「会員投稿」カテゴリーアーカイブ

システム監査の活性化(SAAJ会報 2017.01)

投稿 【 システム監査の活性化 】
                 会員番号0557 仲厚吉 (会長)

 当協会は、システム監査の活性化のためSAAJのビジョン(3年後に目指す姿)に沿って、システム監査を核にした「ITアセスメント」や「ITアセッサ」の普及活動、及び「公認システム監査人」と並ぶ「公認ITアセッサ」の認定に取り組んでいきます。「ITアセスメント」は、「ITガバナンス」や「情報セキュリティガバナンス」の6原則のもと、「EDM」サイクル、即ち、「Evaluate」(評価)、「Direct」(指示)、「Monitor」(モニタ)のサイクルにより、統制が維持・向上されているか評価を行い、経営層に助言し、IT利用者のニーズに応えていく活動です。

 日本ITガバナンス協会は、「ITGI Japan カンファレンス 2016(11月14日、東京コンファレンスセンター品川)」を開催し、当協会は後援団体として協力しています。当カンファレンスは、、(続きを読む) ⇒投稿 【 システム監査の活性化 】

パラダイムシフトと縮退するシステム監査人たち、システム監査の活性化

投稿
【時事論評】パラダイムシフトと縮退するシステム監査人たち
.                                                                                         会員番号 0707 神尾博

1.このパラダイムシフトの本質を押えているか?

数多くのシステム監査人が縮退していないか?そう危惧しているのは私だけだろうか。
バズワードの洪水に踊らされ、そもそも現在のパラダイムシフトの本質さえ整理できていない監査人を、見かける機会が格段に増えた。

IoT/M2M、ビッグデータ、AI(Artificial Intelligence)。
よもやこれら文言を知らないIT業界人は、存在しないだろう。しかし単に字面をなぞるだけで満足してはいないか。まずはその辺から入って、当人たちの自覚を促したい。

なお「パラダイムシフト」の定義は、「その時代や分野において当然のことと考えられていた認識や思想、社会全体の価値観などが革命的にもしくは劇的に変化すること(Wiki)」で話を進める。

まずはIoT/M2M、ビッグデータは一見すると、SEにとっては業務の拡大であるかのように窺える。しかし、従来型SEから淘汰される者の続出も明らかだ。一方で、AIはSEやホワイトカラーにとっての職域縮小の因子と言える。従来よりも人間を凌駕する分野が激増し、人間系と機械系の役割分担が劇的に変化するのである。まさにパラダイムシフトだ。

続きを読む ⇒【 時事論評】パラダイムシフトと縮退するシステム監査人たち

【 システム監査の活性化 】
.                                                                        会員番号0557 仲厚吉 (会長)

当協会の「システム監査活性化委員会(小野修一委員長)」は、システム監査の活性化を図るため、「(2016年度)関東地区主催 会員向けSAAJ活動説明会(2016年10月22日、茅場町)」を開催しました。主に近年入会の会員に参加募集を行い、20名を超える会員の皆様にご参加を頂きました。

開催に当たって、「システム監査」は、情報システムの信頼性、安全性、有効性について、独立した立場から監査し、当該システムの責任者に報告し、あわせて、報告書の公表により、システム責任者の社会的説明責任を果たすことを支援する活動であること、また、2016年度の活動の「トピックス」として、第15期総会(2016年2月22日、機械振興会館)で、下記の「SAAJのビジョン(3年後に目指す姿)」が承認されたことを述べて、ご挨拶と致しました。

●社会の多様な要請に対応し、信頼性・安全性が高くかつ有効なIT活用を実現することを目標として、ITサービスの提供者と利用者双方における適切な統制を維持・向上させる活動を、既存のシステム監査を核にした“ITアセスメント”としてとらえる。そのうえで、SAAJの活動を“ITアセスメント”の定着に焦点を当てて取り組む。
●これにより、会員を含むシステム監査人のビジネス機会の増大を図り、SAAJの知名度向上、会員の拡大に繋げる。

