【事例集】【AU-R04-1-PM2-Q1】情報システムの個別監査計画と監査手続— 論文の補助に使える事例ヒント集

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-R04-1-PM2-Q1)
    1. 📘問題
    2. 📗設問
  3. 📚事例集
    1. 製造業(Manufacturing Industry)
    2. 小売業(Retail Industry)
    3. 物流(Logistics Industry)
    4. 医療(Healthcare Industry)
    5. 金融(Financial Industry)
  4. 📌補足

🍀概要

 本ページは、システム監査技術者試験の論述問題学習用に、一次情報を出所明示のうえ引用・要約した資料です。AI(ChatGPT 等)を用いた再構成を含み、正確性・最新性を保証しません必ず原典をご確認ください。IPA 等の出題機関・規格団体とは無関係です。権利上の問題がある場合はお問合せまでご連絡ください。

🧾問題・設問(AU-R04-1-PM2-Q1)

 出典:情報処理推進機構 システム監査技術者試験 令和4年 午後2 問1(🔗取り扱いガイドライン)

📘問題

■タイトル
 情報システムの個別監査計画と監査手続について
■内容
 企業などの組織は,主力ビジネスを支える基幹システムや新規ビジネスを支援する情報システムなど,多様な情報システムを管理している。このような情報システムを対象とした個別監査計画では,システム監査を実施する上での重点項目・着眼点を適切に設定し,これに対する必要な監査時間・監査費用などの監査資源を見積もり,適切な監査手続を作成することが求められる。
 重点項目,着眼点の設定においては,情報システムの特徴,リスク評価結果,経営層の期待,過去の監査結果などを踏まえて,検討する必要がある。さらに,監査実施におけるテレワーク環境や監査資源などの監査上の制約についても検討し,その制約を踏まえて,監査の結論を誤る監査リスクを明確にする必要がある。
 監査リスクを明確にするためには,システム監査人が本来必要と考えた監査手続と,その監査手続が監査上の制約によって実施できないことで生じる監査リスクを関連付ける必要がある。その上で監査リスクを低い水準に抑える対応方法を検討する。状況によっては,現場訪問や資料の直接閲覧などの監査手続が実施できない場合がある。その場合,例えば,資料をPDFファイルで入手するだけでなく,PDFファイルの真正性を原本と同程度に確保するのに必要な監査証拠を入手するための監査手続を作成するなどの対応が必要となる。
 システム監査人は,以上のような点を踏まえ,監査実施上の重点項目・着眼点を適切に設定し,監査上の制約下においても監査リスクを低い水準に抑えるために十分な監査証拠を得られるように個別監査計画を策定する必要がある。
 あなたの経験と考えに基づいて,設問ア~設問ウに従って論述せよ。

📗設問

■設問ア
 あなたが携わった情報システムの概要及びその特徴,並びにシステム監査の個別監査計画の概要について,800字以内で述べよ。
■設問イ
 設問アで述べた個別監査計画で設定した重点項目・着眼点及び想定した監査上の制約について,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで想定した監査上の制約を踏まえて,実施できない監査手続及びそれによって生じる監査リスク,並びに監査リスクに対応するために作成した監査手続について,700字以上1,400字以内で具体的に述べよ。

📚事例集

ChatGPT Deep Researchを活用して、問題文の内容に近い、代表5業種の事例を分析した結果です。論文執筆のヒントになるものと思われます。

分析結果URL
https://chatgpt.com/s/dr_68aabb9b00108191a10232cea051d5b6

製造業(Manufacturing Industry)

1) 要約(Summary): 製造業では、IoT化・DXに伴い工場の生産システムやサプライチェーンへのサイバーリスクが高まっています。産業用制御システム(ICS)への攻撃やランサムウェアによる生産停止リスク、機密設計データの漏洩といった課題が顕在化しています。日本国内では経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0」を策定し、リスクアセスメントから対策実行・改善までの枠組みを示していますnri-secure.co.jp。本パックでは、製造業の現場課題を踏まえ、関連法規・基準(例えばISO/IEC 27001、IEC62443等)との対応、経営視点での有効性、統制(コントロール)設計の核心、監査手続と組織体制、KPI、そして監査上の制約と代替手続を整理します。

2) 現場課題(Field Issues): 製造現場では、レガシーな制御システム(古いOSや未適用パッチ機器)の存在、人手不足によるセキュリティ人材・教育の不足、そしてOT(Operational Technology)とITの統合管理の難しさが課題です。また、スマート工場化で外部ネットワークと工場システムが接続することで、従来閉域だった生産ラインにもサイバー攻撃のリスクが及んでいますnri-secure.co.jpnri-secure.co.jp。さらに、生産委託先や部品サプライヤーを狙ったサプライチェーン攻撃も増加しており、2022年2月には自動車部品メーカーがハッキングを受け、トヨタ全国内工場が一時停止する事態となりましたbloomberg.co.jp。このように工場停止による巨額損失や生産遅延リスクが現場で現実のものとなっています。

3) リスクと法規制/基準マッピング(Risks & Regulation/Standards Mapping): 主なリスクとして、(a) 生産停止リスク(ランサムウェア感染やシステム障害によるライン停止)、(b) 機密情報漏洩(設計図や生産技術の流出)、(c) 製品品質への影響(改ざんや不正指令による不良品発生)などが挙げられます。これらに対応する法規制・基準として、日本では「経済産業省 サイバーセキュリティ経営ガイドライン」や「産業分野別の情報セキュリティガイドライン(工場システムガイドライン)」がありnri-secure.co.jp、またグローバル標準ではISO/IEC 27001(ISMS)、IEC 62443(ICS向けセキュリティ)、ISO 22301(事業継続)が該当します。個人情報を扱う場合は個人情報保護法も適用されます。基準マッピングの例として、ISO27002の管理策(A.13 通信の安全など)は製造業における工場ネットワークの分離やアクセス制御に対応し、IEC62443-3-3は制御システムの技術的要求事項として参照できます。また、IPAの「制御システムのセキュリティリスク分析ガイド」はICS環境のリスク評価手法を提供していますnri-secure.co.jpnri-secure.co.jp

4) 経営・監査上の有効性(Effectiveness for Management & Audit): サイバーリスク対策は生産の継続性確保と直接結びつくため、経営層にとって極めて重要です。工場停止は収益に直結する損失(例:トヨタの事例では約500億円の損害bloomberg.co.jp)となるため、経営リスクとして認識・投資される傾向にあります。適切な統制環境を整備することで、ダウンタイム削減や品質事故防止につながり、結果的に競争優位(信頼性の高い供給能力)を確保できます。また、監査上もIT全般統制や業務処理統制の有効性評価を通じて、不備による財務インパクトを低減できます。例えばJ-SOX(金融商品取引法に基づく内部統制報告制度)の対象として生産管理システムも含まれる場合、IT統制評価が重要です。監査人にとっても工場のIT・OT統合リスクを重点的に検証することは、重大な監査リスク(例えば在庫評価の誤りやサイバー事件による損失隠蔽)の低減に有効です。さらに、経営者によるトーン・アット・ザ・トップ(トップによるセキュリティ重視の表明)やサイバー保険の活用など、リスクファイナンシング策も経営上有効と言えますbloomberg.co.jp

5) 統制設計の“芯”(Core of Control Design): 製造業における統制設計の核となるのは、可用性確保サプライチェーン全体での統制です。可用性確保のためには、重要工程を停止させない冗長構成やネットワーク分離(ITとOTのセグメント化)、定期的バックアップが必須です。また、生産設備にはパッチ適用が困難なものも多いため、「ホワイトリスト型のアクセス制御」やネットワーク監視による検知統制が芯となります。さらに、自社だけでなく協力会社・委託先も含めたセキュリティ水準の底上げが重要であり、工場ガイドラインでも「サプライチェーン上でもセキュリティ対策が講じられているか」を管理体制の観点として挙げていますnri-secure.co.jp。具体的統制例としては、(a)生産システムへの二要素認証とアクセス権限の最小化、(b)設備ログの集中監視と異常時アラート、(c)製造装置の変更管理(ソフトウェア更新は検証後に実施)などが挙げられます。統制設計の芯は、「安全第一」の製造現場文化と融合した形で、例えば設備安全ルールにサイバー要素を組み込むなど、現場で実効性ある形にすることです。

