SAAJ会報2016年11月号(第188号)を発行しました。

■ SAAJ会報2016年11月号(第188号)を発行しました。

今月のテーマは「システム監査の効果的活用」です。

システム監査を効果的に活用していくには、どうすればよいのでしょうか?
ちょっと考えてみませんか・・・・

SAAJ会報2016年11月号(第188号)の全文は、
SAAJ会報2016年11月号(第188号)
からご覧いただけます。

■ ■ 巻頭言
『 「つながるシステム」とシステム監査 』

会員番号 608 三谷 慶一郎(副会長)

ITが急速に発展し、コモディティ化していくことによって、新しいサービスを立ち上げ、グローバルに展開することのハードルが低くなってきています。最近よく話に出る、個人宅の空き部屋を貸し出す民泊のマッチングサイト「Airbnb」や、個人の自動車による配車サービスを行う「Uber」等がその典型例です。

このような状況を追いかけていると、複数のシステムがつながって新しいサービスが生まれていることをよく見かけます。例えば、航空会社やレストラン、ホテルのサービスがUberのサービスを取り込むことによって、顧客が自社サービスを予約した瞬間に、自宅から空港まで、レストランまで、ホテルまでの移動について自動的に配車を行うようになっているわけです。

近い将来、様々なサービスが有機的に結合することによって、より高度なサービスがより容易に作りだすことができるようになるでしょう。

とても素敵な未来ではありますが、システム監査人の視点から見るとここにも新しいリスクが出現しそうです。システムとシステムが連携することは、今でも珍しいことではありませんが、そのほとんどが自社内のみか、関係の深いプレイヤー間に閉じたものが多く、様々な独立した主体が保有するシステムを、動的につなげていくことはあまりありません。

複数主体のサービスが融合して構築されたサービスの信頼性はどのように確保すればよいのか、障害時の責任分担はどう考えるのか、主体毎にセキュリティポリシーが異なるときはどのように評価していくべきなのか等、様々な論点がありそうです。

リスクが多様化して広がっていく社会においては、第三者としてそれを評価するシステム監査人の存在意義は増していくに違いありません。是非議論を進めていきましょう。

【システム監査の効果的活用】「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)

めだか 【 システム監査の効果的活用 】

システム監査の効果的活用のため、「ITガバナンス」や「情報セキュリティガバナンス」の6原則のもとITの利活用を評価する「ITアセスメント」を研究することは大きな課題である(表1)。また、独立行政法人情報処理推進機構(IPA)は、「“システム監査技術者試験(AU)”において期待する技術水準」のなかで、ITガバナンスの向上やコンプライアンスの確保に寄与する技術水準を求めている(表2)。

作家の橘玲氏は、“自由で効率的な情報社会の到来は、すべてのひとに自分の得意な分野で評判を獲得する可能性を開いた。・・・だとしたら必要なのは、その評判を収入につなげるちょっとした工夫だ。”と書いている。当協会の会員は、システム監査を核にした活動をしている。
これからは、自由で効率的な情報社会の中で、「ITアセスメント」を行う「ITアセッサ」として大いに「評判」を獲得して、ビジネスにつなげるよう、日々、工夫していくことが大切だと思う。(空心菜)

続きを読む ⇒システム監査の効果的活用

めだか【「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)】

システム監査を効果的に活用するには、どうしたらよいのか? 
これは、システム監査が誕生して以来の永遠の課題かもしれない。

金融業界における監査の歴史を振り返ってみると、これまで「検査から監査へ」「プロダクト監査からプロセス監査へ」など、監査の効果的活用を図るために、監査の手法も高度化してきた。
そうした中、最近金融業界で言われるようになってきたのが、「リスク・フォーカス、フォワード・ルッキングな監査」である。「リスク・フォーカス、フォワード・ルッキングな監査」として言われているのは、以下のような監査スタイルである。 (やじろべえ)

続きを読む ⇒「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)

投稿 【 システム監査の活性化 】

投稿 【 システム監査の活性化 】
会員番号0557 仲 厚吉(会長)

