IT技術の進展は早く、ITの活用が遅れることにより、競争力の低下につながる可能性もあります。企業としては、IT技術の動向を把握しながら、ITの活用を進める必要があります。その一方で、IT技術の進展に伴うリスクも増大しており、外部からの攻撃等による機密情報の流出、情報システムの障害による業務の停止といった問題が発生しています。そういった状況の中、内部監査部門としては、IT環境の変化を把握し、IT利用のリスクを踏まえながら監査を実施することが求められます。今回は、最新のIT動向を踏まえながら、「RPA」「クラウドコンピューティング」「ソーシャルネットワークサービス」に関する情報システム監査のポイントを解説します。
ITに係る最近の動向
ITの発達・普及は急速に進んでおり、最近では、DX(デジタルトランスフォーメーション)というキーワードを目にすることがあるかと思います。DXとは「デジタル技術(IT)の浸透が、人々の生活をあらゆる面でより良い方向に変化させること」と定義されています。
DXを推進する中で、RPAやクラウド化、ソーシャルネットワークサービスの活用に取り組んでいる企業が多くなっています。「RPA」は、PCで行う事務作業等を自動化できるソフトウェアであり、業務の効率性を高めます。最近では、RPAとAI-OCR(AI(人工機能)を搭載した光学文字認識機能(OCR))を組み合わせて使用し、紙文書を扱う業務の効率化も進められています。「クラウドコンピューティング」は、既存システムをクラウドに移行することで、ITインフラ運用を効率化します。「ソーシャルネットワークサービス」は、個人の活動でも利用されていますが、企業におけるマーケティング活動を促進する手段となっています。
一方で、以下のようなIT技術を利用することによる脅威が想定されています。
『情報セキュリティ監査人が選ぶ2020年の情報セキュリティ10大トレンド』(出典元:特定非営利活動法人 日本セキュリティ監査協会)
1位(-):自然災害によるIT被害の拡大
2位(10):クラウドバイデフォルト時代の新しい安全評価制度の開始
3位(-):クラウドサービスの障害による大規模なビジネス影響
4位(-):DX化により、さらに加速するセキュリティ人材不足
5位(5):働き方改革の推進・普及による新たな脅威の発生
()は前年のランク
近年、DXに伴う脅威の順位が高くなっており、新たなリスクとして考えるべき事項になっています。また、DXを実現するIT技術は、サイバー犯罪者の側も享受できるため、サイバー攻撃の高度化も進むことが考えられます。
RPAに係る情報システム監査
今回は、DXの中でも、「RPA」「クラウドコンピューティング」「ソーシャルネットワークサービス」に関する情報システム監査のポイントを解説します。まずは、「RPA」における情報システム監査のポイントです。
RPAとは、「Robotic Process Automation(ロボティック・プロセス・オートメーション)の略語であり、アプリケーションソフトウェアで、ヒトが実施している作業を自動化し、代行させるためのツール」と定義されています。RPAの導入により、『ヒトと比べ、処理スピードが速い』『ケアレスミスが無くなる』といったメリットがあり、働き方改革等に向けた施策としても導入されています。
RPA利用のメリットがある一方で、『不適切な設定変更による不正処理』『設計の不備による誤処理』『PCの故障・停電等によるRPAの停止』といったリスクがあります。こういったリスクを踏まえ、RPAに係る情報システム監査のポイントを挙げていきます。
①RPA導入・設定のルール
RPAの導入・設定変更を行う際の申請・承認の手続や運用フロー、役割分担が明確になっているか。
②処理記録の保存・エラー検知
誤処理が発生した場合、エラーを検知できる仕組みが整備されているか。原因追及を行うためのログが保存されているか。
③RPA停止時の復旧手続
代替コンピュータへの切り替えや手動での暫定的な業務遂行等、RPA停止時の対応手順が定められているか。
RPAの導入によるリスクを踏まえ、設定・利用のルールが整備され、適切に運用されているかを確認する必要があります。
クラウドコンピューティングに係る情報システム監査
次に、「クラウドコンピューティング」における情報システム監査のポイントを解説します。
クラウドコンピューティングとは、「インターネット上のサーバーにあるコンピューターが提供している機能、インターネット経由で利用する仕組み」です。今までは、オンプレミスと言われる、ITインフラのハードウェアを企業で保有して運用する方法が主でしたが、クラウドは、インターネット等のネットワークを経由して、各種の情報処理サービスを受ける方法になります。『オンプレミスと比較すると、安価で運用できる』『クラウド事業者にインフラの管理・運用を任せることができ、社内システム担当者の負荷を軽減できる』といったメリットがある反面、サーバがインターネット上に構築されていることによるリスクもあります。リスクとしては、『企業側のサービス水準に対応できないことによる事業の停止』『情報の漏洩、システム障害』『事故・災害等による業務の停止』といったものがあります。こういったリスクを踏まえ、クラウドコンピューティングに係る情報システム監査のポイントを挙げていきます。
