セキュリティシステム監査（前期2単位）

客員教授　堀江 正之・客員教授　丸山 満彦

１．授業のねらい

この授業では、組織のセキュリティ管理が適切に機能しているかどうかを第三者の立場で評価・検証するセキュリティシステム監査の考え方と具体的な方法論を学習します。監査の対象となるセキュリティ管理では、経営層の積極的な関与のもと、組織全体としての対応が求められることから、そのような視点を重視して授業を進めます。
事例研究やディスカッションも織り交ぜながら、理論と実務という観点から、「監査」という行為、あるいは「監査人」の目線で、組織のセキュリティ管理をどう見るかという「センス」と「問題解決能力」を養うことを主たる目的とします。

２．到達目標

この授業を通じてセキュリティシステム監査を行えるだけの基礎的な技能を養うことを目標とします。セキュリティシステム監査は、単にセキュリティと監査についての知識さえあれば簡単に行えるというものではありません。技術・業務・経営・管理に関する知識に加え、コミュニケーション・スキルやロジカルシンキングなど、さまざまな技能が複合的に要求されるものです。そこで、この授業を通じて、それら技能の要諦を習得しつつ、それを通じて、監査業務以外の業務にも生かせるよう心掛けます。

３．授業計画と開講形態

ディスカッション、事例研究を組み入れた授業を行います。

1. 監査の基本的な考え方（セキュリティシステム監査の意義から入り、より広く、監査の分類、監査の要件等、監査という「仕事」・監査人の「任務」・監査の「限界」、監査の「難しさ」などを学習する）（担当：堀江）
2. 保証型監査①（保証型監査の概要、三当事者の関係を理解する）（担当：丸山）
3. 保証型監査②（独立性を考える。監査の主題と基準を考える）　（担当：丸山）
4. 保証型監査③（監査証拠と意見形成、報告書）（担当：丸山）
5. 保証型監査④（意見形成と報告書）（担当：丸山）
6. 事業継続マネジメントの監査（事業継続マネジメントとは何か、それを監査するというのはどういうことかについて学習する）（担当：丸山）
7. IT認証・審査・格付等とセキュリティシステム監査（ITを巡るさまざまな認証・審査・格付等の意味を理解し、保証の意味とセキュリティシステム監査との異同について学習する）（担当：堀江）
8. セキュリティシステム監査のフレーワーク①（セキュリティシステム監査の必要性、利用される基準、具体的な監査プロセス等を学習する）（担当：堀江）
9. セキュリティシステム監査のフレームワーク②（セキュリティシステム監査の応用的論点について学習する）（担当：堀江）
10. ITアウトソーシングの監査（IT業務の外部委託（クラウドを含む）について、具体的な監査上の着眼点について学習する）（担当：堀江）
11. 事例研究①（実際の事故事例に基づいてITアウトソーシングを前提とした場合の委託元及び委託先の監査の方法についての事例研究）（担当：堀江）
12. 事例研究②（実際の事故事例に基づいてITアウトソーシングを前提とした場合の委託元及び委託先の監査の方法についての事例研究）（担当：堀江）
13. 事例研究報告会及びセキュリティシステム監査を巡る動向について（担当：堀江）
14. ままとめ：情報セキュリティをめぐる監査の実務と課題（セキュリティシステム監査を研究したり実務に役立てるためのまとめを行う）（担当：丸山）

４．教科書

教科書は用いません。教材は、学内サイトにアップします。

５．参考書

必要に応じて、その都度紹介します。

６．関連科目

次の科目を同時に履修するか、すでに履修済であることが望ましい。
　「リスクマネジメントと情報セキュリティ」、「セキュリティ経営とガバナンス」など。

７．成績評価の方法と基準

授業のねらい及び到達目標を充足しているかどうかを評価の基準として、授業に組み込まれている演習・課題等（30％）、期末レポート（70％）によって評価します。