを十分にする必要があるなどの指摘を行った。
その他の監査事例の指摘も踏まえ、監査委員監査の総括として、ICT管理体制の再構築を行うべしとの監査指摘に至っており、現在、大阪市では、外部人材の活用などによるICT管理体制の見直しの検討が進められている。

 最後に地方自治体におけるICT監査の今後の方向性の検討につながるものとして、平成29年6月の地方自治法の改正により、ICTなどの専門領域については監査専門委員の創設がされること、都道府県及び政令指定都市では内部統制評価報告書の作成が必要となることなどが紹介された。これらを踏まえると、今後は、地方自治体においても、「IT統制」及び「IT統制監査」の実施が必須となり、また、合わせて、マイナンバーの本格展開がされていく中においてはより一層のセキュリティ確保が求められる環境が予想されることから、ICT監査の役割がますます重要となってくるとの講師認識が示された。

6.所感

本講演ではシステムを導入するユーザー側の視点において、経営層がどのような観点でシステム導入を見ているかが紹介されており、システムを販売する側にいる筆者として勉強になった。
普段、ユーザー側の実際の利用者、ICT担当者と会話する中においては、システムの部分的な機能の有無といった個別部分に目がいってしまう事が多いが、システム導入時及び運用においても、適切な情報セキュリティが維持された環境で利用出来ているかはシステム機能だけにとどまらない部分もあり、そういった事も含めて提案していく事の重要性を感じた。

以上

   

SAAJ近畿支部第169回定例研究会報告 (報告者:是松 徹)

Clip to Evernote

会員番号 0645 是松 徹 (近畿支部)

1.テーマ 「プログラミング教育の現在・過去・未来」
2.講師 大阪電気通信大学 総合情報学部長 教授 魚井 宏高 様
3.開催日時 2017年11月17日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

過去から現在にわたるプログラミング教育の実際と現在大きく変化しているプログラミング教材をご紹介いただき、プログラミングと今後の社会人との関わりをどのように思い描くべきかを、大学での豊富なプログラミング教育や教育システムの研究・実践のご経験を踏まえ、幅広くお話しいただきました。

<講演内容>

5-1 プログラミング教育の意義

① プログラミング教育はプログラミング言語を教えるのではなく、「プログラミング的思考」を身に付けさせることが狙いである。育成すべき資質・能力として、a)学びに向かう力・人間性等、b)知識・技能、c)思考力・判断力・表現力等があり、「プログラミング」を恐れる必要はないことを体験させることがa)の育成に繋がることになる。

② 「プログラミング的思考」とは、自分が意図する一連の活動を実現するためにプロセスを構成する要素の最適な組み合わせを論理的に考えて行く力である。

5-2 プログラミング教育の歩み -過去-

① メインフレームの時代:FORTRAN、COBOL、PL/1といった言語が主流であった。英語マニュアルを読む、演習問題を解く等によりプログラミングの習得を図っていた。

② キャラクタ端末からPCの時代:使用言語としてPASCALからBASICへの移行が見られた。解説本を読む、演習問題を解く等によりプログラミングの習得を図っていた。 また、この時代までは一人一台計算機を占有できる環境は珍しかったことから、すぐにプログラムをマシン上で実行するのではなく、机上デバッグが要請された時代でもあった。

5-3 プログラミング教育の歩み -過去から現在-

① PCの時代:Cを手始めに、Visual BASIC、C++、JAVAといった言語が主流となった時代である。解説本を読む、演習問題を解く等に加えて、ノートPCが現れたことにより自宅で宿題をこなすことでプログラミングの習得ができるようになった。

5-4 プログラミング教育の歩み -現在から未来-

① ノートPCやタブレットの時代:Visual言語とGUIが主流である。今やマニュアルや解説本等は読まなくなってきた。また、演習問題を解くよりは緻密に作られたコースウエアに従う流れがでてきた。

② スクリプト言語(Python、PHP、Ruby)が普及してきた。「文系だからプログラミングはしない・できない」は通用しない環境となってきている。

③ IOTとの連携が問われている。子供の興味を惹くには、動く・光る・音が鳴る等の工夫やロボットとドローンとの組み合わせ等が考えられる。これらを実現するハードウエア教材の例として、Raspberry-Pi(イギリス)やArduino(アメリカ)等がある。

④ 子供向けプログラミング言語としてScratchが定番化してきた。

⑤ 現在、様々なプログラミング教材が現れてきている。具体例を以下に紹介する。
・IchigoJam(プログラミング専用こどもパソコン:BASACでプログラミングが可能)
・SONY MESH (電子ブロック:タブレットでプログラミングが可能)
・LittleBits – CodeKit (次世代の電子ブロック)
・Makeblock – neuron (自己完結型のIOTキット)
・LEGO – Mindstorms EV3 (教育用ロボット:定番化)
・ozobot (教育用ロボット:色の組み合わせの命令が可能)
・edison (超小型コンピュータ:センサ、モータ、スピーカ等の要素を一体化)
・sphero (球形ロボット:転がるドローン)
・Viscuit(Harada 2003~)(ゼロテキストのビジュアルプログラミング言語)

