2.定例研究会

会員番号 0645 是松 徹 (近畿支部)

1.テーマ 「情報科学教育の現状について ~高等学校から経営者まで~」
2.講師 株式会社メトリックス 代表取締役 松井 亮宏 氏
(公認システム監査人(CISA)、システム監査技術者)
3.開催日時 2016年11月18日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 4階 講義室405
5.講演概要

講師は、SIer、監査法人を経て独立され、現在、システム監査、システム導入支援、セキュリティ監査、セキュリティコンサルティングを実施されている。 これらのご経験を踏まえ、情報科学教育というテーマの下、経営者へのITについての教育及び日本の「情報」教育体系における現状と課題等についてお話しいただいた。

<講演内容>

5-1 経営者へのITについての教育

(1) なぜ経営者にITへの理解が必要か

多くの日本の経営者にとって目に見えるモノではないITは、「お金を生むもの」ではなくコストの認識である。また、ITの概要や本質を体系だって学ぶ機会がなかった。その結果、海外との競争力の低下、ITリスクに対する理解不足、アウトソースによる社内の空洞化等を招いている。
ITがわかる経営者になるには、経営者自身が競争力としてのITとそのリスクが評価できること、情報システム部門をコストセンターではなく経営企画を担う部門として再定義すること、専門家活用に責任をもつこと、が必要である。このための経営者支援としては、技術、サービス、ビジネスモデル等の情報提供、経営視点を備えたIT専門家の育成と経営への参画等が考えられる。

(2)どの分野の教育が必要か

攻めと守りの両面を考える必要がある。攻めのITである以下の分野は経営者の関心も高く、投資対象になりやすいと考える。
・IoT、ブロックチェーン等(ビジネスの競争源としてのIT)
・FinTech、クラウド等(管理のためのIT)
・Industry4.0等(製造イノベーションのためのIT)
一方で守りの性格が強いITリスク対応やサーバーセキュリティ等の分野は、最低限の対応となる傾向がある。この守りのITの教育をどうするかが課題である。

(3) 守りのITについて

一例をあげると、内閣サイバーセキュリティセンター(NISC)の提言である「セキュリティマインドを持った企業経営(平成28年8月2日)」では、サーバーセキュリティはやむを得ない「費用」ではなく積極的な経営への「投資」であり、企業としての「挑戦」とそれに付随する「責任」として取り組むことへの期待が述べられている。
また、経営者における守りのITに対する学びのヒントとして、「金融セクターのサイバーセキュリティに関するG7の基礎要素」(2016/10/11:G7財務大臣・中央銀行総裁により支持)があり、以下の8要素があげられている。
① サイバーセキュリティ・ストラテジーとフレームワーク、②ガバナンス、③リスク管理の評価、
④モニタリング、⑤インシデント発生時の対応、⑥復旧、⑦情報共有、⑧継続的な学習
システム監査人は、経営への積極的な関与を通して経営者を継続的に指導していくことが期待される。

5-2 日本の「情報」教育体系

(1)情報教育の現状

【小学校】:各教科等の指導を通じて教育、【中学校】:技術・家庭の中で教育、【高校】:科目「情報」で教育、【大学】:情報系学部はあるものの科目「情報」を入試で課す又は選択できる大学は9大学と少数派 という状況である。

(2)科目「情報」の課題

科目「情報」は「社会と情報」「情報の科学」で構成され、高校で履修が必須であるにもかかわらず未 履修が約23%(2006年)という統計があり、狙い通りに教えられていない状況が見受けられる。また、教える側では、情報科免許での教員採用枠が非常に少ない、情報科免許所持の専任教員のうち情報科のみの担当は約20%、他教科との兼任が約52%、免許外の担任が残りの約28%という実態も報告されている。

(3)科目「情報」のこれからとシステム監査人の役割

平成28年8月26日の中教審の報告書では、①情報の科学的な指導が必ずしも十分ではないのでないか、②情報やコンピュータに興味・関心を有する生徒の学習意欲に必ずしも応えられていないのではないか、との疑問があげられている。これらを踏まえ、今後の科目「情報」に求められることは以下と考える。

・パソコンの操作やインターネットの使い方ではなく、情報の取り扱い方や情報活用の方法を中心に学ぶ。
・システムやセキュリティの基礎的なことを学ぶ。
・便利さだけでなく、脅威、倫理、やってはいけないことを理解する。
システム監査人は、教育界への情報発信とともにIT業界に教育というキャリアパスがあることを認知させ、ITやセキュリティの専門家が教育に積極的に参画できる環境を整備することが重要と考える。

6.所感

情報科学教育について、高等学校から経営者までの現状を俯瞰することができて有益であった。中でも、高校における科目「情報」の教育実態をお聞きし、教える側も履修する側も狙い通りの成果があがっていない点が気がかりであった。ITやセキュリティに関する人材が質・量ともに不足しており、人材育成が大きな課題であることが社会的に認知されてきている中、講師が言われるようにシステム監査人が教育に携わる意味は大きいと考える。

 以上

会員番号 2520 松本 拓也

1.テーマ 「個人番号カードの多目的利用の課題と展望」
2.講師 近畿大学 経営学部 教授 津田 博 氏
3.開催日時 2016年9月16日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、現在のお立場になられるまでに地方自治体のCIO補佐官等をご経験され、自治体の情報化に関する研究、特に情報システムの効率的な企画、調達、開発、運用についてご研究されてこられた。今回は講師自身によるアンケート結果をもとに、個人番号カードの多目的利用(「個人番号の利用」ではない)に関する自治体の取組みと課題、今後の展望についてお話しいただいた。個人番号カードに関する行政以外の者による全国的なアンケート調査およびその考察は全国で初めての取組みである。

<講演内容>

(1) マイナンバー制度の概要

マイナンバー制度は、複数の機関に存在する個人情報を同一人の情報であるということの確認を行うための基盤であり、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤(インフラ)である。
個人番号(マイナンバー)は社会保障・税・災害対策分野の中のうち、法律で定められた行政手続きにしか使用できない。
個人番号カードは、各種手続きにおける個人番号の確認及び本人確認の手段として使用する。個人番号カードの多目的利用については、公的認証の利用と各自治体が制定した条例による独自利用がある。