「システム監査」は、情報システムの信頼性、安全性、有効性について、独立した立場から監査し、当該システムの責任者に報告し、あわせて、報告書の公表により、システム責任者の社会的説明責任を果たすことを支援する活動ですが、「ITアセスメント」は、「ITガバナンス」の6原則(経営責任、戦略性、調達、有効性、準拠性、人間行動)の課題や、「情報セキュリティガバナンス」の6原則の課題を洗い出し、ITの利活用へ評価を行い、経営層に助言し、IT利用者のニーズに応えていく活動になります。

当協会の「ITアセスメント」は、「システム監査」を核として展開していくため、「システム監査の活性化」につながるものです。当協会は、「ITガバナンス」、「ITアセスメント」、評価を行う「ITアセッサ」の普及活動、及び「公認システム監査人」と並ぶ「公認ITアセッサ」の認定に取り組んでいきます。

会報187号「巻頭言」で、「ITアセスメント研究会」主査の松枝憲司副会長は、「ITアセメント研究会」を立ち上げるため会員の皆様に、次のように呼びかけています。「ITガバナンス」を広く普及させ、企業等に有効に活用を図る方策を検討していきますので、会員の皆様のご協力をお願い致します。

続きを読む ⇒【 システム監査の活性化 】

基礎自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題<第3回>

投稿 【 基礎自治体のシステム・トラブルに見る、
    自治体のシステム運用・監査の課題<第3回> 】
           会員番号 1566 田淵 隆明

 本会の会報173号及び177号において、2014年8月4日に発生した某基礎自治体の基幹システム(外部のデータ・センタのクラウドを使用)が丸一日停止した問題について報告させて頂いた。それらの内容は、本会の2016年1月の近畿支部の月例研究会でも発表させて頂いた。今回は、その後、重要な進展があったので、報告する次第である。

  • 1.発生したシステム・トラブルの概要
  •  2014年8月4日、東京都心からほど近い某基礎自治体の基幹システム(外部のデータ・センタのクラウドを使用しており、他の3つの基礎自治体との共同利用システム)が丸一日停止し、住民票の発行や転入・転出の受付、婚姻届・出生届の受理などの重要業務が停止した。原因調査の結果、以下のことが判明した。

    ①システム停止の原因は、Webシステムの手前の負荷分散装置(Load Balancer)が過負荷になっていた為であり、その原因はファームウェアのバグであった。
    ②負荷分散装置自体は二重化していたが、本番系→待機系への切り替えも失敗し、即時復旧が出来なかった。
    ③通常、過負荷の場合、システムの再起動により解決することが多いが、負荷分散装置のみ他の3基礎自治体と同一の筐体上にあり、いわば”一連托生”状態になっていた。その為、他の基礎自治体への影響を回避するため、他の基礎自治体の業務終了時刻まで再起動を待たねばならなかった。

    続きを読む ⇒基礎自治体のシステム・トラブルに見る、自治体のシステム運用・監査の課題<第3回>

    顕在化しにくくなったサイバー脅威のリスクコントロール(Saaj会報2016.11)

    第216回月例研究会:講演録
    【 顕在化しにくくなったサイバー脅威のリスクコントロール 】
    会員番号 2581 斉藤 茂雄

    【講師】株式会社サイバーディフェンス研究所 専務理事 名和 利男 氏
    【日時・場所】2016年9月7日(水)18:30~20:30
    【テーマ】「顕在化しにくくなったサイバー脅威のリスクコントロール」
    【要旨】
    サイバー攻撃は高度化・巧妙化し、かつ進展速度を上げてきている。
    そのためサイバー脅威は、我々の対応限界を遥かに超えたものとなっている。
    その結果、情報システムの現場では、サイバー空間利用における脅威及びリスクを実情に見合った形で見積もることが困難となり、日々発生するインシデント対応に追われている状況が見られる。

    本講演では、なぜこのような状況に陥ってしまったのか、そして今後サイバー脅威のリスクコントロールをどのようにしていくべきかについて、サイバー空間における攻撃側と防御側の観点で考察する。

