クラウド時代のシステム監査 あなたが担当ならどうする？：“迷探偵”ハギーのテクノロジー裏話（1/2 ページ）

企業の情報システムでは「仮想化」や「クラウド化」が全盛を迎えつつある。この先、情報システムの評価をどうしていくべきか――。

[萩原栄幸，ITmedia]

　昨年10月、筆者は「第33回システム監査講演会」で講演を行った。全国IBMユーザー研究会連合会や日立ITユーザ会、システム監査学会、日本内部監査人協会、日本セキュリティ監査協会など、システム監査を業としている700人以上が参加された。

　そこで、現実に「もし、自分が担当になったらどうしよう？」と不安に感じている方々が多いことに気付いた。その不安とは、「自分の担当するシステムが外部のクラウド業者の環境上に構築されている場合、どうやってシステム監査を行えば良いのか？」ということである。

　インターネットで検索すれば、それなりの対応策は紹介されている。だが実際の問題として、「自分がそうなれば」となると、最適解が見当たらない。評論家が解説するようなことではなく、自分たちが具体的にどう行えば良いかという点が問題なのだ。

　ここでシステム監査やクラウドについて詳細には解説はしない。ご興味があれば検索でもたくさん解説されている。システム監査については、「システム監査基準解説書」などで詳細に解説されている。

昔のシステム監査

　「システム監査とは、各種の情報処理システムの分析や点検などを行い、客観的な評価を行う業務のことである」（IT用語辞典より抜粋）――筆者も銀行員時代にシステム監査を数年経験した。自社で作成したシステムを、例えば、概念設計書の作成時、詳細設計の作成時などのポイントごとに第三者の眼でそのシステムが機能通り作成されているのかを評価したものである。今では外部の専門家による助言型監査や保証型監査もあり、多種多様であるが、当時は今ほど脚光を浴びていなかった。とても地味な仕事で、ある意味（誤解を招くかもしれないが）定型業務をコツコツとこなしていく。筆者の性格にはちょっと合わない作業だった。

　これがより定型業務になると、ほとんどシステムスキルが必要でなくなり、設計書の「てにをは」を突いたり、マニュアルとの違いを重箱の隅まで突いたり、正直、社内ではあまり歓迎されない業務となった。今でも一部の企業はこういう作業に「窓際族」にさせており、残念である。

　本当は最もスキルが高く、最もアグレッシブに動ける人材を率先して導入し、システムが製品になる前に少しでも不良箇所を除外するというのが目的だ。筆者がマトモに作業していたら、当時はあっというまに「村八分」にあって、そのチームのメンバーから外されてされてしまった。最後は皆、分かってくれたので良かったのだが……。

クラウドが台頭しはじめたら

　ところが、最近はこのシステム監査の分野が騒がしい。数年前からの一部の方が実践し始めているシステム監査の一つ、情報セキュリティ監査での保証型監査である。

　これは今までのような「助言型監査」――○○について検討されていないとのことなので、3カ月以内にその妥当性についてチェックをお願いします――というような監査ではなく、「保証型監査」――極端な言い方をするなら○○設計については情報セキュリティ監査人として妥当であることを保証するというような――より突っ込んで責任を持った内容に変化していく監査である。スキルと分析力が必須とされ、積極的に取り組んでいくものだ。

　ただし実態は、情報セキュリティ監査企業台帳によれば、平成23年度において助言型監査（従来通りの監査）の件数は7760件であるが、保証型監査は413件に過ぎない。官公庁に至っては、たった30件しか報告がない。こういう内容の変化を考えていくうち、ここ数年で急激な「平成の黒船」が台頭してきた。それが「クラウド」である。

　その形態や運用方法などにはさまざまな切り口があり、筆者も3年前から「金融機関によるクラウドの光と闇」と称して講演を行ってきた。クラウドの種類や業態については割愛するが、単純にクラウド事業者と契約、自社システムの一部、もしくは全部のリソース（プログラム、実行環境、データなど）を契約した外部業者に委ねているケースとしよう。