⑥ その他ゼロテキストの試みとして、Osmo Coding、Computer Science Unpluggedがある。

⑦ 小中学生向けプログラミング教育の民間での取り組みとして、Hour of CodeやCoderDojoが開催されている。

5-5 プログラミング教育の歩み -未来-

① ウェアラブル/スマホの時代:AR(拡張現実)/VR(仮想現実)等の技術・手法の普及が考えられる。

② 使用されるプログラミング言語は見通せないし、そもそも使用されない可能性もあるだろう。マニュアルは完全に不要になると思われる。

③ 自然言語によるプログラミングやAIによるサポートもあり得るだろう。

④ 演習問題を解くのではなく、現実的な課題を解かせる方向が考えられる。まさに原点回帰である。

5-6 まとめ

① 産業がすべてIT化していく中でITの技能は社会人として必須となった。

② その必須部分が「プログラミング的思考」であり、すべての人が具備すべきと考える。

6.所感

2020年から小学校でプログラミング教育が必修化される動きの中、プログラミング教育の実際や狙いについてご講演いただき、今まで不案内であったプログラミング教育に対する認識を新たにすることができました。 さらに、プログラミング教育により身に付けるべき「プログラミング的思考」について理解することができました。
今回のご講演では、スクリーン上への教材ソフトの操作結果投影や具体的なキットを使用したデモを随所で行っていただき、大変楽しく拝聴させていただくとともに、多彩なプログラミング教材の実態を知ることができました。これだけ多くのデモをしていただいた定例研究会でのご講演は、今までなかったように思います。何だか大学での講義を受講させていただいている気分になり、また講師ご自身も楽しまれている様子が覗え、ご講演時間があっという間に終わった印象でした。
プログラミング教育は時機を得たテーマでもあり、是非続編を拝聴したいと感じた次第です。

以上

   

SAAJ近畿支部第170回定例研究会報告 (報告者: 岩崎真明)

Clip to Evernote

会員番号2531 岩崎 真明

1.テーマ  「サイバー空間を取り巻く現状と課題、サーバーセキュリティ政策について」
2.講師    内閣サイバーセキュリティセンター 山下 浩司 氏
3.開催日時  2017年12月16日(土) 15:00~17:00
4.開催場所  SMGアクシア 四ツ橋・近商ビル館 10A
5.講演概要

(1)テーマ

IoT、ビッグデータ、AIをはじめとして、ビジネスにおいてはITの利活用により価値を生むことが期待されているが、一方では、サイバー攻撃事案は日々発生しており、企業においては、リスクマネジメントや人材育成を含めた対応が求められている。本講演では、現状認識として「サイバー空間の変化」を共有化し、その変化が起因となり発現したともいえるリスクの振り返りとして「サーバーセキュリティの個別事案と考え方」を取り上げ、その対策としての「サイバーセキュリティ政策の方向性」について解説いただきました。

(2)「サイバー空間の変化」について

人類発展史の視点からは、狩猟・農耕社会から始まった社会であるが、現在は「情報社会(Society4.0)」の段階にあると考えられるが、今後は「超スマート社会(Society5.0)」という新たな経済社会へと発展していくと見込まれている。この変化の特徴は、ICT活用による「個別最適化」からサイバー空間と現実空間の融合による「社会全体の最適化(全体最適)」にある。これを「変化」と「テクノロジー」の視点から整理すると「変化:つながる」と「テクノロジー:Iot」、「知能化する」と「AI、ビッグデータ」、「広がる」と「ネットワーク技術の高度化(5G、SDN、ブロックチェーン等)」になると考える。特に「つながる」というところでは、いろいろな物・いろいろな産業が「つながる」ことで新たな価値が創造される期待感があるが、その反面では「弱いところに引きずられる」というリスクがあり、この脆弱性を攻撃されることで発現するリスクの影響度を想定した対策が必要となる。

(3)「サーバーセキュリティの個別事案と考え方」について

最近発生したセキュリティ事故事案の振り返りと、どこに事故発生の原因があったのかについて解説いただきました。原因としては、「繋げる必要ない機器を不用意に外のネットワークと繋げてしまった」「パスワード設定のルールが緩かった」などであったことから、どれも「基本的な対策ができていなかった」ということが原因であったとのことでした。では、何をすればよいのかという事については、経済産業省より発信されている「サイバーセキュリティ経営ガイドライン」の中で「サイバーセキュリティ経営の3原則」「サイバーセキュリティ経営の重要10項目」があり、特に「検知・復旧」について意識した内容となっている。

