2)開催報告

会員番号 1709 荒町 弘

1.テーマ 「事業継続計画(BCP)の概要とIT-BCPについて」
2.講師 京セラ株式会社 本社 経営推進統括部 経営企画部 事業継続計画課責任者 野原 英則 氏
3.開催日時 2017年3月17日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師の所属する組織では、2011年の東日本大震災の後、事業継続に対する会社の取り組みを明確にすべく、経営企画部門に組織を設置し、BCP策定に取り組んで来た。講師の野原氏はその部署の責任者としてBCPの運用状況の点検評価及び継続的な改善を担っている。
企業にとってBCP策定と運用は経営上の必須事項であるとの認識のもと、IT部門での経験もいかしてIT-BCPの策定と運用管理についても担当している。企業にとってのBCPとは何なのか、という基礎部分からステップを踏んだBCP策定の手順の紹介、そして、そのステップを応用したIT-BCP策定手法について、国が示すガイドラインを活用しての取り組み方法を紹介いただいた。

(第1部)事業継続計画(BCP)概論

事業継続への取り組みが高まりつつある背景と事業継続計画とは、といった基本部分の解説について、内閣府の示すガイドラインでの定義と国際規格であるISO22301の定義について説明いただいた。内閣府公表の日本国内におけるBCPの策定状況としては、大企業では「策定済み」が6割程度、「策定中」を合わせると8割程度の普及率であるが、中小企業においては、「策定済み」が3割程度、「策定中」を加えても4割程度の普及率であり、まだまだこれからという感が強い。また、BCPの策定はできたが、実効性のあるBCPとするためには、定期的な訓連や点検評価による継続的な改善が必須となるが、企業の現場では、なかなかそのような時間をつくること自体が難しいといった現実がある。
次に、BCP策定の基本的なステップとして、方針策定から是正・見直しまでを7つのステップに分けてその取り組みについて解説いただいた。ポイントは以下のとおり。

【ステップ1:方針策定】
全てを守るのは難しいという前提でもって、事業戦略やステークホルダーの要求に基づき方針策定から継続的に改善していくための体制を確立する必要がある。

【ステップ2:リスク/事業影響度分析】
災害の特定から事業への影響を確認し、目標復旧時間/レベルを考える。重要な経営資源は5M+1E+1Iの視点で分析する。重要な経営資源が想定災害発生時に受ける影響を予測し、かつ、現在の経営状況でどの程度の事業中断が許容できるのかを把握する。

【ステップ3:戦略・対策の検討・決定】
重要な経営資源に対する対策の考え方として、「被害を最小化するための対策」「被災したとしても早期に復旧するための対策」「復旧するまでの代替策」の3段階で考える必要がある。また、早期復旧対策を考えるプロセスでは、原因から想定被害を導き出す原因事象で考えるアプローチだけでなく、被害が起こった場合にどうするか、といった結果事象から対策を考えるアプローチも有効である。事業継続戦略を考えてから対策に考える方法もあるが、対策を考える中で事業継続戦略が決まるという考え方もある。

【ステップ4:対策実施】
BCPは経営であるという認識のもと、リスクを許容する選択肢やリスクファイナンスで対応することも必要。

【ステップ5:行動計画の作成】
初動と復旧のそれぞれのフェーズにおいて、時間の流れ(タイムライン)に応じた組織のとるべき行動と役割分担を明記するようにする。各組織間で相互の行動を理解し合い、各部門が連携のとれた対応行うことが重要。

【ステップ6:訓練実施】
自部門の復旧対応が他部門の復旧の妨げとなることがあるため、全体で調整し、全体を俯瞰した事業復旧が求められる。

【ステップ7:是正・見直し】
是正・見直しの対象が、特定組織の改善事項であるのか、他組織に共有すべき改善事項なのかを判断し、他組織に共有すべき改善事項があれば、組織全体に是正を促す。あくまで経営判断として行うことであるとの認識事項である。

(第2部)「中央省庁における情報システム運用継続計画ガイドライン」をもとにIT-BCPを考える

中央省庁の情報システム担当者に向けのガイドラインとして手引書である標題のガイドラインを企業の情報システム担当者向けとして読み替えてみた。具体的には、IT-BCPの策定と運用の流れについて、第1部で紹介した活動ステップ1~7と比較して解説いただいた。

1.基本方針の決定
優先復旧すべき重要システムについて定め、合意形成する段階である。ポイントは業務システムだけでなく、そのシステムを支える共通情報インフラが対象範囲から漏れないようにすること。

2.実施・運用体制の構築
実施・体制を考えるうえでのポイントは、IT部門の位置づけである。全社的なIT部門であるのか、例えば事業部内IT部門であるのかとうことである。

3.想定する危機的事業の特定
IT-BCPの対象とする危機的事象について決定する。ここでのポイントは、関連部門の業務継続計画で対象とした危機的事象だけでなく、情報システム特有の危機的事象(故障・ウイルス感染・不正アクセス等)も対象として考え、関係部門やユニットごとのBCPとの整合性を持たせること。

4.情報システムの復旧優先度の設定
この段階でのポイントは、優先業務と情報システムとの関連を整理することである。IT担当と業務担当の目線は異なるということを前提に、部門を越えた十分なコミュニケーションを取り、優先復旧後の設定を行う必要がある。目標復旧時間(IT-RTO)設定にあたっては、代替手段による業務継続も考慮したうえで優先復旧対象業務のRTOを基準として設定する。

5.被害状況の想定
危機的事象が発生した際に重要な情報システムに係る重要な経営資源を明らかにする。重要な経営資源の選定は、5M+1E+1I(*)の視点で行うということがポイントである。
(*) 5M:Machine(機械・設備)、Material(資材品・サービス)、Man(作業者)、Method(作業方法)、Measurement(検査・測定) 1E:Enviroment(環境) 1I:Information System(情報)
また、実効性ある対策を策定することが目的であるため、軽すぎる被害状況の想定にしないことが重要である。

6.現状対策レベルの確認と脆弱性の評価
ここでの留意すべき点は、情報システムごとに、IT-RTOを達成できる対策レベルにあるのかを評価する。情報システムの復旧継続を困難とさせる重大な脆弱性について最低限評価しておく必要がある。
・危機的事象発生時の体制と連絡方法の整備状況
・同一拠点内でのハードウェアの対策状況
・重要なデータのバックアップ状況
・ハードウェアやソフトウェアの再調達が困難になる可能性の有無の把握

7.構成要素ごとの目標対策レベルの設定(復旧戦略の策定)
情報システムをIT-RTO内に復旧させるための、復旧対策の計画を立案し、目標復旧レベルを設定し、目標レベルを達成できるように管理していくことを定める(復旧戦略の策定)。

8.事前対策計画の検討
目標対策レベルと現状対策レベルのギャップを解消し目標対策レベルに近づけるための方策をシステムごとに検討し、事前対策計画を作成する。予算等の関係から、目標として定めた対策をするに実施することが難しい場合には、「優先的に取り組むべき対策」を整理していくことが望ましい。

9.非常時の対応計画の検討
非常時の対応として、まずはじめに重要なことは、現場でリーダーシップを発揮して組織をあるべき方向・活動に導くキーマンの存在である。いざというときに、このような行動をとれるキーマンを育成する、あるいはそのような意識付けを行っておくことが重要である。また、システムベンダやOB・OGによる外部からの応援なども考えておく必要がある。

10.教育訓練計画・維持改善計画の検討
教育訓練における目的は、大きく以下の3つがある。
・平常時の情報システム運用継続計画の維持改善活動への理解の向上
・非常時対応計画の理解と対応系能力の向上
・事前対策内容の動作確認と検証

 

(第3部)「IT-BCP策定モデル」をもとに監査の視点で、IT-BCPの課題を考察する

NISC(内閣サイバーセキュリティセンター)から「IT-BCP策定モデル」が示され、その中で、東日本大震災の事例をもとに検討すべき諸課題について指摘しており、実効性の高い計画策定のモデルとして取りまとめが行われている。以下は、諸課題の例である。
(1)非常時の意思決定に関する在り方
(IT-BCP策定時にIT部門と関連部門を含めた連携体制づくりの必要性)
(2)非常時の情報収集・伝達・発信や業務系の情報システムの在り方
(災害発生後の情報システムの制約事項(リソース状態等)を前提とした計画の必要性)
(3)データの消失を回避するための対策の在り方
(大規模災害時に同時被災しない場所でのデータ保管について)
(4)教育・訓練の在り方
(訓練は、情報システム切替/切戻の手順確認+IT-BCPの継続的改善も目的であるということ)

