1. はじめに
近年、多くの企業がコスト削減やシステム変更の柔軟性を目的として、従来のオンプレミス型からクラウドシステムへの移行を進めています。クラウドサービスの活用は、業務の迅速化と生産性を向上させる一方で、新たなリスクや課題も伴います。その中でも、見落とされがちなのが「IT統制」の再構築です。クラウド環境では、従来のIT環境とは大きく異なるため、これまでのIT統制がそのまま適用できないケースも多く存在します。
本稿では、クラウドシステムへの移行に伴い企業が見直すべきIT統制の観点や、実務上の対応ポイントについて解説します。クラウド導入を検討・推進している企業担当者の方は、ぜひご一読ください。
2. クラウド移行時のIT内部統制構築の流れ
日本の内部統制評価・監査制度では、6つの要素から成り立っており、その中でも「IT(情報技術)への対応」はリスクの識別とキーコントロールの選定が複雑であり、「IT知識」と「監査知識」の両方の視点で高い専門性が求められます。
【IT内部統制の構築の流れ】
3. クラウドシステムに移行する際のIT内部統制のポイント
クラウドシステムへの移行に際して、当該システムが担保する統制領域の明確化に加え、導入前における既存のIT統制環境の実態把握は重要事項です。これにより、クラウド環境下における統制の再構築に必要なギャップ分析や、既存統制の適用可否の判断が的確に行えるようになります。
① クラウド導入前の状況の確認
クラウド環境への移行に先立ち、現行のIT統制状況を精査することは、既存の統制手続がクラウド基盤においても引き続き有効か否かを評価するうえで不可欠です。また、統制環境の変化に伴う新たなリスクやコントロールギャップを早期に特定することで、既存の内部統制の再利用可能性の判断や、再設計・最適化に向けた判断を的確に行うことができます。
【内部統制毎の評価ポイントの具体例】
② クラウドシステムでカバーされる範囲の明確化
「レイヤー構造」「業務領域」「データ種別」の三層にわたる分類を体系的に整理することで、クラウド移行対象の範囲と影響領域が明確となります。それに伴い見直しが求められるIT統制項目も可視化することができ、クラウド導入に向けた統制再構築の優先順位付けおよび対応方針の策定が、より合理的かつ戦略的に実施可能となります。
I. レイヤーの分類
クラウドサービスにはIaaSやSaaS等、提供形態に応じた複数のモデルが存在し、それぞれでクラウドベンダーとユーザー企業との責任分界点およびクラウド化の適用範囲が異なります。そのため、自社が利用するクラウドサービスの種類および利用形態を正確に把握することは、適切なIT統制の設計・見直しを行う上で不可欠となります。
図表1:クラウドサービスの適用形態ごとのカバー領域
(出典:クラウドサービス提供における情報セキュリティガイドライン(第3版)
URL : https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd245620.html
※上記を参考に加工して掲載)
II. 業務の分類
自社における業務プロセスの棚卸を実施し、業務内容をカテゴリ別に整理した上で、それぞれの業務に対するクラウド対応状況を精査することで、クラウド環境に移行済み、あるいは今後移行が検討される業務領域を体系的に把握することが可能となります。
図表2:カテゴリ別に分類した社内業務の一例
III. データの分類
個人情報や財務情報、機密情報といった重要な情報資産は、「機密性」「完全性」「可用性」の3つの観点などからリスク評価が行われ、その結果に基づいてIT内部統制のレベルや対応策が決定されます。クラウド環境ではデータの所在やアクセス制御が複雑化しやすいため、移行前のデータ分類と統制設計がITガバナンスの鍵を握ると言えるでしょう。
こうした評価と分類をクラウド移行の前段階で明確に行うことで、以下のような対応が導入後に実現可能となります。
✓ データの重要度に応じた統制方針を柔軟に適用
✓ セキュリティ対策の最適化
✓ コンプライアンス対応の効率化
情報資産の分類方法は、企業ごとの業務内容やリスク許容度に応じて設計されるものであり、すべての組織に共通する定型的な手法が存在するわけではありません。そのため、各社が独自の規定や基準に基づいて、データの分類体系を構築することが求められます。
ただし、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」に掲載されている「リスク分析シート」が、ひとつの有効な参考資料となります。
図表3:リスク分析シートの一部
(出典:IPA(情報処理推進機構)「リスク分析シート」
URL:https://www.ipa.go.jp/security/guide/sme/about.html
※画像は当法人で一部を抜粋して掲載しています。)
このリスク分析シートでは、情報資産を具体的に分類したうえで、「機密性」「完全性」「可用性」の3要素に基づいて重要度を評価する方法が示されており、自社のセキュリティポリシーを設計・見直しする際のベースとして活用できます。
4. 終わりに
今後もオンプレシステムからクラウドシステムへの変更は加速度的に増え、それに伴いIT内部統制の変更も求められます。
その際のIT内部統制は自社のみでも統制は可能ですが、外部企業からのサポートをけた際のメリットも考慮したうえで自社のみで統制をするか、外部企業のサポートを受けるかを考えてもいいのではないでしょうか。
三優監査法人のシステム監査部ではIT技術と監査スキルの両方を持った人材によるIT統制の評価・導入サポートを実施しています。
お問い合わせについては以下にご連絡下さい。
「Contact Us - BDO」
