JSSA システム監査学会
  

研究プロジェクト

(2016/6/30 updated)


ホーム>研究プロジェクト

 2016年度(2016.4〜2017.3)は8つの研究プロジェクトを設置します。


 2015年度の各プロジェクトの研究成果は2016年6月3日の第30回研究大会で報告しました。
   研究成果資料はこちら
   2007年度〜2014年度の研究成果はこちら



<研究プロジェクト登録方法>


 登録を希望される方は、「研究プロジェクトの登録」のページからお申し込みください。

(注)前年度から継続して参加するプロジェクトについても継続意思確認のため、再度登録をお願いします。


   
  参加資格:会員(正会員/学生会員/賛助会員)のみ

◆2016年度研究プロジェクト一覧◆


「情報セキュリティ」研究プロジェクト(継続)

(主査:川辺良和)

※「情報セキュリティ専門監査人部会との合同プロジェクトを開催」
研究テーマ
と概要
 中小組織を対象に、主としてマネジメントの側面に着目して情報セキュリティの諸問題を取り上げ、セキュリティの確立と強化のために有効な考え方や具体的実施策を提案し利用してもらうことを目標にしている。
 今年度も、テーマの選定からはじめて、関係する情報の収集と分析、宿題を持ち寄っての意見交換、それを整理し次に展開するという作業を全員で繰り返して行い、1年後には具体的な研究成果にまとめ発表する予定である。
計画日程  7月初旬より開始、平均月1回の頻度で開催する。場所は地下鉄東西線竹橋駅徒歩2分にある「ちよだプラットフォーム」会議室を予定している。今年度も情報セキュリティ専門監査人部会との合同研究を考えている。
2015年度
の活動成果
 2015年度も情報セキュリティ専門監査人部会と合同で研究を進めた。
 前半は主として、2015年度の研究テーマの絞り込みに向けて、2014年改訂ISMSの中小企業への展開やマイナンバー制度、最近のセキュリティ事件・事故への対応策等の情報セキュリティをめぐる話題について自由に意見交換を行った。
 後半は、昨年の研究発表で取り上げた営業秘密管理指針(2015改訂版)に対して、経済産業省から具体的な対策方法を示したマニュアルとなる「秘密情報の保護ハンドブック」(2016.2)が発行されたので、プロジェクトではこのハンドブックの内容を精査し、営業秘密の具体的な保護方法、そしてISMSの情報セキュリティ管理策との関連性を明らかにしたので、これら研究成果を大会で発表した。
 2016年度は新たに研究テーマを設定して研究を行う。
 なお上記の新テーマの研究と並行して、2015年度後半の成果についてさらにISMSと営業秘密の情報セキュリティ対策との関係を明確にして、中小組織に対してどのように適用すべきかについて検討し、それらを研究論文としてまとめることを目標に進める。  

▲このページのトップに戻る

「リスクマネジメント」研究プロジェクト(継続) 

(主査:森宮 康/副主査:黒澤兵夫)

研究テーマ
と概要
■テーマ
 国内外の経営・事業環境の激変とリスクマネジメントの実践的研究
■概要
 今日、経営・事業環境は国内のグローバル化と著しく速い展開と激変が、企業・組織を取り巻く経営・事業のリスクマネジメントの必要性が高く求められている。これらに対応すべく事業継続システム(BCP/BCMS)について、いかに企業・組織として取組みを行うべきか、リスクマネジメントの視点から考察する。
 成熟度モデルで管理統制された企業・組織へどのようなアプローチが最もよいか種々調査・研究する。
 また、BCMSの国際認証ISO22301をベースに、特に運用(第8項)の展開と実践を図る。
 さらに、事業継続システム(BCP/BCMS)の面から、リスクマネジメントの重要性をシステム監査の視点に基づき、適用範囲を拡大させ、リスクマネジメントの枠組みの検討を行う。これにより社会情報システム全体に拡大し、適用を図る中で、次の研究を行う。

