システム監査技術者学習メモ

監査手法

ITF法（Integrated Test Facility：結合テスト法）

本番環境でテストデータを用いシステムの完全性や正確性を検証する方法。

具体的には監査対象ファイルの中にシステム監査人の口座を作成し、実稼働中にテストデータを入力し、その結果をあらかじめ用意した正しい結果と照合して、プログラムの正確性を検証する。

システムに架空の口座を作成することから、ミニカンパニー法、ダミーカンパニー法などとも呼ばれる。

テストデータ法

テストデータを監査対象プログラムに投入して想定される結果が得られるかどうか検証するもの。テスト対象のプログラムが本番で稼働しているものと同一であることを確認すること。

ITF法との違いは、本番にデータをそのまま投入するか、別の検証環境を利用するかの違い。

監査モジュール法

監査機能を持ったモジュールを監査対象プログラムに組み込んで実環境下で実行し、抽出条件にあった例外データ、異常データなどを収集し検証する。

並行シミュレーション法

システム監査人が準備した監査用プログラムと、監査対象プログラムに同一のデータを入力し、両者の実行結果を比較することによって検証する。

スナップショット法

プログラム検証したい部分を通過した時の状態を出力し、それらのデータを基に検証する方法。

トレーシング法

特定データの処理経路を検査するために、プログラムの命令の実行順序などを出力して確認する方法。

システム監査基準

https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf

監査人の行動規範として、システム監査業務の品質を確保し、有効かつ効率的に監査を実施するために利用する基準である。

• システム監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用いる。
• 情報システムに保証を付与することを目的とした監査、改善のための助言を行うことを目的とした監査両方に利用できる。
• 内部監査、外部監査の両方に利用できる。

保証型監査報告書

リスクのコントロールが適切に整備され運用されていることを保証することを目的とした監査であり、適切にリスクのコントロールがなされているか否かについてのシステム監査人の保証意見を監査報告書に記載する。

監査意見としての保証は絶対的な保証ではなく、入手した監査証拠を評価した結果得られた合理的な根拠に基づく保証。

助言型報告書

リスクのコントロールの改善を目的として、そのための問題点を検出し提示するという観点から行われる監査であり、監査報告書には監査人の助言意見を記載する。

システム監査人と非監査側には責任区分が存在するが、保証意見とは異なり、責任区分についてあえて言及する必要はない。

Ⅰ.システム監査の体制整備にかかる基準

【基準1】システム監査人の権限と責任等の明確化

システム監査の実施に関しては、その目的及び対象範囲、並びにシステム監査人の権限と責任が、文書化された規約等又は契約等により明確に定められていなければならない。

【基準2】監査能力の保持と向上

システム監査の品質を高め、組織体の状況やIT環境の変化等に対応して、効果的なシステム監査を実施するために、システム監査人は、適切な研修と実務経験を通じて、システム監査の実施に必要な知識・技能の保持及び向上に努めなければならない。

【基準3】システム監査に対するニーズの把握と品質の確保

システム監査に対するニーズを把握した上で監査を行い、品質が確保されるための体制を整備しなければならない。

システム監査は任意監査であるから、監査の依頼者（経営者）のニーズを踏まえて実施する必要がある。

（例）経営トップにインタビューして、現在抱えている問題についての認識を確認することによって、システム監査に対するニーズを把握する。

Ⅱ.システム監査人の独立性・客観性及び慎重な姿勢に係る基準

【基準4】システム監査人としての独立性と客観性の保持

システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で監査が実されているという外観に十分に配慮しなければならない。またシステム監査人は、監査の実施にあたり、客観的な視点から公正な判断を行わなければならない。

【基準5】慎重な姿勢と倫理の保持

システム監査人は、システム監査業務の計画、実施、及び結果の報告において、システム監査の専門家として慎重な姿勢で臨むと共に、倫理観を保持し、誠実に業務を実施しなければならない。

Ⅲ.システム監査計画策定に係る基準

【基準6】監査計画策定の全般的留意事項

監査を効率的に行うために、監査手続きの種類、実施時期、適用範囲について監査計画を立案する。計画は変更できるように弾力的でなければならない。

解釈指針3

監査対象の策定にあたっては、監査対象が情報システムのガバナンスに関するものか、情報システムのマネジメントに関するものか、あるいは情報システムのコントロールに関するものかを考慮する。