6) 監査手続(テスト設計)(Audit Procedures/Test Design): 製造業監査では、IT一般統制と業務処理統制の両面からテストを設計します。まずIT一般統制として、工場システムのアクセス管理プロセスを評価します。監査手続例: ユーザー権限レビュー(生産管理システムの管理者権限付与・変更・削除手続をサンプルテスト)、変更管理のテスト(過去1年の制御システムプログラム変更承認記録を検証)など。また物理セキュリティも含め、工場エリアへの入退室管理状況を現場視察し、ICカード記録との突合を行います。業務処理統制では、生産実績データの正確性確保をテストします。例えば、在庫数量の棚卸監査では、生産システムの在庫記録と実地棚卸結果を比較し、差異分析を行います。さらに異常時対応の有効性も監査対象です。サイバー演習やインシデント対応訓練の記録を確認し、適切に復旧手順が整備・実行されているか評価しますnri-secure.co.jp。必要に応じてIT監査専門家や制御システムの専門知見も活用し、システムログ監査や脆弱性診断結果のレビューを行うことも有効です。

7) 体制・合意形成(Organization & Consensus Building): 製造業のセキュリティ統制には、工場現場と本社IT部門の協働体制が不可欠です。経営層の直下にサイバーセキュリティ委員会等を設置し、情報システム部門だけでなく生産部門や設備保全部門も参加して方針決定する体制が望まれます。現場との合意形成では、「生産停止リスクの低減」という共通目的を強調し、現場管理者を巻き込んだルール策定が有効ですnri-secure.co.jpnri-secure.co.jp。例えば、設備にパッチ適用を行う際は生産計画への影響を考慮する必要がありますが、工場長や生産技術担当者と調整する仕組み(定期ミーティング、変更実施の合意プロセス)を統制の一部とします。また教育訓練体制も重要で、製造現場の作業員に向けた情報セキュリティ教育(USBデバイスの使用禁止や疑似メール訓練等)を定期実施し、全員参加の安全文化を醸成します。内部監査部門は現場巡回やヒアリングを通じて、この合意形成・運用状況を評価し、現場の声を経営にフィードバックする役割を果たします。

8) KPI(定義つき3〜7件)(Key Performance Indicators with definitions): 製造業における統制モニタリングのためのKPI例は以下のとおりです。

  • サイバーインシデントによる生産停止時間:サイバー攻撃やシステム障害によって生産ラインが停止した累計時間(目標値:0時間、発生時は原因分析と改善策の有無を評価)。
  • 脆弱性対応率:発見された重大な脆弱性に対し、規定期間内(例:30日)に適用完了した率(%)。ICS機器への適用困難な場合は代替措置率も評価。
  • 定期バックアップ実施率:生産関連データのバックアップが計画通り実施された割合(例:週次バックアップ実行率100%を目標)。
  • 教育訓練受講率:全工場従業員に対する年次セキュリティ教育の受講率(目標:100%)。受講後の理解度テスト結果も合わせてモニタ。
  • サプライヤー監査実施件数:協力会社に対する情報セキュリティ監査(またはセルフチェックシート)の実施件数/対象社数(目標:重要サプライヤー全社年1回)。
  • インシデント対応初動時間:インシデント発生からCSIRT(対応チーム)招集までの平均時間(目標:○分以内)。このKPIで対応迅速性を定量評価。

9) 監査リスクと反証(Audit Risk & Rebuttal): 製造業監査における主な監査リスクは、重要なサイバーリスクや統制不備を見逃すことです。例えば、生産システムのログが未保存であった場合に不正の証跡が検出不能となり、財務報告に影響する不正を看過するリスクがあります。また、監査上の制約として、制御システムは24時間稼働で停止が難しいため、監査人自らリアルタイムに検証しにくい点が挙げられます。これに対して代替手続として、例えばシステム停止を伴うテストが困難な場合はログの遠隔レビューやシミュレーション環境でのテストを実施します。また工場見学時に現場管理者へのヒアリングを重視し、口頭証拠と限定的な現物確認を組み合わせて監査証拠を補完します。さらに、専門家の助言を得ることも反証手段の一つです。例えばICSセキュリティの専門家を外部顧問として招聘し、監査計画段階でリスク評価の妥当性を検証してもらうことで、監査チームの見解の偏りを防ぎます。加えて、発見事項に対して被監査部門と議論を重ね、誤解や事実誤認を解消する手続(マネジメントインタビューや追加エビデンス取得)も講じます。これらにより、監査上の検出リスクを低減し、残存リスクについては経営に適切に報告しておきます。

10) 参考リンク(References):

  1. 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver1.0」(2022年)nri-secure.co.jp
  2. ブルームバーグ「日本で急増するサイバー攻撃、世界サプライチェーンリスク浮き彫りに」(2023年4月19日)bloomberg.co.jpbloomberg.co.jp
  3. IPA「制御システムのセキュリティリスク分析ガイド 第2版」(2018年)nri-secure.co.jpnri-secure.co.jp

11) 作成日・最終閲覧日(Date Created/Last Accessed): 作成日: 2025年8月24日, 最終閲覧日: 2025年8月24日

小売業(Retail Industry)

1) 要約(Summary): 小売業ではPOSシステムやECサイトなど多くの顧客情報を扱うため、サイバー攻撃による個人情報漏えいやクレジットカード不正利用が大きなリスクです。実際に2019年には大手小売のECサイトで約46万件のアカウント不正アクセス被害が発生し、氏名・住所等の個人情報やクレジットカード情報の一部が流出しましたuniqlo.comuniqlo.com。こうした事態を受け、日本クレジット協会は2020年に「クレジットカード・セキュリティガイドライン」を策定し、加盟店に対しカード情報非保持化や多要素認証導入等の対策を求めていますmeti.go.jp。また、小売業者は改正個人情報保護法(2022年施行)により情報漏えい発生時の報告・通知義務が課せられgov-online.go.jp、一層厳格な情報管理が必要となっています。本パックでは、小売業の現場課題と主要リスクを整理し、関連する法令・基準(例えば個人情報保護法、不正アクセス禁止法、PCI DSS等)へのマッピング、内部統制の有効性、統制設計のポイント、監査手続、組織体制、KPI、監査上の懸念と対策についてまとめます。

2) 現場課題(Field Issues): 小売業の現場では、店舗POSや決済端末の老朽化・アップデート遅れ、アルバイト店員など人員の入替わりによるセキュリティ教育の難しさ、ECサイト運営では24時間稼働システムの監視負荷などが課題です。特にクレジットカード決済では、店舗側でカード情報を保持しない非保持化対策が求められていますが、中小規模店では決済端末の更新コスト負担が問題となります。また内部不正のリスクも小売では無視できません。ポイントカード情報や顧客リストへのアクセス権限管理が甘いと、従業員による持ち出しが起こりえます。さらに、昨今はECサイトへのリスト型攻撃(パスワード使い回しによる不正ログイン)が頻発し、2019年の事例uniqlo.comのように大量のアカウント乗っ取り被害が現実化しています。現場ではセキュリティと利便性のトレードオフに悩む声も多く、例えば過度なセキュリティ強化により決済処理時間が延びると顧客離れに繋がる懸念もあります。このため現場ではスピードと安全の両立が課題となっています。

3) リスクと法規制/基準マッピング(Risks & Regulation/Standards Mapping): 小売業に特有のリスクと関連法規・基準を整理します。主なリスク:(a) 顧客情報漏えい(個人データやカード情報の流出)、(b) 決済不正・詐欺被害(クレジットカード不正利用やポイント詐取)、(c) 業務停止リスク(POSシステム障害やランサムウェア感染による店舗営業停止)など。対応する主な法規制として、個人情報保護法(漏えい時の報告・通知義務gov-online.go.jp、安全管理措置義務ppc.go.jp)、不正アクセス禁止法(リスト型攻撃への対処)や特定商取引法(通販における表示義務)が挙げられます。業界基準では、クレジットカード情報保護のためPCI DSS(カード業界のセキュリティ基準)や、日本クレジット協会の「安全・安心なクレジットカード取引環境のための実行計画/ガイドライン」が重要ですmeti.go.jp。例えばガイドラインではカード情報の非保持(決済端末で即時にトークン化し店舗内にカード番号を残さない)やPCI DSS準拠が推奨されています。また、改正個人情報保護法ガイドラインでは暗号化やアクセス制御等の安全管理措置が具体的に示され、小売企業はプライバシーポリシーの整備と合わせ遵守が求められますppc.go.jp。さらに、情報漏えい発生時には個人情報保護委員会への速やかな報告と被害者通知が義務化されましたgov-online.go.jp