続きを読む ⇒【 システム監査の活性化 】

投稿 【 システム監査の活性化 】

投稿 【 システム監査の活性化 】
会員番号0557 仲 厚吉(会長)

「システム監査」は、情報システムの信頼性、安全性、有効性について、独立した立場から監査し、当該システムの責任者に報告し、あわせて、報告書の公表により、システム責任者の社会的説明責任を果たすことを支援する活動ですが、「ITアセスメント」は、「ITガバナンス」の6原則(経営責任、戦略性、調達、有効性、準拠性、人間行動)の課題や、「情報セキュリティガバナンス」の6原則の課題を洗い出し、ITの利活用へ評価を行い、経営層に助言し、IT利用者のニーズに応えていく活動になります。

当協会の「ITアセスメント」は、「システム監査」を核として展開していくため、「システム監査の活性化」につながるものです。当協会は、「ITガバナンス」、「ITアセスメント」、評価を行う「ITアセッサ」の普及活動、及び「公認システム監査人」と並ぶ「公認ITアセッサ」の認定に取り組んでいきます。

会報187号「巻頭言」で、「ITアセスメント研究会」主査の松枝憲司副会長は、「ITアセメント研究会」を立ち上げるため会員の皆様に、次のように呼びかけています。「ITガバナンス」を広く普及させ、企業等に有効に活用を図る方策を検討していきますので、会員の皆様のご協力をお願い致します。

続きを読む ⇒【 システム監査の活性化 】

基礎自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題<第3回>

投稿 【 基礎自治体のシステム・トラブルに見る、
    自治体のシステム運用・監査の課題<第3回> 】
           会員番号 1566 田淵 隆明

 本会の会報173号及び177号において、2014年8月4日に発生した某基礎自治体の基幹システム(外部のデータ・センタのクラウドを使用)が丸一日停止した問題について報告させて頂いた。それらの内容は、本会の2016年1月の近畿支部の月例研究会でも発表させて頂いた。今回は、その後、重要な進展があったので、報告する次第である。

  • 1.発生したシステム・トラブルの概要
  •  2014年8月4日、東京都心からほど近い某基礎自治体の基幹システム(外部のデータ・センタのクラウドを使用しており、他の3つの基礎自治体との共同利用システム)が丸一日停止し、住民票の発行や転入・転出の受付、婚姻届・出生届の受理などの重要業務が停止した。原因調査の結果、以下のことが判明した。

    ①システム停止の原因は、Webシステムの手前の負荷分散装置(Load Balancer)が過負荷になっていた為であり、その原因はファームウェアのバグであった。
    ②負荷分散装置自体は二重化していたが、本番系→待機系への切り替えも失敗し、即時復旧が出来なかった。
    ③通常、過負荷の場合、システムの再起動により解決することが多いが、負荷分散装置のみ他の3基礎自治体と同一の筐体上にあり、いわば”一連托生”状態になっていた。その為、他の基礎自治体への影響を回避するため、他の基礎自治体の業務終了時刻まで再起動を待たねばならなかった。

    続きを読む ⇒基礎自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題<第3回>

    システム監査の活性化

    投稿 【 システム監査の活性化 】
       会員番号 0557 仲厚吉 (会長)

    「システム監査」とは、情報システムの信頼性、安全性、有効性について、独立した立場から監査し、当該システムの責任者に報告し、あわせて、報告書の公表により、システム責任者の社会的説明責任を果たすことを支援するものです。当協会では、システム監査の活性化に資するよう、「公認システム監査人」の皆様に意見交換や研修の場(フォーラム)を提供し、積極的なご参加をお願いしています。

