JSSA システム監査学会
  

第29回研究大会講演要旨

(2015/4/09 updated)


ホーム研究大会>第29回研究大会講演要旨


講演・報告・発表要旨一覧

プログラム・参加受付はこちら
<基調講演> 「レピュテーションリスクマネジメントとこれからの経営」
Reputation Risk Management, a paradigm for next generation management
特定非営利活動法人日本リスクマネジャー&コンサルタント協会 副理事長 前田 泉 氏
売上や利益だけでなく、社会との共生や地球環境保護もステークホルダーの関心事となってきている。
組織における無形資産の比率は高まってきており、その中でもス テークホルダーが形成するレピュテーションの価値は重要である。レピュテーションはメディア等を通じてあるイメージを個人および社会に形成するが、必ずしもポジティブなものばかりではない。また、SNS等を通じて 急速に負のイメージを拡散する場合もあり、組織の事業継続のためにレピュテーションをどう維持し向上させていくかが課題となる。
IT基盤をベースにしたソフト主導の時代にあって、これからの経営 におけるレピュテーションリスクマネジメントのあり方について考察する。

報告(専門監査人部会活動報告/研究プロジェクト成果報告)

<情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト合同成果報告>
「ISMS情報セキュリティ対策における営業秘密保護の考察」
Considerations for "the protection of the trade secret" in the Information Security Management System (ISMS) 
高橋孝治公認会計士事務所 高橋 孝治 氏
ISU 植野 俊雄 氏
情報セキュリティの保護対策の裏を掻い潜って秘密情報を持ち出し、競合企業や名簿業者等に持ち込むという事件が繰り返し発生している。新聞などの報道によれば、内部者によるこれら悪意ある意図的な情報流出事件では、不正競争防止法の営業秘密に対する不正取得行為などで検挙されている。
ISMSの情報セキュリティ対策では、これらの内部者の犯罪行為からも秘密情報を守らなければならない。しかし、ISO27001のリスクマネジメントの手法でISO27002の管理策ガイドを参考に管理策を採用する際に、営業秘密とか不正競争防止法とかいう言葉が現れてこないので、営業秘密の保護が不完全になりやすいのではないかと考えた。
そこで、合同研究会では、ISMSの情報セキュリティ対策で営業秘密の保護に有効な対策を講じるにはどうすればよいかを研究し、対応策を考察した。
<個人情報保護専門監査人部会活動報告>
新「個人情報保護法」とシステム監査
System Audits and New “Act on the Protection of Personal Information”   
マネージメントサービス株式会社  内桶 孝雄 氏
2015年3月、個人情報保護法の改正成案が国会に提出されました。その概要によれば、「個?情報の保護を図りつつ、パーソナルデータの利活?を促進することによる、新産業・新サービスの創出と国?の安全・安?の向上の実現」を主旨とし、従来の個人情報保護法の枠組みではできなかった、個人情報を特定の個人を識別できないよう加工したデータを本人の同意なく第三者提供することが可能になりました。ただし、本法案においては、「個人識別番号」「用配慮個人情報」「匿名加工情報」などの用語が新たに定義され、事業者の責務も増えています。そこで、新たな個人情報保護法の下で、パーソナルデータを取り扱うシステムにおけるシステム監査とはどうあるべきか、またどうすべきかを考察します。
<会計システム専門監査人部会活動報告>
会計システムのシステム監査の将来についての考察
Next Stage of Accounting System Audit
Right Way・SAC株式会社  平塚 康哲 氏
会計システムを含む企業・組織の基幹システムは、クラウド化などグローバルな環境変化を受け、変わりつつあると考えられています。また、経済状況の変化により、IT統制への関心も高まる事も予想されます。会計システム専門監査人部会として、時代の傾向を考慮し、それに追随し社会的な貢献ができる様にする為、これからの活動の方向性を見極める時期に来ていると考えております。部会報告として、会計システムにおけるシステム監査の今後についての考察を行います。
<リスクマネジメント研究プロジェクト研究成果報告>
「システム監査と事業継続マネジメント(BCMS) 〜ISO22301のモデル適用による検討〜」
BCMS: Business Continuity Management System−Study by model adaptation of ISO22301−
イオンエンターテイメント株式会社 足立 憲昭 氏
当研究プロジェクトは、事業継続マネジメントシステムについてJRMS2010成熟度モデルを活用しながら、各レベルにおけるマネジメントスタイルの特徴を研究してきた。メンバーが、次々に起こる事件・事故の事例について、その背景から当該企業の成熟度レベルを評価した。今年度は、ISO22301(事業継続マネジメントシステム)を適用するときの課題について、中小企業をモデルに箇条8「運用」の適用に絞って検討した。その結果、多くの企業が作成しているBCP(事業継続計画書)が、BCMS(事業継続マネジメントシステム)とならずに専門部署に留まっている(成熟度レベルU)ことの問題点が見えてきた。マネジメントシステムとして、経営体質改善につながる(成熟度レベルW)ためのヒントの一部を提示したい。
