No.1428 中田 和男
1.テーマ :「システム監査事例からシステム監査について考える」
2.講 師:三橋ITコンサルタント(代表) 三橋 潤氏
3.開催日時:2013年1月18日(金)19:00~20:30
4.開催場所:大阪大学中之島センター 2階 講義室201
5.講演概要:
三橋氏の多年に亘る勤続経験に根差した監査実施事例2事例につき、監査実態を発表頂いた上、事例に基づき考慮すべき論点につき提起を頂いた。
(1)事例1:情報漏洩事故を起こしたシステム開発会社に対するシステム監査の実施事例
情報漏洩事故の概要:過去に作成した開発関連資料が数年後に情報漏洩事故を起こした。
① 情報漏洩の経緯;
・2005年発足の内閣官房情報セキュリティセンター(NISC)が、2007年にサイバー空間を調査した結果、Winny空間に官公庁関係のシステム開発に関する一部資料が漏洩している事が判明。
・漏洩の状況は、当該官公庁関係某システムの開発請負業者Aの開発体制において、一部の開発を外注した下請け開発業者Bの1開発員の所有する個人パソコンに放置されていた開発情報が、後日そのパソコンがAntinnyに感染したことにより、Winny 空間に流出したと判明。
・開発請負業者Aは、漏洩した情報に関するモジュールやプログラムを迅速に再作成して入れ替えている。
・以上の状況を踏まえ、下請け開発業者Bに対するシステム監査を実施した。
② システム監査実施の状況;
・B社のシステム漏洩事故に対する、問題発覚後の対応と再発防止策の実施状況と現状を監査する。
・システム監査の項目は、情報セキュリティ管理基準とFISCシステム監査基準から抜粋して選定した。→全項目数95項目。
・実施の環境は、監査実施時点と開発時点とでは、相当変化している。
③ システム監査実施報告;
・B社の再発防止策の実施状況は評価できる。
・監査報告会は、A社とB社に分けて実施した。
・A社に対しては、今回の漏洩事故の遠因となる課題があったことを指摘、今後一層のセキュリティ強化を提案した。
・B社に対しては、セキュリティ対策状況の一層の改善策を提案した。
(2)事例2:毎年システム監査を実施している事例:
事例2の概要;
・A社の金融機関向けアウトソーシングシステムに対するシステム監査を本番開始から毎年定期的にシステム監査を実施している。このシステム監査により、顧客に対しシステムの健全性をアッピールしている。顧客(複数の金融機関)との契約には、顧客がA社のシステムを監査できる条項が含まれている。この結果、A社の内部監査の他に、顧客2社からの外部監査が実施されることとなった。
・当該アウトソーシングシステムの状況:2003年に本番開始、この年より内部監査を実施している。本番開始後、ソフトのバグが多発し、運用面でも指摘事項が多くあった。しかし、年3回の監査での指摘事項への対処で急速に改善している。
・1,2年目は、システム管理基準に則り、網羅的に実施、3年目には障害分析に重点を置いて実施。4年目にハードウェアの更改作業があり、「移行準備作業について」という監査テーマがあった。5年目の監査テーマとしては、「昨年度から1年間の作業状況に問題は無かったかを監査する。」とした。
・システム監査を毎年実施する場合は、監査テーマの選定に難渋し、被監査システムについて深堀りする監査となっていく。そこで、被監査システムについて精通する監査メンバーが必要であり、あるいは、システムに精通する専門部署の応援が必要となる、
(3)以上の2事例の説明の上で、システム監査の論点につき、発表者より論点の提起を頂いた。
① 事例1から
・システム監査は、本事例の如く重大事故のケースで、再発防止策を第3者の視点で客観的に検証することにも使える。
② システム監査に利害関係がつきものか
・利害関係がないシステム監査はない。極力、客観性を意識した監査が必要。
③ 指摘事項がないといけないか
・重要な指摘事項がないとか、指摘事項が少ないと監査の内容に不安を感じる。この解消のためには、監査項目、資料やデータを精査して自信を深めるとともに、他の監査報告を閲覧できるなら、指摘事項を参照して、当てはめてみることも有効である。
④ システム監査で障害は防げるか。
・システム監査で障害を完全に防ぐことはできないが、開発段階の不具合発見率や単体・結合・システムテストの記録確認は必要である。障害が発生したモジュールの開発チームやリーダーの共通性に関する調査も必要である。他システムに発生した障害の状況や対応策の確認も必要である。これらを勘案して、障害防止のため、システム監査は必要である。
⑤ まとめ
以下の条項の提起があった。
・システム監査基準前文;「システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保する。・・」
・監査チームには、被監査部門が洗い出したリスクとそのコントロールを評価できる高い技術力が必要である。
・被監査組織が管理基準の「Ⅰ.情報戦略からⅥ.共通業務」に亘る各管理項目を概略的に理解し、絶えずPDCAを回して日々業務遂行していく土壌を育成しているかが重要である。
以上の研究報告に基づき質疑応答を行い定刻散会した。
以上