今年はシステム監査区分を受けることにしました。
※2019年度春期合格しました。その振り返りはこちら。
情報処理技術者試験ーシステム監査(AU)振り返り - あ、はい。そうですか。
今までのはこちら
情報処理技術者試験 高度午前キーワード一覧 - Qiita
ネットワークスペシャリストのキーワード一覧 - Qiita
はじめに
なかなか馴染みがないのがシステム監査。
私のような開発者からすると、重箱の隅をつつくような、設計書のフォーマットだのにケチをつけるイヤな存在のイメージがあります。
この辺の偏見はまさにシステム監査というものを知らないが故であるとも言えます。
というわけでかなり基本的なところから勉強します。
システム監査とは?
そもそもシステム監査とはなんでしょう。
仰々しく「監査」と言っていますが、法律で義務付けられているようなものではありません。
では、何故システム監査を行うのか。大きく2つの目的があるようです。
- 経営者が自社のシステムの運用が正しく行われているか調べるため
- 対外的にシステム開発・運用を正しく行っていることをアピールするため
1は内部監査にあたります。特にITに疎い経営者なんかはIT投資が十分な結果をもたらしているか気になりますよね。
2は第三者機関にお墨付きをもらうことによって発注者の信頼を得ることができるかもしれません。
ちなみに顧客が監査するような場合は第二者監査となります。
実際は監査をすること自体が目的になっていることもあるように思いますが (^_^;)
システム監査技術者とは
IPAによる期待する対象者像。
高度IT人材として確立した専門分野をもち、監査対象から独立した立場で、情報システムや組込みシステムを総合的に点検・評価・検証して、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性などに対する保証を与える、又は改善のための助言を行う者
「独立」というのは、監査という立場上、監査人が監査対象の「お友達」では何を言っても信用されません。
某アイドルグループの事件を見ているとよくわかりますね。
実際はどうでしょうね。忖度、あると思います。
「ガバナンス」「マネジメント」「コントロール」は説明すると難しいですが、あまり気にしないことにします。
システム監査基準・システム管理基準
経済産業省による、システム監査のよりどころとなる基準が公開されています。
どうしても汎用的にならざるをえないため、ふわっとしている気がしますが、一通り目を通しておいた方が良いです。
「システム監査基準」及び「システム管理基準」の改訂について(METI/経済産業省)
セキュリティ版もあります。これは軽く目を通しておきます。
監査の流れ
- 計画
- 中長期計画
- 年度計画
- 個別計画
- 調査
- 予備調査
- 監査手続きの策定
- 本調査
- 報告
- 報告
- フォローアップ
キーワード
-
監査技法
- ITF法
Integrated Test Facility。システムの中に監査人用の口座を作成し、その口座への処理の正確性を検証する。 - ペネトレーションテスト
侵入テスト。
- ITF法
-
セキュリティ
- CSIRT
シーサート。セキュリティインシデント対応の専門組織。
- CSIRT
-
法規
- 刑法
- 詐欺など実害あり
- 不正アクセス禁止法
- 不正アクセスを行う、ID/パスワードを流布する
- 金融商品取引法(J-SOX法を含む)
- 内部統制
- OECDプライバシーガイドライン
- 最小限の原則
- 個人情報保護法
- 民間組織の個人情報の扱いを定める
- プライバシーマーク
- 著作権法
- 言語、プロトコル、アルゴリズムは対象外
- 特許法
- 不正競争防止法
- 労働基準法
- 監査の対象となる
- 男女雇用機会均等法
- 労働者派遣法
- 下請代金支払遅延等防止法
- PL法
- 刑法