<情報セキュリティ対策の診断研究プロジェクト研究成果報告>
「中小企業へのサイバー攻撃を防御するためのCSIRT導入の研究 」
Study of the CSIRT introduction to defend the cyber attack to the small and medium enterprises
木村 裕一 氏
高度サイバー攻撃に対して民間企業、特に中小規模企業向けに適切に対策するためのガイドラインがなく、対策は一部の企業を除き普及していない。
セキュリティの対策が進まない要因の一つとして経営者が高度サイバー攻撃のリスク内容やの大きさを十分に認識していない事が考えられる。経営者がサイバー攻撃のリスクを認識し、対策要否の判断が出来るよう、CSIRT(Computer Security IncidentResponse Team)を中心に明確にする方法を研究した。
研究の成果となるガイドラインの手法をベースにして、高度サイバー攻撃への対処をどのように監査するか、有効性などをどのように監査するかの検討は今後の課題とした。
<ITガバナンスと内部統制研究プロジェクト研究成果報告>
「外部委託のガバナンス」
How control outsourcer
公認会計士、システム監査技術者  清水 惠子 氏
ITガバナンスを語る時にインターネットの発展に伴って難しいのは、ITの利用において他者に依存する面が大きいことである。ベネッセの情報漏えい事件もあり、外部委託先管理が強化されようとしているが、課題はこれだけではない。完全に独立した環境の自前のホストコンピュータを動かした時と比べるとネットにつないだと同時に、ネットワークが完全に自前の内部ネットワークで無い限り、ネットワークの運用は他社に依存することになる。OSも提供した側のサポート切れで対応を迫られる。今回は外部委託のITのガバナンスについて考察したい。
<法とシステム監査研究プロジェクト研究成果報告>
「情報漏えい発生時のレピテーショナルリスクと危機管理〜システム監査の視点から」
Reputational Risk and Crisis Management against the incident of information leakage
- Review Points for IT Auditor
情情報セキュリティスペシャリスト 久山 真宏 氏
セキュリティインシデントにおける企業の情報漏えいが多発している。それに伴い、情報漏えいが発生した際に起こる問題が顕在化してきている。発生しえる問題の中でも、悪評による企業への被害は、ブランド力の低下や、利益の低下、最悪の場合は企業が倒産になる危険性がある。そこで、事例を基に情報漏えい発生時における企業の危機管理とリピテーショナルリスクマネジメントについてシステム監査の視点から考察する。
<共通フレーム2013をベースとしたシステム管理基準検討研究プロジェクト研究成果報告>
「共通フレーム2013をベースとしたシステム管理基準検討研究プロジェクトの概要 最終版」
Overview of the research project of System Management Standards based SLCP-JCF2013”Final Version  
城西国際大学 本田 実 氏
2014年度は本研究プロジェクトの最終年度で「共通フレーム2013」をベースとしたシステム管理基準の改定案を作成した。システム監査は情報システムのライフサイクル(SLCP)にしたがって、情報システムの信頼性、安全性、効率性を検証するのが原則である。現行システム管理基準ではSLCPの作業を意識はし
ているが、網羅性や順序性を必ずしも意識はしていない。共通フレームと対応させることで補完すべきコントロールを組込みの試みを中心の作業とした。
<IT監査保証の判断基準研究プロジェクト研究成果報告>
「ドラッカーの遺言の事後検証」
Drucker's Testament and Follow-up Review
公認会計士 松尾 明 氏
2005年11月にドラッカーが亡くなってから10年になる。
2005年に日本語のみで「テクノロジーの条件」というアンソロジータイプの本を出版している。(ダイヤモンド社、2005年9月上田淳生編訳)
この講演では、2015年度のIT監査保証の判断基準プロジェクトで基本書としてとりあげる遺言ともいえる本書の、エピローグのひとつ、テクノロジーモニタリングの事後検証を行う。
<システム監査の多様性研究プロジェクト研究成果報告>
「多様化するシステムへの実務対応」
Accomplishment Report by "Diversity in System Audit" Research Project
- Practical Correspondence to Diversifying System -
京都聖母女学院短期大学 荒牧 裕一 氏
ICTを利用した情報システムが高度化し適用範囲が広がるに従って、システム監査においても従来と違う視点が求められている。本研究会では、このように多様化する情報システムについて、システム監査の視点からの検討・討議を行ってきた。今回その最終報告として、多様化するシステムと、それに対応するシステム監査実務のあり方について報告する。

