フェロー 関原 弘樹
はやいもので 4 月からの新年度も最初の四半期が過ぎ、梅雨まっただ中の 7 月となりました。
例によって年々激しさを増す水害も発生し、 COVID-19 との複合災害も懸念されます。
私は屋内で過ごすことは嫌いではないですが、やはり一定数のイベントによる外出は必要かつ重視するライフスタイルでした。しかしこの四半期は、ビジネスではテレワークのデフォルト化による閉じ籠るワークスタイルの確立、プライベートでは楽しみにしていたパフォーミングアーツ系イベント(オペラ、歌舞伎、コンサート)がすべてキャンセルとアクティビティがぐっと少なくなり、時の経つのが早いフラットな日々を過ごしています。
#通勤に費やしていた時間を有効に活用できることだけは素晴らしいですが…
都内では4月以降、毎日毎日、十数人から百数十人と新型コロナウイルスの感染者が発表されています。
アクション的には拡大しそうなクラスタを中心に対策と都民に対するお願いベースの自粛アナウンスにとどまらざるを得ず、経済的な影響や今後の対応方針も不透明な中で、コントロールされているのはレポートの人数だけとの厳しい意見も聞かれます。
レポートされる人数は
経済活動を締めれば多少減少するものの「様々な理由で」緩めればすぐに増加し、一向に出口が見えてこない
現状を感じている方も多いと思います。
今後の経済再開の見通しについては、国内のいくつかのクラスタ周辺に対する集中的な抗体検査で 新型コロナウイルスの抗体の保有率が 1% 以下であることが判明した(≒集団免疫への道は遠く、今後第2波以降のパンデミックがあり得る) 他に決定的なデータが得られてないような現状です。 日々の感染者数のような小さい数字に一喜一憂する日々は早くて年末、遅ければ翌春以降となりそうな新型コロナウイルス対応のワクチンが完成し市場に流通する日まで続く のではないでしょうか。
#個人の感想です
#もちろんワクチンが永遠に完成しないシナリオもあり得ます
--
--
#集団免疫の獲得のために少なめに見積もって4割感染が必要として、有効な治療法がない中で仮に死亡率が1%と置くと、日本では48万人亡くなるんですがそれは…
----
さて、ここから本題でちょっと IT の話です。
ITの世界では情報システムを有効で価値のある状態に保ち続けるために、「システム監査」というプロセスを定義しています。
■システム監査とは
経済産業省によれば、以下のように定義されています。
「専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。
また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。」
「システム監査」というネーミングですが、上の定義で「組織体の経営活動と業務活動」に言及されているように、最終的には情報システムの状態の点検・評価・検証だけにとどまらず、組織のミッション遂行や変革( DX もその一部です)そしてそのゴールへの到達をサポートし続けていくことが大きな目的となっています。
■監査手続とエビデンスの収集
前述のように情報システムのガバナンス、マネジメント、コントロールの適切性を確認するために、システム監査人が情報システムの点検・評価・検証をするわけですが、個々の監査におけるフローはおおむね以下のようになります。
最初に机上での監査計画の作成や「監査手続」の準備を行い、続く実施フェーズでは 「監査手続」として従うべきベースライン(監査基準やベストプラクティスとしてのセキュリティガイドライン、ドキュメント化された組織やシステムのポリシー)に対して様々な現場でのエビデンス(証拠)を収集・分析することによりコントロールの有効性を確認していく ことになります。
そして最終的には、監査の依頼元(通常はシステムオーナ)への報告を実施し、改善すべき点はフォローアップでその後の改善状況を確認していき、次回以降の監査計画へとサイクルを回していくことになります。
■精査・試査
実施フェーズでの「監査手続」におけるエビデンスの収集を費用対効果の観点から効率よく進めていくにはいくつかの工夫が必要です。
たとえば 3,000 人の従業員のうち 1,000 人がテレワークを実施している企業があったとします。
この企業のポリシーでは、テレワーク中に使用できる PC は会社貸与の PC のみ、かつその PC は管理者に承認された PC 持ち出し申請及びセキュリティポリシーで規定されたアンチウイルスソフトウェアの最新パターンファイルでスキャンした履歴が必要としましょう。
監査ではこのセキュリティマネジメントへのコントロールが正しく適用されているかを確認するために
・テレワーク実施者は、会社貸与の PC 以外を業務使用していないか?
・会社貸与の PC は、 PC 持ち出し申請及びセキュリティポリシー通りのアンチウイルスソフトで運用している履歴があり、これらが管理者に承認されているか?
等の項目を「監査手続」に沿って現地調査(往査)、関係者へのインタビュー、ドキュメントレビュー、複数エビデンスの突合・照合等により、監査結論を裏付けるエビデンスを収集していくことになります。
これら 1,000 台以上の PC の存在調査や 1,000 枚の申請書の承認確認を限られたリソース(時間・人)で実施することは非常に困難なことがお分かりいただけると思います。
そこで、このような場合は、サンプリング(一部の特性から母集団全体の特性を評価する抽出)による試査という手法をつかいます。
簡単に「監査手続」におけるエビデンスの収集、確認手法の特徴をまとめました
サンプリングリスクについては、母集団の大きさや関連するリスクの大きさに応じて統計的に適切にカバーできるよう必要なサンプル数を決定し、その中で不適合となる割合を評価します。
ともあれ、このような手法を駆使し一定のリスクを許容することにより、システム監査人は限られた時間、エビデンスの中で効率的に(これは前述のように監査対象のシステムに課せられた要求でもあります)システム監査を実施するとができるようになります。
なお、近年は特に
IT
を中心としてデジタル化の浸透により電子ファイルを通じた精査も現実的となっています。
■おわりに
衛生状態・経済活動を安定させ、この社会を価値あるものに保つため、国内の新型コロナウイルス蔓延状況のトレンド把握とその個体特定のカギを握るのはエビデンスとしての検査結果であることは異論がないでしょう。
しかしながら、この検査のフォルスネガティブ(偽陰性)率の高さ、また検査そのものやそのアフターフォローのためのリソース不足による医療崩壊を懸念する声は依然強いものがあり、現在有効なエビデンスが必要な数だけ集まっているかどうかは否定も肯定もしづらい状況ではないでしょうか。
検査対象について言えば、人相手の精査についてはもちろん現実的ではないでしょうが、特定のクラスタを狙った試査でもやはり統計的には無為であり、全体の傾向を可視化できるようなデータにはならないと考えられます。
精度の高い検査手法が確立され、母集団、ランダム性に問題の無いサンプリングでの検査が実施出来れば、あるいは…と考えてしまいますが、今後どのような技術が開発されていくのでしょうか。
私の親しんでいるパフォーミングアーツ業界では客席を千鳥格子配置にしての販売、オンラインでのリアルタイム配信、マスクを装着しての発声の検証等で、「変わりゆく世界」に対し必死の対応をしています。
それぞれのファンの間では、抗体獲得やワクチン開発の可否の状況によりこれまでと同様のコストパフォーマンス(価格は倍、時間や出演者は半分)でイベントを楽しむことは難しいと予想しています。
私自身も今後の流れを注視して自らのライフスタイルを変化させていくことが必要という思いです。
ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
AWS Certified Solutions Architect – Professional,
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
