セミナーレポート

システム監査と「ITの進化」

システム監査学会のシンポジウムを取材

2014/7/7

 システム監査学会(JSSA)は2014年6月6日、シンポジウム「ITの進化とシステム監査」を開催した。企業におけるコンピュータシステムの有用性や安全性を第三者が評価し、関係者に対して助言する「システム監査」の重要性は増している。今回のシンポジウムでは、システム監査の際に利用するパーソナルデータの取り扱いや情報セキュリティの重要性について講演が行われた。

システム監査学会の関係者で満員となった
シンポジウムの様子
システム監査学会の関係者で満員となったシンポジウムの様子

個人情報とパーソナルデータ


 システムコンサルティングを行うSCCの内桶孝雄氏は、「ビッグデータとシステム監査」に関して講演した。内桶氏はビッグデータが活用されるシーンが増えている反面、個人を識別できる「個人情報」と、個人に関する情報である「パーソナルデータ」をどう差別化し、活用するか世間の関心が高まっているとした。


 例えばNICT(情報通信研究機構)が商業ビル「大阪ステーションシティ」に90台カメラを設置し、利用者がどのように移動するか把握することで防災に役立てようとしたところ、利用者が反発。NICTは利用者のプライバシー侵害に関する懸念の声を考慮し、2014年4月から2年間行う予定だった実証実験の中止を発表している。


 内桶氏はこうした流れを踏まえ、システム監査においても個人情報を扱う際には十分な注意が必要であるとした。システム監査で個人情報を扱う際は、原則として本人の同意が必要であり、「個人情報」と識別できないような匿名化が必須となっている。


 しかし内桶氏は「個人情報を匿名化しても、他の情報と照合することで個人を識別できる可能性がある」と指摘。システム監査において、個人情報を利用する際に容易に照合できない状態になっているか確認が必要だとした。また、外部の提供先にデータを渡す際には、提供先で特定の個人を識別できないよう加工するなどし、情報の取り扱いに十分注意しなければならないとした。


システム監査とリスクマネジメント


 一方、システム監査技術者の成田和弘氏は講演で、システム開発の失敗を巡り、ユーザとベンダーが裁判で争うケースが出てきていると説明した。例えば、日本IBMが担当したスルガ銀行のシステム開発のプロジェクトが途中でとん挫し、スルガ銀行が日本IBMに莫大な賠償を請求する訴訟に発展する問題が起きている。


 成田氏は「システムの開発プロジェクトにおける作業を外部委託することは今日では一般的となっている」と解説。そのため開発作業を一括してアウトソーシングするケースは少なくないものの、プロジェクト自体が失敗する大きなリスクも孕んでいるとした。システム監査を行う上でも、ユーザ企業側に対しては外部委託先へのプロセスを含めたリスク管理やガバナンス体制の確認を行い、またベンダー側に対してもプロジェクトの要件定義などユーザ企業への報告が適切に実施されているか確認を行っていくことが重要だとした。

システム監査技術者 
成田和弘氏   デロイトトーマツリスクサービス
丸山満彦氏
システム監査技術者 成田和弘氏   デロイトトーマツリスクサービス
丸山満彦氏

必要なサイバー攻撃への対策


 また、シンポジウムでは基調講演で、企業のサイバーセキュリティに関する講演も行われた。デロイトトーマツリスクサービス代表取締役の丸山満彦氏は、スマートフォンのような携帯端末の普及により、インターネットに接続することが日常化する反面、犯罪も起きやすくなっていると指摘。


 実際に2011年6月には米国の銀行でシステムの脆弱性をついた不正アクセスがあり、顧客情報が漏洩。翌7月には、地方銀行で顧客に対するスパイウェアや金融機関を装ったメールを利用し、インターネットバンキングのパスワードを盗み不正な振り込みが行われる「フィッシング」が行われている。


 そこで丸山氏は、セキュリティ監視のための専門的な仕組みであるSOC(Security Operation Center)の組織・基盤を重要視した。SOCは企業内に担当部署として設けられ、その業務は、ログを収集し(「入力」)、そこから分析を行い(「処理」)、影響や対応の方針を判断し、経営層や関係部署に報告する(出力)など、3つの過程から成る。


 SOCの体制を築くことができれば、収集した過去のログをさかのぼって調査できる。さらに被害状況の特定まで必要となる人員や作業量を削減でき、報告までのプロセスを短縮することが可能だ。これにより、インシデントの発生を阻止することができる。


 丸山氏は加えて、企業内にインシデントを発見するため専門的な人員「CSIRT」を配置し、活用することも推挙している。しかし「単独のCSIRTでは情報収集や、経験に限界がある」と提言。日本CSIRT協議会と連携することで、普段から実際に起こっているインシデントや攻撃について生の情報を得る必要があるとした。


 システム監査の重要性は増しているものの、ITの進化によって、それを取り巻く環境は日々変わってきている。サイバー攻撃への対応や匿名化など、注意しなければならない「最新の事例」を把握するためにも、シンポジウムの意義は大きいと感じた。

(山下雄太郎)

【セミナーデータ】

イベント名
:ITの進化とシステム監査
主催   
:システム監査学会(JSSA)
開催日  
:2014年6月6日
開催場所 
:機械振興会館ホール(東京都港区)