ITパスポート単語帳 - システム監査

監査の対象となるのは、情報システムの企画・開発・導入から運用・保守・廃棄までの各段階、および、情報システムに関連する組織体制や業務手順、情報資産の管理状況、コンプライアンス規定、事業継続計画(BCP)などである。

これらについて、主にリスクへの備えの観点から、システムの有用性や費用対効果、障害や災害への耐性や対策、外部からの攻撃などの脅威からの防護、個人情報や機密情報の保護などを総合的に調査する。このような業務を行う専門家や職種を「システム監査人」という。

調査は現場への立ち入りやスタッフへの聞き取り、資料や記録の収集と精査などを伴い、報告や提言などはこれらの活動で得られた証拠を元に組み立てられる。結果は組織の長に報告され、問題点がある場合は改善策の勧告などを行うこともある。その後も実施状況を点検して改善を促すなどフォローアップを行なう。

日本では1985年に当時の通商産業省が「システム監査基準」を策定・公表し、数次に渡る改訂を経て現在も経済産業省が発行を継続している。国内の企業などへのシステム監査はこれを基準として実施されることが多い。

システム監査人のうち、当該組織に所属するが情報システム部門からは独立した身分・部門である場合を「内部監査人」、監査法人の監査人など組織に所属しない外部の専門家などのことを「外部監査人」という。

法律上の規制や免許などは特に存在せず、制度上は誰でも実施できるが、実際には情報システムの開発・運用と経営上の管理・統制の両方について深い見識と豊富な経験が求められる。

IPA(情報処理振興機構)が国家試験の情報処理技術者試験の一環として「システム監査技術者試験」を実施しているほか、ISACA(情報システムコントロール協会)東京支部が国際資格「CISA」(Certified Information Systems Auditor：公認情報システム監査人)を発行している。

前文ではシステム監査について「情報システムのガバナンス、マネジメント又はコントロールを点検・評価・検証する業務」と定義し、同基準をその「品質を確保し、有効かつ効率的な監査を実現するためのシステム監査人の行為規範である」としている。

システム監査業務について、「体制整備」「監査人の独立性・客観性及び慎重な姿勢」「計画策定」「実施」「報告とフォローアップ」の5章にわたり、全体で12の基準をまとめている。各基準は「主旨」と「解釈基準」で構成され、細目が列挙されている。内部監査、外部監査のいずれにも適用可能とされ、判断尺度については同省が公表している「システム管理基準」に依ることが望ましいとされる。

組織の目的を達成し、逸脱が起こらないようにするため、組織の管理者、経営者が整備、運用する制度である。企業においては経営陣が従業員を監督する仕組みと解されるが、営利法人に限った概念ではなく、公的な機関や非営利法人においても求められる。

日本では会社法および金融商品取引法の一部(日本版SOX法)がそれぞれ独立に企業に対する内部統制の規定を定めており、前者は主に大企業(大会社)、後者は主に上場企業(有価証券報告書を提出する会社)に適用される。

よく参照される企業会計審議会内部統制部会の報告では、内部統制の目的を「業務の有効性・効率性」「財務報告の信頼性」「法令遵守」「資産の保全」の4つとしており、これを達成するため、「統制環境」「リスクの評価と対応」「統制活動」「情報の伝達」「モニタリング」、「ITへの対応」の6つを基本的な要素と定義している。

内部統制のうちIT分野に属する規定や活動を「IT統制」という。現代の企業活動にITの利用は不可欠であり、ITを適切に利用する統制、ITを活用した内部統制の実施のどちらも重要となる。IT統制はさらに「IT全社的統制」「IT全般統制」「IT業務処理統制」に分類される。

ITの分野では、コンピュータシステムや通信機器などの状態をソフトウェアなどによって自動的、定期的に調べ、結果を時系列に記録する活動をモニタリングということが多い。記録は問題発生時の詳細や原因の調査、性能改善、システム監査などのために利用される。

具体的な測定・監視内容は対象や目的により様々だが、資源の占有・利用状況(メモリ使用率やCPU使用率、回線利用率など)、性能や応答時間、実行中のプログラムやその状態、内部の各装置が正常に稼働しているか、そもそも機器が応答するか否か(死活監視)、などを調べることが多い。

ネットワーク上で多数の機器を管理する場合は、SNMP(Simple Network Management Protocol)などの標準規格や専用の管理ソフトを用いて、遠隔から複数の機器をリアルタイムにモニタリングするシステムを構築する場合もある。

映像の表示装置のように、観察や測定に用いる機材のことを「モニター」(monitor)という。分野によっては、「消費者モニター」のように人員や組織を指したり、「トランザクションモニター」のように状態監視の機能を実装したソフトウェアを指すこともある。

表の一行がリスクの一項目に対応し、左側にリスクの内容、右側に対応する統制の内容を書き入れる。組織として認識しているリスクと、その低減度を一覧することができる。実務上作成される表にはこの2項目だけでなく、識別番号、業務やリスクの分類、統制の実施状況の評価などを書き入れる欄を設けることがある。

内部統制の整備状況を把握するためのツールとして、「業務フロー図」(フローチャート)、「業務記述書」と共に作成される表で、3つを合わせて内部統制の「3点セット」と呼ばれることがある。

レピュテーションリスク

一般のビジネス分野では、企業などの組織や従業員、事業、製品、サービスなどについて世間に流布する評判や評価、風評、悪評などをレピュテーションリスクと呼ぶことがある。不祥事や悪い噂、製品に対する低評価により信用やブランド価値が毀損し、売上や収益に損害が生じる危険性を「レピュテーションリスク」(reputation risk)という。

情報セキュリティのレピュテーション

情報セキュリティの分野では、データの送信元やデータそのものについて、過去の情報を収集・解析し、安全性を評価することをレピュテーションリスクという。

例えば、ある電子メール送信元のIPアドレスやドメイン名について、ネット上の様々な場所でそこから発信されたメールを受信して解析すると、コンピュータウイルスやスパムメールばかりで正規の内容や用途のものがほとんど無いと分かった場合、その送信元は攻撃や宣伝の発信源とみなして受信を拒否することができるようになる。

このような「評判」を蓄積して判断する手法を「IPレピュテーション」(IPアドレス単位の場合)や「ドメインレピュテーション」(ドメイン単位の場合)などという。メール自体の内容を対象とする場合は「メールレピュテーション」とも言う。

このような手法はメールに限らず有効で、WebサイトやWebページにフィッシングやウイルス感染の危険があるという情報をドメイン単位やURL単位で蓄積し、利用者が気づかずにアクセスしようとするのをシステム側で検知して警告する「Webレピュテーション」などの応用例がある。

ITは今や企業活動の根幹に組み込まれ、監督下にない機器やソフトウェア、データが業務に持ち込まれて思わぬ悪影響を及ぼしたり、不意なシステムの機能不全による業務の停滞や損害が頻繁に見られるようになっている。

そこで、ITをシステム部門や各業務部門任せにせず、経営的な視点からその投資や運営、リスク管理などについての方針を示し、確実に監督・執行する仕組みとしてITガバナンスが提唱された。株主や顧客など外部の利害関係者への説明責任を果たす観点からもその整備の必要性が指摘されている。

経済産業省では「ITガバナンスとは経営陣がステークホルダのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力である」と定義している。