研究発表

<研究発表1>
「Raspberry Pi」 に構築した模擬戦環境によるサイバー攻撃の解析手法の提案
A Proposal of Cyber-attack Analysis Method by Simulated Environment on “Raspberry Pi”
株式会社電脳商会、「情報セキュリティ対策の診断」研究プロジェクト メンバー  西澤 利治 氏
高度サイバー攻撃対策として、マルウェア感染に対する入口対策やネットワークの内部対策が実施されてきたが、標準的な対策が機械的に適用されることも多く、実際に防御効果があるのか有効性が確認されていないなどの問題がある。
本研究は、教育用のワンボードLinuxパソコン「Raspberry Pi」で攻撃サーバーと標的サーバーのセットを構築してサイバー攻撃の模擬戦を行う。攻撃サーバーはサイバー攻撃に使用されるツールで標的サーバーに対し偵察・調査の模擬攻撃を行い、標的サーバーは攻撃への対抗手段を実装して防御することで、サイバー攻撃を再現して実践的に対策の有効性を評価できる環境を構築する。
これによって、高度サイバー攻撃で実際使用されている技術や手法を理解し、サーバーに適切な対抗手段を導入することでどのようにサイバー攻撃の脅威が回避されるのか、対抗手段の有効性を評価することが可能となる。
<研究発表2>
「システム監査関連基準の金融情報システムへの適用の考察」
A Study of EDP Audit Standard in Application for Financial information systems
慶應義塾大学大学院 システムデザイン・マネジメント研究科 
後期博士課程修了 博士(システムデザイン・マネジメント学) 遠藤 正之 氏
教授 高野 研一 氏
我が国金融機関の情報システム(金融情報システム)の社会インフラとしての重要性が高まっている中で、経営リスクへの比重も増しているが、経営者が適切に目配りをできていないケースも多い。本研究では、4種類の代表的なシステム監査に関連する基準を用いて、経営者から見たシステム監査ポイントを抽出し、6つの観点に集約する試みを行った。更にシステム監査人に対しても、ビジネスリスクが意識された「COBIT4.1版」と実務的な項目が網羅された「金融機関等のシステム監査指針」を組み合わせ、「システム管理基準」や「金融検査マニュアル」の項目を補完することが妥当であると提言する。
<研究発表3>
「ICTの多様化に伴うシステム監査の多様性〜スマートデバイスの業務活用を例に〜」
Diversity in System audit due to the diversification of ICT
-An example the business use of the smart devices-
パナソニック溶接システム株式会社 深瀬 仁 氏、大阪成蹊大学(名誉教授) 松田 貴典 氏
ICT(情報通信技術)の高度化と多様化は、システム監査の多様性が求められる。特に、パソコンと携帯電話の融合化と進化による「スマートデバイス」の活用は、企業では、営業現場のみならずトップマネジメントの迅速な意思決定手段として進化している。
近年では、ICTの進展が著しく、情報システムが高度化することで、システム監査の対象は拡大し、監査視点・監査のテーマは複雑化と細分化が進み、システム監査にも多様性が要求されている。
「システム監査の多様性」については、情報機器、情報通信、情報システムの関連が、三次元にして複雑にからみあった脆弱性を紐解くように、研究、調査、実践を繰り返すことから始めなければならない。
本研究は、スマートデバイスの業務活用という一つの事例にまずは焦点をあて、構成要素それぞれのパターンだしと、それらの脆弱性を紐解くことで、「システム監査の多様性」について考察する。
<研究発表4>
「データガバナンスとIT監査〜内部監査の視点から」
Data Governance and IT Audit - Requirement for Internal Auditor
システム監査技術者、CIA、CISA  成田 和弘 氏
今日の社会では、情報処理能力の飛躍的向上により、リアルタイムに変動する組織内の情報や、新しい種々の情報を掌握しての迅速な意思決定が組織の競争力に直結しており、組織ガバナンス上の重要な課題となっている。
しかしながら多くの組織では、システムエンジニアリングの局面ではデータ項目を管理し、効率的なシステム構築などに活用しているが、限定的・局面的な整備・活用にとどまっており、経営に必要な組織内の情報を組織・業務横断的に、適時に十分な品質で利用可能とするレベルには至っていない。
2013年版COSOの原則13でも「組織は、内部統制が機能することを支援する、関連性のある質の高い情報を入手または作成して利用する」としており、内部統制の一翼を担う内部監査部門がどのような視点でこのような「データガバナンス」に対するIT監査を行うべきかをCOBITやDAMA−DMBOK等の国際標準を参考に考察する。