4) 経営・監査上の有効性(Effectiveness for Management & Audit): 顧客の信頼を守ることは小売企業のブランド価値維持に直結するため、情報セキュリティ対策は経営上の重要課題です。大規模漏えいが発生すると企業への信用失墜のみならず、行政処分・損害賠償・売上減少といった甚大な影響がありますuniqlo.com。経営層にとって、有効な統制整備(例えばカード情報を扱うシステムのログ監視や外部脅威情報の収集)はレピュテーションリスク低減の投資と捉えられます。また、これら対策により実店舗・ECともに安定稼働を確保でき、結果的に売上機会の損失を防ぎます。監査上も、適切な統制は財務報告の信頼性確保に寄与します。例えば売上計上システムがサイバー攻撃で改ざんされるリスクに対し、アクセス制御やチェックサム検証の統制が有効であれば、不正な売上操作を検知できます。内部監査においても、顧客データ管理や決済処理の統制を定期的に検証することで、不備が早期是正されるという効果があります。さらに監査人は、小売業特有の店舗現場での手作業(例えば売上集計の手入力プロセス)も理解し、IT統制と業務統制の双方を評価することで監査リスクを低減できます。結果として、経営陣は安心して新規サービス(例:OMO戦略によるオンラインとオフライン統合)を展開でき、監査側も適正意見を維持できるためウィンウィンです。

5) 統制設計の“芯”(Core of Control Design): 小売業の統制設計の核心は、顧客情報と決済情報の保護です。具体的には、(a) カード情報非保持:カード番号や磁気ストライプ情報を店舗やECシステム上で保存しない。どうしても保持が必要な場合はPCI DSS準拠の暗号化保管とアクセス権限定を行うmeti.go.jp。(b) 認証強化:ECサイトの顧客ログインに多要素認証を導入し、リスト型攻撃を防御する。実店舗でもICカード+PINや生体認証などより安全な決済認証方式を採用。(c) ログ監視と不正検知:POSやECのトランザクションログをリアルタイム分析し、不審な大量キャンセルや深夜帯の高額購入といったパターンを検知したらアラートを発する。不正利用検知システム(Fraud Detection System)の活用も有効。(d) アクセス制御:顧客データベースや売上データへのアクセス権を業務上必要最小限とし、定期的に権限レビューを実施ppc.go.jp。従業員や委託先による内部不正を抑止するため、個人情報へのアクセスは原則記名式でログ記録し、「誰が何を閲覧したか」を追跡可能にする。(e) バックアップとBCP:ECサイトは冗長構成+オフラインバックアップ、店舗POSも障害時に備え手書き販売票など代替プロセスを用意(実際に大規模障害時には紙と手作業で継続するケースもありますbloomberg.co.jp)。これら統制の芯にある考えは、「顧客の信頼を裏切らないために何が何でも情報を守る」姿勢であり、技術面・人のオペレーション面双方での多層防御を構築することです。

6) 監査手続(テスト設計)(Audit Procedures/Test Design): 小売業に対する監査では、IT統制テスト業務統制テストを組み合わせます。IT統制としては、例えばECサイトのアクセス権限管理について、ユーザーID発行・削除手続の運用状況をサンプルテストします。また、ECサイトのログイン失敗回数制限やWAF(Web Application Firewall)の導入状況を確認し、リスト型攻撃対策の有効性を検証します。店舗POSシステムについては、ソフトウェア変更管理の証跡(パッチ適用履歴や改修時のテスト結果)をレビューします。業務統制テストでは、日次売上集計から会計仕訳への反映プロセスに不備がないか検証します。具体的には、日次売上報告書とPOSデータを突合し、差異が適切に調整・承認されているか確認します。また、ポイントプログラム統制として、ポイント残高管理テーブルの定期照合(異常な増減がないかのチェック)を監査します。さらに、個人情報保護の実効性評価として従業員インタビューを行い、顧客データへのアクセスルールを理解しているか(例えばUSBメモリへのコピー禁止等)を尋ねます。必要に応じてペネトレーションテスト結果など第三者診断の報告書を入手し、重大な脆弱性指摘事項が是正済みかを確認することもあります。監査調書には、ログレビューのエビデンス(例:不正アクセスアラート件数のモニタ結果)や、システム設定の画面キャプチャなどを取得し、統制の有効性を裏付けます。

7) 体制・合意形成(Organization & Consensus Building): 小売業では、本社の情報システム部門と店舗現場、更にはEC担当部門が連携したセキュリティ体制が重要です。まず、経営層が情報漏えい対策の重要性を明確に示し、全社横断のセキュリティ推進委員会を設置します。委員会には、CSO/CISOのほか、店舗運営部門の代表やマーケティング(顧客データ活用部門)の責任者も加わり、現場の実情を踏まえたルール策定がなされるようにします。例えば、店舗ではレジ業務の効率も重視されるため、「短時間でレジ締めしつつもセキュリティチェックを行う」という現実的手順を現場と合意形成する必要があります。現場合意の具体例として、レジ精算時の日報チェックリストに「不審な売上取消やポイント使用が無かったか」を点検項目に入れ、店長が毎日確認・署名するルールを導入する場合、店長会議等で意見を募り運用可能な形にブラッシュアップするといったプロセスです。また、外部委託しているECプラットフォーム運用会社との間でも**合意文書(SLAやセキュリティ遵守事項)**を交わし、障害・インシデント発生時の連絡体制を明確化します。内部監査は、この体制が機能しているかを評価します。たとえば委員会議事録を確認し、重要決定(例:カード情報非保持化への投資決定)がタイムリーになされているかをチェックします。合意形成には従業員教育も欠かせません。定期的に全店舗スタッフに対し個人情報保護やフィッシング詐欺対策の研修を実施し、その受講率100%を達成する体制を築きます(KPIでも管理)。こうした組織ぐるみの取組みにより、セキュリティ意識の醸成と現場実効性の確保が図られます。

8) KPI(Key Performance Indicators): 小売業におけるセキュリティ統制のモニタリング指標例は次のとおりです。

  • 情報漏えい検知件数:DLP(Data Loss Prevention)やWAFで検知された個人情報の外部流出未遂件数(月次)。目標は重大インシデント0件、検知があった場合は原因を分析。
  • 不正アクセス試行検知数:ECサイト等へのリスト型攻撃によるログイン失敗を検知した件数(日次)。平常時の基準を超えた場合は即時対策(IPブロック等)実施。
  • セキュリティ教育受講率:全従業員中、その年度の情報セキュリティ研修を受講済の割合(%)。目標90%以上、未受講者には個別フォローアップ。
  • パッチ適用率(POS/EC):POSシステムおよびECサーバに対しリリース済セキュリティパッチが適用済の割合。例えばCriticalな更新については適用率100%を維持。
  • 脆弱性スキャン合格率:定期的な脆弱性診断で重大な指摘が0となる割合。Webアプリ診断やネットワーク診断ごとにスコアを設定し、改善傾向を追跡。
  • インシデント初動対応時間:インシデント発生からCSIRTが対応開始するまでの平均時間。目標◯分以内と定め迅速対応力を測定。

9) 監査リスクと反証(Audit Risk & Rebuttal): 小売業の監査における固有のリスクは、(a) サイバー攻撃による売上・在庫データの改ざんが見逃されること、(b) 個人情報漏えい対応の不備が適切に開示されないこと等です。例えば、不正アクセスにより売上データが削除・改竄された場合、監査人がIT統制の不備を見抜けないと誤った財務報告を許す可能性があります。また、監査上の制約として、ECシステムは専門的でブラックボックス化している場合があり、監査人がその挙動を直接確認しにくい点が挙げられます。これに対し、代替的な監査手続で反証を試みます。具体的には、売上データのITF(インテグリティ・テスト・ファシリティ)などを用いた再計算を実施し、システム出力の正確性を検証します。また、第三者保証報告書(例えばECプラットフォーム提供会社のSOC2報告書)があれば入手して統制有効性の裏付けとします。個人情報漏えいリスクについては、発生時の対応を示す内部資料(事故報告書や委員会議事録)を入手し、隠蔽が無いかチェックします。監査チームにIT監査専門家を加え、Webアプリのアクセスログ解析やセキュリティ設定レビューを行うことも有効です。さらに、発見された不備に対して被監査部門と協議を重ね、改善状況を追加テストするなど追跡監査を実施することで、監査リスクを低減させます。最終的に、残存リスクが高い場合には監査意見への反映や経営者への指摘(マネジメントレター)につなげ、監査の信頼性を担保します。

10) 参考リンク(References):

  1. ユニクロ「リスト型アカウントハッキングによる不正ログイン発生とパスワード変更のお願いについて (プレスリリース)」(2019年5月14日)uniqlo.comuniqlo.com
  2. 経済産業省 商務流通保安グループ「クレジット取引セキュリティ対策協議会の取組みとガイドライン」(2020年)meti.go.jp
  3. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2022年改正)ppc.go.jpgov-online.go.jp

11) 作成日・最終閲覧日: 作成日: 2025年8月24日, 最終閲覧日: 2025年8月24日

物流(Logistics Industry)