今回の講演では、上記を前提とした上で、個人番号カードを使った自治体の独自サービスについて報告の対象としている。

(2) 住基カードと個人番号カード

住基カード(住民基本台帳カード)と個人番号カードを比較するとともに、住基カードの多目的利用状況、電子証明書の発行等の手続きイメージについても説明された。

(3) アンケート調査概要

2016年初めに以下のようなアンケートを実施した。

【目的】:地域の特色に合った住民のために、個人番号カードの多目的利用を考える基礎資料になること
【調査対象】:全国の市区町村
【実施時期】:2016年1月から3月
【配布数】:1,532団体
【回収数】:446団体
【回収率】:29.1%
【調査方法】:自治体のホームページの問い合わせフォーム又はメールアドレスを活用し、メールにてアンケートを送付した。質問内容は、個人番号カードの発行枚数等の基本的な情報から、個人番号カードの多目的利用に関する方針の有無、サービス内容の検討状況、多目的利用推進の全体的な課題など。

(4) 個人番号カードの多目的利用推進に関する課題

今回得た回答においては、コンビニ交付、自動交付機での利用、図書館貸出カード、印鑑登録証明書等のサービスや、医療・福祉関連分野での利用、自治体独自マイレージや自治体独自発行のカード機能(施設利用、高齢者バス割引等)の付加等、多くのサービス案が検討されている一方、個人番号カードの多目的利用の方針については、検討中もしくは未定・空白とする自治体が多いことが分かった。
今回の講演では、講師がアンケート回収後、多目的利用推進の全体的な課題を分析し、また必要に応じて自治体に対し電話インタビューを実施した結果についても、利用者視点と行政視点に分けて報告された。利用者視点では、カードの取得(普及)、利用者のニーズや制度理解、セキュリティに関する課題が挙げられた。行政視点では、コスト・費用対効果、自治体の取組、カードの仕組み、民間利用、地域特性に関する課題が挙げられた。
個人番号カードの多目的利用を推進する上で、コスト・費用対効果面以外に、利便性とセキュリティのバランスが大きな課題となっている。個人番号カードに多くの機能を持たせることで、個人番号を利用しない場合でも携帯する必要が生じ、セキュリティリスクが高まるなどの懸念が自治体からも意見として挙がっている。現在の自治体は、セキュリティを可能な限り厳しくし、その中で利便性を高めるとして取り組んでいるが、確保しなければならないセキュリティレベルが明確ではないため、利便性向上への取組みについても苦慮しているとのこと。

(5) 個人番号カードの多目的利用に関する展望

個人番号カードの多目的利用の拡充のためには、ワンカード化、個人番号カードを用いた情報システムへの安全なログイン(電子証明書等)の確保が必要となる。医療・介護、金融、教育等の分野での連携の要望はあるが、カードの普及、投資効果、住民の理解、セキュリティへの不安等からもすぐの実現は難しいとのこと。

6.所感

自治体における個人番号に関する安全管理措置等の取組については、仕事柄、ある程度知っていたが、カードの多目的利用に関してはこれまであまり実態を把握しておらず、よい勉強になった。コストや費用対効果の面も気になるが、利便性とセキュリティのバランスについては、個人番号に限らず、また自治体に限らず必ず共通の課題と考える。
また、講演後の意見交換では、民間向けのアンケートの実施なども提案され、今回のアンケート結果で挙げられたようなサービス内容と、民間が求めるサービス内容がどのようにマッチするのか、大変興味深い内容であると考える。

以上

 

  定例研究会・勉強会のご紹介

 

 

 SAAJ近畿支部では、会員の相互研鑽を主目的とした定例研究会やシステム監査勉強会を、
 定期的に開催しています。皆様のご参加をお待ちしています。

 

定例研究会

・システム監査に関連したテーマでの、講演形式の会合です。
・日本システム監査人協会の会員以外も参加できます。
・実施報告は日本システム監査人協会の会報(月1回発行)に掲載されます。
 また同近畿支部サイトでも公開されます。
・講演後に、講師の方にもご参加頂き情報交換会を開催します。
 有益な情報入手や人脈形成にご活用ください。
・取り上げて欲しいテーマ、講演者の希望、講演の自薦等がございましたら、
 ここから連絡ください。【この項目のみ会員限定】
 

システム監査勉強会

・システム監査に関連したテーマでの、VideoLearning形式の会合です。
 過去数か月間に開催された、日本システム監査人協会本部(東京)での講演の中から、
 いくつかをセレクトし聴講頂きます。
・日本システム監査人協会の会員以外も参加できます。
・都合により、講演形式等に変更する場合があります。
 

(最終更新日:2016年10月14日)

会員番号 0645 是松 徹

1.テーマ 「医療情報システム監査の意義と今後の情報部門の役割について」
〜病院間相互監査&ワークショップセミナーの取り組みを通して~
2.講師 池田市地域活性課 課長 藤本 智裕 氏
(前:市立池田病院経営企画室 室長)
3.開催日時 2016年7月15日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、今年の春まで市立病院の経営企画室長の立場で、長年、経営企画から診療支援、診療情報管理、情報システム等に至るまで、幅広く病院運営に携わってこられてきた。その中で医療情報システムの監査にも取り組まれており、これらのご経験を踏まえ、今回の講演では、医療情報システム(電子カルテ等)の動向、医療情報システムの安全対策と監査及び課題、病院相互監査の取組み、監査ワークショップセミナーの取組み等についてお話しいただいた。

<講演内容>

(1) 医療情報システム(電子カルテ等)

医療情報システムは、医事会計システムを皮切りにオーダリングシステム、電子カルテシステム、地域電子カルテシステムと進化してきており、ゲノム・再生医療、診断支援DSS、臨床研究、ビッグデータ、地域SNSとの関わり等の高度化が期待されている。昨今、他医療機関からの電子カルテ参照が可能となり、他施設・他職種連携の時代へと向かっている。医師と患者間の「情報の非対称性」が言われる中で、医療情報システムには高度な専門性を背景とした多様な要求への対応と安全性が求められている。