1.対象とするGSCMSの適用・拡大
2.GSCMSに関するリスクマネジメント深耕
3.GSCMSにおけるリスクマネジメント評価(JRMS2010)
4.ISO22301の適用と展開および実践
5.BCP/BCMSに関する進化と深化およびシステム監査の実践
6.経営者の執行態様と評価
7.管理基準、監査基準との整合性、および新規提案等
計画日程  7月より開始し、1回/2〜3か月の頻度で開催し、MLで検討も行う。場所は明治大学等の会議室を予定している。理論と実践的な成果のとりまとめを行う。次回の研究発表大会で研究成果を報告する予定である。
2015年度
の活動成果
・頻度:1回/2〜3か月
・内容:事業継続計画/事業継続マネジメントシステム(BCP/BCMS)とシステム監査について、流通業をモデルとして、JRMS2010、ISO31000、ISO22301を適用しMSS(PDCA)と成熟度の向上を図る調査・検討および情報発信を行っている。あわせて、システム監査として必要な監査項目、管理項目を洗い出し、実際に企業/組織へ適用を図り、課題・改善点を調査・検討し、提言と情報の発信を行っている。活動成果を第30回研究大会で発表した。
 

▲このページのトップに戻る

「情報セキュリティ対策の診断」研究プロジェクト(継続)

(主査:木村裕一)

研究テーマ
と概要
■テーマ
 「中小企業へのサイバー攻撃を防御するためのCSIRT導入の考察」
 中小規模企業も多くの重要な情報を保有し、扱っている状況では、大企業同様に標的型攻撃により狙われる対象になっている。しかし、各種調査では中小規模企業の対策は十分ではない。中小規模企業が行う標的型攻撃への対策を、CSIRT導入として、できるだけ容易に取り組める方法を研究する。経営者の取り組む認識が重要であることや、中小規模企業の経営資源が少ないこと、技術力も十分ではないことを考慮して検討する。2015年度からの継続研究であり、途中経過を研究大会で報告する。
 現在はCSIRT導入を5つのアプローチ(組織的アプローチ、ツールと技法によりリスク認識を図るアプローチなど。研究大会の報告をご参照ください)により実施する方法を検討している。2016年度は、この方法を具体化し、体系づけてまとめる。また、この方法を中小規模企業に適用して、その有効性を確認する実証実験を視野に入れて研究する。

■目標とする成果
 中小企業へのCSIRT導入の考察(検討結果はシステム監査学会の論文としてまとめる計画である)
 中小企業へのCSIRT導入方法の実証研究による有効性確認
計画日程 日程:原則として毎月中旬1回の定例会
   平日の18:30から、場所:東京都南部労政会館 会議室
   (山手線大崎駅5分) 他
 なお、第1回日程についてはご連絡をくださった方にお知らせします。
2015年度
の活動成果
  • 1.当プロジェクトの研究会を、毎月中旬、平日の夜間に五反田、その他の会議室にて約2時間実施した。
  • 2.2015年度の研究テーマ 「中小企業へのサイバー攻撃を防御するためのCSIRT導入の研究」
     2015年は上記テーマについてさまざま検討・思考をしてきた。多くの組織、業種を対象にサイバー攻撃が激しさを増しており、また、国や社会の安全性を脅かすように性格も変わりつつある。世の中でサイバー攻撃に対して基本対策、攻撃方法、防御方法、事業継続を考えた対策などさまざまな視点から研究が行われている。サイバー攻撃には国も危機感を持って取り組んでおり、内閣サイバーセキュリティセンターが府省庁向けの「高度サイバー攻撃対処のためのリスク評価等のガイドライン」、2015年末には「サイバーセキュリティ経営ガイドライン」等を公表して対策を進めている。民間企業も無差別に攻撃を受ける状況で、当研究プロジェクトでは、中小規模企業ではなぜサイバー攻撃対策(CSIRT導入)が進まないのか、対策を導入するために経営者にいかに働きかければよいか、また中小規模企業ができるだけ容易に取り組める方法を研究してきた。現在進行中であり、2016年につなげる。