1) 要約(Summary): 物流業界では、倉庫管理システムや輸配送システムのIT化が進む一方、サイバー攻撃による物流停滞リスクがクローズアップされています。実際、2023年7月には日本最大の名古屋港のコンテナ管理システムがランサムウェアに感染し、港湾物流が約3日間停止する初の大規模被害が発生しましたtoyokeizai.net。物流は社会インフラとして24時間稼働が求められるため、システム障害・攻撃による停止は経済に直結する影響を及ぼします。また、2019年には大手物流企業がランサムウェア攻撃で重要な物流情報を暗号化される事態も起きておりkk-sankyo.com、近年物流業へのサイバー攻撃は世界的に増加傾向(ある調査では2019年比で400%増との報告securify.jp)にあります。本パックでは、物流業の現場課題とリスクを洗い出し、日本国内の関連法規(例えば物流分野ガイドラインや輸送安全法等)や国際基準(ISO 27001、ISO 22301など)との対応付け、統制の有効性や設計のポイント、監査手続、組織体制、KPI、そして監査人が直面する制約と対策を検討します。

2) 現場課題(Field Issues): 物流現場の課題として、レガシーな基幹システム・機器(古い倉庫管理端末や車載端末)が残存しサポート切れになっていること、現場作業を優先するあまりセキュリティパッチ適用やシステム更新が後回しになりがちなことが挙げられます。またトラック運転手や倉庫作業員など、ITリテラシーが高くないスタッフも多く、フィッシングメールや不審USB媒体への対処が徹底しにくい現状があります。さらに物流企業は全国・海外に拠点が分散し、統一的な統制実施が難しいという課題もあります。例えば地方営業所では本社のセキュリティ方針が浸透せず、独自判断でPCに勝手なソフトをインストールしてしまうケースなどです。近年の課題としては、コロナ禍や災害時に物流を止めないための**BCP(事業継続計画)**策定も求められていますが、中小物流企業ではリソース不足で未着手もあります。また物流特有の物理的リスクとして、GPS追跡や電子タグを悪用した貨物盗難も懸念されています。現場は24時間運行・締切厳守のプレッシャー下にあるため、「止まらないこと」を最優先しがちで、セキュリティ更新に割ける時間や人材が不足しているのが実情です。

3) リスクと法規制/基準マッピング(Risks & Regulation/Standards Mapping): 物流業の主なリスクは、(a) 物流システム停止(サイバー攻撃や障害で配送計画や倉庫作業が止まりサプライチェーン断絶)、(b) 情報漏えい(顧客の配送先情報や在庫データの漏洩)、(c) 安全管理の失敗(輸送機器のテレマティクスを乗っ取られ事故誘発)などです。法規制面では、直接のサイバー法は無いものの、物流は重要インフラ分野に指定されており、内閣サイバーセキュリティセンター(NISC)の「重要インフラ分野における情報セキュリティ対策指針」等が策定されています。実際、国土交通省は物流(貨物自動車運送・倉庫)分野の情報セキュリティ確保に係る安全ガイドラインを2024年に公表し、事業者自らが対策を自主的に講じるための基準を示していますmlit.go.jp。内容はISO27001等に準拠した管理策ですが、輸送追跡データの保全や外部委託先管理など物流固有の事項も含まれます。また関連法として、「物流総合効率化法」や「貨物自動車運送事業法」はありますがセキュリティ直接規定はありません。ただし個人情報保護法は配送先情報等にも適用され、例えば配送伝票の電子化データを扱う際は法令に沿った安全管理措置が必要です。国際的にはISO 22301(事業継続管理)が物流でも重視され、災害や攻撃時の代替手段確保が求められます。さらに、米国ではC-TPATなど物流セキュリティ認証制度があり、グローバル物流企業は対応を求められる場合もあります。以上を基に、各リスクに対し法規や基準をマッピングすると、例えばランサムウェア対策はガイドラインでのバックアップ・復旧計画策定要件に該当し、情報漏えい対策は個人情報保護法の安全管理措置義務に紐付きます。

4) 経営・監査上の有効性(Effectiveness for Management & Audit): 物流会社にとって、信頼される物流網の維持は顧客(荷主企業)の確保に不可欠です。サイバー攻撃で配送が滞れば荷主の生産にも影響し、契約解除や損害賠償につながりかねません。経営上、セキュリティ投資はしばしばコストと見做されますが、近年は経済安全保障の観点から物流の強靭性が重視され、取引先からセキュリティ水準を問われるケースも増えています。例えば大手メーカーは物流委託先に対し情報セキュリティ監査を行う動きがあり、対策不足だと取引継続が危ぶまれるため、経営陣にとってセキュリティ統制はビジネス継続の条件と言えます。また、万一事故が発生しても被害を最小化し迅速復旧できれば、顧客からの信頼回復も早まります。監査上も、物流業の内部統制評価は重要です。特に売上計上や債権債務の基礎となる輸送実績データの信頼性は財務諸表に影響します。適切なIT統制により、輸送実績の誤記載や不正な改ざんを防止できれば、財務報告の正確性が担保されます。内部監査の視点では、拠点数が多い物流会社では統制の均一な適用が課題となるため、内部監査部門が各支店・倉庫をローテーションで巡回監査し、本社方針との乖離を是正する仕組みを設けると効果的です。その報告を経営が活用することで、統制の網羅性と継続的改善が図られ、結果的に経営効率(無駄な事故対応コストの削減、安定稼働による利益確保)にも寄与します。

5) 統制設計の“芯”(Core of Control Design): 物流業の統制設計の核は、止めない仕組み見える化です。止めない仕組みとして、例えば配送管理システムは冗長構成とし、データセンター障害時にはクラウドにフェイルオーバーする設計にします(ISO 22301の要求事項にも合致)。また重要データ(在庫情報、配送指示)は1日1回以上オフサイトにバックアップし、ランサムウェア感染時でも迅速にデータリストア可能にしておきます。さらにネットワーク分離も芯となります。倉庫内LANと社内情報系LANをファイアウォールで分離し、不要な通信を遮断します。トラック車載端末から社内システムへのアクセスはVPN+多要素認証に限定し、不正な遠隔操作を防止します。見える化の面では、物流可視化ダッシュボードを導入し、各拠点の稼働状況やシステム異常をリアルタイム監視します。平時から輸送量や在庫水準のKPIをモニタリングすることで、異常時の兆候(例えばサイバー攻撃により在庫データが不自然に変動する等)に早く気付けます。また、委託先業者(下請け運送会社など)のITセキュリティ対策状況も見える化が重要です。契約時にセキュリティチェックリストを配布・回収し、パスした業者のみと取引するルールを設けます。ゼロトラストの考え方も物流に応用されつつあり、たとえば倉庫内端末でも常に端末認証と暗号化通信を要求し、内部ネットワークに入った脅威も前提に複数防御する設計とします。これら統制設計の“芯”によって、仮に一部が破られても全停止に至らない弾力性(レジリエンス)を確保します。

6) 監査手続(テスト設計)(Audit Procedures/Test Design): 物流業の監査では、本社機能と全国拠点双方に目を向けたテスト設計が必要です。まずIT統制として、本社のシステム開発・運用管理プロセスを評価します。例えば、物流管理システムへのプログラム変更が適切にテスト・承認され本番反映されているか、直近の変更一覧からサンプルを抽出しエビデンス(テスト結果・承認記録)を検証します。次に拠点の業務統制テストです。在庫数量管理の統制を例にとると、主要倉庫について棚卸結果とシステム在庫の差異調整が適切に承認されているか、棚卸表・差異報告書を入手して確認します。また、輸送伝票と売上計上の突合統制をテストするため、ランダムに選んだ出荷オーダー番号について伝票→請求書への流れを追跡し、欠落・誤りがないかチェックします。BCP訓練についても監査対象です。年次で行われた災害・サイバー両面を想定した訓練計画と結果報告書をレビューし、計画どおり実施・問題点のフィードバックがなされているか評価します。さらに、拠点ヒアリングも監査手続に含めます。地方支店の担当者に対し、本社方針(例:USBメモリ利用禁止)が順守されているか、現場での逸脱がないかをインタビューし、必要なら現物確認(PCのUSBポート封鎖措置を実際に確認等)します。ログ監査としては、侵入検知システム(IDS/IPS)やファイアウォールのログをサンプリングし、不審なアクセスが適切に遮断・対応されたかを追跡調査します。最後に、監査人は第三者報告(SOC2など)があれば参考にしたり、必要に応じ専門家(例えばホワイトハッカーによるテスト結果)を活用して判断の裏付けを強化することも検討します。

