第2章 システム監査の提唱と研修団の派遣 Ⅰ.システム監査提唱の背景 1.システム監査提唱の経緯 1972 年秋に、 (財)日本情報開発協会が主催する「渡米システムアナリシス研修団」 、1973 年の秋に「渡米プロジェクトマネジメント研修団」に事務局として同行した。この研修団 は他の方が企画されたものですでに 2 回実施されていた。研修団は、研修テーマについて 2 人の通訳を国内で教育して同行し、ニューヨークのホテルで 2 週間にわたりブランドン・ アプライド・システムズ社による研修を実施し、その後企業訪問をするという約 1 ヶ月間 にわたる研修団であった。通訳には、一人は現在弁護士として活躍されている山崎順一氏、 もう一人は現在ハリー・ポッターの訳者として著名な松岡裕子氏にお願いした。この二人 には、渡米システム監査研修団でも通訳をお願いした。 この 2 回にわたる研修団に同行し、研修団のメンバーとともに研修を受けて非常に印象に 残ったことが 1 つある。それは、システム開発の話で必ず監査という用語が出てきて、 “情 報システムは完成して運用段階に入ると監査を受ける”ということであった。この場合の 監査とは、情報システムそのものを監査することであり、会計監査ではないことが明白で あった。この段階で実態をよく把握できたとはいえなかったが、それ以前から感じていた コンピュータのデメリットを排除する必要性があるという考えからは、手法の一つとして 監査が役立つということを感じた。今にして思えば、これがシステム監査研究プロジェク トを立ち上げるのに確信を持った瞬間だったのかもしれない。 当時の日本では、コンピュータの利用が急速に普及しており、それも初期の段階では会計 処理への適用が進んでいた。そこにおけるコンピュータシステムをめぐる監査についての 議論の焦点は、EDP 会計システムを利用して会計処理を行っている企業の会計監査をどの ようにして実施したらよいか、という公認会計士サイドからの問題提議であった。 いわば、コンピュータ専門家以外にとっては、コンピュータシステムがブラックボックス 化し、見読不可能な磁気記録の状態で保存されている会計情報をどのように監査するかと いう問題であった。日本では、これを EDP 会計監査、会計システム監査、あるいは EDP 監査などと呼んでいたが、当時の日本においてはコンピュータシステムに限らず、監査は 会計監査の他には想定されていなかったので、監査の概念についての受け止め方を新たに させられたものである。 2.米国への問い合わせ 1973 年の秋に米国研修から帰国してすぐに、システム監査研究に取り組むことを決心し 44 た。わが国では、EDP 監査というと、コンピュータシステムで会計を処理している場合の 会計監査というニュアンスが強かったために、 “システム監査”という名称で打ち出すこと にしたものである。これが、システム監査が誕生した瞬間である。まず行ったことは、当 時の日本の状況を詳細に文書にして米国に問い合わせることであった。当時の日本では、 銀行でコンピュータ利用が著しく普及し、とくにオンラインシステムの普及がめざましく 進んでいた。 このような中で、1974 年 10 月施行の商法改正によって、それまで大蔵検査、日銀考査の みを受けていた銀行が、公認会計士監査を導入しなければならなくなっていた。その場合、 コンピュータ利用の最も進んでいる銀行で、帳簿を締めたあとで処理された結果の出力さ れた情報のみを監査して、はたして十分な成果が得られるのかという素朴な疑問があった。 これが、当時における最大の疑問点であり、少なくとも銀行では、コンピュータシステム そのものについて監査を実施しなければ、不正や誤謬の発見が難しくなると思われた。な ぜなら、出力された会計情報が作成されるプロセスで何らかの手が加えられているとした ら、それを発見する手立てがないからである。すなわち、出力された情報の正確性は、コ ンピュータシステムの信頼性に依存しているということである。 この銀行の置かれている状況をはじめ、当時の日本の状況を整理してまとめ、それを英訳 してもらい、米国の法律家、ロイ・フリード(Roy N. Freed) 氏に送り、米国ではこれら の事情がどのようになっているかを問い合わせるとともに、システム監査について米国で 研修することが可能であるかどうかを問い合わせたものである。同氏は、(財)日本経営情報 開発協会((財)日本情報開発協会の旧名称)が設置していた「会計・税務研究委員会」のメ ンバーで構成した「EDP 会計・税務と法律調査団」が渡米したときに、同氏とも面談して 意見交換をしていたことから関係が出来ていたため、問い合わせの相手とさせてもらった ものである。 同氏からは、われわれが綴った日本の事情に対して、研修先として 2 社の推薦を受けた。 1 社は、カリフォルニア州のサンフランシスコ郊外のメンロパークにあるスタンフォード研 究所(SRI International)であり、もう 1 社はニューヨーク近郊にあるコンピュータ・オ ーディット・システムズ社(CAS)である。 (1)スタンフォード研究所 スタンフォード研究所の推薦理由としては、当時、米国で非常に問題となっていたコンピ ュータ犯罪について、ドン・パーカー氏という米国で最も著名な研究者がいたことによるも のである。パーカー氏は、コントロールデータ社のアドバンスドソフトウエア開発部のス タッフコンサルタントなどを経験した後、スタンフォード研究所入りしたものである。1973 年に全米科学財団の補助金を受けて同氏を中心として実施された調査報告書「コンピュー タ濫用(Computer Abuse)」は、国際的に評価を受け有名であった。 当時、日本でも、コンピュータ犯罪が話題になり始めていた頃であったので、スタンフォ 45 ード研究所のパーカー氏による研修には非常に興味があった。そこで、躊躇することなく、 同研究所に研修を依頼することに決めたものである。 スタンフォード研究所は、日本の財界も支援していたこともあり、非常に好意的であった。 とくに、(財)日本情報開発協会の会長が、経団連会長の植村甲午郎氏であったことも影響が あったと思われる。実際に研修を受けた部屋も植村甲午郎氏に因んで付けられたという “UEMURA ROOM”であった。 (2)コンピュータ・オ-ディット・システムズ社 ニューヨーク近郊のニュージャージ州イーストオレンジにある CAS 社(Computer Audit Systems Inc.)は、ジョセフ・ワッセルマン氏(Joseph J. Wasserman)が 1969 年に設立 したもので、いわば米国初の EDP 監査専門業者ともいえる企業であった。ワッセルマン氏 は、ベルテレフォン研究所の EDP 監査手続き開発担当のマネジャとしての経験を持ってい る人だった。 