セキュリティシステム監査(前期2単位)

客員教授 堀江 正之・客員教授 丸山 満彦

1.授業のねらい

この授業では、セキュリティ管理が適切に機能しているかどうかを第三者の立場で評価・検証するセキュリティシステム監査の考え方と具体的な方法論を学習します。監査の対象となるセキュリティ管理では、経営層の積極的な関与のもと、組織全体としての対応が求められることから、そのような視点を重視して授業を進めます。
必要に応じて、国家試験なども意識してシステム監査人となるのに必要な知識や技能も伝授しますが、ケーススタディやディスカッションも織り交ぜながら、理論と実務という観点から、「監査」という行為、あるいは「監査人」の目線で、組織のセキュリティ管理をどう見るかという「センス」と、「問題解決能力」を養うことを主たる目的とします。

2.到達目標

そもそも監査は、単にセキュリティと監査についての知識さえあれば簡単に行えるというものではありません。経験や感性、さらにはコミュニケーションやロジカルシンキングなど、さまざまな技能が複合的に要求されるものです。そこで、この授業を通じて、それら技能の要諦を習得しつつ、それを通じて、監査業務以外の業務にも生かせるようにします。

3.授業計画

  1. 監査及びセキュリティシステム監査業務の性質(監査という「仕事」・監査人の「任務」・監査の「難しさ」を学習する。)
  2. IT認証・審査・格付等とセキュリティシステム監査(ITを巡るさまざまな認証・審査・格付等の意味を理解し、セキュリティシステム監査との異同について学習する。)
  3. セキュリティシステム監査の定義・基準・種類・テーマ・方法等(セキュリティシステム監査の必要性を理解し、利用される基準、具体的な監査プロセス等を学習する。)
  4. セキュリティシステム監査のフレームワーク(セキュリティシステム監査のアプローチとケースに基づく監査報告を学習する。)
  5. ITリスク・統制・監査の関係①(ITリスク・統制・監査の概念的関係について学習する。なお、グループ演習を含む。)
  6. ITリスク・統制・監査の関係②(具体的な事例に基づいてITリスク・統制・監査の関係を学習する。なお、グループ演習を含む。)
  7. 外部委託管理の監査①(クラウドを含むITアウトソーシングを前提とした場合の委託元及び委託先の監査の方法について学習する。なお、グループ演習を含む。)
  8. 外部委託管理の監査②(具体的な事例に基づいてITアウトソーシングを前提とした場合の委託元及び委託先の監査の方法について学習する。なお、グループ演習を含む。)
  9. 事業継続管理(BCM)の監査(BCMの特質を踏まえて、その監査の方針・手続等を学習する。)
  10. 個人情報保護対策の監査/意見形成(個人情報保護対策の監査について意見形成を含めてそのポイントを学習する。)
  11. ITセキュリティ・ガバナンスの監査と監査手続(ITセキュリティ・ガバナンスの概念を理解し、その監査手続を含めて監査上のポイントを学習する。)
  12. 財務報告に係る内部統制と監査(金融商品取引法に基づく内部統制報告制度におけるIT統制評価と監査の概要について学習する。)
  13. セキュリティシステム監査実務の現状と監査報告(セキュリティシステム監査実務の現状・課題、さらには監査報告のあり方について学習する。)
  14. 最新技術の動向とセキュリティシステム監査(最新技術の動向がセキュリティシステム監査に与える影響を学習する。)
  15. まとめ:情報セキュリティをめぐる監査の実務と課題(セキュリティシステム監査を研究したり実務に役立てるためのディスカッションを行う。)

4.教科書

教科書は用いません。教材は、適宜、学内サイトにアップし、また必要に応じてプリントを配布します。

5.参考書

講義内容に応じてその都度紹介します。

6.関連科目

次の科目を同時に履修するか、すでに履修済であることが望ましい。 「情報セキュリティマネジメントシステム」、「セキュリティ管理と経営」、「リスクマネジメント」など。

7.成績評価の方法と基準

授業のねらい及び到達目標を充足しているかどうかを評価の基準として、講義に組み込まれている演習・ディスカッション・プレゼン(40%)、期末レポート(60%)によって、評価します。