システム監査 26 巻, 1 号

【研究論文】 Advanced Persistent Threat（APT）の分類と対応策についての一考察

APT（Advanced Persistent Threat）は、近年、その被害が世界各国の企業・組織で顕在化したことで、注目を集めている。2010年1月にGoogleが被害を受けたことを公表し話題となった「Operation Aurora」、2010年6月に発見され注目を集めた「Stuxnet」など、報告事例は増加の一途をたどっている。しかしながら、APTには明確な定義がなく、その対応策については対症療法的なものであり、また体系的なものではなかった。本論文では、APTの定義を整理するために、用語としての歴史的経緯からの調査と用語の定義の適切さに対する考察を行う。そして、APTについて攻撃対象の情報システム資産のCIAへの攻撃のプロセスに着目した観点から特徴を見出し、「APTとは何か」ということについての考察を行う。その上で、APTに対する対応策の方向性について論ずる。

【研究論文】 情報セキュリティ内部監査の品質向上に向けた提言

最初に多くの企業において実施されている情報セキュリティの内部監査に関しての実態と内在する諸問題を示す。次に内部監査の目的と効果を再確認し、それを実現する内部監査の品質とは何か、その実体を具体的に示し、品質評価のため５段階の指標を提言する。

また内部監査の品質を確保する施策として、品質管理的な手法、および監査人の教育訓練プロセスも含めた内部監査プロセスに対する品質マネジメント的な手法を論じる。最後に内部監査本来の目的を達成するために、兼任内部監査人を想定した内部監査手法と専門監査部門の強化による高位品質レベルを目標とした内部監査プロセスとしての次のステップへの移行を提言する。なお、本稿では事前に有識者に対して行ったアンケートの回答を随所に参考として挙げる。

【研究論文】 情報システム監査の需要構造に関する一考察

本稿は、今日における情報システム監査の需要構造を分析的に考察し、既存の監査需要論を拡張した、今日の情報システム監査の需要構造を明らかにすることを目的としている。

本稿では、拙稿基礎論文から情報システムの本質的特性、当事者構造とその特徴を振返り、各当事者の基本的欲求に基づく行動として、「仕事の委託者」による統制行動、「仕事の受託者」による説明責任遂行行動、「利用者・利害関係者」による関心行動、及び「情報システム提供者」による説明責任遂行行動を抽出した。そして、その行動の特性を分析し、各行動の中での情報システム監査の意義を整理した。

その後先行研究の監査需要論を概観した上で、それとの対比で、今日の情報システム監査の需要構造考察に当たり留意すべき点として、①情報システムの“不完全性”（安全性、信頼性、効率性等の追及における避けがたい失敗リスクの存在）、②「利用者・利害関係者」の当事者としての存在の大きさと特性、及び③当事者間の顕著な“情報格差” の３点を挙げた。そしてこれら３点を踏まえ、情報システムの健全な利活用促進を図る上では、各当事者の相互信頼関係の確立が基本であり、相互信頼関係の確立には各当事者（特に「仕事の受託者」、「情報システム提供者」（与えられた権限を行使する者））の説明責任遂行とその信頼性の担保が欠かせず、ここにこの説明責任遂行と不可分の、説明責任遂行に信頼性を付与し実効あらしめる情報システム監査が需要される本質があると指摘した。