クラウド化・IoT時代を迎え、
あらゆる企業に求められる仕事。

ーシステム監査とは

「監査」とは第三者的な立場から、調査や検証を実施し、評価を下す人のことですが、システム監査も、独立した立場で企業や団体の情報システムを監査するのが主な仕事。 システムの信頼性や安全性、効率などの点に問題がないかを調べた上で、問題があれば改善策を提示します。
現在、システム監査は法律によって実施が求められている「法定監査」ではありません。
しかし、
会計監査などの法定監査の一部としてシステム監査をする
セキュリティや外部委託業務の依頼の際に、信頼性を確かめるため利用する
といった動きが広がる将来性のある仕事です。

危険ケース No.1

業者や若手社員任せ=属人的なシステム管理

従業員5名、半導体製造会社の例

5年前に中小企業向けのセミナーに参加して「これからはITを活用する時代だ」という講師の言葉に触発されてシステムを初めて導入しました。
導入は知り合いのITシステム業者に依頼。業者に言われるままにネットワークも含めた機器やソフトウェアを購入したので、どんな構成なのかは把握していませんでした。
機器やオペレーションシステムの担当は、若手のパソコンに詳しい社員に任せていたのですが・・・

若手の担当者の方が、退職されてしまって
ITシステムに関してわかる人が誰もいない状況になってしまったと。

そうなんです。
しかもその後にITシステムでトラブルが発生し、システムが使えなくなってしまいました。

トラブルの際、導入した時のITシステム業者には連絡しましたか?

その業者にトラブル対応の依頼をしたところ、保守契約を結んでいないことから対応を断られてしまいました。

結果として、ITシステムを復旧させる方法がわからなくなってしまったんですね。

はい。ITシステムが使えなくなったので、顧客から入手していた受領書や請求書の控えなどの紙の伝票を引っ張り出して、人力で突合することに。
結局、ITシステム導入前の手作業ベースの業務を定着させるために半年以上かかり、社員に多大な業務負荷をかけてしまいました。
高額な金額を支払って導入したITシステムなのに、廃棄するにも費用がかかるので、電源を落としたまま放置することに…。

今回のケースは、一見システム監査とは関係がないように思えます。
しかし、システム監査では、システムそのものの機能や管理状況だけでなく、会社としてどのような組織や体制でシステムを管理し、維持しようとしているのかという管理の環境面についても監査の対象とします。

システム監査・対象項目 〜システム管理の環境編〜

  • 会社のシステムに対する意識や取り組み状況
  • 会社におけるシステムの位置づけ
  • システムを導入・維持・管理する組織構造と責任の所在
  • システムを継続的に維持・管理するための人の配置と育成

危険ケース No.2

IoT時代のネットワーク攻撃

モノのインターネット=IoT(Internet of Things)機器製造・販売会社の例

うちの会社は、IoT機器の製造や販売を手がけていて、
世界中の家電・スマートフォン・自動車、そして重要なインフラ設備をネットワークにつないでます。

セキュリティ対策はしているつもりだったんですが・・・

さまざまなメンテナンスや遠隔操作を実施できるようにするための機器が攻撃を受け、IoTのサービスが数時間にわたって提供できなくなってしまったと。
原因を究明して対策を立てていきましょう。

機器の出荷時には最新のセキュリティ対策を実施していますし、定期的にセキュリティの更新プログラムを配信しています。

<1>攻撃を受けた機器と<2>被害を防止できた機器の差異を確認してみると、
<1>はセキュリティの更新プログラムがされていなくて、初期パスワードの変更もされていませんね。

なるほど・・・
定期的にセキュリティの更新プログラムを配信していますが、 きちんと適用されているかどうかまで確認できていませんでした。

詳しく調べてみましたが、攻撃元は、外国に設置されているネットワーク機器ですね。
そこから御社の機器の出荷状態のパスワードを利用してログインを試行するという攻撃を仕掛けられています。
ログインが実施できた機器の設定情報を書き換え、機器を乗っ取るという手法です。

IoT機器のシステム監査というのはまだ制度化されておらず、現状ではほとんど実施されていません。
しかし、今回取り上げたような攻撃については、現実に発生してきています。
システム監査人としては、起こったネットワーク攻撃の対処療法的だけでなく、このような問題が起こらないようにする、もしくは起こっても被害を最小限にする方策を経営者に対して提言します。

システム監査・対象項目 〜ネットワーク攻撃編〜

  • ネットワーク攻撃の原因究明・対処提案
  • 根本的に問題が発生しないようにする対策提案
  • その後、新しい運用方法がきちんと実施されているか確認
  • IoT社会にそなえ、会社の経営者や社会への教育の普及

システム監査・入門書

『システム監査がわかる本』

株式会社メトリックス
代表取締役社長 松井亮宏

Contents
  • はじめに:システム監査って何?
  • 第1章:業者任せ・属人的なシステム管理
  • 第2章:機密情報の定義が曖昧
  • 第3章:知らぬ間にサイバー攻撃に加担!?
  • 第4章:リアルとオンラインのショップ、構築の意外な共通点
  • 第5章:IoT時代のネットワーク攻撃
  • おわりに:システム監査の魅力と将来性
  • システム監査人を目指す方へ
【発売記念】50%OFF! 9/3(日)まで

システム監査はメトリックスに
お任せください

株式会社メトリックス Metrics Inc.

代表取締役社長
松井 亮宏
本社
〒600-8411
京都市下京区烏丸通四条下ル水銀屋町620
COCON烏丸4階 シティラボ内
設立
2015年7月1日
資本金
300万円
事業内容
  • ・システム監査及び内部統制監査業務
  • ・システムの導入/活用及び支援業務
  • ・データ分析及びデータ利用による経営支援及びコンサルティング業務
  • ・情報漏洩対策及びセキュリティ対策支援及びコンサルティング業務
  • ・損害保険代理業及び生命保険募集に関する業務
  • ・上記各号に付帯又は関連する一切の事業
電話番号
075-353-8070
FAX番号
075-353-8077
E-mail
info@metrics-kyoto.com
システム監査・セキュリティについて
相談してみる