基本情報

学部 IT総合学部
科目 リスク管理と監査
教員名 原田 要之助
年度 / 学期 2019年度春学期
開講期間 2019/4/4  ~  2019/8/8
科目履修区分 基礎講義(選択)/専門基礎(選択)/専門基礎科目
単位 2
科目レベル 3

ページの先頭へ戻る

科目概要

本科目では、個人情報漏洩など昨今の情報セキュリティにおけるリスク問題をとりあげて、組織における情報資産の管理の重要性を論じる。とくに、情報セキュリティ管理のPDCAサイクルのチェックにあたる監査に焦点を当てる。個人情報を預かる企業は第三者による保証型監査報告書があると、信用が高まる。そこで、講義ではまず、監査の種類や監査人に要請される独立性・専門性などを論じる。次に、監査の理論にとどまらず、監査手順、監査技法、技術的検証など具体的な監査の実施面について触れる。最後に、自社が標準的な規範と比べてどの程度ギャップがあるか判断する助言型監査と保証型監査の違いについても理解を深める。

ページの先頭へ戻る

科目目標

1. 身の回りにはリスクが多くあること、リスクは常に変化していることを理解する。また、脆弱性(隠れた弱点)に脅威がつけ込んでリスクになる。そこで、脅威がつけ込む前に脆弱性を除去するなり、脅威自体をなくすなり、リスクによる被害を小さくする対策(予防)が重要となる。また、リスクが発現した場合には直ちに検知して、事後対策を行い、被害の最小化と回復を行うことを理解する。
2. リスク対策を行うときには、リスクの大きさ(リスクアセスメント)を測り、対策の実現可能性(技術が適用できるか,またその費用がどの程度なのか,など)との関係で判断する。この関係を理解する。この一例として、情報セキュリティでのリスク(個人情報漏えい事件などを事例として)を事例として取り上げて理解する。
3. リスク対策には、さまざまな方法(リスク回避、リスク共有(移転)、リスク保有、リスク低減など)があり、その違いを理解するとともに、リスク対策をしても、リスクがゼロにはならないこと、すなわち、残余リスクがあることを理解する。また、リスクアセスメントで用いられるいくつかの技法について理解する。
4. リスクを管理する方法としてリスクマネジメントが一般的であり、PDCA(Plan, Do, Check, Act)を用いることが多い。リスクマネジメントのプロセスは、リスク特定、リスク分析、リスク評価、リスク対策、リスクコミュニケーションと監査で構成されることをISO31000をベースに理解する。
5. リスクマネジメントのC(Check:見直し)のプロセスでは、監査が重要であることを理解する。併せて、リスクをチェックする機能としてのセキュリティ監査について理解する。
6. 監査の種類には、組織自体が内部目的で実施する内部監査と外部組織が実施する外部監査があることを理解する。この講座では、情報セキュリティ監査をベースに監査について理解する。監査を実施するのは監査人であり、監査人にはその分野についての専門性のみならず、監査に必須の独立性、公平性、さらには倫理が要請されることについて理解する。
7. 内部監査や外部監査のプロセス(基本計画の策定、実施計画の策定、監査手続の実施、監査意見の形成、監査報告書)について理解する。監査を公平公正、客観的なものとする仕組みを理解する。
8. 情報セキュリティ監査には、助言型監査と保証型監査が有り、その違いを理解する。とくに、助言型監査報告書に書かれる指摘事項について理解できるようになり、かつ、情報セキュリティ対策の不備を被監査組織に説明できるようになる。
9. 情報セキュリティ監査などの監査には、制約があることを理解できるようになる。また、情報セキュリティ監査報告書を書けるようになる。

ページの先頭へ戻る

履修前提条件

・ビジネス法務入門(旧:企業法務、法律入門)
の単位を修得していることが望ましい

法律については、監査人に求められる注意義務(会社法)の理解や個人情報保護法(改正)とマイナンバー法及び関連するガイドライン(情報セキュリティ管理基準(経産省),不正防止ガイドライン(IPA)など)についての最低限の理解が求められている。

ページの先頭へ戻る

授業教材

教科書 ※購入必須

なし

ツール

なし
大学の定める必要環境はご用意ください。

参考資料 ※購入任意

題名 著者 出版社 発行年 備考
題名
ISO/IEC27002解説と活用ガイド
著者
中尾監修、原田 要之助ほか
出版社
日本規格協会
発行年
2015.02
備考
3,800円(税抜)
題名
ITリスク学
著者
佐々木監修、原田 要之助ほか
出版社
共立出版
発行年
2013.02
備考
3,400円(税抜)

その他の資料

資料及びサイト 内容
資料及びサイト
日本セキュリティ監査協会 公認テキスト
内容
最終試験の際に持ち込み可です。教科書の内容は第9回以降の授業で扱いますので、授業開講後に科目内のお知らせで教科書購入の方法を案内します。
資料及びサイト
RISK-IT
内容
https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx


ページの先頭へ戻る

期末試験実施方法について

Webテスト形式

ページの先頭へ戻る

授業時間外の学修と評価について

・前回の講義内容について繰り返し視聴を行って復習するとともに、予習として次回の学習資料を確認してください。
・学習資料を見た上で、分からない専門用語については、学内外の電子辞書サービス、外部の公開情報などを活用してみてください。
・本授業の後半は、セキュリティ監査に関するものです。限られた授業時間では、十分にカバー出来ていないこところがあります。
 監査になじみが無い方は、日本セキュリティ監査協会 公認テキストを入手していただくと、不明な点の理解が深まります。さらに、次回の予習にもなります。うまく活用下さい。
・受講後の発展的学習として、関連情報のサイトを熟読したり、経済産業省の情報セキュリティ監査関連資料などを利用して理解を深めてください。

