セキュリティシステム監査（前期2単位）

客員教授　堀江 正之・客員教授　丸山 満彦

１．授業のねらい・到達目標

　この授業では、セキュリティ管理が適切に機能しているかどうかを第三者の立場で評価・検証する場合の考え方と具体的な方法論を学習します。セキュリティ管理では、経営層の積極的な関与のもと、組織全体としての対応が求められることから、そのような視点を重視して授業を進めます。
必要に応じて、国家試験なども意識してシステム監査人となるのに必要な知識や技能も伝授しますが、ケーススタディやディスカッションも織り交ぜながら、理論と実務という観点から、「監査」という行為、あるいは「監査人」の目線で、組織のセキュリティ管理をどう見るかという「センス」と、「問題解決能力」を養うことを主たる目的とします。

２．授業計画

1. 監査の概念（監査の意義・種類・目的等について理解する。監査の意味を理解するための具体的なケースを想定したディスカッションを含む。）
2. セキュリティシステム監査とITを巡るさまざまな認証・審査・格付との異同（セキュリティシステム監査とISMS、Ｐマーク等との異同を理解する。)
3. セキュリティシステム監査の定義・基準・種類・テーマ・方法（セキュリティシステム監査を巡る各種基準に基づき、当該監査の種類や監査テーマ等を理解する。）
4. ITリスク・統制・管理・監査の概念的関係①（これらの関係これらの関係についての具体的なケースを想定したグループ演習を含む。）
5. ITリスク・統制・管理・監査の概念的関係②（これらの関係これらの関係についての具体的なケースを想定したグループ演習を含む。）
6. セキュリティシステム監査のフレームワーク（セキュリティシステム監査の理論的な枠組みを理解する。）
7. 外部委託管理の監査（ITシステム、セキュリティ対策の外部委託の特質を踏まえて、その監査の方針・手続等を理解する。）
8. クラウド・コンピューティングの監査（クラウド・コンピューティングの特質を踏まえて、その監査の方針・手続等を理解する。）
9. 事業継続管理（BCM）の監査（BCMの特質を踏まえて、その監査の方針・手続等を理解する。）
10. 個人情報保護対策の監査（個人情報保護制度、マイナンバー制度の特質を踏まえて、その監査の方針・手続等を理解する。）
11. ITセキュリティ・ガバナンスの監査（経営におけるセキュリティ対応の重要性を踏まえて、その監査の在り方を理解する。）
12. 財務報告に係る内部統制と監査（金融商品取引法に基づく内部統制報告制度におけるIT統制評価と監査の概要について理解する）
13. セキュリティシステム監査実務の現状（セキュリティシステム監査の実務を巡る現状と課題について理解する）
14. 最新技術の動向とセキュリティシステム監査（最新技術を踏まえた今後のセキュリティシステム監査の方向性について理解する）
15. まとめ：情報セキュリティをめぐる監査の実務と課題

＊　なお、上記、7 ～12は各論テーマを取り扱うものであるから、必要に応じて＜ケースに基づく演習ないしはディスカッション＞等を含みます。

３．教科書

教科書は用いません。教材は、適宜、学内サイトにアップし、また必要に応じてプリントを配布します。

４．参考書

講義内容に応じてその都度紹介します。

５．関連科目

この授業の理解を促進するための関連科目：　「情報セキュリティマネジメントシステム」、「セキュリティ管理と経営」、「リスクマネジメント

６．成績評価の方法

講義に組み込まれている演習・ディスカッション・プレゼン（40％）、期末レポート（60％）によって、評価します。