実効性の高いIT-BCPであることをどのように確認・評価すればよいか。野原氏が実際に監査するにあたり、確認すべきポイントについて紹介いただいた。
・目標復旧時間(RTO)に対して訓練時の結果はどうであったか。
(訓練は2年に1回くらいの頻度で行っている)
・本番系と別サイトに構築したコールドスタンバイ環境とのデータの整合性。
・復旧作業にあたるオペレータの移動時間。

(所感)

このたびの講演では、実効性あるIT-BCPの策定とその維持管理に必要となる準備から対策の検討と実践について、細かな点を含めて理解を高めることができました。ご説明の内容をお聞きして、各種ガイドラインの読み込みと、野原氏ご自身が所属企業の事業継続計画の実践責任者として日頃実践していることから得られる知見の豊かさを感じました。
経営層に対してIT-BCPの必要性を説明しても、経営に資するIT-BCPという観点で理解を得るのは難しいと感じていました。IT-BCPは戦略の一部であり、災害発生時の業務復旧戦略としてのIT-BCPという認識であれば経営層からの理解も得やすいのでは考えます。参考となる講演、ありがとうございました。

以上

会員番号 0645 是松 徹 (近畿支部)

1.テーマ 「これまでのシステム監査からこれからのシステム監査を考える」
      ~事故、犯罪、法制度の歴史的課題からICT時代のシステム監査を考察する~
2.講師 大阪成蹊大学 名誉教授  大阪経済法科大学 客員教授 松田貴典氏
  博士(国際公共政策)/技術士(情報工学)/公認システム監査人
3.開催日時 2017年1月20日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

ICTの高度化が生み出した豊かな情報化社会に潜む「情報システムの脆弱性」を念頭に置き、システム監査に関連する事故や犯罪、法制度等の歴史的課題からシステム監査を振り返るとともに、これからのシステム監査について課題を含めて幅広くお話しいただきました。

<講演内容>

5-1 ICTの高度化にともなうビジネス活用の進化とシステム監査を俯瞰

 電子計算機として普及しはじめた1960年代のEDPSの時代から、現在のICTによる「U-Japan」構想に至るまで、ビジネス活用における進化が続いている。
 ICTの高度化に伴い、2010年代からクラウド/IoT/ITガバナンス/ビッグデータといった概念が監査対象となり、情報システムの多様性やコンプライアンス問題等が監査の課題として浮上してきた。

 

5-2 銀行が体験したコンピュータ犯罪と脆弱性

 1981年に某銀行行員がオンライン端末を不正操作して巨額の現金他を横領するオンライン横領・詐欺事件が発生した。本事件は、裁判官により社会インフラとなったコンピュータシステムが内部要員により容易に悪用され得る弱点(脆弱性)を潜在化させることを明らかにされ、社会に大きな影響を与えた。
 本事件を契機に法改正がなされ、「電子計算機使用詐欺罪」が新設された。このように何かがあると法律が変わる流れであり、先行して予防するまでにはなかなか至らないのが現実である。

 5-3 個人情報の漏洩と法・制度への影響

 1989年に行政機関を対象とした旧法が施行されたことを皮切りに、個人情報保護法の全面施行(2005年)、番号法の施行(2015年)と運用開始(2016年)、改正個人情報保護法/番号法の施行(2017年)と法・制度の整備が進められてきた。
 その一方で、1999年に発生した地方自治体での住民票データ22万人分の流出以降、国内における個人情報漏洩事件等が続いている。IC乗車券の利用履歴のベンダー提供や大手教育出版系企業における事例は個人情報保護法改正の背景ともなった。
 これらを通し、社会における大量の個人情報の散在、組織の隠蔽体質、プライバシー侵害への危険性・不安の増大、プライバシーパラドックス、ビッグデータとしての個人情報の利用が困難等の問題がクローズアップされてきた。
 監査との関連では以下のように考える。
 特定個人情報保護評価では、リスク対策の監査と自己点検が求められる。また、罰則が強化されるためコンプライアンス視点での監査も重要となる。
 ネットワークビジネスの高度化を背景に社会は厳格な個人情報保護を求めており、ビジネスプロセス全体や経営視点での監査の実施、外部監査の義務付け等の監査の進化が要請される。
 個人情報保護マネジメントシステムの監査は内部監査として行うが、監査意見の強化と指摘改善を図るために、少なくとも年1回の外部監査が必要である。

5-4 情報資産の保護とコンプライアンス監査

 情報システムに関する法的な問題は、経営者自身の無知、従業員の無知・考慮不足等による違法行為が多い。システム監査人は助言・勧告のみならず、緊急改善を指摘することが求められる。
 【著作権法の侵害行為】:ソフトウェア不正コピーの重大事件(事例紹介4件)が散発している。さらに、ビジネス情報に関連した著作権侵害行為(一般的侵害行為、企業や組織内での違法行為)が発生しているが、企業や組織ぐるみの犯罪行為を引き起こすことがあり、当事者の違法性認識が薄い場合も多い。最近のDeNA事件(まとめサイトでの他人の著作物の無断転用等)は、組織的な「情報倫理」「企業倫理」の欠如例と言えよう。
 【インターネット取引の対応】:ビジネスプロセスとして以下があり、それぞれに対応する法律・制度等が存在する。①Web広告・宣伝、②通信による契約、③商品発送、④決済、⑤その他(Webサイトの安全性確保) 例えば、①のWeb広告・宣伝プロセスでは、特定商取引、景品表示法、著作権法、消費者契約法、不正競争防止法等による法的規制が存在する。
 【不正競争防止法の侵害行為】:代表的な事例としてインターネット「ドメイン名」事件がある。(事例紹介3件) また、話題となった不正競争防止法関連事件が見受けられる。(事例紹介8件)ICT関連として、事例を通して不正競争行為とされる行為の類型が整理できる。
 【コンピュータウイルス関連】:ウイルス作成による事件を契機にウイルス作成・配布を不正指令電磁的記録に関する罪(コンピュータウイルス作成罪)とする刑法改正が行われた。(2011年施行) 最近のウイルス関連事件では、パソコン遠隔操作事件(男性4名の誤認逮捕を誘発)、スマホ遠隔操作の一斉摘発があげられる。ウイルスの作成やバラマキ防止の法改正は後追いの対応であり、スマホのぞき見等からストーカー行為に発展する事例もあり、「情報倫理」の問題として幼い頃からの教育が必須と考える。
 ICTが高度化すると情報システムの多様化が起こり、コンプライアンス監査がより求められる。コンプライアンス監査はICT関連のみではないものの、ICTに関連する監査は「法とICT」の両面からのアプローチが必要であり、システム監査人が監査を行うことになる。

5-5 これから求められる監査技術の進化への対応

 2010年に検事による証拠データの改竄事件が発生した。この時にはデジタルフォレンジック技術により証拠データを抽出し、改竄が判明した。当技術は、不正アクセスや機密情報漏洩等の犯罪における捜査手法として注目されているが、外部からの侵入やデータ改竄がないか、情報セキュリティ監査や安全対策の面からも重要な技術であり、システム監査人が修得すべき技術である。
 このところ大きな不正会計事件が発生している。(事例紹介2件) 会計監査手法の進化として、試査からCAAT等による精査の方向性が出てきているが、今後(将来)はAIによる精査と分析が考えられる。AIにより常時監視される「継続的監査」が実施されることも想定される。

5-6 これからのIoT時代に備えてIoTセキュリティの監査をどのように考えるか

 IoTには固有の課題が存在する。(IPA「IoT開発におけるセキュリティ設計の手引き」参照) これを踏まえて品質管理に「セキュリティ品質」を定義し導入する。
 IoTのライフサイクル(方針、分析~運用・保守)における各工程別で監査を実施する。監査では各工程でのガイドライン遵守状況から問題点等の洗い出し・分析を行い、PDCAの「C」だけでなく管理基準の改訂に繋げる「A」の役割も果たす。(IoTコンソーシアム・総務省・経済産業省「IoTセキュリティガイドライン1.0概要」参照)
 セキュリティ管理基準は、企業内と業界で統一する。