    【講演録】
    1.激変するサイバー攻撃メカニズム
    (1)攻撃側と防御側の関係位置の変化
    エベレストのような高い山への登山には高度な訓練が必要だが、サイバー攻撃の攻撃者がこのレベルだとすれば、防御側の大多数は、幼稚園児が砂場に作った標高10cmの砂山で遊んでいるようなレベルであり、残念ながら私達のサイバー攻撃に対する本質的理解及び対処スキルのレベルは極めて低い。

    (2)日本へのサイバー攻撃で利用される「日本特有の仕組み」
    米欧の組織内ネットワークでは、その文化的な背景から、一人一人のアカウントに対して権限を厳格に定めている特徴がある。
    対して日本は、ある社員が休めば、他の社員がその仕事を代わることができるといったように、権限管理に甘いところがある。

    米欧でのマルウェア被害は1台のPCで納まることが多いが、日本では1台のPCが被害を受けるとまたたくまに内部ネットワーク全体に広がることがある。

    (3)既成概念を覆す斬新な発想に基づく攻撃手法
    最近の攻撃者は、マジシャンと同じような既成概念を覆す斬新な発想に基づく攻撃を行うことがある。昨年12月にウクライナの電力供給会社がサイバー攻撃を受け、8万戸(実際は12万戸)の住居やビルが停電したと報道されているが、これなど人間を騙してマルウェア感染させた事例である。

    続きを読む ⇒顕在化しにくくなったサイバー脅威のリスクコントロール

    「新個人情報保護法」がPMSに及ぼす影響 ~PMSハンドブック読者!必読!~第7回

    【「新個人情報保護法」がPMSに及ぼす影響
    ~PMSハンドブック読者!必読!~第7回】

    会員番号 0557 仲 厚吉(個人情報保護監査研究会)

    今月号では「第5章 個人情報保護委員会」を解説します。
    この章の内容はもともと番号利用法に規定されていたものですが、2015年9月9日の改正により、新個人情報保護法に移行され「特定」の文字が消えました。この章に限り、番号利用法制定時は黒字のままとし、新個人情報保護法に移行時に改定された内容を赤字で記載します。

    第5章は、既に施行されています。ただし、例えば第59条は2016年9月現在第五十条として公表されており、この連載では、全面施行後の第59条としてご紹介しています。
    また、2016年5月27日に「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律」によって改正されました。2016年5月27日の改正については、緑字で記載します。

     ただし、この緑字の部分は未施行です。
    この連載の前回までの内容は、以下のサイトで閲覧できます。
    目次 =http://1.33.170.249/saajpmsHoritsu/000PIPHoritsu.html 

    第5章 個人情報保護委員会

    第59条(設置)   (旧番号利用法:第三十六条、現在第五十条)    
    内閣府設置法第四十九条第三項の規定に基づいて、個人情報保護委員会(以下「委員会」という。)を置く。
    2 委員会は、内閣総理大臣の所轄に属する。

    ※ 個人情報保護委員会は、日本版プライバシー・コミッショナーと言われています。

    続きを読む ⇒「新個人情報保護法」がPMSに及ぼす影響 ~PMSハンドブック読者!必読!~第7回

    中部/北信越支部報告 (saaj会報2016.11)

    中部/北信越支部報告 
    【 2016年度SAAJ中部/北信越支部 JISTA中部合同研究会 】
    『新技術の導入におけるプロジェクトリスクの管理・監査』

    会員番号 1732 田中 勝弘(中部支部 中部支部/北信越支部合同研究会)

    次の通り2016年度SAAJ中部/北信越支部 JISTA中部合同研究会を開催しました。
    ・日時:2016年9月24日(土) 13:30から25日(日) 12:00
    ・会場:ORE名古屋伏見ビル 11階
    ・主催:SAAJ中部/北信越支部 日本ITストラテジスト協会(JISTA)中部支部
    ・後援:特定非営利活動法人 ITC中部
    ・研究テーマ:新技術の導入におけるプロジェクトリスクの管理・監査
    ・研究会内容:
       1)講演:「新ネットワーク技術「SDN」の導入と留意点について」
              SAAJ中部支部 進 京一氏
       2)グループディスカッション:各グループにてテーマを決めてディスカッションを行う

