システム監査とは?
.001.jpeg)

さて、今日は「システム監査」について学ぶよ。これはITパスポート試験でもよく出てくる、企業のITシステムを守るためにすごく大切な考え方なんだ。

システム監査ですか?なんか難しそうですね…。システムって、監査するものなんですか?

いい質問だね!システム監査は、まさにITシステムが「健康に動いているか」をチェックする、いわばITシステムの健康診断みたいなものなんだ。

健康診断!人間の健康診断と同じですか?

そうそう!例えば、私たちの健康診断では、体に異常がないか、病気にかかっていないか、もっと健康になるにはどうすればいいか、って調べるでしょ?システム監査も同じで、企業のITシステムが「安全か」「ちゃんと動いているか」「もっと効率的になるか」を専門家が調べて、アドバイスするんだ。

なるほど!じゃあ、何のためにそんな健康診断をするんですか?

とっても大切な目的がいくつかあるんだ。大きくは、次の4つを確保するためだね。
信頼性: システムがいつも正確に、安定して動いているか。データが間違ってないか。
安全性: 情報漏洩やウイルス、ハッキングから情報を守れているか。災害が起きても大丈夫か。
効率性: ITを使う費用や手間が無駄になってないか。
有効性: そのシステムが、会社が目標を達成するのに役立っているか。
これらの目的をクリアすることで、会社はITシステムに関わるリスクを減らして、安心してビジネスができるようになるんだよ。

システムの健康診断って言っても、具体的に何をチェックするんですか?パソコンの中身だけですか?

いやいや、パソコンの中身だけじゃないんだ。システム監査の対象は、ITシステムに関わるあらゆるものだと思っていいよ。

あらゆるもの?

うん。例えばね、
使っているIT機器: パソコン、サーバー、ネットワーク機器がちゃんと動いているか、古くなってないか。
ソフトウェア: アプリケーションやOS(基本ソフト)が正しく導入されてて、セキュリティ対策がされてるか。
システムの作り方: システムを開発する時の計画や、テストのやり方が適切だったか。
システムの動かし方: 毎日システムを動かす時の手順や、トラブルが起きた時の対応、バックアップの取り方がきちんとしてるか。
会社のルール: 情報セキュリティに関する会社のルールがちゃんと決まってて、みんなに知らされてるか。
会社のデータ: 顧客情報とか、大事なデータが間違ってないか、漏れてないか。
といったように、システムそのものから、それを使う人、運用する時のルールまで、幅広い範囲をチェックするんだ。

システム監査って、誰がやるんですか?社内の人がやってもいいんですか?

もちろん社内の人がやる「内部監査」もあるし、外部の専門家がやる「外部監査」もあるよ。でもね、誰がやるにしても、監査をする人が守らなきゃいけないすごく大切なルールがあるんだ。

ルールですか?

うん。一番大事なのが「独立性(Independent)」だよ。

独立性?

監査する人は、監査される対象から完全に独立した立場でいなきゃいけないってこと。例えば、経理部のシステムを監査するのに、経理部の部長さんが監査しちゃったら、身内びいきになっちゃうかもしれないでしょ?

ああ、確かに!公平じゃなくなっちゃいますね。

そうだよね。だから、内部監査であっても、監査する部署は、監査される部署から指揮命令を受けない、独立した立場でなければいけないんだ。これがシステム監査の信頼性を保つための最も重要な原則なんだよ。

なるほど!他にはありますか?

他にはね、
客観性(Objectivity): 個人的な好き嫌いじゃなくて、集めた事実や証拠に基づいて判断すること。
専門性(Professional Competence): 監査をするのに必要な専門知識や技術を持っていること。
守秘義務(Confidentiality): 監査で知った会社の秘密の情報を、絶対に外に漏らさないこと。
といった原則があるんだ。これらを守ることで、システム監査は「信頼できる健康診断」になるんだよ。

先生、今日のお話を聞いて、システム監査がどういうものか、すごくよくわかりました!ITシステムの健康診断、まさにその通りですね!

よかった!システム監査は、IT社会が安全に、そして効率的に動いていくために、なくてはならない大切な役割を担っているんだ。ITパスポートの試験対策としてはもちろん、君たちが将来ITに関わる仕事をするときにも、きっと役立つ知識になるはずだよ。