5-7 これからのシステム監査の課題

 高度情報化時代では脆弱性に関して視野を広げる必要がある。(ICTの脆弱性のみが「脆弱性」ではない。)
 脆弱性には、①情報技術(IT)側面、②経営管理・組織的側面、③国際・社会的側面、④法・倫理的側面の4つの側面が存在し、潜在化する。
 脆弱性は脅威の現実化(顕在化)の誘因となる。脆弱性に対するコントロールの強弱で脅威の現実化(顕在化)する「リスク」が発生し、高くも低くもなる。従って、リスクの起因となる脆弱性を押えることが重要である。
 高度化・複雑化・多様化する情報化の時代のシステム監査は、監査対象に特化した専門監査人が必要であり、必要によっては業界や事業活動独自の管理基準の活用やサブコントロールの作成が望ましいと考える。これからの時代にも主旨・体系等が独自基準のベースとなるシステム監査基準・管理基準はさらに重要となると考えられ、まずは時代に即した当基準の改訂が急務である。
 システム監査は組織体のITガバナンスの実現に寄与し利害関係者に説明責任を果たす役割があるが、今なおこの実現に十分至っていない。進化と多様化する「情報システムの脆弱性」を俯瞰し、求められるシステム監査を追及することが経営者に寄り添う監査の実施には肝要である。

6.所感

事故・犯罪の過去事例や法制度を振り返り、これらと紐づいたシステム監査の課題を具体的に取り上げていただくことで、改めてシステム監査と社会との接点やシステム監査の全体像を見直す有益な機会となりました。中でも、①多様化する情報システムに対してはコンプライアンスの視点が重要であること、②法的な問題は経営者自身の無知、従業員の無知・考慮不足等に起因することが多いこと、③法とITの両面からのアプローチがシステム監査人に要請されること、④今日では、脆弱性をICTの脆弱性のみが対象になっているが、これでは視点が狭く、経営や組織、社会、法律等の側面まで拡げることが重要である等、システム監査の視点の多様化の必要性が印象に残りました。
また、システム監査基準・管理基準が2004年以降に改訂されずにその実効性が気になっていましたが、将来の動向を見据えた上でその重要性について言及されたことを受け、当基準の位置付けや意義について再認識をさせていただきました。今回のご講演は盛りだくさんの内容であり、1.5時間ではとてももったいない状況であり、また是非続編を拝聴したいと感じた次第です。

以上

会員番号 0645 是松 徹 (近畿支部)

1.テーマ 「情報科学教育の現状について ~高等学校から経営者まで~」
2.講師 株式会社メトリックス 代表取締役 松井 亮宏 氏
(公認システム監査人(CISA)、システム監査技術者)
3.開催日時 2016年11月18日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 4階 講義室405
5.講演概要

講師は、SIer、監査法人を経て独立され、現在、システム監査、システム導入支援、セキュリティ監査、セキュリティコンサルティングを実施されている。 これらのご経験を踏まえ、情報科学教育というテーマの下、経営者へのITについての教育及び日本の「情報」教育体系における現状と課題等についてお話しいただいた。

<講演内容>

5-1 経営者へのITについての教育

(1) なぜ経営者にITへの理解が必要か

多くの日本の経営者にとって目に見えるモノではないITは、「お金を生むもの」ではなくコストの認識である。また、ITの概要や本質を体系だって学ぶ機会がなかった。その結果、海外との競争力の低下、ITリスクに対する理解不足、アウトソースによる社内の空洞化等を招いている。
ITがわかる経営者になるには、経営者自身が競争力としてのITとそのリスクが評価できること、情報システム部門をコストセンターではなく経営企画を担う部門として再定義すること、専門家活用に責任をもつこと、が必要である。このための経営者支援としては、技術、サービス、ビジネスモデル等の情報提供、経営視点を備えたIT専門家の育成と経営への参画等が考えられる。

(2)どの分野の教育が必要か

攻めと守りの両面を考える必要がある。攻めのITである以下の分野は経営者の関心も高く、投資対象になりやすいと考える。
・IoT、ブロックチェーン等(ビジネスの競争源としてのIT)
・FinTech、クラウド等(管理のためのIT)
・Industry4.0等(製造イノベーションのためのIT)
一方で守りの性格が強いITリスク対応やサーバーセキュリティ等の分野は、最低限の対応となる傾向がある。この守りのITの教育をどうするかが課題である。

(3) 守りのITについて

一例をあげると、内閣サイバーセキュリティセンター(NISC)の提言である「セキュリティマインドを持った企業経営(平成28年8月2日)」では、サーバーセキュリティはやむを得ない「費用」ではなく積極的な経営への「投資」であり、企業としての「挑戦」とそれに付随する「責任」として取り組むことへの期待が述べられている。
また、経営者における守りのITに対する学びのヒントとして、「金融セクターのサイバーセキュリティに関するG7の基礎要素」(2016/10/11:G7財務大臣・中央銀行総裁により支持)があり、以下の8要素があげられている。
① サイバーセキュリティ・ストラテジーとフレームワーク、②ガバナンス、③リスク管理の評価、
④モニタリング、⑤インシデント発生時の対応、⑥復旧、⑦情報共有、⑧継続的な学習
システム監査人は、経営への積極的な関与を通して経営者を継続的に指導していくことが期待される。

5-2 日本の「情報」教育体系

(1)情報教育の現状

【小学校】:各教科等の指導を通じて教育、【中学校】:技術・家庭の中で教育、【高校】:科目「情報」で教育、【大学】:情報系学部はあるものの科目「情報」を入試で課す又は選択できる大学は9大学と少数派 という状況である。

(2)科目「情報」の課題

科目「情報」は「社会と情報」「情報の科学」で構成され、高校で履修が必須であるにもかかわらず未 履修が約23%(2006年)という統計があり、狙い通りに教えられていない状況が見受けられる。また、教える側では、情報科免許での教員採用枠が非常に少ない、情報科免許所持の専任教員のうち情報科のみの担当は約20%、他教科との兼任が約52%、免許外の担任が残りの約28%という実態も報告されている。

(3)科目「情報」のこれからとシステム監査人の役割

平成28年8月26日の中教審の報告書では、①情報の科学的な指導が必ずしも十分ではないのでないか、②情報やコンピュータに興味・関心を有する生徒の学習意欲に必ずしも応えられていないのではないか、との疑問があげられている。これらを踏まえ、今後の科目「情報」に求められることは以下と考える。

・パソコンの操作やインターネットの使い方ではなく、情報の取り扱い方や情報活用の方法を中心に学ぶ。
・システムやセキュリティの基礎的なことを学ぶ。
・便利さだけでなく、脅威、倫理、やってはいけないことを理解する。
システム監査人は、教育界への情報発信とともにIT業界に教育というキャリアパスがあることを認知させ、ITやセキュリティの専門家が教育に積極的に参画できる環境を整備することが重要と考える。

6.所感

情報科学教育について、高等学校から経営者までの現状を俯瞰することができて有益であった。中でも、高校における科目「情報」の教育実態をお聞きし、教える側も履修する側も狙い通りの成果があがっていない点が気がかりであった。ITやセキュリティに関する人材が質・量ともに不足しており、人材育成が大きな課題であることが社会的に認知されてきている中、講師が言われるようにシステム監査人が教育に携わる意味は大きいと考える。

 以上

会員番号 2520 松本 拓也

1.テーマ 「個人番号カードの多目的利用の課題と展望」
2.講師 近畿大学 経営学部 教授 津田 博 氏
3.開催日時 2016年9月16日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、現在のお立場になられるまでに地方自治体のCIO補佐官等をご経験され、自治体の情報化に関する研究、特に情報システムの効率的な企画、調達、開発、運用についてご研究されてこられた。今回は講師自身によるアンケート結果をもとに、個人番号カードの多目的利用(「個人番号の利用」ではない)に関する自治体の取組みと課題、今後の展望についてお話しいただいた。個人番号カードに関する行政以外の者による全国的なアンケート調査およびその考察は全国で初めての取組みである。

