2025年度 第3回定例研究会(2025/9/22)

<情報セキュリティ監査の自動化に向けて ~研究会中間報告とパネルディスカッション>

2025年09月22日開催

講演概要

 情報セキュリティ監査のニーズが高まる中、普及に向けては、監査にかかる工数やコストの削減、効率化によるリアルタイム性のある監査の実現が求められています。こうした状況を踏まえ、協会では「監査の自動化」の実現に向けて有識者を集めた研究会を立ち上げ、議論を進めています。
その成果として、「セキュリティ監査の自動化に向けた現状と可能性」と題したレポートを取りまとめました。本講演ではその内容をご紹介するとともに、研究会メンバーによるパネルディスカッション「明日からどう始める監査の自動化」を開催し、皆様とともに「監査の自動化」の将来展望を共有いたします。

講師


JASA)監査自動化研究会 リーダー 満塩 尚史 氏 他メンバの皆様

セミナーレポート

JASA)監査自動化研究会
リーダー :満塩 尚史 氏 
メンバ  :河野 省二 氏、佐藤 要太郎 氏、澤部 直太 氏、丸山 満彦 氏

2025年度 第3回定例研究会は、 JASA)監査自動化研究会 リーダー 満塩 尚史 氏 他メンバの皆様をお招きし、「情報セキュリティ監査の自動化に向けて」をテーマに、研究会の中間報告およびパネルディスカッション形式にてご講演を頂きました。

冒頭で、研究会のリーダーである満塩氏より、研究会のメンバ紹介、研究会の目的、クラウドサービスのセキュリティに関する取り組み全般の現状、研究会の活動の方向性についてご挨拶いただきました。

続いて、第一部として、研究会で作成した中間報告のレポートの概要をメインの執筆者であるPwC Japan有限責任監査法人の佐藤氏よりご紹介いただきました。
説明の中では以下の項目について説明がされました。
・最新のソリューションによるセキュリティ監査自動化の現状と可能性
・現在のセキュリティ監査の課題
・監査を自動化することによるサービス利用者、サービス提供者、監査主体のメリット
・サプライチェーンにおける継続的な監査を実施することの効果
・監査プロセスの中で自動化できる部分の考察
・自動化に活用可能なツールの紹介(CSPM、GRCアプリケーション、OSCAL、LLM)
・監査自動化が進んだ場合に求められる監査人の能力
・基準作成とそれにいち早く対応する監査のエコシステム
最後にレポートの参照方法と今後の研究会の活動についての予定を述べていただきました。

第二部としては、「明日からどう始める?監査自動化について」というテーマでパネルディスカッションが行われました。
パネルディスカッションのメンバは以下です。
・モデレータ PwCコンサルティング合同会社 丸山氏
・パネリスト 順天堂大学 満塩氏、日本マイクロソフト株式会社 河野氏、
PwC Japan有限責任監査法人 佐藤氏、ナオサイバーテック株式会社 澤部氏
冒頭でパネリストの自己紹介を通してそれぞれのパネリストの立場が表明されました。
ディスカッションの入り口として、まず自動化のイメージをより具体的に理解し、議論を活性化させるために、第一部で概略の説明があった自動化ツールのうちCSPMについて佐藤氏より補足説明をしていただきました。
これを受けて、パネリストのそれぞれの立場において自動化ツールの出現によるメリットの意見交換がされました。ポイントとしてはリアルタイムで状況の変化が自動的に把握できることが挙げられました。その一方、監査人はクラウドの進化をキャッチアップしておくことが重要であること、また監査の利用者は、リアルタイムに上がってくる複雑なデータを分析して自分たちにとって有益な点をあらかじめ明確にしておくこと、またモニタリングではワーニングにとらわれがちだかトレンドを理解し、将来予測をすることも重要であるという意見が述べられました。
次にセキュリティ統制の記述言語であるOSCALのメリットについて佐藤氏から補足説明がされました。監査においては規程、手順書、監査計画、監査手続き、調書、報告書などの文書間の関係が複雑であり、現在はこれらをEXCELやWordで表現しているが、バージョン管理だけでも大変。これを機械で置き換えて整合性を担保し、コミュニケーションコストを削減することがOSCALのメリットとなることが説明されました。パネリストからは現状はまだ監査業務に役立てるところまではやっていないものの、申請書等のアウトプットの作成に活用していて、特に前回からの変更内容の管理が容易になっているとの意見がありました。またこれら新しいツールは監査人にとって、最初はどうしても難しく感じるので、事例やツールの普及等、敷居を下げる手立てがあると普及しやすいというコメントもありました。
ここで新たな論点として、リアルタイムのモニタリングが普及して、利用者側で状況が容易に把握できるようになると、果たして監査はどういう位置づけになるのかという問題提起が丸山氏より出されました。監査人の立場からの意見としては、役割は大きく2つあり、監査対象の設定と基準に適合しているかのチェックはやはり被監査組織でなく監査人の仕事であるという意見が出されました。また監査人が関係者を納得させるためには、外見的な専門性の高さが重要になるのではとの丸山氏からの問いかけに対して、監査人はまず第三者性を担保するためにどういう振る舞いをするかを理解していること、その上で技術的な裏付けがあることを何らかの形で示せれば良いという考えが示されました。またこれからは、若いころから監査に携わることが技術変化への対応の観点で重要であるとの意見が出されました。さらに現在監査人の人たちも昨今のITの変化を敏感に認識すべきという意見が出されました。
次に生成AIに対する意見交換がなされました。パネリストからは、プロンプト次第だが、証跡を渡すと結果出力は早いし、内容もそれなりに編集して出力してくれる。出力結果をレビューする人間のレビュー能力が問われる時代になるとのことでした。
また一般的に生成AIについては、一定のQualityのものを出してくるので、作業ベースは生成AIにやらせて、結果のレビュー、やったことの意味、本質等を考えるという一段上のレベルのことは人間がやらないと人間の存在価値がないという意見も出されました。
最後にこのような変化の中でクラウドサービスの利用者として、すべてプロバイダに依存するのではなく、IT利用者が最終的には責任を持つという意識が必要。自動化の進展により監査のナレッジも変わってくる。データの分析の観点でデータサイエンスの理解も必要になる、とのコメントも出されました。

当日の参加人数は167名です。
Web会議形式ならではのチャットによる質疑応答が講演中から活発に行われ、講師の皆様よりすべての質問について丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)

ダウンロードページへ