7) 体制・合意形成(Organization & Consensus Building): 物流会社では、IT部門・業務部門・現場(拠点)・協力会社を跨いだ体制整備が重要です。まず、本社に情報セキュリティ統括責任者(CISO等)を置き、配下にCSIRT(インシデント対応チーム)やネットワーク監視チームを編成します。このチームには各主要支店の代表(支店長またはシステム担当者)が含まれるようにし、横断的な情報共有ネットワークを形成します。合意形成の場として、月次のセキュリティ定例会議を開き、本社からの方針伝達だけでなく各拠点の課題を吸い上げます。例えば、「地方拠点では夜間に本社からのパッチ配信で業務PCが再起動し困る」といった声があれば、配信時間を調整するなど現場の事情を考慮した運用に合意します。また、重要インフラとしての使命感を社員全体で共有するためのセキュリティ宣言を社長メッセージとして発信し、ポスター掲示や朝礼で唱和するなど浸透策を講じます。協力会社との合意形成も不可欠です。運送委託先とは契約書にセキュリティ遵守事項(例:荷送人情報の暗号化保持、配達完了データの迅速送信など)を盛り込み、定期的に委託先監査を実施します。内部監査部門は、これら体制が機能しているかチェックします。例えばCSIRTの活動記録(インシデント対応履歴)を確認し、関係部署間の連携不備が無いか評価します。現場とのコミュニケーションも図り、匿名ヒアリング等で本社方針への改善提案を収集し経営層に報告するなど、合意形成を促進する役割を担います。

8) KPI(Key Performance Indicators): 物流業の統制状態を測るKPI例:

  • 配送システム稼働率:配送管理・倉庫管理システムの稼働時間を総時間で割った稼働率(目標99.9%以上)。システム停止があれば原因と対応時間も併記し管理。
  • インシデント対応訓練実施率:計画されたサイバーBCP訓練が各拠点できちんと実施された割合(目標100%実施)。未実施拠点があれば翌月までに再実施。
  • 委託先セキュリティ評価カバー率:主要物流委託先(売上上位〇社)に対し年1回以上セキュリティ評価(自己診断 or 監査)を行った割合。目標100%。
  • 脆弱性報告対応件数:自社または業界のISAC等から通知された脆弱性情報に対し、対応措置を実施した件数/総通知件数(%)。迅速な対応が求められるCriticalは翌週中に完了100%など。
  • メール無害化率:受信メールにおけるマルウェア等無害化処理を経たメール割合(%)。目標100%(全てのメールをセキュリティゲートウェイ通過させる)。
  • 平均復旧時間(MTTR):重大インシデント発生から物流システムが復旧するまでの平均時間。目標○時間以内と設定し、継続的に短縮を図る。

9) 監査リスクと反証(Audit Risk & Rebuttal): 物流業監査では、拠点数が多く統制不備の漏れがちな点が監査リスクです。たとえば、一部地域の倉庫で在庫データ改ざんや横流しといった不正があっても、本社監査範囲から漏れれば見逃すリスクがあります。また、複数拠点を短期間で監査する必要からサンプリングリスクも高まります。これらに対し、監査計画段階でリスクベースアプローチを徹底し、売上規模や事故発生履歴から高リスク拠点を抽出して重点監査することで反証とします。低リスク拠点については自己点検結果のレビューやデータ分析による例外検知(例えば全拠点の在庫差異率を分析し異常値の拠点を深掘り)を代替措置とします。またITに強い監査人を配置し、ログ全数を解析するなど監査範囲を広げる工夫も有効です。監査上の制約として、物流は物理的プロセスとITが融合しているため、現地での実地確認が必要になるケースがあります。コロナ禍等で現場訪問が困難な場合、リモート監査ツール(ウェアラブルカメラで現場を中継)を使い代替します。さらに、監査チーム内で専門知見の共有を図ります。例えば輸配送プロセスに詳しいメンバーが教育を行い、全員が業務フローを理解した上で監査することで、不備を見逃すリスクを下げます。最後に、監査結果の経営報告時には、残存リスク(例えば一部古いシステムがすぐには更新困難でリスクが残る等)について明示し、経営者の判断を仰ぐ形で監査リスクへの対応策とします。

10) 参考リンク(References):

  1. 国土交通省「物流分野における情報セキュリティ確保に係る安全ガイドライン」(2024年4月制定)mlit.go.jp
  2. 東洋経済オンライン「物流停止『社会インフラ』狙うサイバー攻撃の衝撃 名古屋港のランサムウェア被害から学ぶこと」(2024年3月18日)toyokeizai.net
  3. securify.jp「海運・物流企業は2020年に2019年の3倍ものランサムウェア攻撃を経験」(2021年の調査)securify.jp

11) 作成日・最終閲覧日: 作成日: 2025年8月24日, 最終閲覧日: 2025年8月24日

医療(Healthcare Industry)

1) 要約(Summary): 医療業界では電子カルテや医療機器のネットワーク化が進む一方、サイバー攻撃により診療業務が停止し患者の生命に直結するリスクが高まっています。2021年10月には徳島県の病院がランサムウェア攻撃を受け、電子カルテが使用不能となり救急受入停止・手術延期など深刻な影響が生じましたbloomberg.co.jp。こうした事態を受け、厚生労働省は医療情報システム安全管理ガイドラインを2023年5月に第6.0版へ改定し、サイバー攻撃対策や事業継続計画(BCP)策定の強化を盛り込んでいますmhlw.go.jp。個人情報保護法上も患者の病歴等は要配慮個人情報として厳格な保護が必要です。本パックでは、医療分野の現場課題・リスクとそれに対応する法規制(医療法、個人情報保護法、指針類)や基準(例えば「医療情報システム安全管理ガイドライン」、NIST SP800-66など)を整理し、経営および監査の観点から有効性を考察します。また、統制設計上の要点、監査手続、体制、KPI、そして制約下での監査リスク対応についてまとめます。

2) 現場課題(Field Issues): 医療現場では、安全性(患者ケアの優先)と情報セキュリティの両立が課題です。医師・看護師は診療業務が最優先のため、複雑なセキュリティ手順(頻繁なパスワード変更等)は敬遠されがちです。また多くの医療機器は専門ベンダー製であり、Windowsなど汎用OS上で動く機器でもパッチ適用が医療機器承認に絡むため即時対応できないことがあります。小規模病院ではIT専任者不在で院内ネットワークが適切に管理されていないケースも見られます。さらに、近年テレワーク診療や院外からの画像参照が増え、リモートアクセス経路のセキュリティ確保も課題です。人的課題としては、医療従事者はIT教育を専門的に受けていないことが多く、フィッシングメールへの脆弱性やUSBメディアの不用意な使用などヒューマンリスクも高めです。実際のインシデント事例では、病院職員がランサムウェア感染メールの添付を開封したことで院内ネットワーク全体に拡散したケースがあります。このように、命を預かる現場ゆえの慎重対応IT的防御の両立という独特の課題があります。

3) リスクと法規制/基準マッピング(Risks & Regulation/Standards Mapping): 医療業界のリスクと関連法規・基準を整理します。主なリスク:(a) 診療停止リスク(電子カルテ等がダウンし診療継続不可能になる)、(b) 個人情報漏えい(患者の病歴・検査結果等の流出)、(c) 医療事故誘発(医療機器データ改ざんや遅延で患者に悪影響)。法規制では、医療法により医療提供体制の確保義務があり安全なIT運用が間接的に求められます。また個人情報保護法に基づき、患者情報は要配慮個人情報として漏えい時の報告義務や安全管理措置義務があります。さらに、厚労省の「医療情報システムの安全管理に関するガイドライン」が事実上の業界標準で、第6.0版ではサイバー攻撃対策の具体策や委託先管理を詳細化していますmhlw.go.jp。例えばガイドラインでは、ネットワークを院内・院外・機器用に分離すること、サイバー演習の実施、クラウド利用時の注意事項等が示されています。また、個人情報保護ガイドライン(医療・介護分野編)もあり、患者同意や匿名化など取り扱いについて細則があります。基準面では、国際的にNIST SP 800-66(医療におけるHIPAAセキュリティ)やISO 27799(医療情報セキュリティ指針)が参考となります。これらをマッピングすると、診療停止リスクにはガイドラインで要求される事業継続計画(BCP)mhlw.go.jpやバックアップ体制が該当し、個人情報漏えいには個人情報保護法第23条の安全管理措置(アクセス制御、暗号化等)が対応しますppc.go.jp。医療事故リスクは医療法上の質管理義務とも関連し、機器の改ざん防止策(デジタル署名等)やログ監視が重要統制となります。