<講演内容>

(1) マイナンバー制度の概要

マイナンバー制度は、複数の機関に存在する個人情報を同一人の情報であるということの確認を行うための基盤であり、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤(インフラ)である。
個人番号(マイナンバー)は社会保障・税・災害対策分野の中のうち、法律で定められた行政手続きにしか使用できない。
個人番号カードは、各種手続きにおける個人番号の確認及び本人確認の手段として使用する。個人番号カードの多目的利用については、公的認証の利用と各自治体が制定した条例による独自利用がある。

今回の講演では、上記を前提とした上で、個人番号カードを使った自治体の独自サービスについて報告の対象としている。

(2) 住基カードと個人番号カード

住基カード(住民基本台帳カード)と個人番号カードを比較するとともに、住基カードの多目的利用状況、電子証明書の発行等の手続きイメージについても説明された。

(3) アンケート調査概要

2016年初めに以下のようなアンケートを実施した。

【目的】:地域の特色に合った住民のために、個人番号カードの多目的利用を考える基礎資料になること
【調査対象】:全国の市区町村
【実施時期】:2016年1月から3月
【配布数】:1,532団体
【回収数】:446団体
【回収率】:29.1%
【調査方法】:自治体のホームページの問い合わせフォーム又はメールアドレスを活用し、メールにてアンケートを送付した。質問内容は、個人番号カードの発行枚数等の基本的な情報から、個人番号カードの多目的利用に関する方針の有無、サービス内容の検討状況、多目的利用推進の全体的な課題など。

(4) 個人番号カードの多目的利用推進に関する課題

今回得た回答においては、コンビニ交付、自動交付機での利用、図書館貸出カード、印鑑登録証明書等のサービスや、医療・福祉関連分野での利用、自治体独自マイレージや自治体独自発行のカード機能(施設利用、高齢者バス割引等)の付加等、多くのサービス案が検討されている一方、個人番号カードの多目的利用の方針については、検討中もしくは未定・空白とする自治体が多いことが分かった。
今回の講演では、講師がアンケート回収後、多目的利用推進の全体的な課題を分析し、また必要に応じて自治体に対し電話インタビューを実施した結果についても、利用者視点と行政視点に分けて報告された。利用者視点では、カードの取得(普及)、利用者のニーズや制度理解、セキュリティに関する課題が挙げられた。行政視点では、コスト・費用対効果、自治体の取組、カードの仕組み、民間利用、地域特性に関する課題が挙げられた。
個人番号カードの多目的利用を推進する上で、コスト・費用対効果面以外に、利便性とセキュリティのバランスが大きな課題となっている。個人番号カードに多くの機能を持たせることで、個人番号を利用しない場合でも携帯する必要が生じ、セキュリティリスクが高まるなどの懸念が自治体からも意見として挙がっている。現在の自治体は、セキュリティを可能な限り厳しくし、その中で利便性を高めるとして取り組んでいるが、確保しなければならないセキュリティレベルが明確ではないため、利便性向上への取組みについても苦慮しているとのこと。

(5) 個人番号カードの多目的利用に関する展望

個人番号カードの多目的利用の拡充のためには、ワンカード化、個人番号カードを用いた情報システムへの安全なログイン(電子証明書等)の確保が必要となる。医療・介護、金融、教育等の分野での連携の要望はあるが、カードの普及、投資効果、住民の理解、セキュリティへの不安等からもすぐの実現は難しいとのこと。

6.所感

自治体における個人番号に関する安全管理措置等の取組については、仕事柄、ある程度知っていたが、カードの多目的利用に関してはこれまであまり実態を把握しておらず、よい勉強になった。コストや費用対効果の面も気になるが、利便性とセキュリティのバランスについては、個人番号に限らず、また自治体に限らず必ず共通の課題と考える。
また、講演後の意見交換では、民間向けのアンケートの実施なども提案され、今回のアンケート結果で挙げられたようなサービス内容と、民間が求めるサービス内容がどのようにマッチするのか、大変興味深い内容であると考える。

以上

会員番号 0645 是松 徹

1.テーマ 「医療情報システム監査の意義と今後の情報部門の役割について」
〜病院間相互監査&ワークショップセミナーの取り組みを通して~
2.講師 池田市地域活性課 課長 藤本 智裕 氏
(前:市立池田病院経営企画室 室長)
3.開催日時 2016年7月15日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、今年の春まで市立病院の経営企画室長の立場で、長年、経営企画から診療支援、診療情報管理、情報システム等に至るまで、幅広く病院運営に携わってこられてきた。その中で医療情報システムの監査にも取り組まれており、これらのご経験を踏まえ、今回の講演では、医療情報システム(電子カルテ等)の動向、医療情報システムの安全対策と監査及び課題、病院相互監査の取組み、監査ワークショップセミナーの取組み等についてお話しいただいた。

<講演内容>

(1) 医療情報システム(電子カルテ等)

医療情報システムは、医事会計システムを皮切りにオーダリングシステム、電子カルテシステム、地域電子カルテシステムと進化してきており、ゲノム・再生医療、診断支援DSS、臨床研究、ビッグデータ、地域SNSとの関わり等の高度化が期待されている。昨今、他医療機関からの電子カルテ参照が可能となり、他施設・他職種連携の時代へと向かっている。医師と患者間の「情報の非対称性」が言われる中で、医療情報システムには高度な専門性を背景とした多様な要求への対応と安全性が求められている。

(2) 医療情報システムの安全管理

診療録の記載・電子保存の面では、「医師法24条」「歯科医師法23条」「e-文書法」に準拠し、真正性、見読性、保存性確保への留意が必要である。加えて、医療に関わる情報を扱うすべての情報システムとそれらの導入、運用、利用、保守及び廃棄に関わるすべての組織を対象とした「医療情報システム安全管理ガイドライン」が厚労省から公表されており、電子的な医療情報を扱う際の責任のあり方や情報の相互利用と標準化、情報システムの基本的な安全管理、電子保存の要求事項、運用管理についての指針が示されている。

(3) 医療情報システム安全管理評価制度(PREMISs)

「医療情報システム安全管理ガイドライン」を適用指針として、(財)医療情報システム開発センター(MEDIS-DC)が技術面、運用面の観点から客観的にその安全性を評価する制度である。本制度は、安全性の担保力を客観的に評価する事、及び安全性と利便性・効率性、経済性とのバランスをとる事を目的としている。 受審側は、自己評価をした上で書類審査と現地審査を受け、合否判定と合格レベルとして3段階評価が下され、認定証を受領する運びとなる。本制度の活用としては、外部監査としての利用(システム導入済)と導入時の検収ツールとして利用(システム導入予定)が考えられる。

(4) 病院情報部門が抱える課題

講師の所属組織が加入している某ベンダのユーザ会で、情報部門が抱える課題の把握のためにアンケート等から課題を抽出し分析を行った。課題を以下の7分野に分類し、それぞれに①機能改善、②運用ノウハウ、③教育・セミナー、④営業支援、の優先度から解決策を検討した。
【課題】:1.経営、2.企画導入・レベルアップ、3.調達、4.運用管理、5.データ分析・活用
6.ガバナンス、7.コンピテンシー
結果、運用管理に関する課題が全体の約6割を占め、その解決策としてはコンテンツの拡充が多数提示された。開発⇒導入⇒運用⇒改善のサイクルにおいて、運用⇒改善から開発にフィードバックして機能改善につなげる流れが必要であり、運用管理ノウハウとして職人技から仕組みへ、暗黙知から形式知へと移行する「運用管理規定」の重要性が改めて認識された。

(5) 病院間相互監査(内部監査)の取組み

公的認定を受けた専門知識や経験を有する監査員等が、互いの病院をPREMISsに準拠した共通の仕組みの下に内部監査を行い、継続的改善を図る取り組みである。監査結果は病院長に報告し、組織を巻き込むことに留意している。公的認定資格には、講師が保有する公認医療情報システム監査人(MISCA)、上級医療情報技師等がある。「医療情報システム安全管理ガイドライン」を根拠指針とし、医療情報安全管理監査人協会が公表している「監査実践ガイド」を参考とした内部監査の手順に則り、監査計画書の作成、監査の実施と講評会開催、監査報告書の作成・提出、監査対象部門から提出される改善報告書等を踏まえたフォローアップ監査を実施する。