    公認システム監査人認定制度について
    当協会認定「公認システム監査人」は、実務経験、小論文、倫理規定順守の心得を試験し認定されます。システム監査技術者試験(AU)の合格者をはじめ、情報セキュリティその他の高度情報処理技術者、中小企業診断士、公認会計士、技術士、CISA(米国に本部を置くISACAの認定取得者)、ISMS又はプライバシーマーク主任審査員に対し一定の要件を満たしていれば認定する制度になっています。

    続きを読む ⇒システム監査の活性化

    平成28年度「システム監査企業台帳」について,【エッセイ】八百比丘尼

    ■投稿

    平成28年度「システム監査企業台帳」について
    会員番号 0557 仲厚吉 (会長)

    経済産業省商務情報政策局サイバーセキュリティ課(旧情報セキュリティ政策室)は、平成28年度「システム監査企業台帳」の申告を行うようお知らせしています。
    これは、経済産業大臣が、システム監査企業から申告された監査の概要等を取りまとめ、これを監査企業台帳として利用する者の閲覧に供するもの(システム監査企業台帳に関する規則3条及び4条)です。

    また、監査企業台帳は、経済産業大臣の認証文を付したものではありませんので、証明書となるものではない旨、また、「システム監査企業」とは、他人の求めに応じて「システム監査基準」に基づきシステム監査を行うものを指す(システム監査企業台帳に関する規則2条)とあります。本件のURLは次のものです。
    http://www.meti.go.jp/policy/netsecurity/sys-kansa/audit_sys.html

    続きを読む ⇒平成28年度「システム監査企業台帳」について

    【エッセイ】八百比丘尼
    会員番号 0707 神尾博 

    このデジタル時代に「コラージュ」といえば、インターネット上で流通する合成写真(フォトモンタージュ)を連想される方が多いだろう。

    しかし元々は写真に限らず、布や雑誌等の複数の素材を組み合わせた芸術作品を指す言葉だった。

    ところが、今や卑俗な「アイコラ」のような贋作が氾濫している。こうしたまがい物を安易に信用してしまうのは、浅はかで片づけられるだろうが、狡猾なステマ(ステルスマーケッティング)のような欺瞞を見破るのには骨が折れる。

    そしてコラ画像やガセ情報に限らず、ネットに流出したデータは半永久的に全世界へ晒され続けてしてしまう。

    続きを読む ⇒【エッセイ】八百比丘尼

    システム監査の活性化

    ■投稿

    サイバーセキュリティ経営ガイドライン
    会員番号 0557 仲厚吉 (会長)

    経済産業省と独立行政法人情報処理推進機構は、「サイバーセキュリティ経営ガイドライン」を策定し、経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待するとしています。
    http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html

    当協会は、システム監査の普及、及びシステム監査人の活動促進のため、システム監査を核として、「ITアセスメント」を行っていくように取り組んでいて、当ガイドラインは、システム監査人が、経営面で「ITアセスメント」を行う際に重要なガイドラインのひとつになると考えています。概要は、次の通りです。

    ●経営者が認識する必要のある「3原則」
    ① 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
    ② 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
    ③ 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

    続きを読む ⇒【システム監査の活性化】

    システム監査の活性化

    ■投稿

    【 システム監査の活性化 】

     会員番号 0557 仲厚吉(会長)

    認定NPO法人に認定されて1年が経過しました

    当協会は、2015年6月3日に所轄庁の東京都より認定NPO法人に認定され、この6月2日に1年が経過しました。
    一般のNPO法人との違いは、認定を受けるための基準に適合していることが求められます。
    基準の要件は次の9点になります。

    ①パブリック・サポート・テスト(PST)に適合すること
    ②事業活動において、共益的な活動に占める割合が、50%未満であること
    ③運営組織及び経理が適切であること
    ④事業活動の内容が適正であること
    ⑤情報公開を適切に行っていること
    ⑥事業報告書等を所轄庁に提出していること
    ⑦法令違反、不正の行為、公益に反する事実等がないこと
    ⑧設立の日から1年を超える期間が経過していること
    ⑨欠格事由に該当していないこと