4) 経営・監査上の有効性(Effectiveness for Management & Audit): 病院経営において、サイバーセキュリティは経営課題としての認識が近年高まっています。というのも、システム停止は患者の生命に関わるだけでなく、診療報酬の請求不能や風評被害による患者離れで経営破綻を招きかねないためです。適切な統制(例えばネットワーク分離や二重化)は医療サービス継続を保証し、経営資源である信頼を守ります。経営陣がサイバー対策に投資することで、万一の攻撃時も迅速復旧できれば病院の信用失墜を防ぎ、結果として収益や賠償リスクの悪化を避けられます。また、情報セキュリティ統制は患者プライバシー保護=法令遵守として医療機関の社会的責務でもあり、これを怠ると行政処分や訴訟リスクが現実化します。一方、監査の観点では、医療機関の財務諸表監査において直接的な位置付けは限定的かもしれませんが、例えば病院収益は診療システムのデータに基づくため、その正確性・完全性はIT統制の有効性に依存します。監査人がIT統制評価を適切に行えば、収益の過大または過小計上リスクを低減できます。内部監査においても、診療記録管理や情報公開プロセスの統制をチェックすることで、医療事故時の証拠保全や説明責任に資する体制となります。さらに、サイバー攻撃対応の事前評価(侵入テストや訓練の監査)を行うことで、組織の脆弱性を早期に是正させる効果もありますbloomberg.co.jp。総じて、セキュリティ統制は経営上のリスク低減策であり、その有効性を監査することは組織の健全性確保に寄与します。

5) 統制設計の“芯”(Core of Control Design): 医療分野の統制設計の芯は、患者安全の継続と情報機密の両立にあります。まず患者安全のため、電子カルテ等の基幹システムには強固な可用性対策を施します。具体的には、二系統の通信回線・電源冗長化、データリアルタイムレプリケーションを行い、システムダウン時も予備系に数分以内で切替可能な体制を構築します。またネットワーク分離はガイドラインの推奨事項であり、院内ネットワークを診療部門ネットワークと事務系ネットワークに分離することで万一の感染拡大を防ぎます。機密情報保護のためには、(a) アクセス制御の厳格化:患者情報は職種・職位に応じ閲覧範囲を限定(例えば主治医と担当看護師のみフルアクセス、それ以外は一部マスキング)し、アクセスログを100%記録する。uniqlo.comに見られるようにクレジットカード情報などは保存時に一部マスキングしCVVは保存しないなど、患者情報も必要最小限の保持とします。(b) 端末・機器のマルチレイヤ防御:院内PCにはEDR(Endpoint Detection & Response)を導入し、マルウェア検知時に隔離。医療機器についてもネットワーク越しに異常通信を監視するIDSを導入します。(c) 人的統制:定期的に職員に対しセキュリティ研修を実施し、フィッシング模擬訓練を行うなど人の脆弱性を低減しますbloomberg.co.jp。さらに非常時手順も統制の芯です。電子カルテがダウンした場合に備え紙の予備カルテ様式を用意し、医師・看護師がそれを使う手順を周知しておく(年1回以上演習)ことで、診療継続性を担保します。このように技術・人・プロセス全方位の多層防御と冗長性確保が統制設計の核心となります。

6) 監査手続(テスト設計)(Audit Procedures/Test Design): 医療機関に対する監査では、IT環境と業務フローの双方を理解した上でテストを設計します。主な監査手続の例: アクセス権限の検証:電子カルテ閲覧権限が職種に応じて適切か、権限マトリクスと実際のユーザ設定を照合し、過剰権限が無いかチェックします。例えば退職済み医師のアカウントが残存していないかをサンプル抽出で確認します。ログ管理の評価:システムアクセスログが定期にレビューされているか、直近のログ監査記録を確認します。特にVIP患者など閲覧制限があるケースで不正閲覧が監視されているかをテストします。バックアップのテスト:バックアップデータからの復元テスト記録(例: 年次DR(災害復旧)訓練結果)を入手し、計画通りデータ復元可能か監査します。インシデント対応プロセス:最近発生したセキュリティ事案の対応報告書を確認し、原因分析・再発防止策が妥当か評価しますbloomberg.co.jp。また、業務継続訓練の参加者名簿・結果報告を検証し、全重要部署が訓練に参加して課題がフィードバックされているかを見ます。さらにサードパーティ委託の統制も重要です。例えば医療ITシステムをクラウド提供するベンダーとの契約に、可用性SLAやデータ取り扱い制限が盛り込まれているか契約書を精査します。委託先監査報告があれば内容をチェックし、指摘事項の是正状況を院内でフォローしているか検証します。サンプルテストとしては、患者データの訂正・削除要求への対応プロセスを1件追跡し、所定期間内に適切に処理されているかを確認します(個人情報保護法対応の検証)。場合によってはペネトレーションテスト結果を参照し、重大な脆弱性(例: オープンなポートや初期パスワード放置)が放置されていないかも監査範囲に含めます。以上のように多角的なテストを実施し、統制の実効性を評価します。

7) 体制・合意形成(Organization & Consensus Building): 医療機関では院長(経営者)主導の情報セキュリティ体制構築が求められます。典型的には医療情報安全管理責任者を任命し、その下に事務局(情報システム部門)と各診療科代表者からなる委員会を設置します。委員会では、ガイドラインや法改正情報を共有しつつ、現場の意見を取り入れたルール作りを行います。例えば、「パスワードを複雑にし定期変更」はセキュリティ上望ましい一方、医師からは「覚えきれない」と不満も出るため、生体認証の導入等で両立させる方策を合意します。また合意形成の場では、臨床現場のワークフローを踏まえて権限役割を明確化します。看護師は必要な範囲で患者データ閲覧可とするが編集権限は持たない、といったロール設計を現場の納得感ある形に決定します。訓練参加も合意形成の一環です。夜間帯の訓練は人手不足で困難との声があれば、日中シミュレーション訓練に変更するなど調整します。さらに、機器ベンダーやITベンダーとも定期打合せを実施し、脆弱性情報や不具合情報を共有する契約上の枠組みを作ります(覚書/MOU締結)。内部監査は、これら合意事項が実践されているか独立した立場でチェックします。たとえば委員会議事録を確認し、決定事項の実施状況(「生体認証導入」は完了したか等)を追跡します。医療従事者へのヒアリングも行い、トップダウンの方針が現場に浸透しているかを評価します。意見が乖離している場合は改善提言を行い、再度合意形成を促すフィードバックサイクルを回します。以上により、全員参加型の体制が維持され、結果として院内におけるセキュリティ文化の醸成につながります。

8) KPI(Key Performance Indicators): 医療機関におけるセキュリティ・継続統制のKPI例:

  • システム稼働率(電子カルテ):電子カルテシステムの稼働時間割合。目標99.9%以上。ダウンタイムが発生した場合は理由と影響患者数を記録。
  • バックアップ検証頻度:データバックアップのリストア検証を実施した回数(例えば四半期に1回)。目標年4回以上かつ全主要データを対象に含める。
  • インシデント対応訓練参加率:全職員のうちサイバー演習または災害訓練に参加した割合。目標90%以上。参加できなかった者には資料配布でカバーしたかも確認。
  • 脆弱性対応期間:発見または通知された重大な脆弱性について対策を完了するまでの平均日数。目標〇日以内(業界水準やガイドラインの目安に準拠)。
  • 未承認機器接続数:院内ネットワークに許可無く接続された機器の検知数(月次)。目標0件。検知された場合は即日排除・担当者指導。
  • ログ監査実施率:アクセスログ等の監査を予定通り実施した率(%)。例えば月次でカルテ閲覧ログ監査を12回中何回実施できたか。目標100%。

9) 監査リスクと反証(Audit Risk & Rebuttal): 医療分野の監査におけるリスクは、重大な統制不備が見逃され患者への影響や法令違反に繋がることです。例えば、電子カルテのバックアップが実は未検証で役に立たない状況を監査人が見抜けなかった場合、災害時に病院機能が失われるリスクを放置することになります。また、医療の専門性ゆえ監査人がシステムの重要度を誤認識し、検証範囲から漏れるリスクもあります(例:医療機器連携用サーバを軽視)。こうしたリスクに対し、監査では専門家の協力を得ることが反証策となります。例えば医療情報システムに詳しいIT監査人や医療ITコンサルタントをチームに加え、リスク評価段階から助言を受けます。また、ヒアリングの充実も鍵です。現場のキーパーソン(医療情報担当の医師など)に直接インタビューし、「どのシステムが止まると命に関わるか」等の現場感覚を把握することで監査範囲の網羅性を確保します。監査上の制約として、患者機密情報ゆえアクセス制限が厳しく監査人がデータに直接触れられないケースがあります。その場合は、必要な分析を内部の担当者に依頼して実施してもらい(例えばログの統計情報を出力してもらう)、監査人は結果のみを見る間接的手続で代替します。証憑取得が制限される場合は、閲覧のみで確認した事項について監査調書に詳細メモを残し、後日照会可能にしておきます。さらに、万一監査期間中にインシデントが発生した場合は、監査計画を見直して緊急対応の様子を観察・評価し、平時とのギャップを分析することで監査証拠を補完します。最後に、監査報告書で経営陣に残存リスクを適切に伝達し、必要な是正措置を提言することで、監査リスクに対する「職業的懐疑心」を十分に発揮した対応を完遂しますbloomberg.co.jp

