クラウドを利用する際には、クラウドならではのリスクの識別が欠かせない。リスクを低減するためには、サービス事業者やクラウドの利用者に対する統制も重要だ。技術進化が早い分野なので、導入後にも常にリスクを確認する必要がある。
本連載は、AI(人工知能)時代に求められるIT監査のあり方について、内部監査人の立場から解説する。
「AI時代」と題しているが、AIの影響のみを対象にしているわけではない。アジャイル開発やクラウドコンピューティング、ビッグデータといった、AIとともに急速に普及してきたIT関連の事象を、内部監査時にどのように扱うべきかを広く取り上げていく。
監査人の視点を知ることは、監査を受ける側となる情報システム部門やユーザー部門に所属する情報システムの管理者などにも役立つ。監査人の視点は、日ごろの情報システムの開発や運用において重視すべき視点となるからだ。
前回に引き続きクラウドコンピューティング(クラウド)環境の監査について取り上げる。前回はクラウドの種類ごとの導入のポイントを解説した。今回はより詳細に、クラウドコンピューティングのリスクと、リスクに対する統制(コントロール)の整備・運用について見ていく。
クラウド特有のリスクを押さえる
クラウドは柔軟にインフラを調達できるというメリットがある半面、特有のリスクがある点がポイントになる。具体的には導入戦略や体制の整備・運用に関する「IT統制環境」と、クラウドの実装・利用に関するリスクに分けられる。
IT統制環境関連では、以下のようなリスクが代表的だ。
統制環境に関するリスク
- 全社的なIT戦略の観点から検討しなかった結果、適さない領域や業務をクラウドに移行してしまう
- クラウド移行によって生じる人材やノウハウの消失を十分に検討しない
クラウドの実装・利用に関するリスクの代表例は以下の通りだ。
全体的なリスク
- クラウド事業者の選択を過った結果、期待する導入効果を上げなかったり、事故が発生したりする
- クラウド移行後のクラウド事業者の変更や自社構築システムへの後戻りが困難になる
- クラウド事業者のポリシーにより、事業者への監査ができない
法令・制度に関するリスク
- 個人情報保護法上の個人データの安全管理措置が不十分
- 「内部統制報告制度(J-SOX)」が規定する評価や監査を実施できない
- データの保管場所が海外で、現地の法律が適用されたり、現地の法規制によってデータが差し押さえられ、利用不可能となったりする
サービス品質に関するリスク
- サービス品質が利用者の要求水準に未達である
- 利用者からの業務要件や品質の変更に対し、クラウド事業者が十分に対応できなかったり、提供されるサービスの柔軟性が十分でなかったりする
情報セキュリティーに関するリスク
- クラウド事業者やネットワークにおいて情報・データが毀損、紛失、漏洩する、あるいは情報・データが改ざんされたり、窃盗されたりするリスク
事業継続に関するリスク
- 情報システムの機能不全やネットワークの問題、事故や天災によりサービスの提供が受けられない
- クラウド事業者の倒産などによりサービスの提供が受けられない
利用者自身に関するリスク
- クラウドに関する手続きの知識や理解不足、操作の訓練不足などから不適切な、あるいは誤った事務手続きや処理をしてしまう
クラウドの導入に当たってはクラウド固有のリスクを識別したうえで、統制を整備した後の残存リスクや、統制の整備コストを含めたクラウドの導入費用、そしてメリット・デメリットを総合的に踏まえる必要がある。