<研究発表5>
「企業が最先端のITを有効に機能させるためのトータルポリシーの体系化
−ITリスクをITガバナンスにより未然に防止しうる組織構造と各種ポリシー及び制御の体系−」
Codify of Total Policy for effective NEW ITC  function
株式会社AStar総合研究所 所長 宮城 郁美 氏、研究員 萩原 功 氏
ICT技術の進展により企業内のITリスクは、基幹業務と外部のクラウド連携及びモバイル機器接続により一個人に対する標的型攻撃が、全社的な問題へと発展する危険が増している。さらにはSNS(ソーシャルネットワークサービス)や広告媒体連携やフィッシング詐欺等のインターネット上の巧みなリスクの出現により、セキュリティ、個人情報保護、プライバシーのみならず、著作権、肖像権、風評被害、パワハラ等企業内のリスクの種類が混在し複雑さが増している。そのため従来のセキュリティ、個人情報保護、ソーシャルメディアポリシー等の単一問題だけの捉え方だけではすまされない状況となっている。サイバー攻撃やビックデータ時代に対応できるITガバナンスについて、セキュリティガバナンス、リスクガバナンス等との連携及びリスク種類を体系化し整理すると共に、組織体系、規約、コントロール体系化を実例で考察する。
<研究発表6>
「中小企業に適した情報セキュリティ施策の現実的導入とシステム監査の役割」
Practical Implementation of the information security measures suitable for the medium
and small-sized business, and the role of Systems Audit
情報セキュリティ大学院大学 客員研究員  根岸 秀忠 氏
今まで中小企業の情報セキュリティ対策は何もできないというネガティブな観点からスタートするものが多かったが、本学で2012年から2014年に実施した情報セキュリティアンケート調査(ISMSやプライバシーマーク取得企業等)では、中小企業ならではの特徴があり、これを活かして中小企業の情報セキュリティマネジメントシステムを構築できることが分かった。また、情報セキュリティ管理策(見直し項目、理由)等の変化分析から、PCや携帯機器、コピー機等再生技術、第3者が提供するサービス利用など中小企業を取り巻く変化が読み取れた。2013年に改訂された情報セキュリティマネジメントシステム(ISO/IEC 27001、及びその管理策実施手引きISO/IEC 27002)を踏まえて、リソースの十分でない中小企業等において情報セキュリティの現実的対応策及びシステム監査の役割を考察する。
<研究発表7>
「システム監査とERMと経営計画〜第一報〜」
ERM and Management plan Supported by System Audit (First report)
株式会社 ニイタカ 監査室  雜賀 努 氏
論者が所属する中堅中小企業では実施しても不十分な点の指摘と実施できない改善の指摘となってしまう場合が多い。将来のシステムに対する指摘も実現可能性は低い。
論者は所属企業の全社的リスク管理の改善に係っており、全社的リスクと経営計画に連動性が不十分な実態を把握した。全社的リスクの関連性分析からはシステム関連のリスクはその他のリスクと関連性が見いだせなかった。
システム監査が企業の継続的な発展に寄与すべきであるとの観点から、全社的リスク管理でのシステム関連項目を他のリスクと連携して評価し経営計画との関連性に影響を与えて行きたい。今回はその第一報として現状のシステムに対する、現状把握、問題点の整理および対応の方針について述べる。
<研究発表8>
「情報セキュリティマネジメント形骸化防止のためのリスクアセスメントに関する考察」
Consideration about the risk assessment for losing substance of Information
Security Management
筑波大学  中山 幸雄 氏、教授 津田 和彦 氏
情報セキュリティマネジメントの形骸化がいわれている。その一つの要因として、リスクアセスメントが機能していないことがある。ISMSにおけるリスクアセスメントは、資産をベースにその機密性、完全性、可用性から資産価値を計算し、資産に対する脆弱性と脅威を想定し、リスクを算出する方式をとっていることが多い。しかしながら、リスクの見直しの際に、資産をベースにすると、かえってリスクが見出しにくく、これが情報セキュリティマネジメントの継続的改善を阻害する要因にもなっている。本研究では、この問題に対して、情報セキュリティマネジメントの継続的改善に資するリスクアセスメントについて考察を行う。


▲このページのトップに戻る