10) 参考リンク(References):

  1. 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月改定)mhlw.go.jp
  2. 厚生労働省事務連絡「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」(2021年6月28日)bloomberg.co.jp
  3. ブルームバーグ「日本で急増するサイバー攻撃、世界サプライチェーンリスク浮き彫りに」(2023年4月19日)bloomberg.co.jpbloomberg.co.jp

11) 作成日・最終閲覧日: 作成日: 2025年8月24日, 最終閲覧日: 2025年8月24日

金融(Financial Industry)

1) 要約(Summary): 金融業界ではサイバー攻撃やシステム障害が直接顧客資産や市場に影響するため、情報セキュリティ・ITガバナンスが極めて重視されています。日本では金融情報システムセンター(FISC)が1985年以降「安全対策基準・解説書」を策定し、最新第13版(2025年3月)では経済安全保障やオペレーショナル・レジリエンス、AIリスクへの対応が盛り込まれましたfisc.or.jpfisc.or.jp。また金融庁も2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を公表し、全金融機関に共通の対策事項を提示していますfisc.or.jp。金融業の監査ではJ-SOXや自己資本比率規制等の内部統制のみならず、これらサイバーリスク管理策の実効性も検証対象となります。本パックでは、銀行・証券・保険等に共通する現場課題と主要リスク、関連法令(金融商品取引法、銀行法、個人情報保護法など)・基準(FISC基準、金融庁ガイドライン、NIST SP800-53、COBIT2019等)を紐付け、経営・監査の観点から統制の有効性を論じます。さらに、統制設計のポイント、監査プログラム、全社的な体制、KPI、監査リスクへの対応策を包括的に示します。

2) 現場課題(Field Issues): 金融機関の現場では、レガシーシステムのモダナイゼーションとセキュリティ確保の両立が課題です。メガバンク等では勘定系システムが巨大かつ古く、新技術への対応やパッチ適用に時間がかかる一方、フィンテック企業の台頭によりオープンAPI連携が求められ、セキュリティ境界が曖昧になっています。また、24時間リアルタイムサービス(ネットバンキング、ATMなど)が当たり前となり、システム停止は許されない風潮の中、定期メンテナンス時間の確保すら難しいという現場の悲鳴もあります。人材面でも課題があり、金融ITに詳しいエンジニアの採用競争が激化し、専門人材不足が深刻です。サイバー攻撃は高度化し、DDoS攻撃や標的型メールによる不正送金事件も発生しています。例えばある地方銀行では行員を装った不正メールからマルウェア感染し、複数顧客口座から資金流出する事故が起きました(内部統制の限界事例)。さらに、クラウド活用が進む中でクラウド特有の設定不備(アクセス制御ミスによる情報漏えい)も懸念されています。現場は多岐のチャネル(店舗、Web、モバイル)を抱え、複雑化するIT環境に苦慮しており、現場担当者からは「すべての要求に応えながら安全性を維持するのは困難」との声もあります。

3) リスクと法規制/基準マッピング(Risks & Regulation/Standards Mapping): 金融機関の主要リスク:(a) 顧客資産流出(ハッキング等で預金・証券が不正送金される)、(b) システム障害(ATM停止や証券売買システム停止による社会混乱・損害)、(c) 機密情報漏えい(顧客個人データやインサイダー情報の流出)など。対応する法規・基準として、金融商品取引法や銀行法では直接的なIT規定は少ないものの、金融庁監督指針でシステムリスク管理態勢整備が求められています。例えば銀行向け監督指針には「システム障害発生防止策、発生時の報告体制の整備」が明記されています。業界基準として前述のFISC安全対策基準があり、300超の細項目で物理・技術・運用管理策が示されていますkeiridriven.mjs.co.jpkeiridriven.mjs.co.jp。第13版では経済安全保障推進法への対応(特定社会基盤としての対策)や金融庁のサイバーガイドラインの反映がなされましたfisc.or.jp。また、サイバーセキュリティ経営ガイドライン(経産省)も参考にされ、経営トップ関与が推奨されています。国際基準では、NIST SP 800-53ISO/IEC 27001をベースに各社がISMSを構築していますし、米国FFIEC指針も大手銀行は参照します。COBIT2019はITガバナンスフレームワークとして内部監査でも有用です。個人情報保護法は金融分野ガイドライン(金融庁・PPC策定)で金融特有の配慮事項が示され、例えば銀行における顧客データの目的外利用禁止等があります。これらをマッピングすると、顧客資産流出リスクには犯罪収益移転防止法に基づく本人確認+FISC基準の不正アクセス対策(多要素認証等)が対応し、システム障害リスクには金融庁のオペレーショナル・レジリエンス方針fisc.or.jpに沿ったBCP策定や障害監視体制が該当、情報漏えいリスクには個人情報保護/秘密保持義務(銀行法第134条等)に沿った暗号化・アクセス制限策が対応します。

4) 経営・監査上の有効性(Effectiveness for Management & Audit): 金融機関にとって信頼性の確保は生命線であり、セキュリティ統制の有効性は経営上の最重要事項です。例えば大規模システム障害を起こすと行政処分(業務改善命令)や経営トップの引責辞任にも繋がり、経営へのダメージが甚大です。逆に有効な統制により安定稼働を維持できれば、顧客からの信頼が向上し長期的収益にも貢献します。またセキュリティ対策が高水準であれば新サービス(オンライン完結型融資等)展開時のリスクが下がり、攻めのIT戦略が採れます。監査上も、強固な内部統制は監査効率を高めます。金融機関ではJ-SOX対応が必須ですが、FISC基準等に準拠した内部規程が整備され運用もされていれば、監査人は統制ベースで財務データ信頼性を評価できます。例えば顧客預り金残高の正確性は勘定系システムのアクセス統制や二重照合プロセスによって担保されており、統制評価が信頼できれば詳細取引までサンプリングしなくても監査リスクを小さくできます。また内部監査部門は金融庁の期待もあり、「システム監査基準」に沿ってIT監査を実施しています。近年ではサイバー演習への内部監査の関与や、外部委託先含めた統制評価など、その役割は拡大しています。内部監査が有効に機能すれば、外部監査人もそれを活用(内部監査の成果利用)して監査効率を上げられます。さらに、経営陣にとっても監査人から統制有効の評価を得られれば対外信用力(株主・顧客への説明力)が向上します。以上のように、堅牢なセキュリティ統制は経営の安定と成長戦略の下支えとなり、監査においてもそれを検証・保証することで金融システム全体の信頼性に寄与しますkeiridriven.mjs.co.jp

5) 統制設計の“芯”(Core of Control Design): 金融IT統制の芯は多層防御とリスクベースアプローチです。多層防御の観点から、(a) 識別・認証・認可の三段階を厳格化します。システム利用者の識別(ID管理)、認証(パスワード+ワンタイムパス等)、認可(ロールごとの権限付与)を適切に組み合わせ、特に高権限ユーザへの追加対策(例: 作業モニタリング)を講じますbusiness.ntt-east.co.jpbusiness.ntt-east.co.jp。(b) ネットワーク分離と監視:社内・外部・決済網などネットワークを分離し、境界にファイアウォールとIDS/IPSを配置。ゼロトラストの考えも取り入れ、内部でも重要サーバへのアクセスは都度認証を要求。(c) 暗号化と多要素:顧客データや取引情報は通信・保存ともに強力な暗号化を適用し、鍵管理を厳格化。顧客オンライン取引には必ず多要素認証や電子署名を導入し、不正送金を防止。(d) 冗長性:勘定系等の基幹系システムは二重化(デュアルサイト)し、RTO/RPO目標を明示して定期的にDRテストを実施。さらにリスクベースアプローチとして、資産や業務の重要度に応じ制御を強弱付けしますfisc.or.jp。例えば顧客情報DBは最も強い制御群(監視ログ常時チェック、アクセス承認ワークフロー等)を適用し、一方汎用的な情報には基本的なIT統制に留める等、リソース配分を最適化します。この考えは2019年改定のFISC第9版でも導入されbusiness.ntt-east.co.jp、限られた経営資源で最大効果を出す統制設計の芯となっています。具体例として、パスワードポリシーもリスクに応じ変更頻度等を設定し、顧客インターネットバンキングはより厳しく(90日毎変更推奨等)、内部限定システムはユーザ負荷を鑑み一定緩和などのメリハリをつけます。最重要なのは監視・検知の統制です。SOC(Security Operation Center)を設置または外部委託し、24時間体制で金融システムへの攻撃兆候を監視、即応することで「守りきる」発想から「侵入前提・即時対応」の文化に転換することが現在の芯となりつつあります。