ワッセルマン氏は、ハーバード・ビジネス・レビューに「コンピュータセキュリティの穴を 防げ」と題する論文を書き、オンラインリアルタイムシステムを稼動中に監査するミニカ ンパニー法(ITF 法:Integrated Test Facility)を紹介するなど注目されていた(Plugging the leaks in computer security , Harvard Business Review , 1969 年 9-10 月号)。また、 同社は、 “CARS2”および“CARS2 Audit Reporter” という監査ソフトウエアを有し ていたことでも知られていた。 3.渡米システム監査研修団の企画 (1) 研修機関の選定 フリード氏から推薦を受けた 2 社に対して、同氏に問い合わせた時の日本の実情と同じ内 容を書き綴って、貴社にて研修を行いたいので、内容を提案してほしいという手紙を出し た。スタンフォード研究所は、 「Computer System Security and Audit」というテーマで2 日間の研修案と企業訪問先としてウエルズファーゴ銀行を提案してきた。CAS 社は、 「Computer System Audit-Concept and Techniques」というテーマで1週間の研修案と企 業訪問先としてロイヤルバンクオブカナダ、ベルカナダ、インターナショナルペーパー、 ジョンソンアンドジョンソン、シンガー、商務省標準局、海軍監査局を提案してきた。 これについては、2社からのそれぞれの提案書に基づき検討した結果、こちらの依頼に合 致した内容であったので、先方から提案内容をそのまま受け入れて、スタンフォード研究 所の提案内容を総論、CAS 社の提案内容を各論として位置づけた。そして、研修団のスケ ジュールは、1974 年 10 月 19 日(土)から 11 月 12 日(火)までの 25 日間とすることに 決めて、4 月から 5 月にかけて「渡米システム監査研修団」の募集に入った。 (2)研修プログラム スタンフォード研究所における総論、CAS 社における各論の研修内容は、次のとおりで 46 ある。 総論:Computer System Security and Audit ① INTRODUCTION ② COMPUTER ABUSE -Analysis of 200 cases of losses associated with computers -Roles played by computer, perpetrators, and victims -Errors and omissions, natural disasters, and intentional acts ③ PHYSICAL AND DATA SECURITY -Data centers physical security -Data security -Operating procedures -Program development ④ COMPUTER SYSTEM AUDIT -Auditing through the computer -The on-line real-time systems audit -The telecommunications audit -Electronic data processing controls ⑤ QUESTION AND ANSWER SESSION -Computer Abuse -------------------------- Mr. Donn Parker -Physical and Data Security ----------- Mr. Norman Nielsen -Auditing EDP Systems ----------------- Mr. Jerry FitzGerald 各論:Computer system Audit-Concept and Techniques ① Role of the Auditor ② Bridging the Control Gap -Data Preparation -Data Conversion and Movement -Hardware Controls -Programmed Control -Error Detection and Correction -Output Controls -Operational Controls ・ Accidental error prevention ・ Fraudulent error controls -Auditing the System Development Process 47 ・ Design ・ Implementation ・ Testing ・ Conversion -Change Control -Documentation and Standards -Organizational Controls ③ Physical Security -Organizational Integrity -Buck-up Procedures -Protection of Vital Data -Development a Contingency Plan ④ Insurance -Types of Coverage -Determining Assets to be Protected -How to Prove Losses ⑤ IRS Ruling 71-20 ⑥ EDP Auditing Techniques -Questionnaires -Flowcharts -Test Data -Integrated Test Facility - the Fictitious Company ⑦ Introduction to Statistical Analysis -Statistical Sampling ・ Use of statistical sampling ・ The statistical sampling plan ・ Types of statistical sampling ・ Selection methods ・ Stratification ⑧ Computer Programs for Auditing -Specialized Audit Programs ・ Who writes the specialized program ・ Program development -Audit Retrieval Systems ・ Purpose ・ Rationale 48 ・ Capabilities -How to Select an Audit Retrieval System ・ Selected factors ・ Types and capabilities Ask-360; Audassist; Audex; Auditape; Auditpak; Audit Thru; Autronic-16; AYAMS; CARS 2 Audit Reporter; Computer File Analyzer; EDP Auditor GRS; Miracl; Score; Strata; System 2170 -Development a Statement of Requirements ⑨ Auditing On-Line Real-Time Systems -The Auditor’s Changing Role -Real-Time Capabilities vs. Batch Processing -Access Controls ・ System structure ・ Physical security ・ Passwords -Data Transfer Controls -Systems Recovery and Buck-up -Auditing Techniques ・ System auditability ・ Computer audit programs ・ Mini company ・ Audit modules ⑩ CASE STUDIES : SMALL GROUP DISCUSSIONS (注)ごく一部について、パンフレットと実際の研修とで異なる部分があるので、ここで は実際の研修カリキュラムの方を紹介した。 (3)研修スケジュール 研修は、すでに述べたように、1974 年の秋に、10 月 19 日より 11 月 12 日までの 25 日 間にわたって実施した。総論については、スタンフォード研究所にて研修を実施し、その 後、スタンフォード研究所が推薦する企業を訪問して実態調査を行いフォローアップする 方式をとった。各論については、ニューヨークのマンハッタンにあったホテルアメリカー ナ(当時の名称)に滞在して、ホテル内の会議室で研修を実施し、研修の前後に、CAS 社 が推薦する企業を訪問して実態調査を行いフォローアップする方式をとった。 この研修団では、研修内容もさることながら、その前後の企業訪問で米国でも最先端を行 く EDP 監査実施企業のマネジャおよび担当者と面談し、具体的に米国の EDP 監査の実態 について話を聞くことが出来たことも大きな収穫であった(参考資料 2-1) 。 49 4.研修団の編成 (1)参加者の募集 渡米システム監査研修団は、英語名を Computer Security and Audit Study Team とい うことにした。この研修団の参加者を募集するに当たっては、募集パンフレットに、(財) 日本情報開発協会の稲葉秀三理事長名で、 “渡米システム監査研修団の編成について”とい うあいさつ文を掲げ、なぜ研修団を派遣するのか、その趣旨を明確にした。そして、募集 にあたっては、商法改正で銀行が公認会計士監査を受けなければならなくなるということ を強調したが、参加企業は必ずしも銀行中心ではなく思惑通りではなかった。 (2)あいさつ文の内容 「今日、わが国の主要企業においては、すでにほとんどの業務がコンピュータ処理の対 象となっており、処理方式や方法はさらに高度化の一途をたどっております。 このような状況下において、企業における業務監査は、もはやコンピュータシステムの 監査を行わずして監査となり得ないという状態になってまいりました。この点に関して、 米国ではシステム部門に監査担当者(またはグループ)を養成して、システム開発段階か ら関与させるという方向にあります。すなわち、システム監査には技術的に困難がともな うため、システム部門主導でシステム監査体制をととのえていると思われます。しかも、 処理方式が高度化すればシステム監査の手法もまったく新たな方式を確立せざるを得ない というのが現状であります。 当協会では、システム監査体制が確立されないままにさらにコンピュータ利用が高度化 していくことに一抹の不安を感ずる次第であります。しかも、ここ数年のうちに、システ ム監査がシステム部門の最大の問題点としてクローズアップされてくると確信いたしてお ります。そこで、わが国でもシステム部門主導でシステム監査の技術、手法、手続き等に つき体制をととのえておくことを提唱いたすわけでございます。 つきましては、このたび米国のコンピュータシステム監査を学ぶために“渡米システム 監査研修団”を編成いたすことになりました。貴社におかれましても、趣旨にご賛同いた だき、ぜひご参加下さいますようお願い申し上げます。 」 。 (3)問題点 以上のように案内したわけであるが、実際に米国で研修してみた結果、1つの間違いが あることに気づいた。それは、米国では、企業における内部監査体制が整備されているた め、システム部門主導で EDP 監査体制を整えるという状況はなく、内部監査人の中からコ ンピュータを勉強した EDP 監査人が育っているという現実を目の当たりにしたことである。 第1の誤解は、システムアナリシス研修団およびプロジェクトマネジメント研修団に同 行した際に、出来上がったシステムは監査を受けるという説明を、コンピュータ部門で実 施しているのではないかと勘違いしたことである。 50 第2の誤解は、システム開発段階の監査を実施している企業では、監査人がコンピュー タ部門に机を構えて一定期間仕事をしていた状況を、コンピュータ部門の仕事と誤解した ことである。これは、米国における内部監査体制の整備状況および実施状況をよく知らな いために、表面上をみて判断したための誤りであった。つまり、われわれが考えていた以 上に米国はきちんとした監査が進んでいたということである。 ただし、日本では、大企業でも内部監査部門を設置しているのは一部にすぎなかったが、 その後システム監査への取り組みが始まることになる。金融機関などでは、システム部門 からコンピュータの専門家を検査部門へ配置してシステム監査に取り組むという方向であ った。すなわち、内部監査について、米国の状況がもう少し日本に近いと考えていたもの だが、実際には、米国では大企業のすべてが内部監査を実施しているという状況にあり、 われわれの考えをはるかに超えて進んでいる状況であることがわかった。 (4)研修団のメンバー 渡米システム監査研修団への参加企業は、住友金属工業(株)、 (株)興銀情報開発センタ ー、日本タイムシェア(株)、光洋精工(株)、(株)第一勧業銀行、秩父セメント(株)、 三洋電機(株)、 (株)日本長期信用銀行、 (株)三井銀行、昭和コンピュータサービス(株) 、 新日本製鉄(株)、トヨタ自動車販売(株)、(株)日本興行銀行、公認会計士、(財)日本 情報開発協会などの総勢 15 名であった。 このようなチームについては、団長は最年長者が務めるというのが慣例となっていたため、 参加者の中での最年長者である公認会計士の井上守晴氏が団長に決まった。参加者のうち 数名は、井上氏が誘ってきた人であった。その理由は、井上氏より、滋賀大学助教授の大 矢地浩司氏にも勉強してもらうために参加させたい。ついては、自分が参加費を出しても よいが、国立大学の助教授という国家公務員のためにそれが出来ない。したがって、自分 が何人か参加者を集めてくるから無料で参加させてもらえないかという依頼があった。当 時は、15 名でワンフリー(一人無料)がとれるというツーリスト側のシステムがあったの で、15 人になるよう井上氏に 3 名程度を勧誘してもらって参加者を集めたという経緯があ る。