(6) 医療情報システム監査ワークショップの取組み

 近年のパッケージ化・ネットワーク化により運用管理に関する課題が多様化し、運用管理規定の重要性が高まっていることを背景に、「医療情報システム監査ワークショッププログラム」を開発し、継続的改善を図ることとした。複数病院(2施設)でグループとなり、監査対象側と監査側を交代して持参した運用管理規定を相互監査する進め方で実施した。ワークショップは、2013年度の福岡での試行を皮切りに、2014年度に東京(11施設17名)、名古屋(11施設19名)、札幌(10施設14名)と計3回開催した。
受講後のアンケートからは、単に知識の習得だけでなく、多様なワークショップの実践により実際の改善行動につなげることができたとの結果が読み取れた。課題が複雑化する中、人財教育の在り方として、座学だけではないワークショップの有効性が示唆されたと考えている。

6.所感

重要性を認識しつつも接点のなかった医療情報システムの動向と運用側の医療機関の取り組み実態を改めて知ることができた。また、医療情報システムに求められる3原則(真正性・見読性・保存性)と利便性のバランスは所謂攻めと守りの話であり、医療分野に限らずセキュリティ面での共通の課題と考
える。今回のご講演では、説明の合間に随所でなされた講師の勤務先・池田市の紹介が効果的であった。その中で「呉春」が池田市の地酒と知ったことは、左党の私にとってこれまた有益であった。

以上

会員番号 2591 近藤 博則

1.テーマ 「事例に学ぶ情報漏えい事故とそのセキュリティ対策〜情報セキュリティ監査のポイント」
2.講師 NTT西日本ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ 主査 粕淵 卓 氏
3.開催日時 2016年5月20日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師はNTT西日本にてセキュリティの専門家として活躍され、またIT関連の資格を多数保有されており、各種メディアへの記事を執筆されている。今回は講師の実施したセキュリティに関する実験、IPAが公開した2016年セキュリティの10大脅威、日本年金機構の情報漏えい事件、自治体情報セキュリティ対策を題材にそれぞれの脅威・対策について講演いただいた。会場からの質疑応答も活発に交わされた。

<講演内容>

(ア) 10の疑問を試して解明 セキュリティ大実験室

講師が実施し雑誌の記事としてまとめられた、10の疑問を試して解明 セキュリティ大実験室から、8個の実験を取り上げ解説いただいた。

① ウイルス対策ソフトは無料でも十分か?

577個の検体について、有料版、無料版を用いてどれくらい検出できるかを実験した。有料版は8割の検出率、無料版は4割の検出率となり、予想通りの結果であった。また、同様の実験をUTM製品でも行った。UTM製品では検出率にばらつきが出たが、これは製品の特性によるもので、高検出率のものはパフォーマンス(通信速度)を犠牲にしていることがあるため、一概に検出率が高いものがよいとはならないとの事であった。

② 圧縮や暗号化されたウイルスを検知可能?

圧縮や暗号化した10種のウイルスを通信経路上に配置したUTM製品で検出できるかを実験した。結果、製品や圧縮形式により検出率が異なったが、いずれの製品でも6階層のフォルダーに入れてLZH圧縮した物、AESで暗号化した物は検出できなかった。ウイルス対策は通信経路上のみでなく、端末でも行う事が重要であるとの事であった。

③ Excelのパスワード保護は有効か?

Microsoft Excelが備えるパスワード保護機能を使用して暗号化したファイルを用いて、パスワード解析にどれくらいの時間がかかるか実験した。解析には総当たりでパスワードを試す自作ツールと市販ツールを使用した。自作ツールでは数字4桁のパスワードは7分弱、市販ツールでは1分弱で解析可能であった。一般に必要と言われる英数記号を組み合わせた8桁のパスワードは、市販ツールの予測では4コアCPUの端末で解析に13万年以上かかるとされ、パスワードの強度はある程度保たれているとの事だった。

④ 無線LANのSSIDを隠すのは効果ある?

SSIDを隠蔽する設定(ステルスモード)に設定したAPを用いて、正常に通信できる端末と解析ツールを導入した端末を用意し実験した。APに誰も接続していない状態であれば、SSIDを見る事はできなかったが、正規ユーザがAPに接続すると、正常に通信できる端末からSSIDが送信されるため、解析ツールにSSIDが表示された。SSIDの隠蔽によるセキュリティ向上は限定的であり、端末側の電池の持ちが悪くなる等デメリットもあるとの事であった。

⑤ セキュリティワイヤーは頑丈か?

複数のセキュリティワイヤーと入手しやすい工具を用いて実験した。セキュリティワイヤーは、ワイヤー径2.2mm、4mm、5.5mmの物、工具は、108円のニッパー、家庭用のペンチ、ワイヤーカッターであった。ワイヤーカッターを使用すれば、どれも切断する事が可能であった。セキュリティワイヤーには、心理的な抑止効果、持ち去りに対する盗難対策として一定の効果があるが、工具を使えば切断できるため長時間の盗難対策とするのは不十分である。長時間保管するには鍵のかかるキャビネットや引き出しがよいとの事であった。

⑥ スマホの顔認証は正確か?

スマホに搭載されている顔認識機能について、メガネをかけたり、ひげをつけたりする変装をしても認識するか、本人の写真を本人と認識するか、双子の一方がもう一方になりすます事が可能かについて実験した。また、今回の試験にあたっては、まばたき設定(認証の際にまばたきをする必要がある)は無効にして行った。結果、メガネ、ひげの有無、写真でも高確率で認証を突破できた。また、二卵性の双子であっても認証を突破できた。スマホの顔認証は安全性の高い認証方式ではないとの事であった。

⑦ SSLでURLフィルタリングは機能するか?

プライバシー保護のため通信が暗号化されるHTTPSを用いるWebサイトが増えている。これらのサイトへの通信に対してURLフィルタリングが機能するかについて実験した。実験には一般によく利用されるプロキシサーバとUTMを用意した。結果、プロキシサーバではドメイン単位でのフィルタリングは可能であったが、ディレクトリ単位ではフィルタリングできなかった。UTMではデフォルト設定の場合、ドメイン単位でもフィルタリングできなかったが、HTTPS通信を復号化する機能を有効にしたところ、ディレクトリ単位でのフィルタリングも可能であった。しかし、HTTPS通信を復号化するには機器のリソースを多く必要とするため通信に対するパフォーマンスは低下するとの事だった。

⑧ パスワードの別送に意味はある?

重要なファイルをメールで送付する場合ファイルを暗号化し、パスワードは別メールでの送付する事を義務付けている企業がある。一見安全そうに見えるこの対応であるが、ネットワークを盗聴できる攻撃者であれば、ファイルを添付したメールもパスワードが記載されたメールも盗聴でき、暗号化ファイルを簡単に復元できるはずであるため実験し確認した。結果、パケットキャプチャを行えば、メールを復元し暗号化したファイルとパスワードから復号化したファイルを入手する事ができた。この事から、特に重要なファイルをメールで送付する際には、パスワードを別メールではなく電話等別の手段で通知する等の対応が必要だろうとの事だった。

(イ) 2016年セキュリティの10大脅威

IPAが公開した2016年セキュリティの10大脅威から4つを取り上げ解説いただいた。

① インターネットバンキングやクレジットカード情報の不正利用

ウイルス感染やフィッシングサイトから不正入手した情報から、個人になりすまし不正送金や利用が行われている。フィッシングの手口はどんどん巧妙になってきており、ぱっと見では正規のサイトと見分けがつかなくなっている。個人でできる対策としては、OS・ソフトウェアの更新、サイトへアクセスした際にSSL通信になっている事の確認等があるとの事であった。

② 標的型攻撃による情報流出

メールの添付ファイルやWebサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作する事で組織や企業の重要情報を搾取する攻撃が後を絶たない。攻撃者は対象の組織、企業を徹底的に調べ上げ攻撃手法を検討し実施してくる事から、侵入を許す事も少なくない。対策としては、OS・ソフトウェアを常に最新の状態に保つこと。また、侵入されない事を目標とするのではなく、侵入される事を前提とし、侵入に早く気づく、情報資産を外部送信させない等の対策により多層防御する事が重要であるとの事だった。

③ ランサムウェアを使った詐欺・恐喝

データを人質に取り、金銭を要求する被害が増えている。侵入経路としてはメール添付やWebサイトからであり、これまでは不自然な日本語のものが多かったが、流暢な日本語によるものも登場しており、より注意が必要となっている。対応としては、バックアップからの復元が主な物となるため定期的なバックアップが重要であるとの事だった。