     SAAJ中部/北信越支部 JISTA中部合同研究会は、今年で5年目を迎えました。情報システムは社会へ広く浸透し、ビジネスにおいてICTの活用は優勝劣敗の差別要因ともなって参りました。そのような状況の中で、情報セキュリティに関する事件・事故とともに、情報システムの導入・開発・運用にかかわる失敗・障害が取り上げられ、社会と企業活動への影響を懸念されているところです。
     本年度SAAJ中部支部では、『プロジェクトリスクの管理・監査』を年間テーマとして、発注者側・受注者側及びその支援に当たるコンサルタントの立場で、プロジェクト全般に関するリスク管理の在り方について情報交換をしてきました。
     そこで、本合同研究会においては、プロジェクトの属性を「新技術の導入」に特化し、その際のリスク管理・システム監査の在り方や今後について議論し、情報交流を図ることを目的として18名の参加により名古屋市内で開催しました。

    続きを読む ⇒中部支部/北信越支部合同研究会

    注目トピックス(saaj会報2016.11)

    注目トピックス

    ■「平成28年上半期における
    サイバー空間をめぐる脅威の情勢等について」を公表【警察庁】

    警察庁は9月15日、「平成28年上半期におけるサイバー空間をめぐる脅威の情勢について」をまとめ、発表した。
    サイバー攻撃の情勢については、警察が報告を受けた標的型メール攻撃は1,951件と、前期から405件の減少となったが、添付ファイルは圧縮ファイルが99%を占め、これまでほとんど報告のなかった「.js」形式ファイルが急増している。
    https://www.npa.go.jp/kanbou/cybersecurity/H28_kami_jousei.pdf

    ■偽警告で電話問い合わせへ誘導する手口の相談が急増
    ~被害防止に向けたセルフチェック診断チャートを公開~【IPA】

    9月29日、IPA(独立行政法人情報処理推進機構、理事長:富田達夫)セキュリティセンターは、安心相談窓口で相談件数が急増している「“ウイルスに感染した”という偽警告でサポートに電話するように仕向ける手口」の被害防止に向けたセルフチェック診断チャートを公開しました。
    https://www.ipa.go.jp/security/anshin/mgdayori20160929.html

    SAAJ主催イベント・セミナーのご案内(会報2016.11)

    SAAJ主催イベント・セミナーのご案内(会報2016.11)

    SAAJ月例研究会(東京)第218回
    日時 : 2016年 11月15日(火曜日)18:30~20:30
    場所 : 機械振興会館 地下2階ホール
    テーマ: 「情報処理安全確保支援士制度について」
    講師 : 経済産業省商務情報政策局
    地域情報化人材育成推進室長 藤岡 伸嘉 氏

    講演骨子
     近年、ソフトウェアの脆弱性(サイバー攻撃を受ける危険性がある弱点)に起因する被害や情報漏洩が深刻化しています。一方で我が国のサイバーセキュリティの専門人材については不足しています。

     政府機関や企業等のサイバーセキリティ対策を強化するため、最新のセキュリティに関する知識・技能を備えた高度かつ実戦的な人材を確保するため、このたび新たな国家資格である「情報処理安全確保支援士制度」が創設されました。
     今回は、この情報処理安全確保支援士制度について解説します。

    SAAJシステム監査実践セミナー(東京)
    日時 : 2016年 11月 17日(木曜日)~11月18日(金曜日)日帰り
    場所 : 晴海グランドホテル(予定)
    概要 : 
     当協会のシステム監査事例研究会「システム監査普及サービス」で実施したシステム監査事例を教材として、ロールプレイングを中心とした演習によりシステム監査を修得することを狙いとしたきわめて実践的なコースです。

