【実務思考】【AU-H31-1-PM2-Q1】IoTシステムの企画段階における監査

🍀概要

　システム監査技術者試験 平成31年 午後2 問1について、AIを活用して、詳細分析した結果を示します。
　本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセスや問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問（AU-H31-1-PM2-Q1）

　出典：情報処理推進機構 システム監査技術者試験 平成31年 午後2 問1(🔗取り扱いガイドライン)

📘問題

■タイトル
　IoTシステムの企画段階における監査について
■内容
　近年，センサと通信機能を備えたIoTデバイスを利活用したシステム（以下，IoTシステムという）の運用事例が増えてきている。例えば，IoTデバイスから位置，状態，動きなどの情報を継続的かつ大量に収集・分析して，機器の故障予測，自動車の運転制御，製造ラインの自動制御を行ったり，農作物の生産管理などに利用したりしている。また，収集した情報を活用した健康増進型保険や自動車保険のサービスなど，新たなビジネスモデルも出始めている。
　IoTシステムに多様かつ大量のIoTデバイスが接続されると，IoTシステムの構成も変化し，アプリケーションソフトウェアの種類・機能も拡充されていく。そのため，IoTデバイスに故障，誤動作などが生じると，関連するアプリケーションシステム，サービスに様々な影響を及ぼすことが考えられる。また，IoTデバイスがサイバー攻撃の踏み台として悪用されるおそれもある。さらに，医療機器，自動車などに組み込まれたIoTデバイスが不正に遠隔操作されると，人命に危険が及ぶことも想定される。
　今後，IoTシステムの利活用がますます拡大していく状況を踏まえて，システム監査人には，IoTシステム特有のリスクを想定した上で，IoTシステムの開発，運用，保守，及びセキュリティに関わる方針・基準などが適切かどうかを，企画段階で確かめておくことが求められる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

📗設問

■設問ア
　あなたが関係する組織において導入したIoTシステム，又は導入を検討しているIoTシステムの概要と，IoTシステムの利活用によるビジネス上のメリットについて，800字以内で述べよ。
■設問イ
　設問アで述べたIoTシステムにおいて，システム監査人はどのようなリスクを想定すべきか。IoTシステム特有のリスクを中心に，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクを踏まえて，IoTシステムの企画段階において，IoTシステムの開発，運用，保守，及びセキュリティに関わる方針・基準などが適切かどうかを確かめるための監査手続について，700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
　IoTシステムに多様かつ大量のIoTデバイスが接続されると，IoTシステムの構成は変化し，アプリケーションソフトウェアの種類・機能も拡充されていく。一方で，IoTデバイスに故障，誤動作，サイバー攻撃などが生じると，関連するアプリケーションシステム，サービスに様々な影響を及ぼすことが考えられる。したがって，IoTシステムを企画するに当たっては，IoTシステム特有のリスクを想定・評価して，IoTシステムの開発，運用，保守，及びセキュリティに関わる方針・基準などを明確にしておくことが重要になる。
　本問では，システム監査人として，IoTシステムの企画段階において，IoTシステム特有のリスクを踏まえて，開発，運用，保守，及びセキュリティに関わる方針・基準などが適切かどうかを監査するための知識・能力などを問う。
■採点講評
　問1（IoT システムの企画段階における監査について）では，IoT システムの概要についての論述が不足していたり，ビジネス上のメリットとは言えない論述にとどまっていたりする解答が目立った。また，企画段階におけるIoT システムに関わるリスクの論述を求めたが，開発，運用，保守におけるリスクを論述している解答が散見された。企画段階の監査手続については，運用段階の監査手続を論述している解答や，入手すべき監査証拠を記述していない解答が多かった。題意を踏まえて，システム監査人の立場から具体的な監査ポイントと監査証拠を論述してほしい。

🪄詳細分析(AI)

📝3行まとめ

1. 【背景】IoTシステムの急速な普及に伴い、物理・サイバー双方のリスクが拡大し、社会インフラや人命にも影響を及ぼす可能性があります。
2. 【監査視点】システム監査では、企画段階からIoT特有のリスク（デバイス管理、セキュリティ、データ保護）に対応した方針・基準の有無と実効性を確認します。
3. 【行動・着眼点】監査人は、リスクアセスメントの実施状況やライフサイクル全体を考慮した管理策が策定されているかを具体的に検証すべきです。

