セキュリティ監査（Security Audit）[1L06]

＜学位授与の方針＞

	1. 基礎知識の習得
◎	2. 専門分野知識の習得
○	3. 汎用的問題解決技能
○	4. 道徳的態度と社会性

＜授業のねらい＞

日本セキュリティ監査協会（JASA）寄附講義　
企業経営と情報セキュリティ 〜 情報セキュリティ監査入門
（Business management and information security
- Introduction to information security audit）

寄附講義講師（予定含む）

永宮 直史 （日本セキュリティ監査協会）
加藤 俊直 （PWCあらた有限責任監査法人）
間形 文彦 （日本電信電話株式会社）
久保田 朋秀 （日本マイクロソフト株式会社）
後藤 里奈 （日本マイクロソフト株式会社）
山田　英史 （株式会社ディアイティ）
河野 省二 （株式会社ディアイティ）
中田 美佐 （NTTテクノクロス株式会社）

この講義は、日本セキュリティ監査協会（JASA）が本学に寄附講義として提供するもので、わが国政府が主導する情報セキュリティ人材育成戦略に沿い、経営層を直接的に支援する人材の育成を意図したものである。
JASAの提供する人材育成は、入門編、実務編、専門編の3つで構成されるが、この講義はそのうちの入門編であり、JASA参加の企業等において情報セキュリティ監査の第一線で活躍している専門家が講義を担当し、各授業の後半では、実企業からの実践例の紹介もあり、実務的な理解を深めることができる。
　講座では最初に、実社会における情報セキュリティマネジメントおよび情報セキュリティ監査の実態を踏まえ、経営者が考えるガバナンス・マネジメントを理解する。ついで、企業等の組織における内部監査の実務に焦点を当てて、監査基準、管理基準等の考え方を理解するとともに、監査組織の体制や効率的な進め方の枠組み、具体的な監査手続きの詳細や技術的検証について理解する。
これらを通じて、経営者を支援する人材として、内部監査要員に求められる知識体系を身につけることができる。
　本講座は情報セキュリティ内部監査人の能力認定資格取得をゴールとする。

＜受講にあたっての前提条件＞

情報セキュリティ構築運用実務を受講していること。

＜具体的な到達目標＞

・経営における情報セキュリティ重要性を理解し必要性を説明することができる
・情報セキュリティ監査の実施手順を理解し説明することができる
・情報セキュリティ内部監査の実務として監査証拠の収集にあたることができる

この講座を修了した者は、日本セキュリティ監査協会（JASA）の定める情報セキュリティ内部監査人（QISEIA）の能力認定を申請することができる。

＜授業計画及び準備学習＞

授業は以下のように進める予定であるが、進捗に応じて多少調整する。
また、各授業の後半の30分程度を事例学習の時間とし、企業における情報セキュリティや情報セキュリティ監査授業は以下のように進める予定であるが、進捗に応じて多少調整する。
また、各授業の後半の30分程度を事例学習の時間とし、企業における情報セキュリティや情報セキュリティ監査への取り組み、およびクラウド情報セキュリティ監査制度の紹介や実践などを、代表的な企業で実際に担当されている方々から紹介し、実務的な理解を深める。
１,２．事例に学ぶ情報キュリティ監査の必要性
　　配布資料と教科書1.1、1.2、1.6を読んで理解しておく
３,４．企業経営と情報セキュリティ監査（ガバナンス、マネジメント）
　　事前学習：配布資料及び教科書1.3、1.4、1.5を読んでガバナンスとマネジメントの枠組みを理解しておくこと
５,６．情報セキュリティを取り巻く法律、個人情報・プライバシー
　　事前学習：配布資料を読んで理解しておくこと
７．情報セキュリティの基準とその活用
　　事前学習：配布資料と教科書2.3、2.4を読んで情報キュリティの基準について理解しておくこと、
　　また、KuPortで配布する「情報セキュリティ管理基準」を見て構造を理解しておくこと
８．クラウドの監査
　　事前学習：配布資料を読んで理解しておくこと
９．情報セキュリティ人材のキャリアパス
　　事前学習：配布資料を読んで理解しておくこと
１０,１１．情報セキュリティ監査の実務
　　事前学習：配布資料及び教科書2.4、2.5、2.6、2.7、3.1、3.2、3.3、3.4、第４章を読んで理解しておくこと
１２,１３．情報セキュリティ監査演習
　　事前学習、配布資料及び教科書3.5、3.6、3.7、3.8、3.9、3.10を読んで理解しておくこと
１４．学習の振り返り

事例紹介では、以下の企業や団体の事例を紹介いただく予定である。

富士通株式会社、　内閣サイバーセキュリティセンター（NISC）、
PWCあらた有限責任監査法人、　アマゾンウェブサービスジャパン、
日本電信電話株式会社グループ、　株式会社セールスフォースドットコム、
日本マイクロソフト株式会社、　株式会社電通国際情報サービス、
デロイトトーマツリスクサービス株式会社、　株式会社ディアイティ、
自治体監査、　株式会社日立製作所、　筑波大学、　他

＜成績評価方法＞

講義におけるディスカッションへの参画と貢献(30%)
内部監査人能力認定試験又はケーススタディレポートの評価(70%)
これらの総合評価により，到達目標に照らして6段階のGrade(A+,A,B,C,D,F)で評価し，D以上の者に単位を認める。

＜教科書＞

日本セキュリティ監査協会　編　「改訂新版 情報セキュリティ内部監査の教科書」
ISBN： 978-4802090865
また、必要に応じて追加資料を配布する。

＜参考書＞

講義の中で紹介する。

＜オフィスアワー＞

メールで連絡ください。eohki@cc.kogakuin.ac.jp

＜学生へのメッセージ＞

この講座を修了した者は、日本セキュリティ監査協会（JASA）の定める情報セキュリティ内部監査人（QISEIA）の能力認定をアカデミー価格で申請することができる。
情報社会に役立つ情報セキュリティ内部監査人の資格を得て活躍することを期待する。