※本稿は、SBクリエイティブ発行の書籍『AWS運用入門 改訂第2版(2025年7月18日発行)』の中から、アイティメディアが出版社の許可を得て一部編集の上、転載したものです。
監査とはどのような業務なのか、その概要を把握しましょう。
監査とは
監査とは、「企業や自治体などあらゆる経済活動を行う組織体に対して、経営や業務の活動が適切に行われていることを第三者の視点から監査人が点検・評価し、その結果が適切でなければ、意見を表明して組織体を正しい方向へ導くこと」です。
要約すると、監査とは組織体に対して点検・評価・意見の表明を行うことを示します。しかしながら、一口に監査といっても監査人が点検・評価する対象は多岐にわたり、監査人に求められる専門性もそれぞれ異なります。企業活動において営業部、経理部、人事部、開発部など、求められる専門性や業務内容によって部署が分けられているのと同じように、監査においても監査を行う実施主体や監査内容によって分類が行われています。図は監査における分類の一例です。
システム監査とは
本記事では上記の分類のうち、IT部門が関わる可能性があるシステム監査に焦点を絞って説明を進めます。
システム監査制度は経済産業省が管轄しています。この制度において、システム監査基準(※1)はシステム監査実施の前提となる監査の意義と目的、監査人の倫理、および監査の体制や実施の在り方を示した基準として整理されています。
(※1)https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf
監査の実施にあたっては、監査対象となる情報システムの状況を適切に評価するため、システムリスクに関する業務全体をカバーする必要があり、これらの評価・判断の基準としてシステム管理基準(※2)が位置付けられています。
(※2)https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kanri-2023.pdf
さらに、2023年4月の基準改訂を受けて、これらの基準を実践するための具体的な実施方法や管理活動のために必要な着眼点、留意事項などを示したシステム監査基準ガイドライン(※3)が、日本システム監査人協会(SAAJ)を中心とする関係団体により策定・公表されています。このガイドラインは、最新の技術革新や社会情勢の変化などに対応するため、継続的にアップデートされる予定となっています。
(※3)https://gl.systemkansa.org/public
システム監査基準では、システム監査の意義と目的を以下のように定めています。
システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、監査結果の利用者にこれらのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査である。また、システム監査の目的は、ITシステムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。
この定義には、システム監査において押さえておくべき重要なポイントや観点が凝縮されているので、少し長くなりますが1つずつ簡単に説明していきます。
専門性と客観性を備えた監査人が、一定の基準に基づいて ITシステムの利活用に係る検証・評価を行い、
一定の基準とは「個人情報保護法ガイドライン」「情報セキュリティ管理基準/ISO 27000(ISMS)認証制度」「クラウドサービス利用のためのガイドライン」「内部統制報告制度(J-SOX)システム管理基準追補版」などの法律・認証制度・ガイドラインを示しています。システム監査人はこれらの基準に照らし合わせて点検・評価・検証を実施するため、ITに関する知識だけでなく法的な知識も必要となります。
監査結果の利用者にこれらのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査である。
監査結果の利用者とは、具体的には企業における経営者を示しています。また、システム監査基準ではガバナンス、マネジメント、コントロールをそれぞれ以下のように記載しています。
つまり、システム監査人は企業の経営者に対して情報システムのガバナンス、マネジメント、コントロールを一定の基準に照らし合わせて評価・点検・検証した結果として、それらが適切に機能していることを保証意見として表明あるいは改善のための助言を行う役割を担っているということです。「保証意見の表明」「改善のための助言」を目的とした監査をそれぞれ保証型監査、助言型監査と呼びます。
また、システム監査の目的は、ITシステムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。
システム監査という言葉を聞くと、社内で利用している情報システムの品質などをチェックすることをイメージするかもしれませんが、実際は大きく異なります。システム監査の目的は、組織体の目標達成、言い換えると売上目標や利益目標といった「経営戦略上の目標達成」に寄与することです。