(2) 医療情報システムの安全管理

診療録の記載・電子保存の面では、「医師法24条」「歯科医師法23条」「e-文書法」に準拠し、真正性、見読性、保存性確保への留意が必要である。加えて、医療に関わる情報を扱うすべての情報システムとそれらの導入、運用、利用、保守及び廃棄に関わるすべての組織を対象とした「医療情報システム安全管理ガイドライン」が厚労省から公表されており、電子的な医療情報を扱う際の責任のあり方や情報の相互利用と標準化、情報システムの基本的な安全管理、電子保存の要求事項、運用管理についての指針が示されている。

(3) 医療情報システム安全管理評価制度(PREMISs)

「医療情報システム安全管理ガイドライン」を適用指針として、(財)医療情報システム開発センター(MEDIS-DC)が技術面、運用面の観点から客観的にその安全性を評価する制度である。本制度は、安全性の担保力を客観的に評価する事、及び安全性と利便性・効率性、経済性とのバランスをとる事を目的としている。 受審側は、自己評価をした上で書類審査と現地審査を受け、合否判定と合格レベルとして3段階評価が下され、認定証を受領する運びとなる。本制度の活用としては、外部監査としての利用(システム導入済)と導入時の検収ツールとして利用(システム導入予定)が考えられる。

(4) 病院情報部門が抱える課題

講師の所属組織が加入している某ベンダのユーザ会で、情報部門が抱える課題の把握のためにアンケート等から課題を抽出し分析を行った。課題を以下の7分野に分類し、それぞれに①機能改善、②運用ノウハウ、③教育・セミナー、④営業支援、の優先度から解決策を検討した。
【課題】:1.経営、2.企画導入・レベルアップ、3.調達、4.運用管理、5.データ分析・活用
6.ガバナンス、7.コンピテンシー
結果、運用管理に関する課題が全体の約6割を占め、その解決策としてはコンテンツの拡充が多数提示された。開発⇒導入⇒運用⇒改善のサイクルにおいて、運用⇒改善から開発にフィードバックして機能改善につなげる流れが必要であり、運用管理ノウハウとして職人技から仕組みへ、暗黙知から形式知へと移行する「運用管理規定」の重要性が改めて認識された。

(5) 病院間相互監査(内部監査)の取組み

公的認定を受けた専門知識や経験を有する監査員等が、互いの病院をPREMISsに準拠した共通の仕組みの下に内部監査を行い、継続的改善を図る取り組みである。監査結果は病院長に報告し、組織を巻き込むことに留意している。公的認定資格には、講師が保有する公認医療情報システム監査人(MISCA)、上級医療情報技師等がある。「医療情報システム安全管理ガイドライン」を根拠指針とし、医療情報安全管理監査人協会が公表している「監査実践ガイド」を参考とした内部監査の手順に則り、監査計画書の作成、監査の実施と講評会開催、監査報告書の作成・提出、監査対象部門から提出される改善報告書等を踏まえたフォローアップ監査を実施する。

(6) 医療情報システム監査ワークショップの取組み

 近年のパッケージ化・ネットワーク化により運用管理に関する課題が多様化し、運用管理規定の重要性が高まっていることを背景に、「医療情報システム監査ワークショッププログラム」を開発し、継続的改善を図ることとした。複数病院(2施設)でグループとなり、監査対象側と監査側を交代して持参した運用管理規定を相互監査する進め方で実施した。ワークショップは、2013年度の福岡での試行を皮切りに、2014年度に東京(11施設17名)、名古屋(11施設19名)、札幌(10施設14名)と計3回開催した。
受講後のアンケートからは、単に知識の習得だけでなく、多様なワークショップの実践により実際の改善行動につなげることができたとの結果が読み取れた。課題が複雑化する中、人財教育の在り方として、座学だけではないワークショップの有効性が示唆されたと考えている。

6.所感

重要性を認識しつつも接点のなかった医療情報システムの動向と運用側の医療機関の取り組み実態を改めて知ることができた。また、医療情報システムに求められる3原則(真正性・見読性・保存性)と利便性のバランスは所謂攻めと守りの話であり、医療分野に限らずセキュリティ面での共通の課題と考
える。今回のご講演では、説明の合間に随所でなされた講師の勤務先・池田市の紹介が効果的であった。その中で「呉春」が池田市の地酒と知ったことは、左党の私にとってこれまた有益であった。

以上

会員番号 2591 近藤 博則

1.テーマ 「事例に学ぶ情報漏えい事故とそのセキュリティ対策〜情報セキュリティ監査のポイント」
2.講師 NTT西日本ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ 主査 粕淵 卓 氏
3.開催日時 2016年5月20日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師はNTT西日本にてセキュリティの専門家として活躍され、またIT関連の資格を多数保有されており、各種メディアへの記事を執筆されている。今回は講師の実施したセキュリティに関する実験、IPAが公開した2016年セキュリティの10大脅威、日本年金機構の情報漏えい事件、自治体情報セキュリティ対策を題材にそれぞれの脅威・対策について講演いただいた。会場からの質疑応答も活発に交わされた。

<講演内容>

(ア) 10の疑問を試して解明 セキュリティ大実験室

講師が実施し雑誌の記事としてまとめられた、10の疑問を試して解明 セキュリティ大実験室から、8個の実験を取り上げ解説いただいた。

① ウイルス対策ソフトは無料でも十分か?

577個の検体について、有料版、無料版を用いてどれくらい検出できるかを実験した。有料版は8割の検出率、無料版は4割の検出率となり、予想通りの結果であった。また、同様の実験をUTM製品でも行った。UTM製品では検出率にばらつきが出たが、これは製品の特性によるもので、高検出率のものはパフォーマンス(通信速度)を犠牲にしていることがあるため、一概に検出率が高いものがよいとはならないとの事であった。

② 圧縮や暗号化されたウイルスを検知可能?

