Webマガジン
「これからの内部監査部門に期待される役割」~システム監査の有効性を高めていくために~(第2回)」
さくら情報システム株式会社

2011年12月号
  • 「これからの内部監査部門に期待される役割」~システム監査の有効性を高めていくために~(第2回)」
さくら情報システム株式会社   河野 謙一郎

 本稿では,システム監査の黎明期から現在までを振り返り,これからの内部監査部門に期待される役割について考察してみたいと思います。ただし,本稿は,我が国のIT化が進展してきた現場で経験し,感じてきたことを実務者の視点で整理したものです。信頼のおける資料や十分な量のデータに裏付けられた学術的な分析の結果ではないこと,また,筆者の思い込みや記憶違いに由来する誤りが含まれている場合があることを,あらかじめお断りしておきます。


1.情報技術の発展とシステム監査の変遷 ~つづき~

 今後のシステム監査のあり方と内部監査部門の役割について検討する前に,システム監査の現状を歴史的な流れの中でとらえ,その位置付けを整理するために,引き続き,情報技術(IT:Infromation Technology)の発展とともに,システム監査の変遷を振り返ってみていきましょう。前回は,コンピュータの誕生から1980年代末までを振り返りました。今回は,1990年代初頭から現在までを振り返ります。ITの発展とその大きな変化を表すような関連のイベントを整理した,図1を再掲しておきます。

ITの発展と関連のイベント(再掲)
図 1 ITの発展と関連のイベント(再掲)

成長期(2000年代初頭まで)―IT化のプロセスの妥当性の検証

 出現した当初,1970年代末から1980年代初頭にかけては,パソコン(PC:Personal Computer,パーソナルコンピュータ)は,機種間の互換性がなく,一部のマニアだけが,BASIC4)を使ってプログラムを自作したり,市販のゲームソフトで遊んだりする,高価なおもちゃという認識が一般的でした。当時は,オペレーティングシステム(OS:Operating System)も未発達で,フロッピディスク(FD:Floppy Disk)を挿入して電源を投入することでアプリケーションを起動し,そのアプリケーションの使用を終了して別のアプリケーションに切り替えるためには,一旦,電源を切断する必要があるといったソフトウェアパッケージが市販されていました。
 1984年に(IBMが発売した“PC/AT”と,そこに搭載された(Microsoft社製のOS“MS-DOS”が,その後の事実上の標準(defacto standard)になり,1980年代の後半,米国では,ビジネスシーンにPCが急速に浸透していきました。我が国では,まだワープロ(WP:Word Processor,ワードプロセッサ)専用機が全盛で,表計算や簡易なカード型データベースを用いた小規模なアプリケーションが,スタンドアロンのPCで使われる程度でした。ビジネス分野でのPCの本格的な普及は,OSが日本語化され,)互換機が事実上の標準としての地位を確立した年代になってからでした。
 PCが普及し,イーサネットが標準的なLAN(Local Area Network)として採用されるようになると,それまでの,汎用機のホストを中心にしたスター型の専用ネットワークが主流であったシステム形態に,大きな変化が見られるようになりました。汎用機のシステムを,1台又は複数台のサーバとPC群とで構成されるクライアントサーバ(CS:Client Server)型のシステムに再構築するダウンサイジングや,ホストの基幹業務系で処理したデータをサーバ上の2次加工用データベースに配信して利用する,三層構造化などが行われました。
 RDBは1979年に登場し,米国内では,1980年代に実用化が進められていきました。我が国では,1990年に日本オラクルが本格的な活動を開始するなど,1990年代になって,RDBが普及し始めたことも,システム形態の化煮変拍車をかけていきました。
 1990年代に入ると,ITは多くの分野に枝分かれし,それぞれの分野で高度な専門性が求められるようになってきました。一人の専門家がすべての分野に精通することは困難になり,IT化の推進には,各分野の専門家の協力が不可欠になっていきました。技術分野の多様化に呼応して,平成6年(1994年),情報処理技術者試験制度が改訂され,試験区分が11区分に拡大されました。
 IT活用の場面でも,多様化,高度化が進展していきました。1980年代末から本格化してきた銀行の第3次オンラインでは,基幹業務系システムの再構築が中心であった第2次オンラインとは異なって,蓄積された情報の戦略的活用に重点が置かれていました。稼働中のプログラムの動作を理解し,検証するためには,IT化の対象となっている多様な業務の知識と,多くのIT分野についての高い技術スキルが必要で,一人又は少数のシステム監査人で,コンピュータでの処理手順の正当性を確認することは,実質的に,不可能な状況になってきました。そこで,適正に作成されて運用されているシステムは,適正に稼働するはずだという考え方に基づいて,システム監査では,次のような点を確認することで,IT化プロセスの妥当性を検証するようになっていきました。

≫  一般に適切だと考えられる手法が採用され,その手順に従って作業が進められているか。
≫  適切な利害関係者が参加して,検討が行われ,結果が文書化されているか。
≫  レビューやテストなど,品質を保つための活動が適切に計画され,実施された結果が記録されているか。また,結果は分析され,評価とともに文書化されているか。
≫  検討の結果やテスト結果の分析・評価は,適切な権限者によって承認されているか。
など

