2025年度 第1回定例研究会（2025/7/31）

セミナーレポート

2025年度 第1回定例研究会は、　松本 照吾 氏をお招きし、「クラウドシステムにおける監査のポイントと留意点について考える～『クラウドサービス（PaaS/SaaS）の技術的評価ガイド』発行にあたって」をテーマに、ご講演を頂きました。

まず最初に、「なぜ、監査人のためのガイドが必要なのか」についてご説明頂きました。近年クラウド上のサービスを活用する機会が増えており、IaaSは仮想化基盤を除いてしまえば従来のオンプレミスの世界と根本は変わらないものがあるが、PaaSやSaaSはミドルウェアやソフトウェアをサービスとして提供しておりこのような抽象化されたレイヤが増えることによって監査するポイントが変わってくる可能性があることが、議論の発端であったというお話でした。また、監査の立場だとなかなかPaaSやSaaSを使う機会がないため、理解、実践に関するギャップがどんどん加速しているあるため、このようなガイドを作成したと述べられました。

次に、「本書の構成と使い方」についてご説明頂きました。本ガイドは、監査のチェックリストではなく、監査チェックリストを作成するための考え方を示したものである。本ガイドの構成は、「国際標準との関係」、「クラウドサービス環境モデル」、「環境モデル監査手続の共通実践事項」と「環境モデル監査手続」から構成されている。PaaSやSaaSは様々な機能や目的を持っており、何を目的にするかによって構成は多様で複雑化しているため、標準的なモデルを作ってそれに基づいて考えるポイントを示しているのが、本ガイドの一番大きな狙いであるとご説明頂きました。
また、クラウドサービス上で構築されたITシステムの監査が目的であり、クラウドサービス事業者のレイヤは対象外のため、責任共有モデルに従って監査対象を決めることが大事であるというお話でした。
その後、クラウドサービスにおける職務分離の例など、実際のガイドの内容を用いて考え方についてご説明を頂きました。

次に「SaaSやPaaSを適切に理解するために」についてご説明頂きました。「ビルディングブロック」という言葉を用い、従来のIaaSやオンプレミスでは一度設計すると変更が難しいが、SaaSやPaaSでは目的に応じて部品を選び、レゴのように部品を組み合わせて目的に応じた環境を柔軟に構成できる。また、サービスがどのような目的で設計・選択されているか、例えば効率化を目的に選ばれたサービスと、規制対応を目的に選ばれたサービスでは、設計意図が異なるため、監査人はその背景を理解する必要がある。その背景を理解しないと監査の方向性がずれてしまう可能性がある、ということをご説明頂きました。

最後に今後監査実技WGを再開し、本ガイドをベースに実践的な実践編の作成に取り組む計画であり、貢献したい人がいればぜひ参加して頂きたいとお話がありました。

当日の参加人数は161名です。
Web会議形式ならではのチャットによる質疑応答が講演中から活発に行われ、松本様よりすべての質問について丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。（JASA会員／CAIS・QISEIA資格者のみ。ログインが必要です）