JSSA システム監査学会
  

第27回研究大会講演要旨

(2013/6/3 updated)


ホーム研究大会>第27回研究大会講演要旨


講演・報告要旨一覧
 <基調講演>
  「ビッグデータの潮流」

国立情報学研究所 所長/東京大学 教授   喜連川 優  氏

 米国がビッグデータに$200Mの研究開発資金を投入すると発表して1年を経ようとしている。ビッグデータなるアンブレラはより一層活況を呈している。 ビッグデータの潜在的インパクトと現状をいくつかの事例を通して報告する。


報告(専門監査人部会活動報告/研究プロジェクト成果報告)
<情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト 合同プロジェクト>
  「急激に変化する環境に対応した情報セキュリティへのアプローチ」
  "A New Approach to Information Security in Rapidly Changing Environment"
ブリーズ・コンサルティングオフィス  内藤裕之 氏
 ICTの急激な発展は、人々の生活や企業の活動を大きく変えてきた。企業の情報システムでは、サーバはオンプレミスからクラウドへと移行し、クライアントはパソコンからモバイル端末へと変わり始めた。一方、企業の雇用形態や働き方のスタイルも大きく変わってきており、コミュニケーション方法も多様化した。
 そのため、ウィルスを使った遠隔操作、フィッシング詐欺、クラウドによる予期せぬ業務停止等、新たなリスクも増大し、従来型のセキュリティ対策の適用が困難になっている。
 合同研究会では、これらの環境変化に対応して情報セキュリティへのアプローチも変えていく必要があるとの考えに立って、昨今のICT環境変化とそこに潜む本質的特性を明らかにし、それに対応した情報セキュリティ確保のための新しいアプローチ及びその基本的考え方を報告する。


 <個人情報保護専門監査人部会活動報告>
  「個人情報保護の国内外の動きとシステム監査」
 "Influence on the systems audits by amendment of personal data protection system in and outside the country"
富士通(株)  桃澤正和 氏
 マイナンバー法案やEUデータ保護指令など日本国内外の個人情報保護に関連する制度に動きが見える。日本の企業にはどのような影響があるのか、また、システム監査はどのように対応するべきか、個人情報保護専門監査人部会での検討結果を報告する。


<会計システム専門監査人部会活動報告>
  「公認会計士事務所でのITセキュリティを考える - セミナー実施報告」
  "Thinking about IT security in CPA office"
Right Way・SAC  平塚康哲 氏
 会計システム専門監査人部会では、日本公認会計士協会東京会の方々と協同で公認会計士の事務所におけるITセキュリティの向上を目的としたセミナーを昨年度企画し、実施した。典型的な公認会計士の方の日常業務を実際的にシナリオ化し、その中に潜むITセキュリティ上のリスクの理解、すなわち何がリスクとなるのか、どういう意味でリスクと考えなければならないのか等とリスクへの対処方法について解説している。そのセミナーの実施の概要として、報告する。


 <リスクマネジメント研究プロジェクト成果報告>
  「システム監査と事業継続マネジメントシステム(BCMS)〜社会的責任(SR)への道筋〜」
  "BCMS:Business Continuity Management System-The Process of Social Responsibility -"
リスクマネジメント研究プロジェクト  足立憲昭 氏
 当研究プロジェクトは、システム監査と事業継続マネジメントシステムの 構造化を仮説モデルを使いながら検討を続けてきた。
  @SCMにおけるBCMとSAのモデル化、AGSCMリスクチェックシート作成、BJRMS2010の活用、Cマネジメントレベル1〜2の企業をレベル3へ引上げ と進んできた。
  研究プロジェクトの中で自由に話し合いながら、次々起こる不祥事について 経営層・マネジャー層・現場層がどのようなリスクマネジメント態勢を構築 するのかまとめてきた。その中で監査人が独立性・専門性の立場から経営陣 とコミュニケーションをとりながら、リスクマネジメントのレベルを一歩一歩あげていく「現場力」の構築が最も重要ではないかと見えてきた。
  仮説による検証のため理論形成や明快な解析には至っていないが、中小企業がリスクマネジメント態勢を考えるためのヒントを報告できればと考えている。


 <情報セキュリティ対策の診断研究プロジェクト成果報告>
  「企業におけるSNSリスクリテラシーと対策の研究」
  ”Research of SNS risk literacy and measures  in the enterprise”
(株)デンカク  尾崎孝章 氏/ (株)電脳商会  西澤利治 氏
 SNSは企業の所属員(パートなどを含む)が私的に利用することが普通に行われている。これまでこの私的な活動までは教育や対策の主な対象に考えていなかった。
 このような状況で企業の従業員に必要なSNS利用のための基本的な知識・能力は何か。
 SNSに関る事件、事故が企業に被害を与える事例から洗い出したリスクとその対策をILAS(青少年のインターネット・リテラシー指標)の体系化されたインターネットリスク分類を参考に整理してリスクリテラシーを見直し、SNS利用ガイドラインの策定や従業員教育に利用することを研究した。


  <ITを利用したガバナンス研究プロジェクト成果報告>
  「IT統制の限界」
  
公認会計士  清水惠子 氏
 ITの利用拡大は、安価で便利な他のサービスの利用による恩恵を受ける反面、自社では管理できない範囲も増えている。IT統制はどこまで可能かを考える。


