【実務思考】【AU-R06-1-PM2-Q2】情報システムの外部サービスを活用した運用プロセスの監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-R06-1-PM2-Q2)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭情報システムの外部サービスを活用した運用プロセスの監査についての考察

🍀概要

 システム監査技術者試験 令和6年 午後2 問2について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-R06-1-PM2-Q2)

 出典:情報処理推進機構 システム監査技術者試験 令和6年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
 情報システムの外部サービスを活用した運用プロセスの監査について
■内容
 ビジネスの複雑化,テクノロジの高度化などに伴って,情報システムの運用プロセスにIaaS,SaaS,AMO(Application Management Outsourcing)などの外部サービスを活用する事例が増えている。これらのサービスを活用することに伴う最終的な責任は委託元にあり,委託元は外部サービスを含めた業務全体のITリスクを分析,評価し,対応策を適切に策定し,運用する役割と責任がある。
 委託元は,外部サービスを活用した運用プロセスにおけるITリスクヘの対応策を漏れなく策定できるように委託先との責任分界点を明確にし,委託先が実施する対応策を十分に評価した上で,自らが実施する対応策を講じる必要がある。また,委託元は,外部サービスの業務への影響やITリスクの大きさに応じて,委託先の責任範囲であっても自らが実施する対応策を講じるかどうか検討する。さらに,委託元は,例えば,定期報告会の開催,現地調査,第三者による評価・検証報告書の活用などによって,委託先での対応策の実施状況を継続的にモニタリングする必要がある。モニタリングの結果,必要であれば委託元の対応策の見直しを行うことが求められる。
 システム監査人は,情報システムの外部サービスを活用した運用プロセスにおいて,委託元でITリスクの分析が行われ,委託元が実施すべき対応策が適切に実施されていることを確かめる必要がある。また,委託先が実施すべき対応策については,委託元による委託先へのモニタリングが適切に実施されていることを確かめることが重要である。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが関係する情報システムの概要,並びに運用プロセスにおける外部サービスの位置づけ及びその内容について,800字以内で述べよ。
■設問イ
 設問アで述べた情報システムの外部サービスを活用した運用プロセスの監査計画において,大きいと判断したITリスク及びこれに対する委託元と委託先の対応策について,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで述べたITリスクヘの対応策に漏れがないかどうか,及び委託元において適切に実施又はモニタリングされているかどうかを確かめるための監査手続を,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 情報システムの外部サービスを活用した運用プロセスの監査においては,委託元が当該運用プロセスのIT リスク及び委託先との責任分界点を適切に理解し,委託元及び委託先が実施すべき対応策が適切かつ漏れなく策定,実施されているかどうか確かめることが求められる。
 本問では,システム監査人として,外部サービスの概要及びそのIT リスクを踏まえて,委託元と委託先の対応策が適切に検討されていること,及び委託元の対応策が有効に運用され,委託元による委託先のモニタリングが適切に実施されていることを確かめるための監査手続を設定する知識,能力を評価する。
■採点講評
 <全問共通>全問に共通して,システム監査人としての見識や能力などを問うているが,問題文の趣旨又は設問で求めて
いる内容を踏まえていない論述が散見された。また,監査証拠が具体的ではない監査手続に関する記述や論文
の体裁が十分整っていない解答も目立った。自らの経験と考えに基づいて,具体的に論述するように心掛けて
ほしい。
 <問2>問2では,外部サービスを活用している情報システムの運用プロセスに関する解答を求めているが,外部サービスだけに限定した論述が目立った。設問アでは,委託元の役割・責任の記述が不十分な解答が散見された。設問イでは,外部サービスを活用することによって生じるリスク及び対応策の記述が散見され,設問で求めている運用プロセスにおけるリスクについて記述している解答は少なかった。設問ウでは,対応策の網羅性を確かめるための監査手続を記述していなかったり,入手すべき監査証拠が具体的ではなかったりする解答が散見された。設問で求めている内容を踏まえて,具体的に論述してほしい。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】外部サービスの利用は、運用効率化と同時に新たなリスクを伴います。
  2. 【監査視点】システム監査では、責任分界点とリスク対応策の網羅性を重点的に確認します。
  3. 【行動・着眼点】監査人は、契約内容と実運用を突き合わせ、継続的なモニタリング体制を評価すべきです。