(4)「サイバーセキュリティ政策の方向性」について

取り組みの基本姿勢は、「自助:まずは企業自らが主体的に取り組む」「共助:一組織では限界があるので業界を越えて連携する」「公助:政府からの情報提供と支援」「国際連携:国境を越えた連携」である。この基本姿勢の中で、まずは企業の社会的責任として主体的に対策を講じる必要があると考えるが、完璧な防御は不可能であるので、事業継続の観点からも、攻撃の早期検知や被害拡大の阻止、対応復旧として「経営>事業>業務>システム>IT」の中で「何を、どこまで守るのか」という視点からの対策を講じておくことが重要である。例えば、図書館のHPがサイバー攻撃により、閲覧不可能となり、インターネット経由で「予約する。検索する。」というシステム機能が使えなくなり不便さを訴える声が上がったとしても、「図書の貸し出し業務」そのもののリアルな基本業務については人手による運営が一時的に継続出来る、すなわち、図書館まで足を運べば「本を選んで予約する。貸し出しを受ける。」という機能は継続されるような仕組にしておくことが必要である。こうした「自助」への取り組みを基本としつつ、「共助・公助」としては、サイバー攻撃に備えるため、情報収集・共有・活用を率先して行うことが重要であるとの認識から、共有・活用する情報の5W1H(目的、類型、共有の場、階層、タイミング、手法等)の整理・標準化について、企業・業界・官民・国境を越えて迅速な情報を共有する仕組み作りが動き出している。総じて言うならば、「超スマート社会(Society5.0)」実現に向けて、人材、情報、技術に重点的に資金を投入し、その資金が効率的に循環する仕掛けや制度を作ることが重要である。

6.所感

本講演と合わせて、日本経済団体連合会からの「Society 5.0 実現に向けたサイバーセキュリティの強化を求める」という提言に目を通しました。そこには「完璧な防御は不可能であり、サイバー攻撃を自然災害と同様に避けられないリスクと捉えるべきである」と記されていました。サイバー空間による新たな価値を享受するなら、企業としても、個人としても、それ相応なリスクが伴うことを覚悟する必要があると考えるので、サイバーセキュリティに対する意識を国全体で向上させることは本当に重要なことであると考えます。その意味では、「我々個人」としても「自助とは何か。日常生活の中で意識できることは何か。」を真剣に考えて行動すべき時代に入っていくとするなら、「大人として何を学び行動するのか、子供達としては学校教育の中で何を学んでいくのか」について、まさに政府としての「公助」が効率的に循環する仕掛けや制度が必要になると考えますが、その反面では、制度であるが故に、そこに潜むリスクにも目を向けておくことも大切と考えますので、世の中は益々、便利で難しい時代に進化していくのだということを改めて認識できた講演でした。

以上

   

研究論文、研究成果、コラム&エッセイ、活動報告等のコーナー

Clip to Evernote

日本システム監査人協会近畿支部では、支部会員を始め各研究プロジェクト等で活発な研究活動を行っています。このコーナーでは、発表者の許諾をいただき研究論文研究成果活動報告などを掲載しています。

New!
「システム開発作業を外部委託 する場合の留意事項について」

コンテンツの一覧表が表示されていない場合は、ここをクリックしてください。

   