はい!ありがとうございました!
システム監査の目的
システム監査を行う主な目的は、以下の4つの要素を確保し、情報システムが企業目標の達成に貢献していることを確認することにあります。
- 信頼性(Reliability):
- システムが正確に、そして継続的に稼働しているか。
- データが正確で、間違いなく処理されているか。
- (例:会計システムが正確な金額を計算し、途中で停止しないか)
- 安全性(Security):
- 情報漏洩、不正アクセス、データ改ざん、システム破壊などの脅威から、情報資産が適切に保護されているか。
- 災害時にもシステムが復旧できる体制があるか。
- (例:個人情報が厳重に管理され、外部からの不正アクセス対策が施されているか)
- 効率性(Efficiency):
- IT資源(ハードウェア、ソフトウェア、人件費など)が無駄なく使われているか。
- システム導入や運用にかかるコストが適切か。
- (例:サーバーの稼働率が適切で、処理に無駄がないか)
- 有効性(Effectiveness):
- 情報システムが、企業の経営目標達成や業務改善にどれだけ貢献しているか。
- システムが導入目的を達成しているか。
- (例:顧客管理システムが顧客満足度向上に役立っているか)
これらの目的を達成することで、企業は情報システムに関するリスクを低減し、健全な経営を維持することができます。
システム監査の種類
システム監査には、大きく分けて「外部監査」と「内部監査」があります。
- 外部監査:
- 実施者: 企業外部の独立した監査法人や公認システム監査人など。
- 目的: 客観性と信頼性を重視し、利害関係者(株主、取引先など)への説明責任を果たすため。法律や規制(例:J-SOX法)への適合性を確認するため。
- 特徴: 高い独立性が求められる。
- 内部監査:
- 実施者: 企業内部のシステム監査部門や担当者。ただし、監査対象の部署からは独立している必要がある。
- 目的: 企業自身が情報システムの問題点を自主的に発見し、改善することで、経営管理体制を強化するため。
- 特徴: 継続的な改善活動に結びつきやすい。
システム監査の対象範囲〜何を監査するのか〜
システム監査の対象は、単にコンピューターだけではありません。情報システムを取り巻くあらゆる要素が監査の対象となり得ます。
ハードウェア・ソフトウェア・ネットワーク
- ハードウェア: サーバー、クライアントPC、ストレージ、ネットワーク機器などの性能、稼働状況、保守体制、老朽化の状況。
- ソフトウェア: OS、ミドルウェア、アプリケーションソフトウェアの導入状況、ライセンス管理、脆弱性対策、バージョン管理。
- ネットワーク: ネットワーク構成、通信速度、セキュリティ対策(ファイアウォール、IDS/IPSなど)、通信ログ管理。
- データベース: データの構造、整合性、アクセス権限、バックアップ・リカバリ体制。
開発プロセス
システムの企画段階から稼働に至るまでのプロセス全体が監査対象です。
- 企画・要件定義: 開発目的の明確さ、利用部門のニーズが適切に反映されているか。
- 設計: システム設計の妥当性、セキュリティ考慮、拡張性。
- 開発・テスト: プログラミング標準の遵守、テスト計画の妥当性、テスト実施状況、バグ管理。
- 移行: 旧システムからのデータ移行の正確性、スムーズな移行計画。
運用プロセス
システムが稼働している間に行われる日常業務や管理プロセスです。
- 日常運用: ジョブスケジューリング、システム稼働監視、障害対応、バックアップとリカバリ手順。
- セキュリティ管理: アクセス権限の管理、パスワードポリシー、ログ管理、脆弱性診断、インシデント対応。
- 変更管理: システム変更の承認プロセス、変更履歴管理。
- 利用者サポート: ヘルプデスクの体制、問い合わせ対応状況。
組織体制・規程
情報システムを支える組織的な側面も監査対象となります。
- 情報セキュリティポリシー: 企業全体の情報セキュリティに関する方針が明確に定められ、周知されているか。
- 運用マニュアル・手順書: 各種作業手順が文書化され、遵守されているか。
- 組織構造: 開発部門と運用部門、セキュリティ部門などの役割分担と連携体制。
- 人員配置・教育: 適切なスキルを持つ人員が配置され、必要な教育が実施されているか。
データ
情報システムの最も重要な資産であるデータの正確性、完全性、機密性、可用性を監査します。
- 正確性: データが正しく入力・処理されているか。
- 完全性: データが欠落したり、不正に改ざんされていないか。
- 機密性: 機密性の高い情報が適切に保護され、許可された者のみがアクセスできるか。
- 可用性: 必要な時にデータにアクセスできる状態が保たれているか。
システム監査の基本原則〜公正な監査のために〜
システム監査は、その性質上、非常に高い信頼性と客観性が求められます。そのため、監査人は以下の基本原則を遵守しなければなりません。ITパスポート試験でも、監査の原則は頻出項目です。
- 独立性(Independence):
- 監査対象から独立した立場で監査を行うこと。
- 例えば、内部監査であっても、監査部門は監査対象となる開発部門や運用部門の指揮下には置かれず、経営層直属の独立した組織として設置されることが望ましい。これにより、偏りのない客観的な評価が可能になります。
- 「独立性」はシステム監査で最も重要な原則の一つとされます。
- 客観性(Objectivity):
- 個人的な感情や偏見、先入観を排除し、収集した事実に基づいた証拠によってのみ判断を行うこと。
- 監査人の個人的な意見や希望ではなく、具体的なデータや文書、証言に基づいて評価を行います。
- 専門性(Professional Competence):