そして、大矢地氏を同行することになったものである。その後、井上氏から、大矢地 氏にコーディネータの肩書きをいただきつけていただけないかという申し出があったので、 これも了承した。 当時、研修団の参加者からも、なぜ会計学者がコーディネータなのかという疑問が投げか けられ、当時はうやむやに答えていたが、上記のような理由によるものである。なぜ、こ のようなことを了承したかといえば、若手学者に勉強させたいということに賛成であった ことと、経費面の折り合いがついたためである。 5.ワッセルマン氏のこと (1)全米最初の EDP 監査人 51 CAS 社を設立したワッセルマン氏は、全米で最初の EDP 監査人であると思われる人物 であるとともに、全米で最初に EDP 監査専門企業を設立した人である。この場合、 “全米 で”ということは、 “世界で”ということと同じ意味になるであろう。当時、日本では EDP 監査といえば公認会計士が実施する EDP 会計システムの監査のように受け止められていた ので「システム監査」と命名したが、欧米各国では EDP 監査と称されていた。ワッセルマ ン氏は、電話会社のベルに 12 年9ヵ月努めた後に独立している。独立後の経歴を簡単に紹 介すると次のとおりである。 1956 年:トラベリング監査人となる。 1959 年:EDP 監査人 1961 年:米国で初めて EDP 監査スタッフグループをつくる。 1964 年:コネティカット州の電話システムの監査マネジャ 1065 年:ATT の監査マネジャ 1967 年:ベルテレフォン研究所の MIS の R&D 監査マネジャ 1969 年:CAS 社を設立 トラベリング監査人というのは、独立した監査専門家として、あちらこちらの企業から 監査を依頼されて、全国を飛び回って仕事をする人を指しており、監査請負人とでも理解 したら良いと思われる。 また、ワッセルマン氏が EDP 監査人になった 1959 年は、米国における内部監査人の団 体である「内部監査人協会」(IIA;Institute of Internal Auditors)の EDP 監査に興味を もつメンバーによって、ロサンジェルスに「EDP 監査人協会」(EDPAA;EDP Auditors Association)が設立された年でもある。EDP 監査人協会は、その後名称を変更して、今日 の「情報システムコントロール協会」(ISACA;Information Systems Audit and Control Association)となっている。この当時、独立したプロの EDP 監査人は、ワッセルマン氏た だ一人であったのではないかと思われる。 (2)CAS 社の設立 ワッセルマン氏が CAS 社を設立した主な目的は、同氏に言わせれば次の 3 点ということ になる。 ・ 監査ソフトウエアの開発 ・ EDP 監査の教育・訓練の提供 ・ コンサルティングサービス まず、監査ソフトウエアの開発については、 “CARS”という名称の監査ソフトウエアパ ッケージを開発し、当時、全米および欧州で 70 程度のユーザを有していた。ユーザは、約 50 行の銀行をはじめとして、公認会計士事務所、製造業、官庁等において、70 企業 150 セ ンターで利用されていた。その中でも、海軍監査局(Naval Audit Service)では、ワッセ ルマン氏の紹介で訪問させてもらうことができ、CARS を利用した監査について、処理結 52 果をプリントアウトした資料をもとに、いろいろと教わることができた。 つぎに、EDP 監査の教育・訓練の提供については、セミナーを行うなどの活動であるが、 なかでも AMA(American Management Association)と協力して、訓練のセミナーを幾つ か実施しているということであった。それも、フランス、イギリス、カナダ、メキシコな どでも行っているということであった。 さらに、コンサルティングサービスは、中規模程度の公認会計士事務所を中心に、自ら は EDP 監査ができないような組織のために EDP 監査を引き受けるというものであった。 それ以外のコンサルティングサービスとしては、EDP 監査スタッフのためにスタンダード を作成するということをやっており、ロイヤル・バンク・オブ・カナダやバンク・オブ・モント リオールなども顧客ということであった。また、セキュリティに関するコンサルティング も実施しており、GE タイムシェアやユニバーシティ・コンピューティング・サービスなどの コンサルティングを実施したという。その他には、ブース・アレン・ハミルトン社のコンサ ルティングも手がけたということであった。 (3)イクイティ・ファンディング事件の影響 ワッセルマン氏が CAS 社を設立した当時は、 EDP 監査に関するサービスを売り込むこと が非常に困難であったという。その理由の 1 つは、監査人にコンピュータシステムを監査 する知識が欠けていたこと、もう 1 つは、コンピュータシステムを監査するということに 関する関心が欠けていたことによるという。とくに、マネジメント、すなわち経営者層で 監査するということに対するニーズをあまり感じていなかったという。 EDP 監査に最初は余り関心がなかった経営者層が、感心を示すようになった理由は、第 1 に、何百万ドルにも及ぶような損失をもたらすエラーが発見されるようになってきたこと、 第 2 に、イクイティ・ファンディング事件が発覚したことによるとされている。 イクイティ・ファンディング事件は、1973 年に発覚した事件で、当時、史上最大のコンピ ュータ犯罪として知られている。この事件は、イクイティ・ファンディング生命保険会社の 社長を含む会社幹部等による大規模な共謀詐欺事件である。具体的には、社長、副社長、 財務担当部長など、役員、従業員の合計 23 人が、運転資金を調達するために、わずか 3 年 間に 20 億ドルに及ぶ 6 万 4000 枚の架空保険証書を作成し、他の保険会社に譲渡したもの である。この大量の架空保険証書は、コンピュータで作成され、表面上のつじつまは合わ されていたために、監査で発見されることはなかった。これは、コンピュータで処理され た業務について、監査人が監査能力を持っていなかったことを証明している。 イクイティ・ファンディング事件は詐欺事件であるが、EDP 監査の観点からは詐欺そのも のはあまり大きな意味を持っているのではなく、プログラムのエラーやインプット、アウ トップトのコントロールが上手くできていないことや、ルール違反で作成された情報を監 査で発見できないという問題があるのである。 この事件が発覚した時点では、同社の EDP 監査人は犯行グループに加わっているものと 53 思われていたという。しかし、実際には、そうではなかった。すると、その EDP 監査人へ の評価は、無能力者へと 180 度転換したといわれている。 (この話では、監査とは上手くい って当たり前であり、上手くいかなければ厳しく責任を追求される仕事であることを思い 知らされた) 。 