ページの先頭へ戻る

評価配分

ディベート レポート 小テスト 期末試験 その他 合計
0 % 0 % 50 % 50 % 0 % 100 %
 0 %   0 %   50 %   50 %   0 %   100 % 

ページの先頭へ戻る

各回の授業内容

授業内容および目次 小テスト他 備考(教科書、参考資料等)
第1回 1)タイトル:
基本的なリスクの理解

2)学習目標:
・講義の概要と学習の進め方を理解する。
・リスクに関する基本的な用語と概念を理解する。

3)目次:
第1章 オリエンテーション
第2章 リスクとは
第3章 脆弱性と脅威
第4章 リスクとコスト

この回の課題
・小テスト
 
第2回 1)タイトル:
リスクの予防・検知・回復

2)学習目標:
リスクの予防・検知・回復に関する概念を理解する。

3)目次:
第1章 リスク対策の3つの段階
第2章 リスクの予防
第3章 リスクの検知
第4章 リスクからの回復

この回の課題
・小テスト
 
第3回 1)タイトル:
リスクの経済学

2)学習目標:
リスクの経済学に関する概念を理解する。

3)目次:
第1章 リスク対策の費用
第2章 費用対効果
第3章 リスクコストの配賦
第4章 ケーススタディ

この回の課題
・小テスト
 
第4回 1)タイトル:
リスク対策

2)学習目標:
リスク対策に関する概念を理解する。

3)目次:
第1章 リスク低減とリスク保有
第2章 リスク回避
第3章 リスク共有(移転)
第4章 残余リスク

この回の課題
・小テスト
 
第5回 1)タイトル:
リスクプロセス

2)学習目標:
リスクプロセスに関する概念を理解する。

3)目次:
第1章 リスク特定
第2章 リスク分析
第3章 リスク評価
第4章 リスク対応

この回の課題
・小テスト
 
第6回 1)タイトル:
リスクの定量的評価(リスクアセスメント)

2)学習目標:
リスクを(定量的に)評価する方法について理解する。

3)目次:
第1章 リスクを(定量的に)評価する
第2章 リスク評価法
第3章 リスク評価(脅威とぜい弱性を用いた)技法
第4章 リスク評価のケーススタディ

この回の課題
・小テスト
 
第7回 1)タイトル:
リスクマネジメントの概要

2)学習目標:
リスクマネジメントの概念を理解する。

3)目次:
第1章 マネジメント(PDCA)プロセス
第2章 リスクマネジメントのプロセスとPDCA
第3章 リスクコミュニケーションと監査
第4章 リスクマネジメントのツール

この回の課題
・小テスト
 
第8回 1)タイトル:
組織のリスクマネジメント(ケーススタディ)

2)学習目標:
組織におけるリスクマネジメントの応用について理解する。

3)目次:
第1章 リスクマネジメントの組織への応用
第2章 リスクコミュニケーションの活用(ケーススタディ)
第3章 リスクコミュニケーションの実際(ケーススタディ)
第4章 リスクと監査(ケーススタディ)

この回の課題
・小テスト
 
第9回 1)タイトル:
リスクと監査

2)学習目標:
リスクマネジメントのプロセスとして重要な位置づけにある監査についてリスクマネジメントとの関係から理解する。

3)目次:
第1章 監査の位置づけ
第2章 監査の重要性
第3章 監査の類型(内部監査と外部監査)
第4章 監査の種類

この回の課題
・小テスト
 
第10回 1)タイトル:
情報セキュリティ監査

2)学習目標:
情報セキュリティ監査の概要について理解する。

3)目次:
第1章 情報セキュリティ監査とは
第2章 情報セキュリティ監査の証拠能力
第3章 情報セキュリティ監査の流れ
第4章 情報セキュリティ監査の基準

この回の課題
・小テスト
 
第11回 1)タイトル:
監査人に求められるもの

2)学習目標:
監査人に求められる知識、スキル、倫理などについて理解する。

3)目次:
第1章 監査人とは(独立性と倫理)
第2章 監査スキル
第3章 監査技法の理解
第4章 技術的対策の理解

この回の課題
・小テスト
 
第12回 1)タイトル:
監査の種類

2)学習目標:
情報セキュリティ監査の保証型監査と助言型監査について理解する。

3)目次:
第1章 助言型情報セキュリティ監査
第2章 保証型情報セキュリティ監査の種類
第3章 保証型情報セキュリティ監査
第4章 助言型監査と保証型監査の違い

この回の課題
・小テスト
 
第13回 1)タイトル:
監査のプロセス

2)学習目標:
情報セキュリティ監査の一連のプロセスについて理解する。

3)目次:
第1章 基本計画
第2章 実施計画
第3章 監査手続
第4章 監査意見の形成

この回の課題
・小テスト
 
第14回 1)タイトル:
監査報告書

2)学習目標:
情報セキュリティ監査で最も重要な「監査報告書」について理解する。

3)目次:
第1章 監査報告書の作成
第2章 監査報告書の利用
第3章 助言型監査報告書の作成と利用
第4章 保証型監査報告書の作成と利用

この回の課題
・小テスト
 
第15回 1)タイトル:
監査の活用

2)学習目標:
リスクと監査の最終回として、監査の利用について理解する。

3)目次:
第1章 保証型監査と助言型監査の制約
第2章 助言型監査報告書のケーススタディ
第3章 リスクマネジメントのまとめ
第4章 情報セキュリティ監査のまとめ

この回の課題
・小テスト
 

ページの先頭へ戻る

open

Now Loading