    続きを読む ⇒【システム監査の活性化】

    【 システム監査の活性化 】・エッセイ【 傀儡師 】

    ■投稿

    【 システム監査の活性化 】
    会員番号 0557 仲厚吉 (会長)

    当協会では、システム監査の活性化を目的として横断的に活動するシステム監査活性化委員会を設けています。
    同委員会では、協会の3年後の姿を目指して、「協会のビジョン」を策定しました。
    現在、下記の「協会のビジョン」のもと、各部会・研究会が活動を始めています。

    インターネットの普及とITの進歩がもたらす多様なシステムは、便利であるとともに社会基盤として事件や事故へどのように対応するかが問われています。また、ビジョンの実現に当たって、ITアセスメントの活動を明確にしていくことが大切です。

    例えば、システムの構築は、建築と対比できると思います。どちらも人の活動環境を形成しています。
    東京上野の国立西洋美術館本館は、20世紀を代表する建築家のひとりである ル・コルビュジエ の設計です。

    彼の建築の特徴は、モジュロール(黄金比と身体のサイズを利用して作った定規)、ピロティ(柱)の利用による骨組みと壁の分離による自由な平面、自由な立面、及び屋上庭園にあります。
    また、展示室の中心からスロープで渦巻き型に展示室が展開される動線が特徴になっています。以下に、ル・コルビュジエ の設計をシステム監査と対比してみました。

    続きを読む ⇒【システム監査の活性化】

    エッセイ【 傀儡師 】
    会員番号 0707 神尾博

    古代から江戸時代にかけて、木製の操り人形芝居を生業とする、傀儡師(かいらいし、くぐつし)と呼ばれる集団がいた。
    当初は、曲芸や奇術等を含めた芸能で生計を立てる漂泊の民だったが、後に人形遣いに特化した大道芸人を指すようになった。首から吊るした木箱を舞台にして、紐や指で巧みに人形を操ったという。

    さながら現代の傀儡師は、ロボットエンジニアだろう。そのプログラミングへの敷居も低くなりつつある。
    たとえば「Nao」「Pepper」といった家庭用ロボットでは「子供でもプログラムが可能」という触れ込みの「Choregraphe(コレグラフ)」というSDK(Software Development Kit)が用意されている。
    Choregrapheは仏語の「振付師」から来ており、視覚/触覚や発声/運動といった機能を示す「ボックス」という部品の入出力ポートを、線でつないでいくスタイルのビジュアルプログラミング言語だ。

    続きを読む ⇒エッセイ【 傀儡師 】

    システム監査の多様性、活性化

    ■投稿

    【 システム監査の多様性 】
     会員番号 0655 荒牧 裕一(近畿支部)

    1.監査形態の多様性と保証業務の概念的枠組み
    ICTを利用した情報システムが高度化し適用範囲が広がるに従って、情報システム関連の評価に対する要求も多様化し、システム監査においても従来と違う視点が求められ多様化が進みつつある。

    私は、システム監査学会の「システム監査の多様性」研究プロジェクトの主査を務め、ビッグデータ、SNS、知的財産保護、マイナンバー等の多様化する情報システムや監査ニーズについてシステム監査の視点からの研究を行っている。

     その中で感じたのは、監査の対象の多様化に合わせて監査形態の多様化も必要となるということである

    続きを読む ⇒【システム監査の多様性】

    【 システム監査の活性化 】
     会員番号 0557 仲厚吉(会長)

    1.システム監査を核にして 当協会では、第15期通常総会で事業計画が承認され、2016年度の事業活動を開始しています。また 2016年度より、次に挙げる「SAAJのビジョン(3年後に目指す姿)」を掲げました。事務局をはじめ、各委員会、部会研究会が、それぞれ3か年で目指す目標を定めシステム監査の活性化を進めていきます。

     その中で感じたのは、監査の対象の多様化に合わせて監査形態の多様化も必要となるということである

    続きを読む ⇒【システム監査の活性化】