🧭情報システムの外部サービスを活用した運用プロセスの監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 情報システムの運用において、IaaS、SaaS、AMO(アプリケーション管理アウトソーシング)といった外部サービスの活用が、もはや当たり前になっている。
    • 外部サービスを利用しても、そのサービス上で発生したインシデント(情報漏えい、サービス停止等)の最終的な責任は、委託元であるユーザ企業が負う。
    • しかし、多くのユーザ企業で、「外部に委託したから、あとは委託先任せ」という意識が強く、自らが果たすべきリスク管理の役割と責任を十分に認識・遂行できていない。
    • 委託元と委託先との間で、どちらが何に責任を持つのかという「責任分界点」が曖昧なまま契約してしまい、問題発生時に責任の押し付け合いになる。
    • 委託元が、委託先で対策が適切に実施されているかを継続的にモニタリングする仕組みが不十分である。
  • 変化の必要性の背景:
    • サプライチェーンの深化: IT運用が、単一の業者への委託から、複数のクラウドサービスや専門サービスを組み合わせる、より複雑なサプライチェーンへと変化した。
    • 責任共有モデルの原則: クラウドサービスの普及により、サービスのセキュリティや運用は、サービス提供者と利用者が共同で責任を負う「責任共有モデル」が基本原則として定着した。
    • 規制・ガイドラインの要請: 金融庁のFISC安全対策基準や、経産省のサイバーセキュリティ経営ガイドラインなど、外部委託先の管理に関する具体的な要求が、各種規制やガイドラインで強化された。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • リスクベースの委託先管理: 委託元が、自社のITリスク全体を俯瞰した上で、外部サービス利用に伴うリスクを分析・評価する。その上で、委託先の選定、契約、モニタリングといった一連の管理プロセスを、リスクの大きさに応じて体系的に実施している。
    • 明確な責任分界点と契約: 委託元と委託先との間で、責任分界点が(クラウドの責任共有モデルなどを参考に)明確に定義・文書化され、契約書に反映されている。委託元は、委託先が実施すべき対策と、自らが実施すべき対策を漏れなく認識している。
    • 継続的かつ多角的なモニタリング: 委託元が、委託先の対策実施状況を、継続的にモニタリングしている。その方法は、委託先からの定期報告会や報告書の受領だけでなく、必要に応じて、委託元による現地調査や、第三者評価報告書(SOCレポート、ISMAPなど)の活用といった、多角的なアプローチを組み合わせる。
    • 委託元自身の主体的なリスク対応: 委託元が、たとえ委託先の責任範囲であっても、自社のビジネスへの影響が大きいと判断したリスクについては、自ら追加的な対策(例:自社でのデータバックアップ、監視強化)を講じるなど、主体的なリスクオーナーシップを発揮している。
  • 克服すべき障壁:
    • 「委託=責任の移転」という誤解: 外部に委託すれば、リスク管理の責任も全て委託先に移ると誤解している。
    • 委託先のブラックボックス化: 委託先の内部で、どのような対策が、どのように行われているか、詳細な情報を得ることが難しい。
    • 交渉力の非対称性: 大手のクラウド事業者などに対して、一ユーザ企業が契約内容の変更や、詳細な情報開示を求めることが困難である。
    • モニタリングの形骸化: 委託先からの定期報告が、形骸化したセレモニーとなり、実質的なリスクの議論や確認が行われない。
  • 利害関係者の視点:
    • 経営層/委託元: 外部サービス活用のメリットを享受しつつ、それに伴うサプライチェーンリスクが、自社の責任において適切に管理されているという保証を得られる。
    • 委託元IT部門: 委託先との役割分担が明確になり、自らが注力すべきリスク管理活動に集中できる。
    • 委託先: 委託元から求められるセキュリティ・運用レベルが明確になり、信頼されるパートナーとしての関係を築くことができる。
    • 監査人: 委託元の「委託先管理プロセス」そのものを監査する。委託先を直接監査するのではなく、委託元が、委託先を適切に選定し、リスクを評価し、モニタリングしているか、その「管理能力」を評価する。SOCレポートなどの第三者評価報告書を、監査証拠として有効に活用する。

