【情セキ.018】システム監査関係
佐藤@IT雑貨屋です。
今回は「監査」について書いていきます。この監査は「PDCAサイクル」では「C(CHECK)」にあたり、情報マネジメントシステムが遵守すべき仕組みに則り運用されているのか、エビデンス(証跡)を収集し評価を行い、それを利害関係者に報告する事です。一般的な監査では遵守すべき法令や基準、標準規程や関連ガイドラインに基づき行われます。
◆監査業務の種類
監査とは対象によって、システム監査、会計監査、情報セキュリティ監査、個人情報保護監査、コンプライアンス監査など様々なものがあります。また監査を実施する主体によって、社内の監査人が行うのを内部監査、第三者が行うものを外部監査と呼びます。一般的な認証取得で認証機関が実施するのは外部監査にあたります。また基準や規程などで、適切に運用されていることを保証する監査を保証型監査、問題点を指摘して改善提案などを行う助言型監査という立て分けもあります。
ここでは情報セキュリティ監査とは少し異なるものですが、システム監査について紹介します。こちらは情報セキュリティ監査でも監査の対象となるシステムに関する監査で、セキュリティに関連性のある重要な監査でもあります。余談ですが、私はこのシステム監査に携われる立場になりたいと考えていました。
◆システム監査
システム監査は情報システムに関する監査を言います。システム監査基準やシステム管理基準に則り、情報システムの監査を行います。この監査を行う人をシステム監査人と言います。
このシステム監査では、対象の組織(企業や政府など)が情報システムに纏わるリスクをコントロールを適切に整備し運用しているかをチェックします。これにより情報システムが組織の経営方針や戦略目標を実現し、組織の安全性、信頼性、効率化を保つために機能する様にします。
◆システム監査人
システム監査人の要件として、一番重要なものは独立性です。内部監査の場合でも、システム監査は社内の独立した部署で行われます。システム監査人は監査対象から独立していなければなりません。この独立という事は身分上の独立性だけではなく、公正かつ客観的に判断できる精神上の独立が求められ、職業倫理と誠実性、そして専門能力をもって職務を実施できなければなりません。
IT関連のシステムでは、一般的にシステム提供者(主題に責任を負う者)と実際に利用する人(想定利用者)が異なります。そのためにITに係る保証業務を行う場合には、主題に責任を負う者、想定利用者、そしてシステム監査人を三当事者として、それぞれに責任範囲を明確にして実施します。
◆システム監査手順
システム監査は以下の手順で実施します。
①システム監査計画の立案
システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するため
に、監査手順の内容、次期及び監査範囲などについて適切な監査計画を立案します。
この監査計画は、事情によって修正できる様に、柔軟性をもって運用します。
②システム監査の実施(予備調査及び本調査、評価、結論)
システム監査の実施は、予備調査及び本調査を監査手順にしたがい行われます。
監査手順は十分な監査証跡を入手するための手順です。システム監査人は適切かつ
慎重に監査手順を実施し、監査結果を裏付けるのに十分かつ適切な監査証跡を入手
します。その後、監査証跡をもとに評価し結論を監査結果として決定し、監査結果
とその関連資料を監査調書として作成します。監査調書は監査結果の裏付けとなる
ため、監査の結論に至った家庭がわかるように記録し保存します。
➂システム監査結果の報告
システム監査人は、実施した監査についての監査報告書を作成し、監査の依頼者
(組織の責任者)に提出します。監査報告書には、監査の対象や概要、保証意見また
は助言意見、制約などを記載します。また監査の実施結果で発見した指摘事項と
その改善を進言する改善勧告について明確に記載します。
◆システム監査後の役割
システム監査人は、監査報告書の記載事項に責任を負います。そして監査の結果が改善につながるように、監査報告に基づいて改善指導(フォローアップ)を行います。システム監査の実施結果の妥当性を評価するシステム監査の品質評価を行う事もあります。
◆システム監査技法について
システム監査の技法には、資料の閲覧や収集、ドキュメントレビュー(査閲)、チェックリスト、質問票・調査票、インタビュー等の他、以下の方法があります。
・統計サンプリング法
母集団からサンプルを抽出し、そのサンプルを分析して母集団の性質を統計的に
推測する
・調査モジュール法
監査対象のプログラムに監査用のモジュールを組み込んで、プログラム実行時の
監査データを抽出する
・ITF(Intergrated Test Facility)法
稼働中のシステムにテスト用の架空口座(ID)を設置し、システム動作を検証する。
実際のトランザクションとして架空口座のトランザクションを実行し、正確性を
確認する。
・CAAT(Computer Assisited Audit Techniques)
コンピュータ支援監査技法ともいい、監査のツールとしてコンピュータを利用する
監査技法の総称。ITFもCAATの一種である。
◆監査証跡とコントロール
監査証跡とは、監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録です。情報システムに対して、信頼性、安全性、効率性のコントロールが適切に行われていることを実証するために用いられます。
監査におけるコントロールとは、統制を行うための手続きです。コントロールの具体例としては、画面上で入力した値が一定の規則に従っているかを確認するエディットバリデーションチェックや、数値情報の合計値を確認することで、データの漏れや重複がないかを確認するコントロールトータルチェックなどがあります。
以上がシステム監査に関する概要ですが、こちらの事も深く知ろうとすると、それだけで膨大な分量となってしまいますので、このあたりまでとします。このシステム監査ですが、関連する法規や標準には以下のものがあります。(情報セキュリティ関連とは重畳するものもあります)
◆監査関連法規・標準について
①システム監査基準
システム監査人のための行動規範です。一般基準、実施基準、報告基準から構成
されています。
②システム管理基準
システム監査基準に従って、判断の尺度に使う項目です。全部で287項目あり、
情報戦略、企画業務、開発業務、運用業務、保守業務、共通業務について、
システム管理基準の項目を活用しながらシステム監査を行います。
➂情報セキュリティ監査基準
情報セキュリティ監査人のための行動規範です。システム監査基準の情報セキュ
リティバージョンとも言えます。
④情報セキュリティ管理基準
情報セキュリティ監査基準に従って判断の尺度に使う項目です。こちらは
JIS Q 27001やJIS Q 27002を基に規定されています。
⑤個人情報保護関連法規
個人情報保護に関する法律や、プライバシーマークのJIS Q 15001などのガイド
ラインは、個人情報保護に関する監査で利用されます。
⑥知的財産権関連法規
システム監査では権利侵害行為を指摘する必要があるため、著作権法、特許法、
不正競争防止法などの知的財産権に関する法律を参考とします。
⑦労働関連法規
システム監査では法律に照らし、労働環境における問題点を指摘する必要がある
ので、労働基準法、労働者派遣法、男女雇用機会均等法などの労働に関連する法律
も参考とします。
⑧ISMAP管理基準
ISMAP(Information system Security Management and Asessment
Program)管理基準は、政府情報システムのためのセキュリティ基準制度です。
ここにはクラウドサービス事業者が実施すべきセキュリティ対策なども記載され
ており、監査人が監査の前提として用いる基準となります。国際規格に基づいた
規程(JIS Q 27001、JIS Q 27002、JIS Q 27017)に準拠して変性され、
特定非営利活動法人の日本セキュリティ監査境界が作成した"クラウド情報セキュ
リティ基準"を基礎としています。