セキュリティシステム監査(前期2単位)

客員教授 堀江 正之・客員教授 丸山 満彦

1.授業のねらい

この授業では、組織のセキュリティ管理が適切に機能しているかどうかを第三者の立場で評価・検証するセキュリティシステム監査の考え方と具体的な方法論を学習します。監査の対象となるセキュリティ管理では、経営層の積極的な関与のもと、組織全体としての対応が求められることから、そのような視点を重視して授業を進めます。
必要に応じて、国家試験なども意識してシステム監査の専門家となるのに必要な知識も伝授しますが、ケーススタディやディスカッションも織り交ぜながら、理論と実務という観点から、「監査」という行為、あるいは「監査人」の目線で、組織のセキュリティ管理をどう見るかという「センス」と、「問題解決能力」を養うことを主たる目的とします。

2.到達目標

この授業を通じてセキュリティシステム監査を行えるだけの基礎的な技能を養うことを目標とします。セキュリティシステム監査は、単にセキュリティと監査についての知識さえあれば簡単に行えるというものではありません。技術・業務・経営・管理に関する知識に加え、コミュニケーション・スキルやロジカルシンキングなど、さまざまな技能が複合的に要求されるものです。そこで、この授業を通じて、それら技能の要諦を習得しつつ、それを通じて、監査業務以外の業務にも生かせるようにします。

3.授業計画と開講形態

開講形態は別途通知。
なお、授業の進行に応じて、適宜、事例研究を組み入れることを想定しています。

  1. 監査の基本的な考え方(セキュリティシステム監査の意義から入り、より広く、監査の分類、監査の要件等、監査という「仕事」・監査人の「任務」・監査の「限界」、監査の「難しさ」などを学習する。)
  2. IT認証・審査・格付等とセキュリティシステム監査(ITを巡るさまざまな認証・審査・格付等の意味を理解し、保証の意味とセキュリティシステム監査との異同について学習する。)
  3. セキュリティシステム監査の定義・基準・種類・テーマ・方法等(セキュリティシステム監査の必要性を理解し、利用される基準、具体的な監査プロセス等を学習する。)
  4. セキュリティシステム監査のフレームワーク①(セキュリティシステム監査のアプローチについて具体的に学習する。)
  5. セキュリティシステム監査のフレームワーク②(ITガバナンスの監査・ITマネジメントの監査・ITコントロールの監査と、それらの関係ついて学習する。)
  6. ITアウトソーシングの監査①(IT業務の外部委託(クラウドを含む)について、具体的な監査上の着眼点について学習する。)
  7. ITアウトソーシングの監査②(実際の事故事例に基づいてITアウトソーシングを前提とした場合の委託元及び委託先の監査の方法について学習する。事例研究を含む。)
  8. 新型コロナ禍を踏まえた監査の課題と今後の方向性(新型コロナ禍におけるセキュリティ監査の実態やニューノーマルを想定した監査のあり方について学習する。)
  9. 保証型監査①(保証型監査の概要、三当事者の関係を理解する。)
  10. 保証型監査②(独立性を考える。)
  11. 保証型監査③(監査の主題と規準を考える。)
  12. 保証型監査④(監査証拠と意見形成)
  13. 保証型監査⑤(意見形成と報告書)
  14. 保証型監査⑥(応用問題)
  15. まとめ:情報セキュリティをめぐる監査の実務と課題(セキュリティシステム監査を研究したり実務に役立てるためのまとめを行う。)

4.教科書

教科書は用いません。教材は、学内サイトにアップします。

5.参考書

必要に応じて、その都度紹介します。

6.関連科目

次の科目を同時に履修するか、すでに履修済であることが望ましい。
 「リスクマネジメントと情報セキュリティ」、「セキュリティ経営とガバナンス」など。

7.成績評価の方法と基準

授業のねらい及び到達目標を充足しているかどうかを評価の基準として、講義に組み込まれている課題学習・演習(30%)、期末レポート(70%)によって、評価します。