3. 要約

  • [200文字]要約:
    外部サービスを利用しても、最終責任は委託元にある。理想像は、委託元が責任分界点を明確にし、自らが実施すべき対策を講じ、委託先の状況を継続的にモニタリングする管理体制を確立すること。監査人は、この委託元の「委託先管理能力」そのものを評価する。
  • [400文字]要約:
    情報システムの運用で外部サービス活用が広がる中、委託元には「委託先を管理する責任」が問われる。あるべき理想像は、委託元が、委託先との責任分界点を明確にした上で、自らが実施すべきリスク対策を漏れなく行い、さらに委託先の対策状況を継続的にモニタリングする体制を確立することだ。監査人は、委託先を直接監査するのではなく、この委託元の管理態勢が有効に機能しているかを評価する。
  • [800文字]による詳細な考察:
    本問題は、現代のIT運用における常識となった「外部サービス活用」をテーマに、委託元企業が果たすべき「ベンダーマネジメント」および「サプライチェーンリスク管理」の核心を問うている。監査の焦点が、自組織の内部コントロールから、組織の境界を越えた「外部を管理する能力」の評価へとシフトしていることを明確に示している。 あるべき理想像とは、「ゼロトラストの原則に基づいた、継続的なトラスト検証(Continuous Trust Verification)プロセス」の確立である。これは、「一度選定したから大丈夫」という静的な信頼ではなく、委託先の信頼性を、継続的に、かつデータに基づいて検証し続ける動的なアプローチである。理想的な状態では、委託元は、①選定段階:第三者認証(ISO, SOC, ISMAP等)や質問票を用いて、委託先のセキュリティ態勢を厳格に評価する。②契約段階:責任分界点、SLA、監査権、インシデント報告義務などを契約書に明確に盛り込む。③運用段階:委託先から定期的な報告書(SLA達成状況、脆弱性対応状況等)を受領するだけでなく、セキュリティ格付けサービス(Security Rating Service)などを活用して、委託先のセキュリティ状況を外部から客観的に常時監視する。そして、これらのモニタリング結果に基づき、年次などで委託先のリスクを再評価し、契約継続の可否を判断する。 理想像実現へのアプローチとして、システム監査人は、この委託元による一連の管理プロセスが、定義され、かつ有効に運用されているかを評価する。監査手続としては、①委託先管理規程のレビュー:選定基準、契約、モニタリングに関する社内ルールは整備されているか。②委託先リスク評価の検証:委託先ごとのリスク評価が、客観的な根拠に基づいて行われているか。③契約書のレビュー:必要な条項(監査権など)が盛り込まれているか。④モニタリング活動の記録の検証:定期報告会の議事録、受領したSOCレポートの評価記録、現地調査報告書などを閲覧し、モニタリングが実質的に行われているかを確認する。特に、モニタリングで発見された課題に対して、委託元がどのような改善要求を出し、そのフォローアップが行われているかを追跡することが重要である。 期待される効果は、外部サービスのメリットを最大限に活用しつつ、サプライチェーンに起因する事業継続リスクやセキュリティリスクを、許容可能なレベルにコントロールすることである。 考慮すべきリスクは、監査人が、委託先から提出されたSOCレポート等の第三者評価報告書を、内容を精査せずに鵜呑みにしてしまうことだ。監査人は、報告書の対象範囲や評価基準が、自社の監査目的にとって十分であるかを、専門家として判断する責任がある。