圧縮や暗号化した10種のウイルスを通信経路上に配置したUTM製品で検出できるかを実験した。結果、製品や圧縮形式により検出率が異なったが、いずれの製品でも6階層のフォルダーに入れてLZH圧縮した物、AESで暗号化した物は検出できなかった。ウイルス対策は通信経路上のみでなく、端末でも行う事が重要であるとの事であった。

③ Excelのパスワード保護は有効か?

Microsoft Excelが備えるパスワード保護機能を使用して暗号化したファイルを用いて、パスワード解析にどれくらいの時間がかかるか実験した。解析には総当たりでパスワードを試す自作ツールと市販ツールを使用した。自作ツールでは数字4桁のパスワードは7分弱、市販ツールでは1分弱で解析可能であった。一般に必要と言われる英数記号を組み合わせた8桁のパスワードは、市販ツールの予測では4コアCPUの端末で解析に13万年以上かかるとされ、パスワードの強度はある程度保たれているとの事だった。

④ 無線LANのSSIDを隠すのは効果ある?

SSIDを隠蔽する設定(ステルスモード)に設定したAPを用いて、正常に通信できる端末と解析ツールを導入した端末を用意し実験した。APに誰も接続していない状態であれば、SSIDを見る事はできなかったが、正規ユーザがAPに接続すると、正常に通信できる端末からSSIDが送信されるため、解析ツールにSSIDが表示された。SSIDの隠蔽によるセキュリティ向上は限定的であり、端末側の電池の持ちが悪くなる等デメリットもあるとの事であった。

⑤ セキュリティワイヤーは頑丈か?

複数のセキュリティワイヤーと入手しやすい工具を用いて実験した。セキュリティワイヤーは、ワイヤー径2.2mm、4mm、5.5mmの物、工具は、108円のニッパー、家庭用のペンチ、ワイヤーカッターであった。ワイヤーカッターを使用すれば、どれも切断する事が可能であった。セキュリティワイヤーには、心理的な抑止効果、持ち去りに対する盗難対策として一定の効果があるが、工具を使えば切断できるため長時間の盗難対策とするのは不十分である。長時間保管するには鍵のかかるキャビネットや引き出しがよいとの事であった。

⑥ スマホの顔認証は正確か?

スマホに搭載されている顔認識機能について、メガネをかけたり、ひげをつけたりする変装をしても認識するか、本人の写真を本人と認識するか、双子の一方がもう一方になりすます事が可能かについて実験した。また、今回の試験にあたっては、まばたき設定(認証の際にまばたきをする必要がある)は無効にして行った。結果、メガネ、ひげの有無、写真でも高確率で認証を突破できた。また、二卵性の双子であっても認証を突破できた。スマホの顔認証は安全性の高い認証方式ではないとの事であった。

⑦ SSLでURLフィルタリングは機能するか?

プライバシー保護のため通信が暗号化されるHTTPSを用いるWebサイトが増えている。これらのサイトへの通信に対してURLフィルタリングが機能するかについて実験した。実験には一般によく利用されるプロキシサーバとUTMを用意した。結果、プロキシサーバではドメイン単位でのフィルタリングは可能であったが、ディレクトリ単位ではフィルタリングできなかった。UTMではデフォルト設定の場合、ドメイン単位でもフィルタリングできなかったが、HTTPS通信を復号化する機能を有効にしたところ、ディレクトリ単位でのフィルタリングも可能であった。しかし、HTTPS通信を復号化するには機器のリソースを多く必要とするため通信に対するパフォーマンスは低下するとの事だった。

⑧ パスワードの別送に意味はある?

重要なファイルをメールで送付する場合ファイルを暗号化し、パスワードは別メールでの送付する事を義務付けている企業がある。一見安全そうに見えるこの対応であるが、ネットワークを盗聴できる攻撃者であれば、ファイルを添付したメールもパスワードが記載されたメールも盗聴でき、暗号化ファイルを簡単に復元できるはずであるため実験し確認した。結果、パケットキャプチャを行えば、メールを復元し暗号化したファイルとパスワードから復号化したファイルを入手する事ができた。この事から、特に重要なファイルをメールで送付する際には、パスワードを別メールではなく電話等別の手段で通知する等の対応が必要だろうとの事だった。

(イ) 2016年セキュリティの10大脅威

IPAが公開した2016年セキュリティの10大脅威から4つを取り上げ解説いただいた。

① インターネットバンキングやクレジットカード情報の不正利用

ウイルス感染やフィッシングサイトから不正入手した情報から、個人になりすまし不正送金や利用が行われている。フィッシングの手口はどんどん巧妙になってきており、ぱっと見では正規のサイトと見分けがつかなくなっている。個人でできる対策としては、OS・ソフトウェアの更新、サイトへアクセスした際にSSL通信になっている事の確認等があるとの事であった。

② 標的型攻撃による情報流出

メールの添付ファイルやWebサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作する事で組織や企業の重要情報を搾取する攻撃が後を絶たない。攻撃者は対象の組織、企業を徹底的に調べ上げ攻撃手法を検討し実施してくる事から、侵入を許す事も少なくない。対策としては、OS・ソフトウェアを常に最新の状態に保つこと。また、侵入されない事を目標とするのではなく、侵入される事を前提とし、侵入に早く気づく、情報資産を外部送信させない等の対策により多層防御する事が重要であるとの事だった。

③ ランサムウェアを使った詐欺・恐喝

データを人質に取り、金銭を要求する被害が増えている。侵入経路としてはメール添付やWebサイトからであり、これまでは不自然な日本語のものが多かったが、流暢な日本語によるものも登場しており、より注意が必要となっている。対応としては、バックアップからの復元が主な物となるため定期的なバックアップが重要であるとの事だった。

④ ウェブサービスへの不正ログイン

他のWebサービスと同じパスワードの使い回しや、推測できるパスワードを設定していた為に、Webサービスを不正利用されてしまう被害が増えている。対策としては、パスワードは使い回さない、長く複雑なパスワードをしようする等があるとの事だった。

(ウ) 日本年金機構の情報漏えい事件

日本年金機構からの125万件の個人情報漏えい事件について、原因と対策を解説いただいた。ここでは日本年金機構に届いたとされる不審メールの特徴について紹介があり、不審メールはフリーメールサービスを利用して送信されていた。仕事上よくありそうな件名のメールであっても、フリーメールから送付されてきたメールであれば、慎重に取り扱う必要があるとの事だった。