①契約・SLA(Service Level Agreement:サービスの提供者とその利用者の間で結ばれるサービス水準に関する合意書)の締結
クラウド事業者と利用者の役割分担、遵守するサービス品質、サービス品質が未達の場合のペナルティ等が締結されているか。
②監視活動の実施及びクラウド事業者のモニタリング
クラウド事業者による監視活動が実施されているか。クラウド事業者の運用状況を定期的にモニタリングしているか。
③災害・テロ・パンデミック発生時の対応計画
クラウドサービス利用における災害・テロ・パンデミック発生時のBCP(事業継続計画)が策定されているか。
クラウドコンピューティングは、クラウド事業者側の仕組みに依拠することになりますが、利用者側(企業側)としては、SLA等を締結したうえで、適宜、クラウド事業者の運用状況をモニタリングすることが求められます。
ソーシャルネットワークサービスに係る情報システム監査
最後に、「ソーシャルネットワークサービス」における情報システム監査のポイントを解説します。
ソーシャルネットワークサービスとは、「人と人とのコミュニケーションを促進するインターネットサービス(Webサイト)」を指します。ソーシャルネットワークサービス(Social Network Service)を略して、「SNS」とも呼ばれます。ソーシャルネットワークサービスは、個人だけではなく、『製品・商品の紹介』『組織内外のコミュニケーション手段』といった目的で企業でも活用されています。一方、ソーシャルネットワークサービスの利用により、『ステルスマーケティング(やらせ行為)等の法令違反』『不適切な発言による炎上』『外部からの攻撃による機密情報の漏洩』といった事故も発生しています。ソーシャルネットワークサービスの利用の事故を踏まえ、以下に、情報システム監査のポイントを挙げていきます。
①ソーシャルネットワークサービス利用ポリシーの制定と周知
ソーシャルネットワークサービス利用の目的や設定条件(位置情報の非公開等)を定め、社内外に開示されているか。また、ソーシャルネットワークサービス利用に関する啓蒙・教育が定期的に行われているか。
②ソーシャルネットワークサービス事故発生時の連絡体制
評判や苦情の連絡体制が定められ、不祥事等が発生した際の対応手順が明確になっているか。
③外部から攻撃への対策検討
フィッシングサイト(個人情報等を盗むために、本物そっくりに作られた偽サイト)への誘導等、外部から攻撃を監視し、対策を検討しているか。
ソーシャルネットワークサービスの活用は進んでいますが、炎上・情報漏洩といった企業イメージを損なうリスクもあります。ソーシャルネットワークサービスの事故事例等を参考にしながら、管理する仕組みが整備・運用されているかを確認するべきです。
IT技術は益々進化していき、企業としては、今回解説した「RPA」「クラウドコンピューティング」「ソーシャルネットワークサービス」だけでなく、今後も新しいIT技術を活用していくことになるでしょう。
内部監査部門としては、ITの最新動向を踏まえながら、監査を実施することが求められますが、ITに苦手意識を持っている内部監査部門のご担当者様も見受けられます。ITに関する監査を行う場合、技術詳細に着目するのではなく、IT技術を利用した際に生じる業務上のリスクを把握することがポイントです。他の内部監査と同様に、リスクを低減する仕組みが整備・運用されているかを重点に置き、監査を進めていく必要があります。
まとめ
■ ITに係る最近の動向
✅ DXとは、IT技術を活用した企業活動の改革であり、RPA・クラウドコンピューティング・ソーシャルネットワークサービス等がある。
✅ DXに伴う脅威の順位が高くなっており、新たなリスクとして、考えるべき事項となっている。
■ 新型コロナウィルスの対策
✅ 前年度の実績値を基に評価範囲の検討を進め、予算値が確定した後、評価範囲の検証を行う。
✅ 在宅勤務を継続する場合、証憑収集の期間に余裕を持たせたスケジュールを設定する。
■ RPAに係る情報システム監査
✅ クラウドコンピューティングの監査ポイントとして、「契約・SLAの締結」「監視活動の実施およびクラウド事業者のモニタリング」「災害・テロ・パンデミック発生時の対応」がある。
✅ クラウド事業者側の仕組みに依拠していても、運用状況をモニタリングすることが求められる。
■ ソーシャルネットワークサービスにかかる情報システム監査
✅ ソーシャルネットワークサービスの監査ポイントとして、「ソーシャルネットワークサービス利用ポリシーの制定と周知」「ソーシャルネットワークサービス事故発生時の連絡体制」「外部から攻撃への対策検討」がある。
✅ ソーシャルネットワークサービスの事故事例等を参考にしながら、管理する仕組みが整備・運用されているかを確認する。