 <クラウドコンピューティングのシステム監査研究プロジェクト成果報告>
  「クラウド・コンピューティングのシステム監査〜システム管理基準からのアプローチ〜」
  "System auditing of Cloud Computing -Approach from the System Management Standards-"
パナソニック溶接システム(株)  深瀬 仁 氏/ 大阪成蹊大学  松田貴典 氏
 本発表は、システム監査学会・日本システム監査人協会の共同プロジェクトである【クラウド研究会】での活動内容をもとに発表する。昨年に引き続き、企業業態・規模を想定し、システム管理基準のパート(情報戦略・企画・開発・運用・保守・共通)ごとに、クラウドにおける留意ポイントを追記したガイドラインを作成した。この取組みの中で、システム管理基準との合わせが難しい内容、クラウドならではの留意点などあらためて整理できた。今回は、その最終報告である。


 <コンプライアンスのシステム監査研究プロジェクト成果報告>
  「コンプライアンスのシステム監査研究プロジェクト報告」
  "Interim report of System Audit study group For Compliance"
(株)ニイタカ  雜賀 努 氏/
 京都聖母女学院短期大学  荒牧裕一 氏/ 大阪成蹊大学  松田貴典 氏
 本研究プロジェクトは、システム監査人協会との共同で開始したものである。情報通信技術の進歩により、情報システム(ICTシステム)と密接に関連する法的問題を、コンプライアンス視点で点検・評価することが、重要な課題となっている。
 本研究プロジェクトでは一般企業(製造業)を対象とした情報システムを対象に、コンプライアンスのシステム監査基準の策定を目標として研究を行っている。今回は最終報告であり、実際に使用できるものへのシェープアップを目指した。


 <法とシステム監査研究プロジェクト成果報告>
  「ソリューションプロジェクトにおけるユーザの協力義務と課題」
  ”Users’ obligations to cooperate with venders in “solution projects” and the problems”
弁護士・システム監査技術者  荒木哲郎 氏
 当研究プロジェクトは、法的紛争解決手段の典型たる訴訟とシステム監査との関係の基本的理解を前提とした上で、近時のスルガ銀行対IBM事件の東京地裁判決で言及され、注目されるに至ったプロジェクトマネジメント義務に対応するものとしての「ユーザの協力義務」を分析し、システム監査の際のポイントとなるべき点を抽出する作業に取り組んできたが、本報告では、現時点での成果とともに、今後の研究の方向性について報告する。


 <共通フレームをベースとしたシステム管理基準検討研究研究プロジェクト成果報告>
  「共通フレーム2013をベースとしたシステム管理基準検討研究プロジェクトの概要」
  ”Overview of the reseach project of System Management Standards based SLCP-JCF2013”
城西国際大学  本田 実 氏
 2013年3月4日に発行された「共通フレーム2013」をベースとして、システム管理基準の見直しを行うプロジェクトの活動計画をまとめる。システム監査のISO化を考慮しながら、必要に応じてPMBOKやITIL等を参照する。成果物としては新システム管理基準である。その際の使用する用語は極力システム監査用語集と一致させる。


研究発表
 <研究発表1>
  「組織におけるアクセス制御とログ管理の強化施策」
  "The countermeasures for the Access and Logging controls on the organization"
情報セキュリティ大学院大学  根岸秀忠 氏/ 原田要之助 氏
コメンテータ 日本大学  齋藤敏雄 氏
 本学で実施した情報セキュリティアンケート調査(ISMSやプライバシーマーク取得企業等)では、多くの組織・情報セキュリティ管理者がアクセス制御と証跡(ログ)管理に苦慮している姿が明らかになった。クラウドコンピューティングやアウトソースなど組織の境界を越えた業務拡大、標的型攻撃等の新たな脅威など組織を取り巻く環境・リスクが大きく変化する中で、アクセス制御の高度化とログ情報の活用は喫緊の課題と言える。最早、パスワードルール徹底とログ保管だけでは間に合わない。システム管理者・システム監査人が対応すべき管理策強化のポイントを明らかにする。


  <研究発表2>
  「大規模個人情報漏えいの特性を考慮した、事業継続対策について」
  "Business Continuity Measures for Large Scale Private Information Leakage"
情報セキュリティ大学院大学  鈴木宏幸 氏/新原功一 氏/小倉久宜 氏/
根岸秀忠 氏/菅原尚志 氏/渡邉晴方 氏/原田要之助 氏
コメンテータ 大阪成蹊大学  松田貴典 氏
 情報セキュリティ大学院大学(IISEC)原田研究室では大規模個人情報漏えい事故発生後の事後対応策の必要性および、事後対応策の有効性を判断するための監査について、システム監査学会第26回研究大会及び2012年度第25回公開シンポジウムにて発表を行なった。
「個人情報漏えい時の対応については幾つかの先行研究がある。今回の発表では、それらの先行研究も踏まえた上で、大規模な個人情報漏えい時に事業継続計画(BCP)で考慮すべき点について再考を行った。


  <研究発表3>
  「業務利用のスマートデバイスのマネジメントについて」
  "Management of smartdevice for business use in enterprise"
情報セキュリティ大学院大学  平木健士 氏/ 原田要之助 氏
コメンテータ 東京経済大学  佐藤 修 氏
 スマートデバイスの急速な普及に伴い、企業では業務への安全かつ有効な活用法を探求している。2012年、本学によって、ISMSやプラーバシーマーク取得企業に対して、情報セキュリティアンケート調査を実施した。そこでスマートデバイスの利用状況や、セキュリティ対策の実施状況、管理上の課題となっていることについて明らかとなった。
 本論文では調査結果を踏まえ、スマートデバイスの業務利用においてはどのような管理が適切かを整理する。また、インシデント発生時の対応について考え、スマートデバイスの業務利用における管理面の監査の必要性、とくにスマートデバイスの特性による新しいリスク管理についての監査のポイントについて、考察する。


▲このページのトップに戻る