発表資料

Clip to Evernote

タイトルをクリックするとドキュメントを閲覧できます。

公開日 区分 タイトル(リンク) 発表者 発表日 更新/備考
2018年1月5日 発表資料 システム開発作業を外部委託 する場合の留意事項について 三橋潤 2017年9月30日 2017年度西日本支部合同研究会にて発表
2017年9月28日 発表資料 仮想通貨とブロックチェーン技術の現状と課題 荒牧裕一 2017年9月15日 SAAJ近畿支部第168回定例研究会にて発表
2017年8月9日 発表資料 中小製造業のグローバル化プロジェクト 坂口幸雄 2017年7月21日 SAAJ近畿支部第167回定例研究会にて発表
2017年5月24日 発表資料 事業継続マネジメント(BCM)の本質とは? ⼩⼭俊⼀ 2017年5月19日 SAAJ近畿支部第166回定例研究会にて発表
2017年4月18日 発表資料 事業継続計画(BCP)の概要とIT-BCPについて 野原英則 2017年3月17日 SAAJ近畿支部第165回定例研究会にて発表
2017年2月3日 発表資料 これまでのシステム監査からこれからのシステム監査を考える 松田貴典 2017年1月20日 SAAJ近畿支部第164回定例研究会にて発表
2016年12月26日 発表資料 個人情報を巡る最新動向と企業に与える影響~改正個人情報保護法の施行に備えて~ 福本洋一 2016年12月17日 SAAJ近畿支部第163回定例研究会にて発表
2016年12月26日 発表資料 スクラムと監査についての一考 近藤博則 2016年11月5日 2016年度西日本支部合同研究会にて発表
2016年11月30日 発表資料 情報科学教育の現状について〜経営者から⾼等学校まで〜 松井亮宏 2016年11月18日 SAAJ近畿支部第161回定例研究会にて発表
2016年11月30日 発表資料 個人番号カードの多目的利用の課題と展望 津田 博 2016年9月16日 SAAJ近畿支部第160回定例研究会にて発表
2016年06月21日 発表資料 事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント 粕淵 卓 2016年5月20日 SAAJ近畿支部第159回定例研究会にて発表
2016年04月25日 発表資料 システム監査の多様性について 林裕正 2016年1月15日 SAAJ近畿支部第157回定例研究会にて発表
2016年04月25日 発表資料 標的型攻撃をはじめとするサイバー攻撃の現状と対策 植垣雅則 2015年11月20日 SAAJ近畿支部第155回定例研究会にて発表
2016年04月25日 発表資料 ツールが無くてもここまでできる SAP ERP内部統制監査 浦上豊蔵
梅谷正樹
下田あずさ
木ノ原真由美
中川昭仁
2015年09月18日 SAAJ近畿支部第154回定例研究会にて発表
2015年07月21日 発表資料 ソフトウェア著作権監査のためのツールと監査手法 荒牧裕一 2015年07月17日 SAAJ近畿支部第153回定例研究会にて発表
2015年05月17日 発表資料 失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介 松井秀雄 2015年05月15日 SAAJ近畿支部第152回定例研究会にて発表
2015年01月28日 発表資料 IT-BCPの実効性を高める訓練・演習とその監査 松井秀雄 2015年01月16日 SAAJ近畿支部第150回定例研究会にて発表
2014年12月05日 発表資料 システム監査の勘所 ~ITストラテジストとシステム監査~ 林裕正 2014年09月20日 JISTAオープンフォーラム2014in関西にて発表
2014年12月05日 発表資料 クラウドソーシングによる災害対策 吉田博一 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年12月02日 発表資料 BCP研究プロジェクト2014年度活動報告(IT部門の初動対応をモデルとした演習の紹介) 金子力造 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年09月20日 発表資料 情報通信技術者が知るべき著作権(基礎編)-「著作権のシステム監査」の実践のために- 松田貴典 2014年09月19日 SAAJ近畿支部第148回定例研究会にて発表
2014年07月19日 発表資料 暗号通貨ビットコインの脆弱性と可能性 荒牧裕一 2014年07月18日 SAAJ近畿支部第147回定例研究会にて発表
2014年04月22日 発表資料 ソフトウェア資産管理とシステム監査 松井秀雄 2014年04月19日 SAAJ近畿支部第41回定例勉強会にて発表
2013年08月22日 発表資料 J-SOXへの取組みと内部監査の考え方 是松徹 2008年11月21日 SAAJ近畿支部第110回定例研究会にて発表
2013年08月12日 発表資料 コンプライアンスのシステム監査について 雜賀努 荒牧裕一 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年08月12日 発表資料 クラウドコンピューティングのシステム監査 深瀬仁 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年04月10日 発表資料 マネジメントシステム規格の統合的な利用と効果的な認証審査 吉谷尚雄 2013年03月15日 SAAJ近畿支部第139回定例研究会にて発表
2012年11月21日 発表資料 BCP研究会報告(ITを中心とするBCP策定支援の実践 荒町弘 2011年11月19日 SAAJ 西日本支部合同研究会にて発表
2012年11月21日 発表資料 近畿支部サイトWG活動報告 金子力造 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年08月25日 発表資料 ASP・SaaSに対する情報セキュリティ監査をふまえたクラウドコンピューティングに対する一考察(プレゼン発表用) 佐々木志津香 古江健一 鬼松嵩 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年06月30日 発表資料 「システム監査の法的義務化」等のIT政策提言 田淵隆明 横山雅義 中田和男 神尾博 2012年06月16日 SAAJ近畿支部第32回システム監査勉強会にて発表
2012年05月14日 発表 資料 セミナーWG平成23年度活動報告 三橋潤 2011年11月25日 SAAJ近畿支部2011年度研究大会にて報告した資料より作成

 

   

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:25
累計アクセス数:149979
本日訪問者:19
累計訪問者:19462
2018年5月
« 4月    
 12345
6789101112
13141516171819
20212223242526
2728293031