(エ) 自治体情報セキュリティ対策

本年よりマイナンバーの利用が開始されることに伴い、自治体では抜本的なセキュリティ対策我も止められており、その内容について解説いただいた。ポイントとしては、マイナンバー利用事務系のネットワークと他のネットワークを分離し、ここの端末に対しては情報の持ち出し不可設定や二要素認証(パスワード+生体認証、ICカード認証)を用いる事。LGWAN環境とインターネットメールとの通信経路を分割し、両システム間で通信を行う場合には、メールを無害化するとの事だった。

(オ) セキュリティ監査における私の考え方

講師が実施する事があるセキュリティ監査において、意識しているポイントとして、次の事をあげられていた。セキュリティ対策においては、やるべき事柄は山のようにあるため、技術的対策・物理的対策・人的対策が完璧に実施できている所はまずない。このため、できていない事を細かく指摘しても、被監査部門から疎まれるだけで実効性のある監査はとはならない。指摘事項とすべきは、受容レベルを大きく超える物や、セキュリティ対策の弱い状態で公開さているサーバがあった場合であるとの事だった。また、監査において一番重要なポイントは、被監査部門との信頼関係であるとの事だった。

6.所感

本講演ではセキュリティに関する話題を一通りおさらいする事ができ、筆者個人、とても有意義だった。また、所々に挟まれる講師の経験に基づいた一言からたくさんの気付きを得る事ができた。特に長くて複雑なパスワードを記憶する方法として紹介された、手帳にキーワードを書き、残りを記憶しておくやり方はすぐ実生活で取り入れた。本講演の途中、ブレイクとして紹介された錯視が印象に残ったので紹介させていただく。錯視とは、見た情報が実際とは異なって知覚される現象のとこをいい、ものの形や大きさ、明暗、色、動きなど、ものの見かけ全般にわたり現れる錯覚のことである。簡単に錯覚してしまう脳を持つ者として、巧妙な攻撃者からの攻撃をかわすためには、とっさの対応に頼るだけでなく、日頃からのOS・ソフトウェアの最新化が重要であると認識を新たにした次第である。

以上

会員番号 0645 是松 徹

1.テーマ 「会計・税制改正を巡るシステム監査のあり方」
2.講師 ジョイント・ホールディングス(株)IFRSグループ・ディレクター、 公認システム監査人、公共政策・IFRSコンサルタント 田淵 隆明様
【特別ゲスト】
駒沢大学・和光大学・愛知県立大学非常勤講師  (立命館大学でも毎年リレー講義担当)・東京大学法学博士  石川 公彌子(くみこ)様
3.開催日時 2016年3月19日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 3階 講義室301
5.講演概要

 講師は近畿支部会員であり、支部において「システム監査法制化推進プロジェクト」の主査を務めておられます。今回は、会計・税制改正を巡るシステム監査の在り方について幅広い視点からお話しいただきました。加えて、特別ゲストの石川様からは「システム監査と生活保守主義」と題して具体的事例を踏まえた内容を関連してお話しいただきました。講師による講演の概要は以下の通りです。

 「近年、大規模な会計基準の改正が続いている。このことについて、日本公認会計士協会のIT委員会は様々な監査基準を発表し、IT全般統制だけでなく、IT業務処理統制の領域にも踏み込んだ基準を策定している。このことは、システム監査の観点からも非常に有益であるので、この点についてご紹介する。
また、様々な紆余曲折を経て、2017年4月より、消費税に軽減税率が導入されることとなった。この軽減税率導入に伴うシステム監査上の留意点を取り上げる。合わせて、この複数税率導に伴う、政府のIT支援の詳細についても取り上げる。

 最後に、昨年ご紹介した、首都圏の某基礎自治体の「基幹システムの停止問題」について新たに判明したことを取り上げ、システム監査人としてのあるべき姿について論じることとする。
なお、今回は特別ゲストとして、三児の母でもある石川公彌子(くみこ)さんをお招きして、主婦・母の立場から、様々なご意見を頂戴することにしたい。」

講演の目次は以下の通りです。

#0:(はじめに)我が国の製造業が苦境に陥った原因
#1:日本の会計基準(JGAAP)と制度改正のタイムテーブル
#2:制度改正の個別論点
#3:公認会計士協会の動き
#4:法令改正におけるリスク及びその回避策
#5:消費税の複数税率化
#6:消費税を巡る新たな課題
#7:(補足)某自治体のシステム・トラブルとシステム監査

 この中で、全体的な課題認識として、#0の観点から、①「新自由主義」的政策による中間層の破壊、②「ゆとり教育」による学力低下・学級崩壊及びモラルの低下、③「SI認定・登録」の廃止によるIT業界の劣化、④「製造物責任法」の立法不備による不備ソフトウェアの放置、⑤「研究開発費の一律費用処理」による頭脳軽視と近視眼的経営、⑥⑤と合わせ技での「金融検査マニュアル」による開発力低下、⑦誤った時価会計の導入による混乱、⑧数学を知らない経済学者・アナリストの闊歩 について、講師のロビー活動による情報も踏まえつつ背景等の説明がなされました。

 その後、#3では、公認会計士協会「IT委員会実務指針第6号」Q&A(Q10、Q11、Q16、Q20)を踏まえたIT業務処理統制の重要性、#5では、システムの将来拡張性への考慮、#7では、セキュリティに偏ったシステム監査への警鐘等について言及されました。
上記に関しては、次の講師による本部会報への投稿内容も参照ください。
2015年8月号  No.173:【 基礎的自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題 】
2015年12月号 No.177:【基礎的自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題<第 2 回>】

 石川様からは、大半の有権者は生活保守として6K(暮らし、食、健康、雇用、教育、環境)を守りたいと願っているという現状認識を示され、子育て貧困世帯、食品の不正流通、非正規雇用の増加、教育費負担の増加等、現実に身の回りで起こっている様々な問題に言及されました。合わせて、問題の続きとして、法改正に未対応の会計システムや消費税複数税率化に未対応なレジシステムの存在、及びシステムの不備が市民生活を直撃する一例として自治体のシステム障害問題等を取り上げられ、システムの事前審査や監査の必要性について話をされました。