近年、多くの企業がコスト削減やシステム変更の柔軟性を目的として、従来のオンプレミス型からクラウドシステムへの移行を進めています。クラウドサービスの活用は、業務の迅速化と生産性を向上させる一方で、新たなリスクや課題も伴います。その中でも、見落とされがちなのが「IT統制」の再構築です。クラウド環境では、従来のIT環境とは大きく異なるため、これまでのIT統制がそのまま適用できないケースも多く存在します。
本稿では、クラウドシステムへの移行に伴い企業が見直すべきIT統制の観点や、実務上の対応ポイントについて解説します。クラウド導入を検討・推進している企業担当者の方は、ぜひご一読ください。
2. クラウド移行時のIT内部統制構築の流れ
日本の内部統制評価・監査制度では、6つの要素から成り立っており、その中でも「IT(情報技術)への対応」はリスクの識別とキーコントロールの選定が複雑であり、「IT知識」と「監査知識」の両方の視点で高い専門性が求められます。
【IT内部統制の構築の流れ】
3. クラウドシステムに移行する際のIT内部統制のポイント
クラウドシステムへの移行に際して、当該システムが担保する統制領域の明確化に加え、導入前における既存のIT統制環境の実態把握は重要事項です。これにより、クラウド環境下における統制の再構築に必要なギャップ分析や、既存統制の適用可否の判断が的確に行えるようになります。
① クラウド導入前の状況の確認
クラウド環境への移行に先立ち、現行のIT統制状況を精査することは、既存の統制手続がクラウド基盤においても引き続き有効か否かを評価するうえで不可欠です。また、統制環境の変化に伴う新たなリスクやコントロールギャップを早期に特定することで、既存の内部統制の再利用可能性の判断や、再設計・最適化に向けた判断を的確に行うことができます。
【内部統制毎の評価ポイントの具体例】
② クラウドシステムでカバーされる範囲の明確化
「レイヤー構造」「業務領域」「データ種別」の三層にわたる分類を体系的に整理することで、クラウド移行対象の範囲と影響領域が明確となります。それに伴い見直しが求められるIT統制項目も可視化することができ、クラウド導入に向けた統制再構築の優先順位付けおよび対応方針の策定が、より合理的かつ戦略的に実施可能となります。
I. レイヤーの分類
クラウドサービスにはIaaSやSaaS等、提供形態に応じた複数のモデルが存在し、それぞれでクラウドベンダーとユーザー企業との責任分界点およびクラウド化の適用範囲が異なります。そのため、自社が利用するクラウドサービスの種類および利用形態を正確に把握することは、適切なIT統制の設計・見直しを行う上で不可欠となります。
図表1:クラウドサービスの適用形態ごとのカバー領域
(出典:クラウドサービス提供における情報セキュリティガイドライン(第3版)
URL : https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd245620.html
※上記を参考に加工して掲載)
II. 業務の分類
自社における業務プロセスの棚卸を実施し、業務内容をカテゴリ別に整理した上で、それぞれの業務に対するクラウド対応状況を精査することで、クラウド環境に移行済み、あるいは今後移行が検討される業務領域を体系的に把握することが可能となります。
図表2:カテゴリ別に分類した社内業務の一例
III. データの分類
個人情報や財務情報、機密情報といった重要な情報資産は、「機密性」「完全性」「可用性」の3つの観点などからリスク評価が行われ、その結果に基づいてIT内部統制のレベルや対応策が決定されます。クラウド環境ではデータの所在やアクセス制御が複雑化しやすいため、移行前のデータ分類と統制設計がITガバナンスの鍵を握ると言えるでしょう。
こうした評価と分類をクラウド移行の前段階で明確に行うことで、以下のような対応が導入後に実現可能となります。
✓ データの重要度に応じた統制方針を柔軟に適用
✓ セキュリティ対策の最適化
✓ コンプライアンス対応の効率化
情報資産の分類方法は、企業ごとの業務内容やリスク許容度に応じて設計されるものであり、すべての組織に共通する定型的な手法が存在するわけではありません。そのため、各社が独自の規定や基準に基づいて、データの分類体系を構築することが求められます。
ただし、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」に掲載されている「リスク分析シート」が、ひとつの有効な参考資料となります。
図表3:リスク分析シートの一部
(出典:IPA(情報処理推進機構)「リスク分析シート」
URL:https://www.ipa.go.jp/security/guide/sme/about.html
※画像は当法人で一部を抜粋して掲載しています。)
このリスク分析シートでは、情報資産を具体的に分類したうえで、「機密性」「完全性」「可用性」の3要素に基づいて重要度を評価する方法が示されており、自社のセキュリティポリシーを設計・見直しする際のベースとして活用できます。
4. 終わりに
今後もオンプレシステムからクラウドシステムへの変更は加速度的に増え、それに伴いIT内部統制の変更も求められます。
その際のIT内部統制は自社のみでも統制は可能ですが、外部企業からのサポートをけた際のメリットも考慮したうえで自社のみで統制をするか、外部企業のサポートを受けるかを考えてもいいのではないでしょうか。
三優監査法人のシステム監査部ではIT技術と監査スキルの両方を持った人材によるIT統制の評価・導入サポートを実施しています。
お問い合わせについては以下にご連絡下さい。
「Contact Us - BDO」