「組織体の目標達成に寄与する」という明確な目的があるシステム監査ですが、実際の監査の現場では人的リソースや時間的な制約があるため、監査対象となりうる全ての対象を監査することは現実的ではありません。そのため、監査対象とする情報システムを絞り込むことによって確保できる人的リソースを最大限に生かし、限られた時間の中で監査を実施するために以下のようなプロセスを踏んでシステム監査を実施しています。
監査準備とは
ここまで読み進めた読者の中には「システム監査はシステム監査人が実施するのだから、IT部門は関係ないのではないか」と疑問に思った方がいるかもしれません。しかしながら、ここで重要となるのはシステム監査のプロセスの予備調査と本調査です。
前述の通り、システム監査人は情報システムのガバナンス、マネジメント、コントロールを一定の基準に照らし合わせて評価・点検・検証した結果として、それらが適切に機能していることを保証意見として表明あるいは改善のための助言を行います。この保証意見の表明と改善のための助言で重要なことは「どのような根拠に基づいて」意見を表明しているのか、ということです。システム監査人が合理的かつ説得力がある意見を表明するためには、十分な量と証明力を持った証拠や事実(監査証拠)をあらかじめつかんでおく必要があります。監査証拠としての説得力を持たせる情報は、監査証跡と呼ばれます。
監査証跡はシステム監査において「いつ、誰が、どのような操作を行い、どのような結果になったのか」という事実を立証するための証拠となる痕跡を把握することができる情報(データ)です。これらの情報収集を実施するのが、予備調査と本調査のプロセスです。このプロセスではシステム監査人からIT部門に対して次のような依頼があるかもしれません。
「現在、内部監査部門で営業支援システム/生産管理システム/購買情報システムの3つのシステムを対象にシステム監査の本調査を実施しています。そこで監査証跡として2025年1月1日〜2025年6月30日の期間における各システムのアクセスログ、通信ログ、設定変更ログ、認証ログをご提供頂けないでしょうか。可能であれば2週間以内にご提供頂けると助かります」
仮に認証ログを取得していない、あるいは取得していたが過去3カ月分しか保管していなかった場合はシステム監査人からの依頼に応えることができません。また提供できたとしても、2週間という限られた期間内で提供する場合は実業務の手を止めて対応しなければならない可能性もあります。このようにシステム監査自体はシステム監査人が行いますが、システム監査人の監査証跡の収集を支援するためにIT部門は動く必要があります。これを本記事では監査準備と呼ぶことにします。
監査準備とシステム設計の関わり
ここでもう一歩踏み込んで考えてみます。システム監査人はIT部門から提供されたログが「本当に正しい」ログなのかどうか、言い換えるとログの改ざんや損失の可能性を考慮することができません。システム監査人の立場に立つと合理的かつ説得力がある意見を表明するためには、十分な証明力を持った証拠(監査証拠)をもとに評価し、意見を表明したいところです。すると次のような疑問がわくかもしれません。「提供されたログには改ざんや損失の可能性は本当にないのだろうか、またそれを証明するために必要な証拠は何だろうか」
利用しているシステムが外部ベンダーによって提供されているソフトウェア製品であれば話は変わりますが、例えば自社で開発しているシステムを利用している場合だと「どのような方法で、どのようなログを記録しているのか」「記録しているログに過不足はないのか」「改ざんや損失の可能性に対してどのように対応しているのか」といったことをシステム監査人がチェックする可能性もゼロではありません。システム監査人のチェック内容を考慮すると、システムの設計に影響する可能性があります。これらはログの提供を一例とした内容ですが、IT部門にとって監査は決して他人事ではないとご理解いただけたのではないでしょうか。
年度計画や個別監査計画の中で決定される監査テーマや監査目的によって、収集する監査証跡は異なるため、IT部門として監査証跡の収集の全てに備えることは簡単ではありません。しかしながら、システム監査における監査証跡の提供を念頭に置いた運用設計を行うことで、監査実施時のIT部門の業務負荷の軽減や、情報システムとしての品質向上が期待できると考えられます。
書籍紹介
AWS運用入門 改訂第2版
著者:山﨑翔平/小倉大/峯侑資
SBクリエイティブ 3,520円
最新情報にアップデート!
AWSトップエンジニアが実践しているシステム運用の手法とコツ
本書では「最初に知っておきたいAWS運用のすべて」を体系立てて解説します。
システム運用で利用するEC2・IAM・RDSといった基本的なサービスはもちろん、意外と知らないバックアップ/リストア、セキュリティ統制、監査に関わるサービスも基本から丁寧に解説。
日々の運用業務の中で「なるべく楽に」「効率的に」AWSでシステムを運用する手法が満載です。
改訂第2版では、初版からさらにAWS運用に役立つサービスや機能を深掘りして、多数の追加解説を行っています。
Copyright © ITmedia, Inc. All Rights Reserved.