    SAAJ西日本合同研究会(松江)
    日時 : 2016年 11月 5日(土曜日)13:00~17:00
    場所 : くにびきメッセ-島根県立産業交流会館-601 大会議室
    テーマ:「情報システム開発とシステム監査 ~ 近年の情報技術やシステム開発手法(アジャイル、DevOps、クラウド、スクラム開発等)にシステム監査はどう対応するか~」
    概要 :
     近年の情報技術やシステム開発手法にシステム監査はどう対応するかをテーマに西日本支部の会員各位より発表して頂き、現代のシステム監査の手法等についての議論をします。

    【 外部主催イベント・セミナーのご案内 】
    システム監査学会 公開シンポジウム(東京)
    日時:2016年 10月 28日(金曜日)10:00~17:00
    場所:機械振興会館 ホール他

    ITGI Japanカンファレンス(東京)
    日時:2016年 11月 14日(月曜日)10:00~17:40
    場所:東京コンファレンスセンター品川
    テーマ:
    10周年記念講演会 ~ITガバナンスこれまでの10年、そしてこれから~

    協会からのお知らせ 【 年会費納付時期について 】 その他

    ■ SAAJからのお知らせ (SAAJ 2016.11)

    1.協会からのお知らせ 【 年会費納付時期について 】

    会員番号 1760 斎藤 由紀子(事務局長)
    会員各位

    いつも、協会活動へのご協力を賜りありがとうございます。
    早速ですが、会員規程に従い、2017年度年会費の請求書を、2016年12月1日付で発送いたしますので、ご準備のほどよろしくお願い致します。

    【会員規程】 http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf
    第3条(会費):会員は、当該年度(1月~12月)の年会費を、請求書に記載された期日までに支払わなければならない。いったん支払われた会費は返却しない。

    【2017年度会費請求の内容】
    <金額> 正会員個人: ¥10,000- (消費税非課税)
    正会員団体:  ¥10,000.- ~ ¥100,000.- (消費税非課税)

    <払込期限>2017年2月末日

    2.新たに会員になられた方々へ

    新しく会員になられたみなさま、
    当協会はみなさまを熱烈歓迎しております。
    協会の活用方法や各種活動に参加される方法などの一端をご案内します。

    ・ホームページでは協会活動全般をご案内
    http://www.saaj.or.jp/index.html

    ・会員規程
    http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf

    ・会員情報の変更方法
    http://www.saaj.or.jp/members/henkou.html

    ・セミナーやイベント等の会員割引や優遇
    http://www.saaj.or.jp/nyukai/index.html
    公認システム監査人制度における、会員割引制度など。

    ・各支部・各部会・各研究会等の活動。
    http://www.saaj.or.jp/shibu/index.html
    皆様の積極的なご参加をお待ちしております。
    門戸は広く、見学も大歓迎です。

    ・皆様からのご意見などの投稿を募集。
    ペンネームによる 「めだか」や
    実名投稿には多くの方から投稿いただいております。
    この会報の 会報編集部からのお知らせ」をご覧ください。

    ・ 情報システム監査実践マニュアル」
    6か月で構築する個人情報保護マネジメントシステム」
    などの協会出版物が会員割引価格で購入できます。
    http://www.saaj.or.jp/shuppan/index.html

    ・月例研究会など、セミナー等のお知らせ
    http://www.saaj.or.jp/kenkyu/index.html
    月例研究会は毎月100名以上参加の活況です。
    過去履歴もご覧になれます。

    ・公認システム監査人へのSTEP-UPを支援します。
    公認システム監査人」 と システム監査人補」で構成されています。
    監査実務の習得支援や継続教育メニューも豊富です。
    CSAサイトで詳細確認ができます。
    http://www.saaj.or.jp/csa/index.html

    ・会報のバックナンバー公開
    http://www.saaj.or.jp/members/kaihou_dl.html
    電子版では記事への意見、感想、コメントを投稿できます。
    会報利用方法もご案内しています。
    http://www.saaj.or.jp/members/kaihouinfo.pdf

    ・お問い合わせページをご利用ください。
    http://www.saaj.or.jp/toiawase/index.html
    各サイトに連絡先がある場合はそちらでも問い合わせができます。

    3.SAAJ行事一覧

    (行事一覧、全文を読む)

    【SAAJからのお知らせ(2016.11)】