6.所感

本講演では消費税関連にとどまらず、現行法制を背景に幅広く課題提起がなされ、様々な気付きを与えていただきました。その中で、システム監査への関連で言えば、セキュリティ偏重への警鐘やIT業務処理統制の重要性再認識といった点が考えさせられました。このところ基幹システムの大規模障害が続いており、システム監査人として持つべき視点は何かを再考する良い機会だと考えています。
また、今回の講演では、随所に講師と特別ゲストの掛け合いが見受けられたことで進行にそれとなく遊び心が感じられ、大変楽しく拝聴させていただきました。

以上

会員番号 2591 近藤 博則

1.テーマ 「システム監査の多様性について」
2.講師 システム監査人協会 近畿支部  林 裕正 氏
3.開催日時 2016年1月15日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

システム監査の多様性とシステム開発プロジェクトの監査という2つのテーマについて講演いただいた。それぞれのテーマについてお話いただいた後、会場の参加者から意見を発表してもらうディスカッション形式で行われた。参加者からは、テーマを超えてシステム監査の発展についても意見が述べられた。

<講演内容>

(ア) システム監査の多様性

① テーマ選定の背景

saaj2016011501今回のテーマを選定した背景として、システム監査学会で2012年に開催された公開シンポジウムの開催趣旨から、多様なシステム監査の必然性が求められていること。システム監査学会におけるシステム監査の多様性 研究プロジェクトのプロジェクト概要からICTを利用した情報システムが高度化し適用範囲が広がるに従って、情報システム関連の評価に対する要求も高度化・多様化し、システム監査においても従来と違う視点が求められている。という所から、システム監査が多様化してきている現状を感じテーマとして選定されたとのことだった。

② 多様性に関する視点

なぜシステム監査が多様化してきたのかについて3つの視点からまとめられていた。第一に対象組織の多様性の視点として、従来からの民間企業に加え、公共団体、非営利団体、教育機関等が増えてきたこと。次に目的の多様性の視点として、信頼性・安全性・効率性に加えて、適法性・利便性・経営戦略適合性が加わってきたこと。最後に技術の進歩からリスク拡大・変容の視点として、クラウド、ビックデータ、SNS、オープンソース、スマホ、仮想化等が加わってきたことをあげられていた。

③ システム監査学会主催イベント 統一論題、システム監査講演会 講演テーマ、システム監査技術者試験

出題範囲、公認システム監査人の得意分野、システム監査に関係した出来事を概観し、多様な変化を遂げて現在に至るシステム監査の流れを紹介された。

④ 多様性をもたらす要因

上記の多様な変化を遂げたシステム監査の流れを下敷きにして、システム監査に多様性をもたらす要因についてまとめられた。まず、ITの進化によるリスクの多様化に由るもの。次に、事件・事故が発生した際の再発抑止・減災に由るもの。国際会計基準等グローバル化を迫られる外圧に由るもの。これらを契機とした法制度の整備による規制・促進により、システム監査にも多様性がもたらされると結論づけられていた。

⑤ 多様性するシステム監査に向けて

多様化したシステム監査において大切なものについて、「監査(Audit)は「聴く」と言う意味を持つ。「聴く」ためには、相手と向き合う事が大切。」と言う言葉から、システム監査スキルはもとより、「聴く」ための技術スキル、「聴く」ための業務・業種・技術に関する知識が必要とまとめられていた。また、これに対応するためには一人の監査人では限界があるため、「チーム医療」に準え「チーム監査」が有効ではないかと提唱されていた。

⑥ 会場からの意見

・システムを取り巻く技術も多様化してきており、リスクを見抜くことも難しくなってきているが、監査人としては見抜くための力を研鑽し続けなくてはならないと感じた。
・現在、監査業務に携わっているが、サイバーセキュリティの分野については、外部の協力を得ている。
・これまでは理屈がわかっていればよかったが、今は勉強していないと世の中についていけないと感じる。
・チーム監査は必要だと感じるが、コストも必要となる。チームもクラウド的に遠隔から参加する等の対応も必要ではないかと感じた。
・多様化でシステム監査は厳しき局面を迎えている。ネットワーク・IOT・クラウドなどは総合力がないと評価できない。監査人としてはネットワークを組みながら、チームで監査することが必要と感じた。
・書類を電子化しクラウドへ保管する場合等、e文書法の電子媒体保管との兼ね合いを整理するかが問題と感じている。
・保証型の監査が求められると感じている。マイナンバーで自治体に対し保証型監査のニーズが高まればと感じる。
・システム監査が普及していないのはなぜなのか。マイナンバーはよい機会と考えるが、世間に対するアピールが弱いのではないか。
・ITへの依存度が高まれば、監査も多様化し、スコープも広がっている。ITが専門細分化してきている現状に監査人が対応しきれないのではないか。ITの専門家に監査の知識を習得してもらうのがよいのはないか。
・日本では法が情報に対して権利を与えていない。システム監査が法の足りない部分を補完してほしいと考えている。
・クラウド事業者は、監査を受け付けていない場合も多く、直接監査できない場面が多い。こういった場合に有効なのが格付けと考えている。格付けに対して監査人がステータスを見ていく必要があると考えている。
・経営者がリスクと感じていてもベネフィットがなければシステム監査を行わない。システム監査の認知度を向上するためには経営者へのアプローチが必要。

(イ) システムプロジェクトの監査

① 失敗プロジェクトの理由

雑誌の記事より、失敗プロジェクトの理由として「営業が無理をして受注した」「技術継承がうまくいかずプロマネ力が衰えた」「リスク管理に対して過信した」という有識者の分析、「技術的に高いレベルの案件だった」「もともと赤字を見込んでいたが、想定以上の赤字になった」というSIerの言い分を紹介し、最後に「SE稼働率維持のためリスクのある案件を受注したため」(景気が好転し、企業がIT投資に積極的になれば解消する)という雑誌編集者の見解を示された。