- システム監査を行うために必要な専門的な知識、技術、経験を持つこと。
- 情報システムに関する知識、監査の手法、関連法規など、幅広い専門知識が求められます。必要に応じて、IT専門家や法律専門家などの協力を得ることもあります。
- 守秘義務(Confidentiality):
- 監査活動を通じて知り得た企業や個人の機密情報を、正当な理由なく外部に漏らしたり、監査目的以外に利用したりしないこと。
- 監査人は企業の内部情報に深く関わるため、情報の厳重な管理が義務付けられています。
- 適正な実施(Due Professional Care):
- 監査計画の策定、証拠の収集、評価、報告書作成など、監査プロセスの各段階を細心の注意を払って、適切かつ慎重に実施すること。
- 手抜きや杜撰な監査は許されません。
これらの原則を遵守することで、システム監査は信頼性の高い評価となり、企業の健全な情報システム運用に貢献します。
システム監査のプロセス〜監査の具体的な進め方〜
システム監査は、行き当たりばったりに行われるものではなく、定められた手順に沿って計画的かつ体系的に実施されます。ITパスポート試験では、この監査の具体的な「フェーズ」や「流れ」も問われることがあります。
一般的に、システム監査は以下の5つの段階を経て実施されます。
監査計画(Planning)
監査の最初の段階であり、今後の監査活動の土台を築きます。
- 監査目的の決定: 何のために監査を行うのか(例:情報セキュリティ対策の評価、新システム移行の妥当性評価)。
- 監査範囲の決定: どのシステム、どの部門、どのプロセスを監査対象とするのか。
- 監査チームの編成: 監査人に加えて、IT専門家、業務専門家など必要な人員を配置。
- スケジュール作成: 監査期間、各フェーズの所要時間などを設定。
- 監査基準の設定: 監査の評価基準となる規程、法律、業界標準などを明確にする。
予備調査(Preliminary Survey)
本調査に入る前の準備段階として、監査対象システムの概要を把握し、監査の重点を置くべきポイントを見極めます。
- システム概要の把握: 監査対象システムの機能、構成、関連業務などを文書で確認し、必要に応じてヒアリングを行う。
- リスク分析: 監査対象システムが抱える潜在的なリスク(情報漏洩、システム停止など)を洗い出し、評価する。
- 重点監査項目の選定: リスクの大きい部分や、特に問題が疑われる部分に絞って、本調査で詳しく調べる項目を決定する。これにより、効率的な監査が可能になる。
本調査(Field Work)
予備調査で特定した重点項目に基づき、具体的な証拠を収集し、評価を行います。ここが監査活動の最も時間と労力を要する部分です。
- 証拠収集:
- 文書レビュー: 規程、マニュアル、設計書、ログ記録、運用記録などの関連文書を確認。
- ヒアリング: システム利用者、開発担当者、運用担当者など関係者から情報や意見を聞き取る。
- 実地調査: サーバー室の入退室管理、物理セキュリティ対策、システムの操作画面、設定内容などを直接確認。
- データ分析: ログデータ、アクセス履歴などをツールを使って分析し、不正や異常がないかを確認。
- 評価: 収集した証拠を監査基準と照らし合わせ、「適切であるか」「問題があるか」などを評価します。この際、監査人の客観性が非常に重要になります。
評価・報告(Evaluation & Reporting)
本調査で収集した証拠に基づき、監査結果をまとめ、関係者に報告します。
- 監査報告書の作成:
- 監査の目的、範囲、実施期間などの概要。
- 監査意見: 監査人が最終的に判断した、システムの全体的な評価(例:「概ね適切である」「一部改善が必要である」)。
- 発見事項: 監査で明らかになった問題点や改善すべき点。具体的な証拠に基づいて記述する。
- 改善勧告: 発見事項に対して、具体的にどのような改善を行うべきかという提案。実現可能性や費用対効果も考慮する。
- 報告会: 監査報告書を、経営層や監査対象部門の責任者など、関係者に説明し、理解を求める。
フォローアップ(Follow-up)
監査は報告書を出して終わりではありません。改善勧告が実際に実行され、効果が出ているかを確認する重要な段階です。
- 改善状況の確認: 改善計画が策定されているか、その計画通りに改善が実施されているか、実施された改善策が効果を発揮しているかなどを、定期的に確認する。
- 次期監査への反映: フォローアップで得られた知見を、次回の監査計画に反映させることで、監査活動全体の質を高める。
この一連のプロセスを繰り返すことで、企業の情報システムは継続的に改善され、より安全で信頼性の高いものへと成長していきます。
システム監査に関する問題(令和6年問48)
システム監査で用いる判断尺度の選定方法に関する記述として、最も適切なものはどれか。
ア. システム監査ではシステム管理基準の全項目をそのまま使用しなければならない。
イ. システム監査のテーマに応じて、システム管理基準以外の基準を使用してもよい。
ウ. システム監査のテーマによらず、システム管理基準以外の基準は使用すべきでない。
エ. アジャイル開発では、システム管理基準は使用すべきでない。
出典:令和6年度 ITパスポート試験公開問題 問48
正しいと思う選択肢をクリックしてみてください!!!
ア. システム監査ではシステム管理基準の全項目をそのまま使用しなければならない。
不正解です。
イ. システム監査のテーマに応じて、システム管理基準以外の基準を使用してもよい。
正解です。
ウ. システム監査のテーマによらず、システム管理基準以外の基準は使用すべきでない。
不正解です。
エ. アジャイル開発では、システム管理基準は使用すべきでない。
不正解です。
コメント