| 研究課題/領域番号 |
24530576
|
|---|
| 研究機関 | 日本大学 |
|---|
研究代表者 |
堀江 正之 日本大学, 商学部, 教授 (70173630)
|
|---|
| キーワード | 連続的リスク評価モデル / 連続的モニタリングモデル / 連続的アシュアランスモデル / クラウドコンピューティング / 自己評価(CSA) / マチュリティモデル |
|---|
| 研究概要 |
本研究においては、以下の2つの概念モデル構築を試みた。
<第1モデル:連続的リスク評価モデル、連続的モニタリングモデルの構築>
ユーザ企業又はクラウド事業者が、オフサイトでクラウドサービス利用の管理に係わる必要なデータや情報をタイムリーに入手するためには、まずもって、ユーザ企業側又はクラウド事業者側において、①リスク評価をIT化し、②コントロールのモニタリングをIT化する必要がある。
そこで、①のリスク評価においては、ユーザ企業又はクラウド事業者のそれぞれにおいて、クラウドサービスの提供又は利用に伴うリスクを可能な限り網羅的に特定し、それをリスク評価図にマッピングするモデルを構想した。その際、一定期間ごと(四半期ごと)に、又はシステムやサービス内容の変更ごとに、リスク変化を自動的にフォローアップできるモデルとした。また、②のリスクに対応するコントロールをリスク評価図の上に重ねて表現することで、リスクとコントロールとのマッチングを視覚的に表現できるようにし、あわせてコントロールの有効性を4段階(レベル1からレベル4)で評価した結果も重ねて合わせる考え方をシステム的に実現するモデルである。なお、リスク変化の見直しに応じてコントロール評価も見直す仕組みとしている。
<第2モデル:連続的アシュアランスモデル>
上記のモデルは、基本的にユーザ企業又はクラウド事業者管理者による自己評価のためのモデルであるので、ユーザ企業又はクラウド事業者の内部監査人又は外部監査人が、アシュアランスを行うためのモデルについても検討を試みている途中である。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
当初の研究計画では、「連続的リスク評価モデル→連続的モニタリングモデル→連続的アシュアランスモデル」というシーケンシャルな包括モデルを想定していた。
しかしながら、リスク評価モデルとモニタリングモデルはセットで構築することができても、アシュアランスモデルは単に全二者の情報をそのまま監査用資料としてデータベース化してもほとんど意味がなく、とりわけコントロールの欠陥評価及びコントロールの有効性の総合評価をどのようにモデル化するかについて、机上モデルとして構想できても、実務的には効果的な活用の余地が小さいことがヒアリング等によっても判明した。
|
| 今後の研究の推進方策 |
すでに概念モデルとして構想されているので、それをより精緻化する作業が中心となる。研究最終年度においては、当該モデルの有効性や有用性を論理的に説明できるようにした上で、モデルの全体像を公開する予定である。
また、当初より、本研究では、概念モデルの構築を意図しており、プログラム開発まで想定していないが、プロトタイプは作成し、その有用性及び実装可能性の確認テストまで行う予定である。当該確認テストでは、ユーザ企業やクラウド事業者のセキュリティ担当者及び内部監査人、システムエンジニア、公認会計士等の協力を求め、その精度を高めることを考えている。
|