④ ウェブサービスへの不正ログイン

他のWebサービスと同じパスワードの使い回しや、推測できるパスワードを設定していた為に、Webサービスを不正利用されてしまう被害が増えている。対策としては、パスワードは使い回さない、長く複雑なパスワードをしようする等があるとの事だった。

(ウ) 日本年金機構の情報漏えい事件

日本年金機構からの125万件の個人情報漏えい事件について、原因と対策を解説いただいた。ここでは日本年金機構に届いたとされる不審メールの特徴について紹介があり、不審メールはフリーメールサービスを利用して送信されていた。仕事上よくありそうな件名のメールであっても、フリーメールから送付されてきたメールであれば、慎重に取り扱う必要があるとの事だった。

(エ) 自治体情報セキュリティ対策

本年よりマイナンバーの利用が開始されることに伴い、自治体では抜本的なセキュリティ対策我も止められており、その内容について解説いただいた。ポイントとしては、マイナンバー利用事務系のネットワークと他のネットワークを分離し、ここの端末に対しては情報の持ち出し不可設定や二要素認証(パスワード+生体認証、ICカード認証)を用いる事。LGWAN環境とインターネットメールとの通信経路を分割し、両システム間で通信を行う場合には、メールを無害化するとの事だった。

(オ) セキュリティ監査における私の考え方

講師が実施する事があるセキュリティ監査において、意識しているポイントとして、次の事をあげられていた。セキュリティ対策においては、やるべき事柄は山のようにあるため、技術的対策・物理的対策・人的対策が完璧に実施できている所はまずない。このため、できていない事を細かく指摘しても、被監査部門から疎まれるだけで実効性のある監査はとはならない。指摘事項とすべきは、受容レベルを大きく超える物や、セキュリティ対策の弱い状態で公開さているサーバがあった場合であるとの事だった。また、監査において一番重要なポイントは、被監査部門との信頼関係であるとの事だった。

6.所感

本講演ではセキュリティに関する話題を一通りおさらいする事ができ、筆者個人、とても有意義だった。また、所々に挟まれる講師の経験に基づいた一言からたくさんの気付きを得る事ができた。特に長くて複雑なパスワードを記憶する方法として紹介された、手帳にキーワードを書き、残りを記憶しておくやり方はすぐ実生活で取り入れた。本講演の途中、ブレイクとして紹介された錯視が印象に残ったので紹介させていただく。錯視とは、見た情報が実際とは異なって知覚される現象のとこをいい、ものの形や大きさ、明暗、色、動きなど、ものの見かけ全般にわたり現れる錯覚のことである。簡単に錯覚してしまう脳を持つ者として、巧妙な攻撃者からの攻撃をかわすためには、とっさの対応に頼るだけでなく、日頃からのOS・ソフトウェアの最新化が重要であると認識を新たにした次第である。

以上

会員番号 0645 是松 徹

1.テーマ 「会計・税制改正を巡るシステム監査のあり方」
2.講師 ジョイント・ホールディングス(株)IFRSグループ・ディレクター、 公認システム監査人、公共政策・IFRSコンサルタント 田淵 隆明様
【特別ゲスト】
駒沢大学・和光大学・愛知県立大学非常勤講師  (立命館大学でも毎年リレー講義担当)・東京大学法学博士  石川 公彌子(くみこ)様
3.開催日時 2016年3月19日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 3階 講義室301
5.講演概要

 講師は近畿支部会員であり、支部において「システム監査法制化推進プロジェクト」の主査を務めておられます。今回は、会計・税制改正を巡るシステム監査の在り方について幅広い視点からお話しいただきました。加えて、特別ゲストの石川様からは「システム監査と生活保守主義」と題して具体的事例を踏まえた内容を関連してお話しいただきました。講師による講演の概要は以下の通りです。

 「近年、大規模な会計基準の改正が続いている。このことについて、日本公認会計士協会のIT委員会は様々な監査基準を発表し、IT全般統制だけでなく、IT業務処理統制の領域にも踏み込んだ基準を策定している。このことは、システム監査の観点からも非常に有益であるので、この点についてご紹介する。
また、様々な紆余曲折を経て、2017年4月より、消費税に軽減税率が導入されることとなった。この軽減税率導入に伴うシステム監査上の留意点を取り上げる。合わせて、この複数税率導に伴う、政府のIT支援の詳細についても取り上げる。

 最後に、昨年ご紹介した、首都圏の某基礎自治体の「基幹システムの停止問題」について新たに判明したことを取り上げ、システム監査人としてのあるべき姿について論じることとする。
なお、今回は特別ゲストとして、三児の母でもある石川公彌子(くみこ)さんをお招きして、主婦・母の立場から、様々なご意見を頂戴することにしたい。」

講演の目次は以下の通りです。

#0:(はじめに)我が国の製造業が苦境に陥った原因
#1:日本の会計基準(JGAAP)と制度改正のタイムテーブル
#2:制度改正の個別論点
#3:公認会計士協会の動き
#4:法令改正におけるリスク及びその回避策
#5:消費税の複数税率化
#6:消費税を巡る新たな課題
#7:(補足)某自治体のシステム・トラブルとシステム監査

 この中で、全体的な課題認識として、#0の観点から、①「新自由主義」的政策による中間層の破壊、②「ゆとり教育」による学力低下・学級崩壊及びモラルの低下、③「SI認定・登録」の廃止によるIT業界の劣化、④「製造物責任法」の立法不備による不備ソフトウェアの放置、⑤「研究開発費の一律費用処理」による頭脳軽視と近視眼的経営、⑥⑤と合わせ技での「金融検査マニュアル」による開発力低下、⑦誤った時価会計の導入による混乱、⑧数学を知らない経済学者・アナリストの闊歩 について、講師のロビー活動による情報も踏まえつつ背景等の説明がなされました。

 その後、#3では、公認会計士協会「IT委員会実務指針第6号」Q&A(Q10、Q11、Q16、Q20)を踏まえたIT業務処理統制の重要性、#5では、システムの将来拡張性への考慮、#7では、セキュリティに偏ったシステム監査への警鐘等について言及されました。
上記に関しては、次の講師による本部会報への投稿内容も参照ください。
2015年8月号  No.173:【 基礎的自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題 】
2015年12月号 No.177:【基礎的自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題<第 2 回>】

 石川様からは、大半の有権者は生活保守として6K(暮らし、食、健康、雇用、教育、環境)を守りたいと願っているという現状認識を示され、子育て貧困世帯、食品の不正流通、非正規雇用の増加、教育費負担の増加等、現実に身の回りで起こっている様々な問題に言及されました。合わせて、問題の続きとして、法改正に未対応の会計システムや消費税複数税率化に未対応なレジシステムの存在、及びシステムの不備が市民生活を直撃する一例として自治体のシステム障害問題等を取り上げられ、システムの事前審査や監査の必要性について話をされました。

6.所感

本講演では消費税関連にとどまらず、現行法制を背景に幅広く課題提起がなされ、様々な気付きを与えていただきました。その中で、システム監査への関連で言えば、セキュリティ偏重への警鐘やIT業務処理統制の重要性再認識といった点が考えさせられました。このところ基幹システムの大規模障害が続いており、システム監査人として持つべき視点は何かを再考する良い機会だと考えています。
また、今回の講演では、随所に講師と特別ゲストの掛け合いが見受けられたことで進行にそれとなく遊び心が感じられ、大変楽しく拝聴させていただきました。

以上

会員番号 2591 近藤 博則

1.テーマ 「システム監査の多様性について」
2.講師 システム監査人協会 近畿支部  林 裕正 氏
3.開催日時 2016年1月15日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

システム監査の多様性とシステム開発プロジェクトの監査という2つのテーマについて講演いただいた。それぞれのテーマについてお話いただいた後、会場の参加者から意見を発表してもらうディスカッション形式で行われた。参加者からは、テーマを超えてシステム監査の発展についても意見が述べられた。