アメリカでは、企業の監査人やディレクターは株主に対して責任を持っており、もし職 務怠慢があれば株主から責任を問われることになる。したがって、イクイティ・ファンディ ング事件は、コンピュータシステム全体を監査するグループの必要性を感じさせたわけで ある。また、イクイティ・ファンディング事件が発覚したために、米国公認会計士協会は、 いろいろな基準を変更している。そのことにより、公認会計士は EDP 監査を実施しなけれ ばならなくなった。このイクイティ・ファンディング事件が発覚するまでは、公認会計士も 内部監査人も、EDP 監査にあまり関心も示していなかったし、重点も置いていなかったわ けである。 ワッセルマン氏は、イクイティ・ファンディング事件が発覚する前の 1959 年から EDP 監 査を始めていたわけである。ワッセルマン氏は、「自分は EDP 監査人になるのが早すぎた ため、周囲からは相手にされなかった」と話してくれた。そして、われわれに対しても、 「今 の時点で、日本でこのようなことを始めて変人扱いをされないか」と気遣ってくれたこと が印象的であった。同氏にとっては、この時点において日本でシステム監査を打ち上げた ことは時期尚早ではないかとの思いが強かったようである。 CAS 社は、われわれが研修を受けた翌年には倒産してしまった。そして、残念なことに、 まもなく同氏は心臓発作で倒れ、帰らぬ人となった。先駆者は、先見性が鋭いだけに、や ることが時期的に早すぎて失敗するケースが多いといわれるが、同氏もその類であったの であろう。同氏とは、研修が終了した日に、ホテルのラウンジに誘われたので行ってみる と、奥様を呼んであり、そこで水割りで乾杯したのが最後となってしまった。奥様は、映 画関係で室内装飾か何かの仕事をしている人で、当時、日本でも上映された有名な映画の 仕事なども手がけるなど、すてきな夫人であった。 (4)1959 年当時における EDP 監査人の 3 つの責任分野 ワッセルマン氏によれば、1959 年に、南ニューイングランドの電話会社で、EDP 監査に 関して最初の試みを経験したという。EDP 監査について、まだ何をやっているのかはっき りしない時期であったということである。この当時、電話会社の経営者が、監査人はコン ピュータシステムの監査に関与すべきであるという決断をした。しかし、具体的な機能は 何かということは明確でなかった。そこで、監査人が集まり、何回かの会議を開いた結果、 3 つの主要な責任分野があるという結論が得られたという。 ① プログラムのコントロールの評価 コンピュータシステムごとに、プログラムのコントロールをレビューする。欠点はない か、一貫性はあるか、継続性はあるか、などをレビューする。そこでは、プログラマと EDP 54 監査人とでコントロールについて意見が一致しないということになると、問題をマネジメ ントに上げて、EDP 監査人が主張しているコントロールについて、それをコンピュータシ ステムに組み込むかどうかを上部の管理者が決めるということになる。 EDP 監査人は、コントロールの設計には責任はなく、設計されたコントロールの評価に 責任があり、勧告をすることになる。つまり、コントロールを付け加えるとか、場合によ っては取り除くというような勧告をすることに責任を持っている。あくまでも、EDP 監査 人は評価者であって、設計者ではないのである。 プログラマ側からすると、そのようなことを受け入れることが困難であったという。EDP 監査人側とコンピュータシステム側との意見が食い違った場合、最初はコントローラが決 定していたが、コントローラは企業内で非常に重要な地位にあり、そのようなことに関わ っていられなくなり、後に財務関係、ユーザ側、システム側、それに監査側を含めて委員 会を設置し、委員会レベルで意見の一致を図るようになった。 これについての過ちは、EDP 監査人があまりにもプログラムのコントロールに重点を置 きすぎて、インプット、アウトプット、あるいはエラーに対するコントロールを無視する ような傾向にあったことである。この反省から、インプットからアウトプットに至るまで の全システムが EDP 監査人の責任範囲に入ってくることになった。 ② システムテストに関する評価 システムテストに対する EDP 監査人の責任は、あくまでも評価者の立場であり、システ ムテストのための手続きをチェックし、それが実際に守られているかどうかを調べる。EDP 監査人は、テストに責任があるわけではなく、コンピュータシステムが十分にテストされ ているかどうかを確認することに責任があるわけである。EDP 監査人が主に関与していた のは、テストデータの作成およびパラレルテスト分野であった。個々のテストやデバッギ ングについては監査をしていなかった。 当時は、インプットについての監査やテレコミュニケーションについては監査していな かった。しかし、1974 年には、これらの分野も監査の対象に含まれているという。 ③ データコンバージョンに関する評価 主要な関心事は、すべてのデータが 1 回だけコンバートされるということである。米国 では、670 万ドルに及ぶ売掛口座のデータをコンバートするのを忘れてしまって、その分 丸々損したという例があるという。 55 Ⅱ.研修の成果 この 2 社における研修内容は、われわれを満足させるものであった。当時の日本では、 これらの内容を体系的に得ることが困難であったと思われる。ここでは、一部について紹 介する。詳細について知りたい向きは、1975 年 4 月、(財)日本情報開発協会より「システ ム監査」というタイトルで研修団の報告書が発表されているので参照されたい。なお、こ こで紹介するのは、自分のノートからであって、研修団の報告書からではないので、報告 書を読まれた場合に必ず内容が一致するとは限らないことを予めお断りしておく。 1.コンピュータ濫用 SRI における研修で、ドン・パーカー氏による「コンピュータ濫用(Computer Abuse)」 の講義を受けた。パーカー氏は、講義の冒頭で、 「私がとくに興味を持っているのは、最近、 日本でも起こりかけているコンピュータに関する犯罪行為です。日本について最初に気が ついたのは、ごく最近のことで、子供の誘拐事件で、コンピュータとキャッシュディスペ ンサーを結び付けた濫用です」と語った。これは、1974 年 8 月 16 日(渡米の 2 ヵ月程度 前)、有名俳優夫妻の幼児が誘拐された事件で、身代金を銀行の架空名義口座に振り込ませ、 キャッシュディスペンサーから引き出すという手口を使った事件を指している。この事件 は、当時の日本ではコンピュータ犯罪的な扱いはあまりされていなかったので、米国のコ ンピュータ犯罪研究の第一人者であるパーカー氏に指摘されたことに驚きを感じた。ここ では、パーカー氏の話で、当時、非常に役に立ったことを簡単に紹介してみたい。各項目 最後のカッコ書きは、コメントである。 (1)環境的な条件 人をベースとした仕事から、技術の進歩によりコンピュータシステムをベースにした仕 事へと環境が変化している。