 PC,RDBと並んで,1990年代初頭からの急激な変化を加速したもう一つの要因が,インターネットの商用化でした。1988年に米国でサービスを開始し,1990年に,スイスで,世界初の,Webサーバから情報発信が行われた商用インターネットは,ほどなくして我が国にも上陸し,瞬く間に全国に浸透していきました。現在の日本ネットワークインフォメーションセンター(JPNIC:Japan Network Infromation Center),及び株式会社日本レジストリサービス(JPRS:Japan Registry Services)の前身となる組織が,1991年の暮れに設立され,インターネット資源管理やドメイン名登録管理などの業務の取扱いを開始しました。
 Windows OSの図式化された利用者との対話環境(GUI:Graphical User Interface)によっての利用者の裾野が拡大し,通信料金の低下によって,インターネットを通じて提供されるサービスを,誰でも簡単に利用できる環境が整いました。多数のやサーバがネットワークに接続されるようになると,単純に利便性が増すだけでなく,コンピュータウイルスの蔓延,サーバへの不正アクセスと,Webページの改ざん,著作者に無断で,Webサイトに掲載する著作権侵害などの問題も多発するようになりました。IT環境を使った新しいタイプの不法行為への対応として,刑法や著作権法の改正などのほか,通商産業省(現在の経済産業省)は,平成2年(1990年)に制定したものを廃止して平成7年(1995年)に“コンピュータウイルス対策基準”を改めて制定し,平成8年(1996年)には“コンピュータ不正アクセス対策基準”を制定し,公表しました。

転換期(2000年代半ば以降 -ITマネジメントプロセスのマネジメントプロセスの成熟度の識別

 インターネットの普及に伴って,不正アクセスやウイルス感染の被害が増加していきました。初期のWebページの改ざんやコンピュータウイルスは,技術力の高さの自己顕示を目的としたものが多く,サーバやPCに,犯人からのメッセージや画像が表示されるので,侵入や感染の事実をすぐに把握でき,対処することができました。被害の内容も,侵入されたサーバや感染したPCのファイルが削除され,当該サーバやPCが起動できなくなったり,保存していたデータが使えなくなったりする程度で,影響の大きさや影響範囲は限られたものでした。その後,コンピュータ犯罪の目的が経済的利得へと変容し,手口が巧妙化してきています。侵入したサーバに悪意あるスクリプトを埋め込んで5),信頼できるはずのWebサイトにアクセスしてきた多くの利用者から,気付かれないようにクレジットカードや銀行口座の情報を盗み出し,その情報を使って現金を詐取したり,感染した多数のPCを束ねて1か所で制御できるボットネット6)を構築し,特定のWebサイトへの攻撃やメールの発信のための仕掛けとして,闇市場で時間貸しをしたりするといった手口です。侵入されたサーバや感染したがそのまま稼働を続けることで,攻撃者は継続的に安定した収入を得ることができるので,侵入や感染の事実を誇示するのではなく,巧妙に秘匿するようになってきています。 コンピュータ犯罪だけでなく,不注意による情報漏えい事故なども増加していることに対して,Webサイトなどの安全性を保証し,安心して利用できる社会基盤として整備するために,法制度面でも,平成10年(1998年)に“プライバシーマーク制度”,平成13年(2001年)に“ISMS適合性評価制度”の運用が開始され,平成15年(2003年)に“個人情報保護法”が制定されるなど,種々の対応が実施されています。監査の分野でも,平成15年(2003年)に“情報セキュリティ管理基準・情報セキュリティ監査基準”が制定され,これに合わせてシステム監査基準も大幅に改訂され,平成16年(2004年)に,新しい“システム監査基準・システム管理基準”が公表されています。 サーバやPCが,一見,正常に動作しているように見えるタイプの侵入や感染のケースでは,サーバやPCの管理者・使用者は,自らが何ら被害を受けないので,侵入や感染の事実に気付かず,知らず知らずのうちに第三者に被害を与えてしまい,犯罪に加担していることになります。これまでの,システムの動作と処理結果について,信頼性,安全性及び効率性の観点で行われるシステム監査では,巧妙に秘匿された侵入や感染に対応することは困難です。標準化された手順で,適切な手続に則って開発され,運用されていることが確認された,ITプロセスの妥当性を検証済みのシステムで,アプリケーション上で適正な処理結果が得られているとしても,不正に侵入されたりウイルスに感染したりしていて,気付かないうちに,攻撃者が意図した処理も行っているかもしれないのです。


 今回は,ここまで。次回以降,現代のシステム監査について,その目的や形態の視点から整理し,今後の内部監査としてのシステム監査の位置付けと役割を探っていきます。

 <前回の内容>
1. 情報技術の発展とシステム監査の変遷
黎明期(1970年代半ばまで)-EDP処理結果の正確性の保証
揺籃期(1980年代末まで)-コンピュータでの処理手順の正当性の確認

4) 1964年,ダートマス大学(米)において,コンピュータ教育用として開発された初心者向けのプログラム言語で,初期には,多くのPCで,標準の言語処理系として実装されていました。
5) クロスサイトスクリプティングと呼ばれる手口で,攻撃者が対象となるサイトとは異なるサイトから悪意あるスクリプトを送り込み,Webアプリケーションの脆弱性を利用して訪問者に実行させ,セッションのハイジャック,フィッシング,フォームの送信先の書換えといった攻撃によって,秘密情報の窃取などを行うものです。
6) 攻撃者が,トロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のコンピュータ(ゾンビPCという)で構成されるネットワークです。ゾンビPCは,使用者本人が知らないところで,IRC(Internet Relay Chat)サーバに接続してIRCボットとなって命令を待ち,ハーダ(指令者)から,IRCサーバを通して伝達された命令を実行します。

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

河野 謙一郎  記事一覧
2011年12月号のコンテンツ
『Webマガジン』に関しては 弊社の「個人情報の取り扱いについて」に同意の上、
下記よりお気軽にお問い合わせください。

ページトップへ戻る