特設講義(セキュリティ監査)(後期2単位)

教授 原田 要之助

1.授業のねらい・到達目標

 企業や組織は、事業で個人情報をはじめさまざまな情報を活用している。とくに、近年、クラウドサービスの活用が広がり、重要な情報を外部に保存・活用するようになっている。そのため、情報を預けたクラウドの情報セキュリティの管理レベルが低い場合には、情報漏えいなどのリスクが顕在化する。過去には、ISMSやPマークの認証を受けた事業者による大規模な漏えい事件や、サプライチェーンの末端企業での不正事件などが起きている。この事実から分かることは、情報セキュリティに関する経営の説明責任には、ISMSやPマークなどの認証だけでは不十分であり、第三者による監査による説明責任が望ましい。政府も政府が所掌する情報システムについては情報セキュリティ監査を義務づけるようになっており、情報セキュリティ監査は必須となっている
 そこで、講義では、保証型の情報セキュリティ監査に着目して、助言型監査によって問題点を把握して、改善して、保証を受けられる準備を行う。次に、保証を受ける事業について経営者による言明(管理策の実施の表明)を作成する。外部監査人は、言明に対して保証型監査を実施する。その結果として実施状況をものに監査報告書を策定する。
 受講者は,監査の枠組みに関する座学と模擬監査演習を通じて実践的な能力を身につける。また、講義履修と併せて、NPO日本セキュリティ監査協会が認定する公認情報セキュリティ監査人(補)の受験資格が得られる。(資格取得のための受験費用、登録費用は別途必要)

2.授業計画

講義形式での授業と、グループでの討論で構成する。

  1. オリエンテーション(講義の概要、目標、評価方法など)、情報セキュリティ監査の枠組み
  2. 情報セキュリティ監査制度 (情報セキュリティ監査の例、情報セキュリティ監査基準など)
  3. 情報セキュリティ監査の内容1(監査人の評価対象、監査の種類など)
  4. 情報セキュリティ監査の内容2(保証型監査と助言型監査、言明書と監査報告書の関係、報告書の利用など)
  5. 監査技法1(ヒアリング、閲覧、観察、再実施、技術的検証、侵入検査など)
  6. 監査技法2(サンプルのとり方、保証要件)
  7. 情報セキュリティ監査の実務1(セキュリティ監査のリスクと対応)
  8. 情報セキュリティ監査の実務2(セキュリティ監査のフェーズ)
  9. 情報セキュリティ監査演習(1) ケーススタディの背景(保証型監査と助言型監査の必要性の理解)と監査の進め方のガイダンス、監査資料の収集
  10. 情報セキュリティ監査演習(2) ケーススタディ:監査計画の作成、助言型監査資料の収集、監査チェックリストの作成
  11. 情報セキュリティ監査演習(3) ケーススタディ:助言型監査の監査技法の実施と監査調書の作成
  12. 情報セキュリティ監査演習(4) ケーススタディ:助言型監査報告書作成と報告会
  13. 情報セキュリティ監査演習(5) ケーススタディ:保証型監査の監査技法の実施と監査調書の作成
  14. 情報セキュリティ監査演習(6) ケーススタディ:保証型監査報告書の作成
  15. 情報セキュリティ監査演習(7) ケーススタディ:保証型監査報告会と反省会
    (なお、NPO日本セキュリティ監査協会の資格希望者は、上記以外に研修(1~8回)の受講後の修了試験、トレーニング(9~15回)後の修了試験を受験することで、修了書を取得でき、それぞれ、情報セキュリティ監査アソシエイト、情報セキュリティ監査人(補)に資格申請できる)

3.教科書

  1. NPO日本セキュリティ監査協会の研修テキスト
    (教材費(研修テキスト5,040円/トレーニングテキスト10,080円):受講者は日本セキュリティ監査協会から購入していただきます)
  2. 標準類
    JIS Q.27000:2014、Q.27001:2014、Q.27002:2014
    情報セキュリティ管理基準(平成28年経済産業省告示第37号、平成28年3月1日適用)
    情報セキュリティ監査基準(平成15年経済産業省告示第114号)

4.参考書

   授業で紹介します。

5.関連科目

本科目では組織における情報セキュリティ監査(助言型、保証型)を具体的にどのように進めるかについて解説する。基礎的な情報処理システムについての知識を持っていることが望ましい。情報セキュリティマネジメントシステムやセキュリティシステム監査とは内容的に関係ありますが、履修を前提とはしていません。

6.成績評価の方法

出席状況、受講態度、レポート、ケーススタディ(グループ討論と発表)への取組を総合的に判断し、評価する。

7.その他 NPO日本セキュリティ監査協会の資格認定について

本履修を実施後、NPO日本セキュリティ監査協会による修了試験(研修とトレーニングそれぞれ試験があります)を受験して合格することで監査アソシエイトと監査人補の資格が取得(資格取得のための受験費用、登録費用は別途必要)できます。 なお、この修了試験と講座の単位とは独立しています。