🧭IoTシステムの企画段階における監査についての考察

1. 問題の背景と現状分析

• 現状の課題・問題点:
  • センサと通信機能を備えた多様な「モノ」がインターネットに接続されるIoT（Internet of Things）の活用が、産業機器から家電、ヘルスケアまで、あらゆる分野で急速に進んでいる。
  • IoTシステムは、従来のITシステムとは異なる、特有のリスクを数多く内包している。
    • 物理的なセキュリティ: 大量かつ広範囲に分散配置されたIoTデバイスを、物理的にどう保護するか。
    • サイバー・フィジカル連携のリスク: サイバー空間での攻撃が、物理的な機器の誤動作（例：自動車の不正操作、工場の生産ライン停止）を引き起こし、人命や社会インフラに直接的な危害を及ぼす。
    • 膨大な数のデバイス管理: 何十万、何百万という数のIoTデバイスのライフサイクル（導入、設定、監視、廃棄）をどう管理するか。
    • データ爆発: 大量のセンサデータが生成され、その収集、保存、分析、プライバシー保護が課題となる。
  • 多くの組織が、ビジネス上のメリットに惹かれ、これらのIoT特有のリスクを十分に評価しないまま、企画・開発を進めてしまう危険性がある。
• 変化の必要性の背景:
  • デジタルトランスフォーメーション（DX）の進展: 物理世界（フィジカル）の事象をデータ化し、サイバー空間で分析・活用して、新たな価値を創造するDXの中核技術として、IoTが位置づけられるようになった。
  • 攻撃対象領域（アタックサーフェス）の爆発的拡大: 従来は閉じたネットワークにあった工場機械や自動車などがインターネットに接続されたことで、サイバー攻撃の標的となる領域が爆発的に拡大した。
  • 上流工程での対策の重要性: IoTシステムは、一度社会に展開されてしまうと、後から修正やパッチ適用を行うのが極めて困難な場合が多い。そのため、企画・設計という最上流の段階で、セキュリティや安全性を確保すること（セキュアバイデザイン/セーフティバイデザイン）が不可欠である。

2. 理想像の抽出と具体化

• あるべき理想的な状態:
  • リスクベースの企画・設計: IoTシステムの企画段階で、ビジネス上のメリットだけでなく、システム全体にわたる特有のリスク（デバイス、ネットワーク、クラウド、データ、物理的安全など）が、脅威分析などの手法を用いて網羅的に洗い出され、評価されている。
  • ライフサイクル全体を考慮したガバナンス: デバイスの調達・製造から、設置、運用、監視、そして安全な廃棄に至るまで、IoTシステムのライフサイクル全体を管理するための、明確な方針、基準、体制が企画段階で定義されている。
  • セキュア/セーフティ・バイ・デザインの徹底: セキュリティと安全性が、後付けの機能ではなく、システムの基本的な設計思想として、企画・設計の最初期から組み込まれている。これには、デバイスの耐タンパー性、通信の暗号化、セキュアブート、OTA（Over-the-Air）による安全なアップデート機能などが含まれる。
  • データガバナンスの確立: IoTデバイスから収集される膨大なデータの所有権、利用目的、プライバシー保護、品質管理に関する方針が、企画段階で明確に定められている。
• 克服すべき障壁:
  • 専門知識の融合の難しさ: IoTシステムは、IT（情報技術）とOT（制御・運用技術）の融合領域であり、両方の知識を併せ持つ人材が極めて少ない。
  • コストと性能の制約: 個々のIoTデバイスは、低コスト・低消費電力であることが求められるため、十分なセキュリティ機能を搭載するだけの計算能力やメモリを確保できない場合がある。
  • 標準化の遅れ: 多様なデバイスや通信規格が乱立しており、相互接続性や統一的なセキュリティ管理が難しい。
  • 「とりあえず繋ぐ」文化: ビジネスサイドが、PoC（概念実証）などの名目で、セキュリティを度外視して、とりあえずデバイスをインターネットに繋いでしまう。
• 利害関係者の視点:
  • 経営層: IoT活用による新たなビジネス価値を享受しつつ、それに伴う重大な事業リスク（生産停止、リコール、事故による賠償責任等）が、企画段階から適切に管理されていることを確認できる。
  • 開発者（IT/OT）: 明確なセキュリティ・安全性要件に基づき、手戻りの少ない効率的な開発ができる。
  • 利用者/社会: IoTデバイスやそれを利用したサービスを、安全・安心に利用できる。
  • 監査人: プロジェクトが本格的に動き出す前の「企画段階」という最上流で監査を行う（シフトレフト監査）。ビジネスモデル、アーキテクチャ、ガバナンス体制といった、後からでは修正困難な根本的な計画に対して、IoT特有のリスクが考慮されているかを評価し、予防的な助言を行う。

