2012 Fiscal Year Research-status Report
クラウド・コンピューティングに対するオフサイト型連続監査モデルの構築
| Project/Area Number |
24530576
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Research Institution | Nihon University |
|---|
Principal Investigator |
堀江 正之 日本大学, 商学部, 教授 (70173630)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | クラウド・コンピューティング / オフサイト監査 / 連続的リスク評価 / 連続的モニタリング / 連続的アシュアランス / 外部委託管理 |
|---|
| Research Abstract |
平成24年度は、研究実施計画に従い、第1に、企業等が、データ処理を委託しているクラウド事業者等の内部統制の状況把握をどの程度、またどのような方法によって行っているか、さらには当該事業者に対して監査法人等による監査・保証業務が利用されているかどうかについての予備的な調査を行った。
主にヒアリングを通じて調査を行ったが、企業等は委託したデータ処理・保管の安全性を第一に考えるなど、きわめて保守的な考え方に基づいてクラウド事業者を選定している(又は選定しようとしている)傾向がみられた。また、企業等が独自に作成した確認書への回答を求めるなど、一定の工夫はみられるものの、クラウド事業者等委託先のセキュリティ対策全般、とりわけその運用状況の実態把握に決定的な決め手となる確認方法が取りえないという課題が浮かび上がった。また、クラウド事業者側でもISMSなどの認証を受けていることはあっても、主に保証コスト負担の理由から、その他の保証手法が広く使われているとはいえないという現実もある。
第2に、上記の課題を受けて、企業等が確認書といったような事後的・固定的・形式的な確認方法をとらなくてもよいようにし、またクラウド事業者でも多額の監査・保証コストを負担しなくても済むような工夫として、遠隔モニタリングの理論モデルを構想してみた。当該モデルは、委託元企業等がクラウド事業者に対して要求する個別的なセキュリティニーズを反映できるだけでなく、クラウド事業者側のリスク要因の変化をタイムリーに把握できるという効果が期待できる。とくにクラウド事業者側のリスク要因の変化とそれへの対応がタイムリーに把握できれば、これまでにない認証・監査・保証のモデルを構築することができる。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
上記第1の研究実施計画(現状把握)については、当初より、厳格な実態把握ではなく、むしろ企業等がデータ処理・保管の外部委託状況の確認に際してどのような課題を抱えているかについての情報を入手することにあったので、個々の企業等へのヒアリング調査という手法を採用した。その点においては、当初の研究実施計画に沿ったかたちでの調査となった。しかし、当該調査方法では、外部委託管理の全体的な傾向がつまびらかになったわけではなく(業種ごとの課題、企業規模ごとにみられる課題)、なによりもヒアリングを重ねるほど、個々の企業等の個別的な事情に基づく課題が浮き彫りになってきた。それにもかかわらず、収集された課題を体系的に整理するところまで手が回らなかったことが反省点としてあげられる。さらには、企業等を対象としたヒアリング調査が中心となってしまい、監査・保証業務を提供する監査法人等に対するヒアリングが手薄となってしまった。
また、上記第2の研究実施計画(理論モデルの構想)については、研究初年度ということもあり、上記第1の研究実施計画との関連づけ、及びモデルの全体像のイメージの構想までは実施できた。また、当該モデルの構築に際して参考となる機能がないかどうかの調査(主に文献・資料等に基づく)まで実施することができた。しかし、モデルの構想といっても、それはあくまでも全体設計図が机上で描けた段階に留まるもので、機能要件や性能要件の確定作業まで進むことができなかった。その理由は、企業等を対象としたヒアリング調査であまりにも個別的な事情に基づく課題が抽出され、それらをいかにモデル構築に反映させるかの考慮に思いの外時間がかかっていることにある。
|
| Strategy for Future Research Activity |
上記、現在までの達成度における反省から、とりあえず企業等へのヒアリングを通じて収集した外部委託管理の課題について早急に体系化し、それに基づいて、連続的リスク評価モデル、連続的モニタリングモデル、連続的アシュアランスモデルの「結合モデル」の枠組みを構築することになる。企業等が抱える現実の課題に対する解決策となるモデルでなければ意味がないので、個々の課題に共通する根源的な解決策(クラウド事業者側におけるリスク要因の変化を適時に検知し、それへの対応進捗状況を連続的にモニタリングし、企業等委託元側の個別的なニーズに基づく連続的なアシュアランスが得られること)に目を向けて、理論モデルの精緻化を図ってゆくことになる。
モデル構築に当たっては、以下の点に留意して進める予定である。第1は、連続的リスク評価モデルは、クラウド事業者側が考えるリスク要因の評価ではなく、あくまでも企業等の委託元が想定するリスク要因を前提とする必要がある。モデル構築の手法としては、「動的リスクマップ」を用いることで、個々のリスク要因がどのように変化したかを追跡できる仕組みの構築を最終的な狙いとしている。第2に、連続的モニタリングモデルは、リスク要因の変化への対応(コントロールの変更など)が適時かつ適切に行われているかどうかをオフサイトでモニタリングできる仕組みの構築を狙いとしている。第3に、連続的アシュアランスモデルは、全体としての安全性等の保証という考え方をとらず、マチュリティモデルなどの段階評価を応用したカラーリング表示によって、全体のバランスが一目で理解できるような仕組みの構築を狙っている。
最終的には、これら3つのモデルに関連性を持たせる理論構築を行い、かつ実務へも応用できる実装性についても予備的な検討を加える予定である。
|
| Expenditure Plans for the Next FY Research Funding |
平成25年度は、モデル構築を本格化させる年度となるので、概ね、以下のような研究費の使用計画となる。なお、構築しようとするモデルはあくまでもプロトタイプであって、すぐに実装できるモデルではないので、プログラミング等にかかる経費は計上していない。
(1)物品費:モデル構築のためのノート型専用PCの購入が必要となる。現在、利用しているWindowsPCはOSのバージョンが古く研究上の活用に不便・支障が生じており、くわえて情報入手や入力等に際して持ち運びが必要となるためである。
(2)旅費:モデル構築に際して、理論的・技術的助言を得るため、また関連する学会や研究会等に出席して当該研究に関係する情報を入手したり意見交換するための国内旅費(主に関西方面3~4回程度)が必要となる。
(3)謝金:モデル構築に際しては、機能要件(必要に応じて性能要件を含むこともある)の適切な抽出が必要となり、技術的観点からする助言が必要となる局面が想定されるので、当該助言に対する謝金が必要となる可能性が高い。
(4)その他:モデル構築に参考となる資料(電子媒体提供の資料等を含む)やソフトの購入を予定している。さらには、資料等整理のための消耗品や、PC周りのサポート用消耗品の購入が必要となる。
|
Research Products
(3 results)