6) 監査手続(テスト設計)(Audit Procedures/Test Design): 金融機関監査では、IT統制テストは必須かつ網羅的に行われます。まずアクセス管理:ユーザIDの登録・権限付与・削除のプロセスについて、サンプルユーザを追跡調査し、適切な承認の下で権限が与えられ期限切れIDは無効化されているか確認します。特にシステム管理者権限アカウントの数と管理が適切かを重点テストします。データ移動統制:勘定系→情報系などシステム間連携データの完全性を確認するため、送信側と受信側のトランザクション件数や金額集計が一致しているか、一部月次データで再集計テストを行います。ログ監査:直近数ヶ月のセキュリティログ(例えば深夜の重要DBアクセス)を監査人が直接分析し、不審なアクセス痕跡が無いかを検証します。必要に応じて専門ツールを用いて全件検査も行います。サイバー演習結果:内部監査報告書や当局検査結果を入手し、重大指摘事項が改善されているか追跡監査します。加えてモデル監査:AIや高度分析モデルをリスク管理に使っている場合、そのモデルの検証結果やバリデーション報告を確認し、恣意的なパラメータ設定等がないかチェックしますfisc.or.jp業務処理統制もテストします。例えば、有価証券約定システムから会計仕訳へのインタフェース統制について、サンプル取引をピックし最初から最後までトレースし、金額・手数料等が正しく伝達・計上されているか検証します。外部委託に関しては、アウトソーシング先(データセンター等)の保証報告書(SOC1/SOC2)を取得し、コントロールが機能しているか確認します。不備があれば補完的統制(フォローアップ手続)が行われているか評価します。さらに、ペネトレーションテスト報告(年次実施)を確認し、重大脆弱性への対応状況を監査証拠として押さえます。これらテスト結果を総合して、経営にIT統制の評価を報告し、不備があればその影響(金額やインシデント発生確率)を分析の上で指摘します。

7) 体制・合意形成(Organization & Consensus Building): 金融機関ではトップダウンによる明確な役割分担体制が構築されています。典型的には、取締役会直下にリスク管理委員会を設置し、その中に情報セキュリティおよびシステムリスク管理の部会を持ちます。経営執行としてはCISOやCIOを任命し、情報システム部門・サイバーセキュリティ部門・事務集中部門が三位一体で統制を運用します。合意形成は主にポリシーや規程の策定・改定時に行われ、各部門長の合議制で決定します。例えば、新たにクラウドサービスを利用する場合、「クラウド利用指針」を策定するにあたり情報セキュリティ部門と事業部門、法務・コンプライアンス部門で協議し、リスク許容度や監査権限の取り決めを相互に納得した上で役員決裁します。また、インシデント対応訓練には経営トップも参加し、全社横断の連携を日頃から練度向上させます。内部監査部門は独立した立場で定期的にこの体制を評価し、必要な改善提言を行います。例えば、多くの金融機関では内部監査部門が三線防御モデルに沿って第3の防御線として機能しており、情報セキュリティ委員会のオブザーバー参加や会議資料閲覧を通じモニタリングしていますkeiridriven.mjs.co.jp。監査サイドと経営・現場との合意形成も重要です。重大な指摘事項については、監査役や取締役会とも共有し、改善計画に経営資源を投入することに合意を得ます。金融庁検査や外部監査とも協調し、重複なく漏れない統制評価をするための合意手続(例えば三者定期ミーティング)も設けます。このように、明確な役割とオープンなコミュニケーション、マルチ・ステークホルダーの合意形成により、金融機関の堅牢な体制が維持されています。

8) KPI(Key Performance Indicators): 金融業のセキュリティ・統制状況を測るKPI例:

  • 重大インシデント発生件数:顧客影響や当局報告対象となるシステム障害・情報漏えいの件数(四半期ごと)。目標0件、発生時は原因カテゴリ別に統計。
  • サイバー攻撃阻止率:検知した攻撃試行件数のうちブロックに成功した割合(SOCで統計)。例えばDDoSや不正ログイン試行などカテゴリ別に集計し、100%阻止を目指す。
  • 脆弱性対応SLA遵守率:Criticalな脆弱性公表に対し規定期間(例:1週間)内に対処完了した割合。目標100%。FISC基準等で定める期間を遵守できなかったものは役員報告。
  • 定例監査指摘件数:内部監査や当局検査での情報セキュリティ関連指摘事項数。減少傾向であることが望ましく、是正完了率も追跡。
  • サービス稼働率:主要チャネル(ATM、オンラインバンキング等)の稼働率。目標99.99%以上。ダウンタイム発生時は顧客影響人数を記録。
  • 顧客苦情件数:セキュリティに起因する顧客からの苦情(フィッシング被害報告等)の件数。迅速な注意喚起施策実施により減少傾向を図る。

9) 監査リスクと反証(Audit Risk & Rebuttal): 金融機関監査でのリスクは、複雑なIT環境ゆえに監査人が重要な不備を見逃すことです。例えば、勘定系システムの特定プログラムに欠陥があり金銭的誤謬が生じうるのに、ブラックボックスすぎて監査人が検証できず放置してしまうケースなどです。また、「統制依存」の監査では統制評価が過大に良好と判断してしまうリスクもあります(有効性の過信)。これに対しては、監査人自身が最新のIT知見をアップデートし続けること、およびデジタル監査ツールを駆使することが反証策となります。例えば、数千万件の取引データもACLやPython等で全件分析し、統制では検知できない例外も監査側で洗い出す努力をします。必要に応じて外部専門家(システムリスクコンサル等)のサポートを受け、複雑なアルゴリズムや暗号技術部分をチェックします。また、金融機関では当局検査や内部監査が頻繁に行われるため、外部監査人はそれらと適切に連携し情報交換することでリスク認識の漏れを防ぎます。例えば、内部監査の詳細結果にアクセスさせてもらい、監査人が見逃していた論点がないか照合するなどです。監査上の制約として、守秘義務が厳しい情報(例えば顧客情報)は生データ提供されず検証困難がありますが、その場合は統制デザインの有効性評価に留め、複数統制(予防・発見両面)の整合性を確認するなど間接的に裏付けます。更に、不正の三角形の観点を常に意識し、たとえ統制が形式上整っていても、経営者によるそれら統制無視(いわゆるトップの不正)や現場の共謀がないか、業績プレッシャー等の動機を把握するため経営ヒアリングや雰囲気観察も行います。最後に、残存する検出リスクについては監査チーム内でブレインストーミングを実施し、「何か見逃していないか?」を問い直す仕組みを取り、必要なら追加手続きを実施します。これらにより、金融監査特有の大きなIT依存リスクに対し可能な限り反証を尽くします。

10) 参考リンク(References):

  1. 金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準・解説書(第13版)」(2025年3月)keiridriven.mjs.co.jpfisc.or.jp
  2. 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」(2024年10月4日公表)fisc.or.jp
  3. ISACA「COBIT 2019 フレームワーク(Governance of Enterprise IT)」(2019年)business.ntt-east.co.jp

11) 作成日・最終閲覧日: 作成日: 2025年8月24日, 最終閲覧日: 2025年8月24日

📌補足

事例集の読み方について(共通注記) ※クリックで開きます

1. 目的と対象
教育・研究を目的として、試験区分の実務で参照頻度が高い一次情報を中心に、5業種別の論点を要約・再構成して掲載します。試験の合否・実務判断を保証するものではありません。

2. 出典・引用ポリシー

  • 引用は著作権法第32条の要件を満たすよう、出所明示・主従関係の維持・引用部分の明確化を行います。
  • 引用は必要最小限にとどめ、解説や表現は当方による二次的著作物(要約・編集)を含みます。
  • 図表・画像は原則自作または権利元の許諾・埋め込み規約に従います。

3. AI利用の明示
本文の整理・要約・校正に AI(ChatGPT 等) を使用しています。誤り・旧情報・解釈差が残存する可能性があります。意思決定は原典に基づき自己責任でお願いします。

4. 非公式性/関係の明確化
本ページは IPA を含むいかなる機関とも無関係です。規格・基準(ISO、NIST、COBIT、FISC 等)の名称は出典の説明目的で記載しており、当該団体の承認や提携を意味しません

5. 最新性・責任制限
法令・基準・ガイドラインは改定されます。更新日時と参照日を記載しますが、最新性・正確性・適合性は保証しません。外部リンク先の内容・可用性について責任を負いません。

6. 商標
記載の会社名・製品名は各社の商標または登録商標です。

7. 連絡先と削除ポリシー
権利上の懸念がある場合は お問合せ までご連絡ください。内容を確認のうえ、迅速に訂正・削除等の対応を行います。