2025年度 第4回定例研究会(2026/1/26)

<2026年の情報セキュリティ監査の注力点 ~情報セキュリティ十大トレンドをもとに~>

2026年01月26日開催

講演概要

当協会では毎年年初に「監査人の警鐘 情報セキュリティ十大トレンド」を協会ホームページへの公開及びメールマガジン等により協会関係者に配信しています。
 このレポートでは、予想されるトレンドに対してプロアクティブな対応を図るために、それぞれのトレンドに対する監査のポイントを記載し、情報セキュリティ監査人への意識付け及び監査業務を行う組織への事業の方向性等を示唆するメッセージとして関係者に役立てていただけることを目的としています。
 昨年と同様にホームページからの情報提供だけでなく、会員及び情報セキュリティ監査人等へ直接メッセージを届け、監査についてのより強いモチベーションを与える機会としてパネルディスカッション形式で意見交換を行います。

なお、2026年予測につきましては、下記URLにて公開しております。
https://jasa.jp/seminar/sec_trend2026/

セミナーレポート

2025年度 第4回定例研究会は、工学院大学名誉教授 大木氏、NTTドコモビジネス株式会社 間形氏、国立研究開発法人情報通信研究機構 後藤氏、日本マイクロソフト株式会社 久保田氏、日本セキュリティ監査協会 永宮の5名により「2026年の情報セキュリティ監査の注力点~情報セキュリティ十大トレンドをもとに」をテーマに、パネルディスカッション形式でご講演を行いました。

冒頭は大木氏より、JASAの「2026年 情報セキュリティ10大トレンド」の紹介があり、監査人からの投票の結果、「ランサムウェア」「AIリスク」「標的型攻撃の激化」などが上位を占めたことが説明されました。

その後、パネルディスカッションのアジェンダとして、Round1(トレンド解説)、Round2(監査にあたっての留意点)の順に進めることが示されました。

Round1:トレンド解説
各分野の専門家であるパネリストから、主要なトレンドについて解説がなされました。

ランサムウェアの最新動向と監査のポイント(久保田氏)
久保田氏より、ランサムウェア攻撃の一連のプロセス(初期侵入、潜伏、ラテラルムーブ、暗号化)が解説されました。製造業や金融業界などでの潜伏期間が短縮されている点や、アスクルやアサヒの事例を基に、バックアップへの影響や事業継続へのインパクトが説明されました。監査のポイントとして、侵入後の迅速な検知と復旧の観点で、権限管理やログ監視、事故発生後の対応体制を監査で担保していくことが挙げられました。

AIの活用とリスク、ガバナンス(間形氏)
間形氏より、AIには「誤用(秘密情報の入力等)」と「悪用(フィッシングの巧妙化等)」の二つのリスクがあり、その認識がまだ十分に浸透していないとの指摘がありました。一方で、防御側の立場として、CSIRT活動などでのAI活用も重要であることが説明されました。また、AIガバナンスが経営課題となる中、EU AI ACTや国内のAI事業者ガイドライン、ISO42001(AIMS)といった国内外の法規制や標準化の動向に触れ、今後はマネジメントシステムとしての説明責任や公表の流れが加速するとの見通しが示されました。

サプライチェーン、近年の攻撃トレンド、人材不足(永宮氏)
永宮氏より、3つの関連性の高いテーマについて解説がありました。1点目はサプライチェーンリスクで、経済産業省のサプライチェーン評価制度(格付け)が紹介され、ガバナンスやIT環境が評価対象となっていることが示されました。2点目は国家を背景とする攻撃者の脅威で、資金獲得手段がサイバー犯罪にシフトしている現状が語られました。3点目として、日本における深刻なセキュリティ人材の量・質双方の不足について説明があり、企業における早期の人材確保の必要性が示されました。

クラウドと監査の視点(後藤氏)
後藤氏より、クラウドは今や社会インフラの一つであり、障害発生時の影響が深刻化しているため、サプライチェーンリスクの一つとして認識すべきと解説されました。監査人の視点としては、クラウド特有の観点があるわけではなく、設定ミスや権限管理といった基本的な対策の徹底が重要であるとの指摘がありました。その他、データそのものに着目し、データラベリングや保護、最小権限の原則といったガバナンスの重要性が示されました。

Round2:監査にあたっての留意点
Round2では、大木氏の進行のもと、「監査計画策定のポイント」「経営トップとのコミュニケーション」「監査人としてのスキルアップ」の3つのテーマでディスカッションが行われました。

1.監査計画策定のポイント
パネリストからは、生成AI活用組織に対するリスクベースでの監査、NW機器のログ監視、データセキュリティの優先順位付けといった具体的なポイントが挙げられました。また、中小企業に対する監査では、Fit&Gap分析から入ることや、委託元に要件を確認することの重要性など、実践的な意見が交わされました。

2.経営トップとのコミュニケーション
経営層の関心事として、「投資対効果」や「対外への説明責任」などが挙げられ、その課題意識を踏まえたコミュニケーションの必要性が議論されました。監査人が経営層にコミュニケーションをとる際には、実際のランサムウェア事案などを例に挙げて話すことで、経営層の関心を引き、リスク意識を高めることができるといった具体的な手法が共有されました。

3.監査人としてのスキルアップ
各パネリストから監査人に求められるスキルとして、ビジネス感覚、技術トレンドのキャッチアップ力、ロジカルシンキング、コミュニケーション能力、そしてAIの出力を鵜呑みにせず評価・判断できるスキルなどが挙げられました。大木氏からは、体系的なモノの見方と整理力の重要性が補足されました。

当日の参加人数は134名です。

QAセッションでは、JC-STARに関連し、ISMAPなどの第三者認証を取得することの重要性について議論がなされ、認証を軽視する企業は、サプライチェーンから排除されるリスクがあるという指摘がありました。
セミナーを通してモデレータ・パネリスト間で活発な意見交換が行われ、今後の監査人としての活動に対して多くの示唆が得られる、非常に有意義なセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)

ダウンロードページへ