その技術の発展に対し、コンピュータを安全に使う機能が非 常に遅れている。遅れている分野をあげると、ます、ビジネスの機能が技術的な機能に追 いついていないという状態にある。その他に遅れている分野をあげると、マネジメント機 能、監査機能、セキュリティ問題、コンピュータを使うということに関しての大衆の受け 入れ体制などが遅れている。 (この点につぃては、今日においてもさほど違いはないという のが実感であり、コンピュータ技術の発展のスピードに周りが追いつけないでいるという 感じである。ある意味では、コンピュータ技術の発展スピードが鈍らない限り、今後とも 追いつくことが至難の業ではないといえるかもしれない)。 (2)定義 パーカー氏は、コンピュータ濫用をつぎのように定義している。 「コンピュータに関連し た行為による被害者が、何らかの意味で損失を被った、あるいは被る可能性があった、そ 56 して侵害者の側で利得を得た、あるいは得る可能性があった事例」がコンピュータ濫用と いうことである。 (今日では、コンピュータ濫用という用語を使用することはほとんどない) 。 (3)研究の目的 コンピュータ濫用を研究する目的は、第 1 に、実際の事例に学んで実用的なコンピュー タセキュリティの方法を考え出すこと。第2に、これらの問題を良く理解することを通じ て、クライアント側にコンピュータセキュリティについてのサービスをもっと良くするこ とである。 (これは、SRI のコンピュータセキュリティサービス業務についての目的という ことになる) 。 (4)研究の方法論 理論的に濫用のケースはどういうことが考えられるか、それと実例とを合致させてコン ピュータ濫用のモデルをつくる。そこから最も危険なモデルを考え出す。一方で、理論的 なコンピュータシステムを考えてみて、そこから実際のコンピュータシステムを考え、そ して安全なコンピュータシステムのモデルを考える。危険性と理論的に考えられるモデル を合致させ、そこから理想的なシステムとは何かを導き出す。簡単にいえば、両者を合致 させて理想的なコンピュータシステムを考えるという方法論をとっている。考え方として は、きわめて科学的かつ合理的であると感じられた。 (5)濫用におけるコンピュータの4つの役割 ①直接的ターゲット コンピュータ自体が濫用の対象になることがあげられる。つまり、コンピュータが濫用 のターゲットにされるということである。例としては、コンピュータに対する物理的な破 壊行為等が該当する。 ②情報資産 コンピュータ技術の発展によって、情報が資産としての価値を持つようになると、情報 やプログラムを狙う者が出てくる。すると、それを取り締まるための法律を整備しなけれ ばならないという問題が出てくる。 ③道具として役割 コンピュータが犯罪の道具として使われる。横領などの犯罪のためにコンピュータを道 具として使うケースである。 ④コンピュータをシンボルとして使う 実際にはコンピュータを使わずに、人を信じさせるためのシンボルとしてコンピュータ を使うケースがある。ある会社が、顧客に請求書を送ると、実際に買い物をしていないの に支払ってしまう傾向があるという。もし、顧客から苦情が出てくると、コンピュータが 間違いましたとお詫びの手紙を出して納得してもらう、といった手口である。 57 以上、犯罪としてみた場合には、窃盗、横領、詐欺、恐喝等、ごく普通の犯罪となって しまうが、犯罪者の職業、環境、そのために用いた方法等がすべて新しいものになってい る。過去にないような事例がでてくるので、司法当局にもとまどいや混乱が生じている。 (こ のような状況は、何も米国だけに限らず、他の先進国においても同じである。ただ、米国 が他よりもコンピュータシステムの利用が進んでいただけに、米国で集中的に現れた現象 のように写っていた。当時、日本は米国のようにはならないという人が多くいたが、この 見方は間違っていた。その後を見れば日本もまったく同じ道をたどっている)。 (6)コンピュータ犯罪者の特徴 第 1 の特徴としては、ディファレンシャル・アソシエーション・セオリがある。これは、 1939 年にサザーランドがホワイトカラー犯罪について発表したものである。内容を簡単に いえば、ホワイトカラーの犯す犯罪は、自分の仲間達の行動から大きく逸脱することはな いというものである。お互いに、大体同じようなことをするということである。 第2の特徴は、非常に挑戦的で、チャレンジを楽しむ、あるいはゲームを楽しむといっ た心境を持っていることである。プログラマは、日常の仕事がチャレンジングなもので、 その間にチャレンジを受け入れるような姿勢をつくりあげ、またゲームを楽しむような態 度をつくりあげてしまう。そして、実際に犯罪を犯しているときでも、犯罪を犯している のではなく、ゲームを楽しんでいるような心境であって、しかも機械をやっつけるのは非 常にいい気持ちで、妥当なことをやっているのだという心境になってしまう。これは、自 動販売機症候群という感じを受ける。 (今日のネットワークをめぐる犯罪を見ても、この点 についてはまったく変わっていないと思われる)。 (7)自動販売機症候群 これは、特別な犯罪者だけではなく、一般の人達が誰でもやりそうなことである。たと えば、公衆電話をつかって、受話器を戻してお金が戻ってきてしまったら、何の罪の意識 もなく、それを取ってそのまま電話ボックスを出てしまうように、自動販売機からお金が 不正に出てきた場合に、それを取ることを罪とは感じない。逆に、自動販売機から自分の ほしいものが出てこなかったり、お釣が出てこなかったりすると、自動販売機を蹴飛ばし たりする。つまり、非常に機械を憎んでしまい、機械に対して何らかの不正な行為を犯す ことを犯罪とも感じない、何をしてもかまわないという心境になってしまう、これが自動 販売機症候群である。 (8)大学生間における風潮 コンピュータに対する間違ったイメージは、大学生の間に植え付けられるといった感じ である。コンピュータをチャレンジの道具にしてしまう。しかも、コンピュータを使って うまくゲームをしたり、何か犯罪的な行為をすることができた者はほめられる、といった 58 風潮が大学生の間にある。つまり、お互いにほめ合うような、ゲームを楽しむような雰囲 気ができてしまうわけである。 (これにつては、早い段階からのセキュリティ教育が必要で ある。大学生といわずに、中学、高校あたりからの教育が欠かせないと思われる) 。 (9)ジェリー・シュナイダーの話 パーカー氏は、自分が気に入っている犯罪者の話をした。ジェリー・シュナイダー氏(パ ーカー氏は彼を呼び捨てにしない)は、約 2 年前に窃盗で捕まったロサンジェルスの人物 である。若くて、犯罪を犯したときは 20 才であった。犯罪の金額は 200 万ドル以上で、電 話会社から電話の機器を盗んだケースである。これは、非常に良く計画された意図的な行 為であった。彼が刑務所から出てきたときに、彼と会っていろいろと話をした。 ①犯行の 3 つの理由 犯行には、3 つの理由があった。