② SIベンダーの取り組み

saaj2016011502失敗プロジェクトに対するSIベンダーの取り組みとして、案件開始前の段階でリスクを管理する。提案段階やプロジェクト計画段階でリスクを開示する。早い段階でプロジェクトの大方針を顧客と共有する。リスク管理を現場任せにしない。第三者による品質評価を実施する。利用部門の関与度合いを確認する。定期的に顧客の満足度を確認する。等を挙げられていた。

③ 監査のチェックポイント

情報サービス産業協会「ソフトウェア開発委託取引における受注チェックシート」を参考に、リスクを整理し確認して置くことの重要性について示された。

④ プロジェクト監査での指摘事項

実例に近い話として、プロジェクト監査時の指摘事項を紹介いただいた。「現行システム機能を踏襲」が前提条件であったが、肝心の現行システム機能が分かる人やものが十分ではない。2つの商談が発生しており、双方とも提案しないといけないが2つとも受注するとSE体制が十分に取れない。別ベンダーが途中まで実施した作業を引き継いで作業する条件であるが、前行程の作業品質が不明である。と言ったものであった。

⑤ システム開発プロジェクトの成功とは

そもそもシステム開発プロジェクトが成功するとはどういうことかと言う問いに対して、「QCD目標の達成」をベースに、「要求通りシステム」を構築し、「システムの安定稼働」を支え、「業務がうまくいく」ことを担保する。これにより、「関係者が満足」する。これがプロジェクトの成功であると説明されていた。

⑥ 会場からの意見

・社内でのプロジェクトの成功とはコストを抑えてシステムを構築すること。ある意味、監査を端折っても結果が良ければそれで良いとする風潮がある。ここをなんとかしたと思っており、普及に努めたい。
・システム監査の多様性はシステムが多様化してきていることによると思う。システム監査が経営にどう貢献できるかをアピールする必要がある。
・プロジェクト成功の定義は難しい。経営がプロジェクト発足時に何を目指すのかを表明できるかにかかってくると考えている。システム監査は一番のリスクに対し保証が与えられることが重要ではないか。
・多様性に対応するためには、システムよりも人を監査できるかが重要ではないかと考える。
・監査は時代の影響を受けると感じている。監査には幅広い知識を得ておく必要があると思う。
・システム監査が多様化してきており、監査人のスキルも多様化を求められている。例えば公認医療監査人の様な専門監査人制度が必要ではないか。システム監査を定着するためには経営者への訴求が必要と考える。CIOへ向けたシステム監査の普及活動が必要ではないか。
・個人経営者や中小企業には実はお金がある。社員の福祉など目に見えるものにはお金を出すが、目に見えないものにお金を出さない。このため、システム監査にはお金がつかない。システム監査を経営者に説明できるようにしなければいけない。例えば、システム監査をすると儲かる、監督官庁から求められる、ISOのように第三者へアピールできる。など、外に向けた発信が必要と感じている。

6.所感

 システム監査に限らず、システムを取り巻く環境はめまぐるしく変化し、開発者や運用者はそれに追いつくのに精一杯となっている。このような現状に対してシステム監査人として、どのような貢献ができるであろうか。日々業務に邁進するシステムに携わる方々に、外部からの客観的な視点を持ち込むことにシステム監査人としての存在意義があるのではないだろうかと改めて感じた。
個人として研鑽に励むのはもとより、定例研究会等に参加して監査人同士のつながりを広げることも大切ではないかとこの度の会を通して感じた。また、他の参加者の自分と異なる視点からの意見も大変参考になり、非常によい刺激となった。

以上

会員番号1380 植垣 雅則

1.テーマ   「DevOpsの基礎」 ビジネス駆動なムーブメントによる戦略的なIT
2.講師    アトラシアン株式会社
           シニアエバンジェリスト 長沢 智治(ながさわ ともはる)氏
3.開催日時  2015年12月19日(土) 15:00~17:00
4.開催場所  大阪大学中之島センター 3階 講義室304

5.講演概要

詳細はこちら

会員番号2482 岸川 信二

1.テーマ   「標的型攻撃をはじめとするサイバー攻撃の現状と対策」
2.講師    有限責任監査法人トーマツ
アドバイザリー事業本部 エンタープライズリスクサービス
シニアマネジャー 植垣 雅則氏(本協会近畿支部会員)
3.開催日時  2015年11月20日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201

5.講演概要

詳細はこちら

近畿支部主催の研究会、勉強会、セミナー等は、下記リンクの最新情報からお申し込み下さい。

newhttp://www.saaj.or.jp/shibu/kinki.html

会員番号1779 山本 全

1.テーマ :「ツールが無くてもここまでできるSAP ERP内部統制監査」
2.講 師 :三洋電機株式会社 品質・業務推進センター IT統制推進部
       浦上豊蔵 氏、梅谷正樹 氏、下田あずさ 氏、木ノ原真由美 氏、中川昭仁 氏
3.開催日時:2015年9月18日(金) 18:30~20:30
4.開催場所:大阪大学中之島センター 7階 講義室702
5.講演概要

詳細はこちら

会員番号1709 荒町 弘

1.テーマ   (1)「ソフトウェア著作権研究プロジェクト最終報告」
        (2)「システム監査の多様性研究プロジェクト(システム監査学会)報告」
2.講師    京都聖母女学院短期大学 生活科学科 准教授 荒牧裕一 氏
         (本協会近畿支部会員、システム監査学会理事)
3.開催日時  2015年7月17日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 7階 講義室703
5.講演概要

詳細はこちら

会員番号0645: 是松徹

1.テーマ  :「失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介」
2.講師   :公認システム監査人 松井 秀雄氏
3.開催日時 :2015年5月15日(金) 18:30~20:30
4.開催場所 :大阪大学中之島センター3階 講義室301
5.講演概要 :
詳細はこちら

会員番号169: 林 裕正

1.テーマ   消費税の複数税率化の動向とシステム監査
2.講師    ジョイント・ホールディングス(株)IFRSグループ・ディレクター  システム監査技術者・公認システム監査人  田淵隆明氏
3.開催日時  2015年3月20日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 講義室201
5.講演概要
詳細はこちら