3. 要約

• [200文字]要約:
  IoTシステムは、物理世界と連携するため、人命や社会インフラに関わる特有のリスクを持つ。理想像は、企画段階でこれらのリスクを網羅的に評価し、セキュリティと安全性を設計に組み込むこと。監査人は、この最上流工程で、IoT特有のリスク管理体制が計画されているかを評価する。
• [400文字]要約:
  IoTシステムは、サイバー攻撃が物理的な被害に直結するなど、従来にないリスクを伴う。そのため、後からの修正が困難な企画・設計段階での対策が極めて重要となる。あるべき理想像は、企画段階でIoT特有の脅威分析を行い、セキュリティと安全性を設計思想に組み込む（セキュア/セーフティ・バイ・デザイン）ことだ。監査人は、この最上流工程で、リスク管理の方針や基準が適切に計画されているかを監査し、プロジェクトの致命的な手戻りを防ぐ。
• [800文字]による詳細な考察:
  本問題は、DXの中核技術であるIoTを取り上げ、その監査が、従来のITシステムの監査の延長線上にはない、新たな視点とアプローチを必要とすることを明確に示している。特に、サイバー空間のリスクが物理空間の安全を直接脅かす「サイバー・フィジカル・システム（CPS）」としての側面を捉え、企画段階という最上流での監査（超シフトレフト）の重要性を強調している点が秀逸である。
  • あるべき理想像とは、「製品ライフサイクルマネジメント（PLM）と統合された、トラストワージネス（Trustworthiness）なIoTガバナンス」の確立である。トラストワージネスとは、単なるセキュリティだけでなく、安全性（Safety）、信頼性（Reliability）、プライバシー（Privacy）、回復力（Resilience）といった、利用者がそのシステムを「信頼できる」と感じるための複数の要素を包含した概念である。理想的な状態では、IoTシステムの企画は、このトラストワージネスの確保を大前提として進められる。企画段階で、①脅威分析（STRIDEなど）、②安全性分析（HAZOPなど）が実施され、リスクが特定される。それに基づき、③セキュリティ・安全性要件が定義され、④トラストワージネスを確保するためのアーキテクチャ（例：エッジコンピューティングの活用、セキュアエレメントの搭載）が設計される。そして、⑤ライフサイクル全体の管理方針（製造時の鍵管理、OTAによるアップデート、安全な廃棄手順等）が策定される。
  • 理想像実現へのアプローチとして、システム監査人は、この企画段階の活動そのものを監査する。監査手続としては、①企画関連文書のレビュー：事業計画書、リスク分析報告書、要件定義書などを閲覧し、IoT特有のリスクとトラストワージネスの観点が、漏れなく、かつ具体的に考慮されているかを確認する。②関係者へのインタビュー：ビジネス企画者、ITアーキテクト、OTエンジニア、法務担当者など、多様なステークホルダーにヒアリングし、リスク認識に齟齬がないか、ガバナンス体制は実効性を持つかを確認する。③アーキテクチャの評価：提案されているシステムアーキテクチャ図を基に、セキュリティや安全性の専門家の視点から、設計上の脆弱性や懸念点を指摘する。
  • 期待される効果は、手戻りのない効率的な開発と、リリース後の重大な事故・インシデントの未然防止である。
  • 考慮すべきリスクは、企画段階では全てが不確定であり、監査が過度に保守的になることで、革新的なビジネスの芽を摘んでしまうことだ。監査人は、リスクを指摘するだけでなく、リスクを許容可能なレベルに低減するための代替案を提示するなど、建設的な関与が求められる。