第1は、自分が始めた新しい会社を通じて盗んだ電話の 機器を売っていたが、自分の会社を成功させたかったために多くの資金を必要としていた ことがあげられる。 第 2 は、チャレンジを楽しみたいという気持ちがあったわけである。システムをやっつ けてやりたい、どのくらいまでやれるかやってみたいという気持ちがあったわけである。 彼は、実際に非常に巧妙なやり方でこの犯罪を犯したために、発覚するまで、盗まれた方 の電話会社では、一体何をどれくらい盗まれたか全然気がつかなかったわけである。 第3は、政府が規制しているようなアメリカの企業は、非常に社会に対して悪をなして いる、有害である、とくに電話会社は百害あって一利なしという感じを持っていたわけで ある。だから、そのような電話会社に対して犯罪を犯したことは、むしろ社会のために良 いことをしてやっているつもりであり、そのために犯罪を犯したわけである。 ②犯罪者のその後 この 200 万ドルに及ぶ機器を盗んだ犯罪者は、捕まって、500 ドルの罰金を課せられ、 40 日間刑務所に入れられた。刑務所に入った時点では、道路工事に回されたが、そのうち、 これは使えるということになり、市のコンピュータ・インベントリ・システムの仕事をさせ られた。そして、刑務所から出所すると、彼はすぐにセキュリティ関係の新しいコンサル ティング会社をつくった。今日では、彼はこの分野で非常に活躍している指導的なコンピ ュータ・セキュリティ・コンサルタントになっており、全国をまわって、いかにして彼のよ うな犯罪者からコンピュータを守るかということを説いている。 ③成功の秘密 ジェリー・シュナイダー氏は、雑誌の記者を装って電話会社に行き、コンピュータ機器 の注文のやり方に関する記事を書きたいので教えてほしいといった。すると、電話会社は、 必要な情報をすべて与えてくれ、しかも、いろいろな施設を案内してくれた上に、重要な 人物に会わせてくれたので、必要なものはすべて揃ったわけである。 3 ヵ月間、彼は非常によく勉強して、たとえば顧客を装っていろいろと内部的なことを調 59 べたり、社員を装って電話でいろいろなことを質問して、一体どのようなシステムが動い ているのかを確かめたり、システムをテストするようなことをして、3 ヵ月が過ぎた時には、 この電話会社の誰よりも注文の方法を良く知っていた。 方法は、まずテレフォン・ターミナルを使って注文を出し、注文したものを電話会社が 電話施設工事を行っている所に届けさせる。しかも、朝の 4 時に届けさせる。彼は、中古 の電話施設工事用のトラックを買い入れており、そのトラックで朝の 6 時にその場所に行 き、届けられた機器を一切トラックに積み込み、それに関する伝票その他も一緒に自分の 倉庫に持ち帰ったのである。その後、注文に関するシステムを知っているので、事後処理 として、そのような行為に関する情報をマスターファイルから消すために、会社のオンラ イン・ターミナルを使ってマスターファイルにアクセスし、その事実を全部消去してしまっ たわけである。 また、パーツを注文するときに、リオーダポイント(これ以上在庫が減少したら注文し なければならないレベル)よりも低くなるようにいろいろなパーツを注文した。しかも、 電話会社が、リオーダポイントが下ったことを知ってパーツを注文する時点で、彼は同社 に行き、盗んだパーツを売りつけるということまでして楽しんでいたわけである。 ジェリー・シュナイダー氏が成功したもう 1 つの理由は、彼の人柄にあった。彼は、見 事ないかさま師で、人を信用させるような顔つきをしていたし、物柔らかな態度をとり、 話し方が非常に上手であったことも成功の理由である。 このことから言えることは、コンピュータセキュリティに関して、一体どのようなこと が問題になるかといえば、技術的なことではなく、人間的な問題であるということが言え る。すなわち、コンピュータ技術がウイークポイントではなく、コンピュータを使うのが 人間であるというところがウイークポイントになるわけである。 ④侵入の実験 ドン・パーカー氏は、フォーチュン誌の記者から、コンピュータ犯罪に関する記事を書き たいと相談されたので、ジェリー・シュナイダー氏を紹介した。フォーチュン誌の取材で は、記者が「あなたは、全国的なタイムシェアリングシステムについて、どのようなシス テムでも侵入して悪用することができるということであるが、それは本当ですか」と質問 した。シュナイダー氏は、「出来る」と答えた。記者が再び「たとえば、パーカー氏が、現 在商用として使われているタイムシェアリングシステムは非常に安全であるといわれてい るが、一体どうして出来るのか、出来るならそれを証明してくれないか」と持ち掛けた。 すると、シュナイダー氏が「どういうシステムを相手にしてほしいか」と尋ねるので、記 者は「たとえば、GE のシステムではどうか」といった。シュナイダー氏は「そのシステム については、アクセスの仕方を知らないので、他の全国的なタイムシェアリングシステム ではどうか」といい、記者もそれでよいということになり、実際にやってみたという。 まず、シュナイダー氏は、自分のターミナルを使って、ユーザコードを入力した。これ は、わざと間違ったコードを入力し、システム側から間違った旨の返答がくると、また間 60 違ったコードを入力すると、また間違ったという返答が帰ってくる。つぎに、シュナイダ ー氏の方から会社に電話を入れて「今夜どうしてもファイルを使わなければならないが、 パスワードを忘れてしまったから教えてほしい」と頼んだ。会社側は「そういう権限は与 えられていないから出来ない」と断ったが、シュナイダー氏が「どうしても教えてほしい」 と言うと、会社側は「それでは後で電話する」といって電話を切った。 あとで、会社から電話があり「ジェリー・フォードという人はいるか」と尋ねるので、 ジェリー・フォードになりきってやっていることであるから「自分がジェリー・フォードだ」 といって、また話をして、どうしてもパスワードを教えてほしいというと、会社側は「デ モンストレーションファイルであればよい」といった。しかし、シュナイダー氏は「自分 の個人ファイルがどうしても必要だ」というと、会社側は「それでは新しいパスワードを 与えましょう」といい、シュナイダー氏はパスワードを入手することができた。結果とし て、シュナイダー氏は、ファイルの情報を得ることができた。 フォーチュンの記者が「私は、そういうことを頼んだのではなく、技術的にどのような トリックを使ってファイルを持ち出すかを知りたかった」というと、シュナイダー氏は「な ぜ、わざわざ技術的なトリックまで使って情報を盗み取らなければならないのか、人を騙 しさえすれば情報が得られるのだから、何も技術的な手法を講じる必要など全然ない」と 応じたわけである。 (10)共謀・共犯関係 コンピュータに対する侵害者の 1 つの特徴は、他の犯罪と比較して共謀あるいは共犯関 係が多いことである。これは重要なことで、セキュリティ一般の立場からいって、責任を 分離しているということが基本的な方法になっているということである。