▲このページのトップに戻る

「法とシステム監査」研究プロジェクト」(継続)

(主査:稲垣隆一/副主査:黒澤兵夫)

研究テーマ
と概要
■概要
 システム監査は、情報システムの企画、開発、運用、保守に関する現実的な課題の予防、解決に、いかに役立つのか? レピュテーションリスク、クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバー制度、IOT/IOEシステム、サイバーアタックなど現下の課題、判決例に表れた紛争事例を素材に検討し、その成果を生み出すシステム監査の技法の開発、管理基準の改訂の提案などに結びつける。

■研究テーマと概要
 事例として「レピュテーションリスクマネジメントと情報漏洩」を研究課題として、判例などをベースにシステム監査の観点から調査・研究する。
 並行して次の事項も研究する。

@クラウドコンピューティング、ソーシャルネットワーク、ビッグデータの取扱い、マイナンバーシステム、IOT/IOEシステム、サイバーアタックなど、新しいシステム技術に係る法的課題の洗い出しと、これらに対するシステム監査の寄与。

Aシステム開発プロセスのコンプライアンス監査
 システム開発紛争を未然に防止し、円滑なシステム開発を支援することを目的とするシステム監査の尺度と技法を検討する。


 具体的には、システム開発に関する裁判例や参加者の経験を素材に、システム開発企画、要件定義、仕様決定、契約、開発工程、外部委託、情報漏えい対策、クラウド利用、システム統合、個人情報保護法、不正競争防止法、下請法、派遣業法、金融検査マニュアルなど外部規範への適合などを検討し、システム開発態勢におけるシステム監査の位置づけ、紛争の未然防止を監査目的とするシステム監査の尺度、監査技法を研究して、システム開発紛争を防止し、円滑なシステム開発を支援するためにシステム監査が果たし得る機能を明らかにする。
計画日程 頻度:原則として1回/2〜3か月の定例会。平日午後18:30から開催。
場所:稲垣弁護士事務所
2015年度の
活動成果
・頻度:1回/2〜3か月
・内容:「年金機構の情報漏えい」について、事例、判例等を検討・調査し情報発信する。
 この事例をもとに、システム管理基準、監査基準の改定、追記などの検討と提言を試みる。
 企業/組織は素早く適切な対応を取らなければ存亡の危機に追い込まれる。これをシステム監査の立場から提言を図る。
・成果は、2016年6月の第30回研究大会で発表した。

▲このページのトップに戻る


「ITガバナンスと内部統制」研究プロジェクト(継続)

(主査:清水惠子/副主査:三浦泰史) 

研究テーマ
と概要
■研究テーマ
 ITガバナンスと内部統制をテーマに、昨年度に引き続き、課題について企業としての対応策を考えて、2017年6月の研究大会で発表する。
 IT利用したガバナンスのあり方を検討する。ガバナンスと内部統制、取締役会のモニタリング機能とITの利用について検討していきたい。
計画日程 ・隔月1〜2回を予定
(平日の18:30から、2時間程度、場所は未定。会議室提供可能な方歓迎です。)
・ITガバナンスと内部統制について研究し、その成果を研究論文として公表する。
2015年度の
活動成果
不正会計とガバナンス内部統制について検討した。

▲このページのトップに戻る


「IT監査保証の判断基準」研究プロジェクト(継続)

(主査:松尾 明/副主査:稲垣隆一、本田 実)