会員番号 1627 上村 智幸

1.テーマ   IT-BCPの実効性を高める訓練・演習とその監査
2.講師    日本システム監査人協会近畿支部会員 松井 秀雄 氏
(近畿支部 BCP研究プロジェクトメンバー)
3.開催日時  2015年1月16日(金) 19:00~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要
詳細はこちら

ISACA大阪支部 今本憲児

1.テーマ   地域情報化と防災
 ~CATVネットワークを利用した緊急告知と地方公共団体のICT-BCPの現況~
2.講師    ㈱嶺南ケーブルネットワーク 顧問(情報通信担当) 川端 純一 氏
3.開催日時  2014年12月13日(土) 15:00~17:00
4.開催場所  大阪大学中之島センター 3階 講義室301
5.講演概要
詳細はこちら

会員番号 2083  竹下 健一

1.テーマ   ソフトウェア著作権研究プロジェクト中間報告
2.講師

大阪成蹊大学名誉教授 松田 貴典 氏

京都聖母女学院短期大学 生活科学科 准教授  荒牧 裕一氏

3.開催日時  2014年9月19日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要
詳細はこちら

会員番号169  林 裕正

1.テーマ   暗号通貨ビットコインの脆弱性と可能性
2.講師    京都聖母女学院短期大学 生活科学科 准教授 荒牧総合研究所代表 中小企業診断士 荒牧 裕一氏
3.開催日時  2014年7月18日(金) 18:30~20:30
4.開催場所  大阪大学中之島センター 講義室301
5.講演概要
詳細はこちら

報告者:No.2520 松本拓也

1.テーマ  : 「ゴルフ場の総合基地化提言」
2.講師   : 株式会社 エスシーエイエヌ  代表取締役 中田 和男氏
3.開催日時 : 2014年5月16日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター2階 講義室201

5.講演概要 :
詳細はこちら

            報告者:No1710 小河裕一

1.テーマ :「中小企業におけるリスク認識の手法について」
~JNSA西日本支部WG活動を通じて~

2.講師  :富士通関西中部ネットテック株式会社 JNSA西日本支部 嶋倉 文裕氏
3.開催日時:2014年3月20日(木) 18:30~20:30
4.開催場所:大阪大学中之島センター2階 講義室201
5.講演概要:

詳細はこちら

1.テーマ :「新しい『IT事業者評価制度』導入の政策提言」
2.講師  :株式会社エスシーエイエヌ 代表取締役 中田 和男 氏
3.開催日時:2014年1月17日(金) 18:30 ~ 20:30
4.開催場所:大阪大学中之島センター 講義室201
5.講演概要:
詳細はこちら

報告者:No.0645 是松 徹

1.テーマ :「サポート期限切れOSの守り方」
2.講師  :ネットエージェント株式会社 代表取締役 杉浦 隆幸 様
3.開催日時:2013年12月14日(土) 15:00 ~ 17:00
4.開催場所:大阪大学中之島センター 講義室301
5.講演概要:
詳細はこちら

報告者:№2419 馬場秀樹

1. テーマ :「データセンター運用におけるシステム監査の有用性」
2. 講師  :西日本電信電話株式会社 京都支店 横山 雅義 氏
3. 開催日時:2013年11月15日(金) 18:30 ~ 20:30
4. 開催場所:大阪大学中之島センター 2階 講義室201
5. 講演概要:
詳細はこちら

報告者:No.0645 是松 徹

1.テーマ :「私が経験したシステム監査の実態について」
2.講師  :関電システムソリューションズ株式会社
       経営改革推進本部 人財部 椋野 誠司 氏
3.開催日時:2013年9月20日(金) 18:30 ~ 20:30
4.開催場所:大阪大学中之島センター 3階 講義室301
5.講演概要:

詳細はこちら

No2089 阪口博一

1.テーマ   : 「あなたのへそくり、奥様にばれていませんか」
~身近なテーマで、セキュリティをユーザに分かりやすく伝えよう~
2.講師    : NTT西日本 大阪支店 粕淵 卓氏
3.開催日時 : 2013年5月17日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター 3階 講義室301
5.講演概要 :

詳細はこちら

No1710 小河裕一

1.テーマ  : 「マネジメントシステム規格の統合的な利用と効果的な認証審査」
2.講師   : 有限会社吉谷コンサルティング事務所  吉谷 尚雄氏
3.開催日時 : 2013年 3月15日(金) 18:30~20:30
4.開催場所 : 大阪大学中之島センター 2階 講義室201
5.講演概要

詳細はこちら

No.1428 中田 和男

1.テーマ :「システム監査事例からシステム監査について考える」
2.講  師:三橋ITコンサルタント(代表) 三橋 潤氏
3.開催日時:2013年1月18日(金)19:00~20:30
4.開催場所:大阪大学中之島センター 2階 講義室201
5.講演概要:

詳細はこちら

No1710 小河 裕一

1.テーマ :「最新サイバー攻撃の脅威と富士通クラウドCERTの取り組み」 – 新型攻撃に対して、今何をすべきか –
2.講師  :富士通株式会社  クラウドCERT室長  奥原 雅之氏
3.開催日時:2012年12月15日(土) 15:00~17:00
4.開催場所:常翔学園大阪センター 302教室
5.講演概要

詳細はこちら

報告者:No1687 小宮 弘信

1.テーマ  : 「“JIS Q 20000-1の改正のポイント”と“ITSMSの本当の効果”」
2.講師   : 株式会社マネジメント総研 代表取締役 小山俊一氏
3.開催日時 : 2012年11月16日(金) 18:30~20:30
4.開催場所 : 大阪大学 中之島センター 2階 講義室201
5.講演概要

詳細はこちら

報告者:No1709 荒町 弘

1.テーマ  : 地方自治体の基幹システム再構築におけるSLA(サービスレベル・アグリメント)について
2.講師   : 近畿大学経営学部 津田 博 先生
3.開催日時 : 2012年9月21日(金) 18:30~20:30
4.開催場所 : 大阪大学 中之島センター 2階 講義室201
詳細はこちら