これまでに調べ た 270 件のコンピュータ濫用事件でも、半数以上が共犯関係にある事件である。また、必 ずしも、2 人だけとは限らず、6 人、10 人、30 人という多数による犯行もある。 共謀関係を防ぐためには、まず、責任を明確に分離することである。共謀関係の実際の ケースは、コンピュータ部門の技術者と、それ以外の者による共謀である。つまり、外部 の者が、コンピュータ技術を用いて、何らかの利得に結びつけるためには、その立場にあ る内部のコンピュータ技術者と共謀することが必要になるということである。 サンフランシスコの近くにあるシェービングバンクのケースは、プログラマが 41 の口座 から 100 ドルづつを架空名義口座に振り込むようにし、振り込まれたら奥さんがそれを引 き出すという方法をとった。これがなかなか発見されなかった理由は、振込処理が行われ た場合に例外報告が出されているわけであるが、これは監査人も見なければ会計担当者も 見ていない。このプログラマも、見られていなことをよく知っていて、例外報告が出てい てもかまわないと安心して操作したわけである。 彼は、お金を全部引き出したら高飛びするつもりであったといわれる。この事件が発覚 したのは、偶然に顧客の1人が来て残高を調べたときに、100 ドル足りないことに気づき、 61 それが役員まで伝わり、例外報告を全部調べてみると、一目瞭然で、この男とその妻が逮 捕されたわけである。 (11)職業倫理 コンピュータ関係の職業は新しいために倫理の基準になるようなものが存在しない。伝 統のある職業には、プロフェッショナリズムが確立しているが、コンピュータ関係にはそ のようなものがない。したがって、プログラマが犯行を犯す場合についても、その行為を 合理化するような理由、つまり自分が納得できるような口実を考えて犯行に及ぶという現 象が見られる。 もう 1 つの問題は、米国のケースであるが、プログラムはプログラムを組んだプログラ マに属するという考え方がある。この所有権の問題は、最近になってひとつの固有の財産 である「資産」という認識がなされるようになって、大分改善されてきている。しかし、 まだ依然として誤った考え方が存在している。このようなことを避けるために、SRI では、 このプログラムは SRI に属するというラベルを貼り付けている。もう1つは、コンピュー タ関係の職員に、マニュアルを与えて必ず読ませるということをしている。 タイムシェアリングサービス会社のプログラマが、同業のタイムシェアリングサービス 会社のシステムに加入して、ターミナルを使ってファイルに介入して情報を得て、その会 社のユーザが何をしているか、どのようなプログラムが開発されているかなどを全部ダウ ンロードし、その性能までテストしてしまった。これをやった人に会ったことがあるが、 彼は「自分は何も悪いことはしていない。これは 1 つのリバースエンジニアリングである。 技術を逆に使う、たとえばフォード社がシボレーを買い入れて、どのような技術を使って いるかを調べるのとまったく同じである。システムそのものの中には、自分がどうすべき か、あるいは何をしてはいけないか、というようなことが何も規定されていないし、何を すべからずという警告もないし、表示もない。そういう意味では、時間を買えば何をして も自由である」といっていた。しかし、これは何かおかしいところがあり、やはり職業倫 理を確立していかなければならない。 2.オンラインシステムの監査 CAS 社における研修では、オンラインシステムの監査についての講義を受けた。この講 義の要点のみを紹介すると次のとおりである。 (1) オンラインシステムの監査で考慮すべきこと オンラインシステムの監査で考慮しなければならないことは、つぎのようなことである。 ①情報のコントロール ②環境 ③コミュニケーション ④ システム機能 62 (2)システム監査人が注目すべき事項 コンピュータ部門にしろ、監査人にしろ、興味のある点をはっきりさせることが必要で ある。ポイントは、次のような諸点である。 ①不当なディスクロージャー ②情報の窃取(プログラム等) ③綱領・窃取(金銭等) ④サービスの窃取 ⑤データベースの正確性 ⑥サービスのレベル ⑦システムコスト ⑧レビューと監査証跡 (3)影響を与える 6 つの分野 ①システムダウン ②OS のデザインと導入 ③システムデザイン ④プログラム ⑤オペレーション(プログラムを使って何でもできる) ⑥ポリシー(全社的な方針) (4)人に関するリスクで考慮するべき事項 ①オペレータ ②プログラマ ③デザイナー ④ユーザ ⑤システムプログラマ ⑥部外者 ・参考報告書: 「システム監査 ―渡米システム監査研修団報告書―」1975 年 4 月、㈶日本情報開発協会 63 渡米システム監査研修団日程表 参考資料2-1 (1974 年 10 月 19 日~11 月 12 日、(財)日本情報開発協会) 日 数 月 日(曜) 内 容 滞 在 地 1 日目 10 月 19 日(土) 東京発/サンフランシスコ着 メンロパーク 2 日目 10 月 20 日(日) メンロパーク 3 日目 10 月 21 日(月) [研修] メンロパーク 4 日目 10 月 22 日(火) 総論:スタンフォード研究所 5 日目 10 月 23 日(水) [企業訪問]ウエルズファーゴ銀行 6 日目 10 月 24 日(木) サンフランシスコ発/モントリオール モントリオール サンフランシスコ 着 7 日目 10 月 25 日(金) [企業訪問]ロイヤルバンクオブカナダ モントリオール [企業訪問]ベルカナダ ニューヨーク 9 日目 10 月 27 日(日) ニューヨーク 10 日目 10 月 28 日(月) [研修](5 日間) ニューヨーク ~ 10 月 26 日(土) モントリオール発/ニューヨーク着 ~ 8 日目 各論:CAS 社 14 日目 11 月 1 日(金) 15 日目 11 月 2 日(土) ニューヨーク 16 日目 11 月 3 日(日) ニューヨーク 17 日目 11 月 4 日(月) ニューヨーク 18 日目 11 月 5 日(火) [企業訪問]インターナショナル・ペーパー社 ニューヨーク [企業訪問]ジョンソン&ジョンソン社 [企業訪問]シンガー社 ニューヨーク発/ワシントン着 19 日目 11 月 6 日(水) [官庁訪問]商務省 ワシントン ワシントン [官庁訪問]海軍監査局 20 日目 11 月 7 日(木) ワシントン発/ロサンジェルス着 ロサンゼルス 21 日目 11 月 8 日(金) [企業訪問]TRW 社 ロサンゼルス 22 日目 11 月 9 日(土) ロサンジェルス発/ホノルル着 ホノルル 23 日目 11 月 10 日(日) 総合評価会 24 日目 11 月 11 日(月) ホノルル発 25 日目 11 月 12 日(火) 東京着 ホノルル 注1:企業訪問のウエルズファーゴ銀行はスタンフォード研究所の紹介、その他は CAS 社の紹介による。 64
© Copyright 2024 Paperzz