<講演内容>

(ア) システム監査の多様性

① テーマ選定の背景

saaj2016011501今回のテーマを選定した背景として、システム監査学会で2012年に開催された公開シンポジウムの開催趣旨から、多様なシステム監査の必然性が求められていること。システム監査学会におけるシステム監査の多様性 研究プロジェクトのプロジェクト概要からICTを利用した情報システムが高度化し適用範囲が広がるに従って、情報システム関連の評価に対する要求も高度化・多様化し、システム監査においても従来と違う視点が求められている。という所から、システム監査が多様化してきている現状を感じテーマとして選定されたとのことだった。

② 多様性に関する視点

なぜシステム監査が多様化してきたのかについて3つの視点からまとめられていた。第一に対象組織の多様性の視点として、従来からの民間企業に加え、公共団体、非営利団体、教育機関等が増えてきたこと。次に目的の多様性の視点として、信頼性・安全性・効率性に加えて、適法性・利便性・経営戦略適合性が加わってきたこと。最後に技術の進歩からリスク拡大・変容の視点として、クラウド、ビックデータ、SNS、オープンソース、スマホ、仮想化等が加わってきたことをあげられていた。

③ システム監査学会主催イベント 統一論題、システム監査講演会 講演テーマ、システム監査技術者試験

出題範囲、公認システム監査人の得意分野、システム監査に関係した出来事を概観し、多様な変化を遂げて現在に至るシステム監査の流れを紹介された。

④ 多様性をもたらす要因

上記の多様な変化を遂げたシステム監査の流れを下敷きにして、システム監査に多様性をもたらす要因についてまとめられた。まず、ITの進化によるリスクの多様化に由るもの。次に、事件・事故が発生した際の再発抑止・減災に由るもの。国際会計基準等グローバル化を迫られる外圧に由るもの。これらを契機とした法制度の整備による規制・促進により、システム監査にも多様性がもたらされると結論づけられていた。

⑤ 多様性するシステム監査に向けて

多様化したシステム監査において大切なものについて、「監査(Audit)は「聴く」と言う意味を持つ。「聴く」ためには、相手と向き合う事が大切。」と言う言葉から、システム監査スキルはもとより、「聴く」ための技術スキル、「聴く」ための業務・業種・技術に関する知識が必要とまとめられていた。また、これに対応するためには一人の監査人では限界があるため、「チーム医療」に準え「チーム監査」が有効ではないかと提唱されていた。

⑥ 会場からの意見

・システムを取り巻く技術も多様化してきており、リスクを見抜くことも難しくなってきているが、監査人としては見抜くための力を研鑽し続けなくてはならないと感じた。
・現在、監査業務に携わっているが、サイバーセキュリティの分野については、外部の協力を得ている。
・これまでは理屈がわかっていればよかったが、今は勉強していないと世の中についていけないと感じる。
・チーム監査は必要だと感じるが、コストも必要となる。チームもクラウド的に遠隔から参加する等の対応も必要ではないかと感じた。
・多様化でシステム監査は厳しき局面を迎えている。ネットワーク・IOT・クラウドなどは総合力がないと評価できない。監査人としてはネットワークを組みながら、チームで監査することが必要と感じた。
・書類を電子化しクラウドへ保管する場合等、e文書法の電子媒体保管との兼ね合いを整理するかが問題と感じている。
・保証型の監査が求められると感じている。マイナンバーで自治体に対し保証型監査のニーズが高まればと感じる。
・システム監査が普及していないのはなぜなのか。マイナンバーはよい機会と考えるが、世間に対するアピールが弱いのではないか。
・ITへの依存度が高まれば、監査も多様化し、スコープも広がっている。ITが専門細分化してきている現状に監査人が対応しきれないのではないか。ITの専門家に監査の知識を習得してもらうのがよいのはないか。
・日本では法が情報に対して権利を与えていない。システム監査が法の足りない部分を補完してほしいと考えている。
・クラウド事業者は、監査を受け付けていない場合も多く、直接監査できない場面が多い。こういった場合に有効なのが格付けと考えている。格付けに対して監査人がステータスを見ていく必要があると考えている。
・経営者がリスクと感じていてもベネフィットがなければシステム監査を行わない。システム監査の認知度を向上するためには経営者へのアプローチが必要。

(イ) システムプロジェクトの監査

① 失敗プロジェクトの理由

雑誌の記事より、失敗プロジェクトの理由として「営業が無理をして受注した」「技術継承がうまくいかずプロマネ力が衰えた」「リスク管理に対して過信した」という有識者の分析、「技術的に高いレベルの案件だった」「もともと赤字を見込んでいたが、想定以上の赤字になった」というSIerの言い分を紹介し、最後に「SE稼働率維持のためリスクのある案件を受注したため」(景気が好転し、企業がIT投資に積極的になれば解消する)という雑誌編集者の見解を示された。

② SIベンダーの取り組み

saaj2016011502失敗プロジェクトに対するSIベンダーの取り組みとして、案件開始前の段階でリスクを管理する。提案段階やプロジェクト計画段階でリスクを開示する。早い段階でプロジェクトの大方針を顧客と共有する。リスク管理を現場任せにしない。第三者による品質評価を実施する。利用部門の関与度合いを確認する。定期的に顧客の満足度を確認する。等を挙げられていた。

③ 監査のチェックポイント

情報サービス産業協会「ソフトウェア開発委託取引における受注チェックシート」を参考に、リスクを整理し確認して置くことの重要性について示された。

④ プロジェクト監査での指摘事項

実例に近い話として、プロジェクト監査時の指摘事項を紹介いただいた。「現行システム機能を踏襲」が前提条件であったが、肝心の現行システム機能が分かる人やものが十分ではない。2つの商談が発生しており、双方とも提案しないといけないが2つとも受注するとSE体制が十分に取れない。別ベンダーが途中まで実施した作業を引き継いで作業する条件であるが、前行程の作業品質が不明である。と言ったものであった。

⑤ システム開発プロジェクトの成功とは

そもそもシステム開発プロジェクトが成功するとはどういうことかと言う問いに対して、「QCD目標の達成」をベースに、「要求通りシステム」を構築し、「システムの安定稼働」を支え、「業務がうまくいく」ことを担保する。これにより、「関係者が満足」する。これがプロジェクトの成功であると説明されていた。

⑥ 会場からの意見

・社内でのプロジェクトの成功とはコストを抑えてシステムを構築すること。ある意味、監査を端折っても結果が良ければそれで良いとする風潮がある。ここをなんとかしたと思っており、普及に努めたい。
・システム監査の多様性はシステムが多様化してきていることによると思う。システム監査が経営にどう貢献できるかをアピールする必要がある。
・プロジェクト成功の定義は難しい。経営がプロジェクト発足時に何を目指すのかを表明できるかにかかってくると考えている。システム監査は一番のリスクに対し保証が与えられることが重要ではないか。
・多様性に対応するためには、システムよりも人を監査できるかが重要ではないかと考える。
・監査は時代の影響を受けると感じている。監査には幅広い知識を得ておく必要があると思う。
・システム監査が多様化してきており、監査人のスキルも多様化を求められている。例えば公認医療監査人の様な専門監査人制度が必要ではないか。システム監査を定着するためには経営者への訴求が必要と考える。CIOへ向けたシステム監査の普及活動が必要ではないか。
・個人経営者や中小企業には実はお金がある。社員の福祉など目に見えるものにはお金を出すが、目に見えないものにお金を出さない。このため、システム監査にはお金がつかない。システム監査を経営者に説明できるようにしなければいけない。例えば、システム監査をすると儲かる、監督官庁から求められる、ISOのように第三者へアピールできる。など、外に向けた発信が必要と感じている。

6.所感

 システム監査に限らず、システムを取り巻く環境はめまぐるしく変化し、開発者や運用者はそれに追いつくのに精一杯となっている。このような現状に対してシステム監査人として、どのような貢献ができるであろうか。日々業務に邁進するシステムに携わる方々に、外部からの客観的な視点を持ち込むことにシステム監査人としての存在意義があるのではないだろうかと改めて感じた。
個人として研鑽に励むのはもとより、定例研究会等に参加して監査人同士のつながりを広げることも大切ではないかとこの度の会を通して感じた。また、他の参加者の自分と異なる視点からの意見も大変参考になり、非常によい刺激となった。

