----------------------------------------------------------------------
(リスクを重視したシステム監査の実施について)
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.経営上のリスクとリスクコントロールの概要
----------------------------------------------------------------------
1.1 経営上のリスク
----
私が勤務するA社はISP(Internet Se
rvice Provider)事業を行う企業である。
A社はサービスを提供する顧客の個人情報を大量に保
有する関係上、この情報が外部に漏れることは、会社の
信用を損なうばかりか、法的にも処罰され、最悪の場合、
企業存続をも脅かす大きなリスクとなっている。
また、この個人情報は社内の基幹情報ネットワーク上
で管理されているが、日常的に複数の端末で使用されて
おり、常に漏洩というリスクにさらされている。
----
1.2 リスクコントロールの概要
----
A社ではこの個人情報の流出を防止するため次のよう
な対応を実施している。
(1)アクセス制限とアクセスログによる不正アクセス
の防止と監視
(2)重要情報が流通するネットワークの物理的な完全
分離
(3)情報の種類によるセキュリティランク付与とラン
クごとに決められた管理の実施
(4)セキュリティ指針の徹底と社員教育
(5)セキュリティ管理体制の確立と日常的なセキュリ
ティ管理業務の実施
----
1.3 私の立場と役割
----
私は、A社の情報システム企画部門のシステム監査担
当に所属し、社内システムを中心に監査計画の策定や監
査の実務を行っている。
今回は、担当内メンバーのみにより監査業務を遂行し
たが、特別な監査が必要になった場合や特に客観性を必
要とする場合または他の法的監査と関係する場合は外部
の監査人を依頼し、共同で実施する場合もある。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.監査計画策定時のリスクの考慮
----------------------------------------------------------------------
2.1 監査対象リスクの考慮
----
監査計画の策定にあたって、重大な企業損失を及ぼす
リスクに対応するために、第一に考えなければならない
のは、経営戦略、情報戦略の意向に沿って対象リスクの
重要性を考慮することであると考える。
次に、従来の紙ベースでの業務におけるリスク管理と
は異なり、現在では、情報システムの高度化や業務自体
の複雑化により、従来には無い、より高度な脅威へのリ
スク管理が求められるようになってきていることも考慮
しなければならない。
さらに、単発的な対応だけではなく、日常的、継続的
な対応やそのための組織体制についても考慮する必要が
あると考える。
----
2.1.1 経営戦略的、情報戦略的視点での対象リス
クの考慮
個人情報流出という監査対象リスクが経営戦略的、情
報戦略的視点で経営層がそれほど重要視していない場合
は、その監査に必要なリソースの確保が難しくなるとと
もに、せっかくの対策が無駄になってしまうことになる。
したがって、監査の有効性の観点からも、該当リスク
への対応が経営戦略、情報戦略に整合していることはも
っとも重要なことであると考える。
監査においても経営戦略や情報戦略に沿って対策の優
先度やリソース配分を的確に設定しているかを考慮し実
施しなければならないと考える。
----
2.1.2 高度なコントロール要求への考慮
A社では、アクセス制限とアクセスログによる不正ア
クセスの防止や重要情報が流通するネットワークの物理
的な完全分離などのコントロールを設定しているが、コ
ントロールの高度化に対応するためには、これらのコン
トロールが適切に運用されているかだけでなく、コント
ロールの設定が適切な根拠に基づいて適切なレベルで設
定されているかも監査する必要があると考える。
そのためには、コントロールが決定された手順や決定
の根拠となった各種証拠について監査する必要があるが、
従来のような単純なコントロールではないため、より詳
細に専門的に調査する必要があると考える。
ただし、過度なコントロールの設定や実施は無駄な費
用を費やすだけでなく、業務実施上も無駄な作業が増え
非効率なものとなるので、費用対効果やリスク発生の確
率、被害の大きさなどを考慮して適切なレベルの設定が
必要であると考える。
次に、A社では、情報の種類によるセキュリティラン
ク付与とランクごとに決められた管理を実施しているの
で、この仕組みが適切に運用されていれば、効果は期待
できる。
また、リスク防止だけでなく、リスクの早期発見を可
能にする可視性の確保や、発生した場合の被害の最小化
のための考慮も必要と考える。
----
2.1.3 日常的、継続的管理についての考慮
A社では、セキュリティ指針の徹底と社員教育および
セキュリティ管理体制の確立と日常的なセキュリティ管
理業務の実施を行っているので、これらが適切に運用さ
れていれば効果は期待できる。
しかし、実際の現場ではこれらの取り組みが生産的な
業務でないこともあり、軽視されたり、また、理解され
ずに表面化されないところで、リスクが潜在化している
可能性もある。したがって、監査においてはこれらの実
情を考慮し、潜在化したリスクを見逃さずに注意深く実
施する必要があると考える。
----
2.2 監査実施上のリスク考慮
----
監査実施上のリスクとしては、監査担当者の能力不足、
監査要員数の不足、監査期間や予算の不足などからくる
監査品質の低下が考えられる。
これらを考慮して監査を実施するためには、必要な技
術力の見極めや、必要な要員数、期間や予算を見積もる
能力とともに、経営戦略的、情報戦略的視点をもち、監
査対象部門や関係部門との調整・折衝能力を持つ監査人
が必要であるが、A社では、そのような人材が十分とは
まだいえない状況である。
また、A社の監査については、特にネットワークセキ
ュリティ技術が必要であるが、それだけではなく、潜在
化したリスクを発見できる実務に精通した知識も必要で
あると考える。
----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3.監査実施上のリスクを低減するための方法
----------------------------------------------------------------------
監査人や監査要員の能力不足については、中長期監査
計画や年度監査計画などにより中長期的な育成計画を策
定するとともに、年々進化する技術に対応するため、年
度レベルでの計画の見直しなどを実施しなければならな
いと考える。
さらに、監査対象となる実務の知識や監査経験やノウ
ハウの蓄積と共有化、監査作業の標準化なども考慮する
ことで、監査実施時の能力不足によるリスクは低減でき
ると考える。
次に、監査の作業要員不足については、監査体制の見
直しや実務部門との交流も含めた要員配置計画の見直し、
戦略的な要員の集中と分散、さらに監査ツールや外部監
査人の活用なども考慮し監査実施時のリスク低減に努め
なければならないと考える。
最後に監査期間や予算の不足については、計画段階で
必要費用の正確な見積もりが必要となることから、過去
の経験測の活用や客観的な見積もり方法を確立し、見積
もり精度の向上に努める必要があると考える。
また、適切な優先順位の設定により、予算の有効利用
を考慮する必要もある。
[ 戻る ]