研究テーマ
と概要
  • ドラッガーが2005年に遺言として日本語のみで出版した『テクノロジストの条件』を基本書として用い、その後の環境変化を再認識し、理論的背景としてまとめて公表する。
  • 2013年に公表されたAICPAの「Information Integrity」の白書の翻訳
  • COSOおよびCOBITへの提言
計画日程
・2014年:国内向け課題抽出と提言
・2015年:アジア、米国、欧州を見据えた課題抽出と提言(日本語)
・2016年:英語による国際的提言
・2016年は、
a)グローバルに展開する日本企業のシステムプロジェクト評価のためのチェック、監査リストの案を作成する。特に上流部分を金融検査マニュアル、PMBOK等を検討して作成するだけでなく、プロジェクトベースで実証する。
b)翻訳の2弾目として2014年に公表されたCOSOの「COSO in the cyber age」の仮訳を完成させる。
c)COSOとCOBITの最新版の整合性を検討することで、COBITの改定の提言を英語でISACAに対し行う。
d)ヘルスケアの世界的な最新展開を分析する。
e)金融システムにかかわるエンジニアの質的要件を欧米の先進事例をもとに分析する。
多くの会員の方々の参加をお待ちしています。
全体のプロジェクトの会議は、原則 第2水曜日6時半から市ヶ谷法政大学一口坂キャンパスで行います。
会員で個別にa~eの研究に参加されたい方は、ご登録ください。
2015年度の
活動成果

・AICPAの白書の仮翻訳終了
・ヘルスケアシステムの検討
・金融システムの検討
・COBITのアセスメント検討
・3月28日の第2回定例研究会で成果を発表。

▲このページのトップに戻る



「システム監査の多様性」研究プロジェクト(継続)

(主査:荒牧裕一/副主査:雜賀 努)

研究テーマ
と概要
 ICTを利用した情報システムが高度化し適用範囲が広がるに従って、情報システム関連の評価に対する要求も多様化し、システム監査においても従来と違う視点が求められている。
 本研究会では、ビッグデータ、知的財産保護、SNS等の多様化する情報システムについて、システム監査の視点からの検討を行っている。研究会での討議を通じて、知識の整理と相互研鑽の場とする。
 2016年度も、引き続き、多様性のテーマについて発表と討議を行う(マイナンバー制度、フィンテック、知的財産権、IoT 等)。
 討議の進め方については、個人発表と合同研究の両者を併用し、テーマによって使い分ける。また、既出のテーマについても、さらに深く研究することも行う。
 1年間の成果は、2017年6月の研究大会で報告する予定である。
計画日程 毎月1回を予定。
(大阪市立大学梅田サテライトまたは大阪大学中之島センターにて)
2015年度の
活動成果
 ICTを利用した情報システムが高度化し適用範囲が広がるに従って、情報システム関連の評価に対する要求も多様化し、システム監査においても従来と違う視点が求められている。本研究プロジェクトでは、このように多様化する情報システムについて、システム監査の視点からの検討・討議を行い、知識の整理と相互研鑽の場としている。
 2015年度においては、「年金機構の個人情報流出問題について」「不採算PJ撲滅にむけた状況の数値化と予兆検知」「マイナンバーとシステム監査について」「SAP Audit Managementについて」等の組織保護の新たな視点に関するテーマを取り上げ、これらがシステム監査実務にどのような影響を与えるのか研究した。

▲このページのトップに戻る



「マイナンバー特別」研究プロジェクト(継続)
※「個人情報保護専門監査人部会との合同プロジェクトを開催」

(主査:本田 実/副主査:黒澤兵夫)

研究テーマ
と概要
■テーマ
 マイナンバー制度への対応にあたって、システム管理基準に基づき、SLCPを通じて考慮すべき項目を研究する。

■概要
 前年度に引き続き以下の作業を予定している。
  • @2015年度の成果物のレビュー
  • A中小企業向けにガイドラインの使い方の提示方法検討
  • B区分として「パッケージソフトウェア&ASPサービスの活用」、「手作業での対応」以外に、「アウトソーシングの活用」も追加する。
  • Cコンプライアンス面も強化する
  • D成果物を実際に適用し結果を検証する
以上により、実際に役立つガイドラインの作成、提示を目指す。
計画日程 原則として月1〜2回開催。平日18:30から2時間程度
 場所は、城西国際大学紀尾井町キャンパス
 今年度が最終年度と考えている。
2015年度の
活動成果
「中小企業におけるSLCPのマイナンバー対応ガイドライン」(パッケージソフトウェア&ASPサービスの活用、手作業での対応バージョン)

2015年度以前の研究成果はこちら

▲このページのトップに戻る