以上

会員番号1380 植垣 雅則

1.テーマ   「DevOpsの基礎」 ビジネス駆動なムーブメントによる戦略的なIT
2.講師    アトラシアン株式会社
           シニアエバンジェリスト 長沢 智治(ながさわ ともはる)氏
3.開催日時  2015年12月19日(土) 15:00~17:00
4.開催場所  大阪大学中之島センター 3階 講義室304

5.講演概要

詳細はこちら

会員番号2482 岸川 信二

1.テーマ   「標的型攻撃をはじめとするサイバー攻撃の現状と対策」
2.講師    有限責任監査法人トーマツ
アドバイザリー事業本部 エンタープライズリスクサービス
シニアマネジャー 植垣 雅則氏(本協会近畿支部会員)
3.開催日時  2015年11月20日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201

5.講演概要

詳細はこちら

会員番号1779 山本 全

1.テーマ :「ツールが無くてもここまでできるSAP ERP内部統制監査」
2.講 師 :三洋電機株式会社 品質・業務推進センター IT統制推進部
       浦上豊蔵 氏、梅谷正樹 氏、下田あずさ 氏、木ノ原真由美 氏、中川昭仁 氏
3.開催日時:2015年9月18日(金) 18:30~20:30
4.開催場所:大阪大学中之島センター 7階 講義室702
5.講演概要

詳細はこちら

会員番号1709 荒町 弘

1.テーマ   (1)「ソフトウェア著作権研究プロジェクト最終報告」
        (2)「システム監査の多様性研究プロジェクト(システム監査学会)報告」
2.講師    京都聖母女学院短期大学 生活科学科 准教授 荒牧裕一 氏
         (本協会近畿支部会員、システム監査学会理事)
3.開催日時  2015年7月17日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 7階 講義室703
5.講演概要

詳細はこちら

会員番号0645: 是松徹

1.テーマ  :「失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介」
2.講師   :公認システム監査人 松井 秀雄氏
3.開催日時 :2015年5月15日(金) 18:30~20:30
4.開催場所 :大阪大学中之島センター3階 講義室301
5.講演概要 :
詳細はこちら

会員番号169: 林 裕正

1.テーマ   消費税の複数税率化の動向とシステム監査
2.講師    ジョイント・ホールディングス(株)IFRSグループ・ディレクター  システム監査技術者・公認システム監査人  田淵隆明氏
3.開催日時  2015年3月20日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 講義室201
5.講演概要
詳細はこちら

会員番号 1627 上村 智幸

1.テーマ   IT-BCPの実効性を高める訓練・演習とその監査
2.講師    日本システム監査人協会近畿支部会員 松井 秀雄 氏
(近畿支部 BCP研究プロジェクトメンバー)
3.開催日時  2015年1月16日(金) 19:00~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要
詳細はこちら

ISACA大阪支部 今本憲児

1.テーマ   地域情報化と防災
 ~CATVネットワークを利用した緊急告知と地方公共団体のICT-BCPの現況~
2.講師    ㈱嶺南ケーブルネットワーク 顧問(情報通信担当) 川端 純一 氏
3.開催日時  2014年12月13日(土) 15:00~17:00
4.開催場所  大阪大学中之島センター 3階 講義室301
5.講演概要
詳細はこちら

会員番号 2083  竹下 健一

1.テーマ   ソフトウェア著作権研究プロジェクト中間報告
2.講師

大阪成蹊大学名誉教授 松田 貴典 氏

京都聖母女学院短期大学 生活科学科 准教授  荒牧 裕一氏

3.開催日時  2014年9月19日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要
詳細はこちら

会員番号169  林 裕正

1.テーマ   暗号通貨ビットコインの脆弱性と可能性
2.講師    京都聖母女学院短期大学 生活科学科 准教授 荒牧総合研究所代表 中小企業診断士 荒牧 裕一氏
3.開催日時  2014年7月18日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 講義室301
5.講演概要
詳細はこちら

報告者:No.2520 松本拓也

1.テーマ  : 「ゴルフ場の総合基地化提言」
2.講師   : 株式会社 エスシーエイエヌ  代表取締役 中田 和男氏
3.開催日時 : 2014年5月16日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター2階 講義室201

5.講演概要 :
詳細はこちら

            報告者:No1710 小河裕一

1.テーマ :「中小企業におけるリスク認識の手法について」
~JNSA西日本支部WG活動を通じて~

2.講師  :富士通関西中部ネットテック株式会社 JNSA西日本支部 嶋倉 文裕氏
3.開催日時:2014年3月20日(木) 18:30~20:30
4.開催場所:大阪大学中之島センター2階 講義室201
5.講演概要:

詳細はこちら

1.テーマ :「新しい『IT事業者評価制度』導入の政策提言」
2.講師  :株式会社エスシーエイエヌ 代表取締役 中田 和男 氏
3.開催日時:2014年1月17日(金) 18:30 ~ 20:30
4.開催場所:大阪大学中之島センター 講義室201
5.講演概要:
詳細はこちら

報告者:No.0645 是松 徹

1.テーマ :「サポート期限切れOSの守り方」
2.講師  :ネットエージェント株式会社 代表取締役 杉浦 隆幸 様
3.開催日時:2013年12月14日(土) 15:00 ~ 17:00
4.開催場所:大阪大学中之島センター 講義室301
5.講演概要:
詳細はこちら

報告者:№2419 馬場秀樹

1. テーマ :「データセンター運用におけるシステム監査の有用性」
2. 講師  :西日本電信電話株式会社 京都支店 横山 雅義 氏
3. 開催日時:2013年11月15日(金) 18:30 ~ 20:30
4. 開催場所:大阪大学中之島センター 2階 講義室201
5. 講演概要:
詳細はこちら

報告者:No.0645 是松 徹

1.テーマ :「私が経験したシステム監査の実態について」
2.講師  :関電システムソリューションズ株式会社
       経営改革推進本部 人財部 椋野 誠司 氏
3.開催日時:2013年9月20日(金) 18:30 ~ 20:30
4.開催場所:大阪大学中之島センター 3階 講義室301
5.講演概要:

詳細はこちら

No2089 阪口博一

1.テーマ   : 「あなたのへそくり、奥様にばれていませんか」
~身近なテーマで、セキュリティをユーザに分かりやすく伝えよう~
2.講師    : NTT西日本 大阪支店 粕淵 卓氏
3.開催日時 : 2013年5月17日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター 3階 講義室301
5.講演概要 :

詳細はこちら

No1710 小河裕一

1.テーマ  : 「マネジメントシステム規格の統合的な利用と効果的な認証審査」
2.講師   : 有限会社吉谷コンサルティング事務所  吉谷 尚雄氏
3.開催日時 : 2013年 3月15日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター 2階 講義室201
5.講演概要

詳細はこちら

No.1428 中田 和男

1.テーマ :「システム監査事例からシステム監査について考える」
2.講  師:三橋ITコンサルタント(代表) 三橋 潤氏
3.開催日時:2013年1月18日(金)19:00~20:30
4.開催場所:大阪大学中之島センター 2階 講義室201
5.講演概要:

詳細はこちら

No1710 小河 裕一

1.テーマ :「最新サイバー攻撃の脅威と富士通クラウドCERTの取り組み」 – 新型攻撃に対して、今何をすべきか –
2.講師  :富士通株式会社  クラウドCERT室長  奥原 雅之氏
3.開催日時:2012年12月15日(土) 15:00~17:00
4.開催場所:常翔学園大阪センター 302教室
5.講演概要

詳細はこちら

報告者:No1687 小宮 弘信

1.テーマ  : 「“JIS Q 20000-1の改正のポイント”と“ITSMSの本当の効果”」
2.講師   : 株式会社マネジメント総研 代表取締役 小山俊一氏
3.開催日時 : 2012年11月16日(金) 18:30~20:30
4.開催場所 : 大阪大学 中之島センター 2階 講義室201
5.講演概要

詳細はこちら

報告者:No1709 荒町 弘

1.テーマ  : 地方自治体の基幹システム再構築におけるSLA(サービスレベル・アグリメント)について
2.講師   : 近畿大学経営学部 津田 博 先生
3.開催日時 : 2012年9月21日(金) 18:30~20:30
4.開催場所 : 大阪大学 中之島センター 2階 講義室201
詳細はこちら

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:19
累計アクセス数:128630
本日訪問者:15
累計訪問者:15935
2017年6月
« 5月    
 123
45678910
11121314151617
18192021222324
252627282930