情報システムのガバナンスを監査対象とする場合、経営目的に沿っているか、また経営戦略にそうようになっているか。

（例）経営戦略とIT戦略の整合性がとられているか、新技術やイノベーションの経営戦略への組み込みがおこなわれているか。

情報システムのマネジメントを監査対象とする場合、経営陣による方向づけに基づいて、PDCAサイクルが確立され、運用されているか。

（例）IT投資管理や情報セキュリティ対策がPDCAサイクルに基づいて、組織全体として適切に管理されているか。

情報システムのコントロールを監査対象とする場合、業務プロセスにおいて、リスクに応じたコントロールが適切に組み込まれ、機能しているかどうかを確かめることに重点をおいた監査計画となる。

（例）規定に従った承認手続が実施されているか、異常なアクセスを検出した際に適当な対処及び報告が行われているか。

（例）組織の業務プロセスなどにおいて、リスクに応じた統制が組み込まれているか。

【基準7】リスクの評価に基づく監査計画の策定

システム監査人は、システム監査を行う場合、情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するアプローチに基づいて、監査計画を策定し、監査を実施しなければならない。

Ⅳ.システム監査実施に係る基準

【基準8】監査証拠の入手と評価

システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続きを実施し、監査の結論を裏付けるための監査証拠を入手しなければならない。

監査対象の実態を把握する予備調査を行う。予備調査で把握するものとして監査対象（情報システムや業務）の詳細、事務手続きやマニュアルを通じた業務内容、業務分掌の耐性などがある。監査対象部門のみならず、関連部門に照会することもある。

（例）監査基準を網羅したチェックリストを監査ツールと指定利用する。

【基準9】監査調書の作成と保管

システム監査人は、監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に補完しなければならない。

【基準10】監査の結論の作成

システム監査人は、監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基づき、監査の結論を導かなければならない。

Ⅴ.システム監査報告とフォローアップにかかる基準

【基準11】調査報告書の作成と提出

システム監査人は、監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。

【基準12】改善計画のフォローアップ

システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、適宜に講じられているかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。

情報セキュリティ監査基準

https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf

情報セキュリティ監査基準の保証型監査の際の保証意見は、次のいずれかの意見として表明される。

1. 肯定意見：情報セキュリティ対策の全てに重大な欠陥がなく、適切である旨の保証。
2. 限定付肯定意見：情報セキュリティ対策の一部に欠陥があるか、または情報セキュリティ監査人が必要と認めた監査手続きが制約されたがその部分を除けば適切である旨の保証。
3. 否定意見：情報セキュリティ対策に重大な欠陥がある。

※ただし、監査手続きが制約され、保証意見の合理的な根拠を得ることができなかった場合には保証意見を述べてはならない。

システム管理基準

https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri_h30.pdf

システム監査基準の姉妹編

システム監査の効率的・効果的遂行を可能にする監査上の判断尺度

システムを使ったり、作ったりする際にこんな感じでやりなさいなという指針

システム管理基準の枠組み

EDMモデル

Evaluate（評価）、Direct（指示）、Monitor（モニタ）の頭文字を取ってEDMモデルと呼ぶ。

評価は、現在の情報システムと将来のあるべき姿を比較分析し、ITマネジメントに期待する効果と必要な資源、想定されたリスクを見積もること。

指示は、情報システム戦略を実現するために必要な責任と資源を組織へ割り当て、期待する効果の実現のためITマネジメントを導くこと。

モニタは、情報システム戦略で見積もった効果をどの程度満たしているかなど、ITマネジメントの評価と指示のために必要な情報を収集することである。

ITガバナンスにおける6つの原則

ITガバナンスを成功に導くため、経営者は下記6つの原則を採用することが望ましい。

• 責任
  役割に責任を持つ人は、その役割を遂行する権限を持つ
• 戦略
  情報システム戦略は、現在及び将来の能力を考慮して作成し、現在及び将来のニーズを満たす必要がある。
• 取得
  情報システム導入は、長期、短期で効果、リスク、資源のバランスが取れた意思決定に基づく必要がある。
• パフォーマンス
  情報システムは、現在及び将来のニーズを満たすサービスを提供する必要がある。
• 適合
  情報システムは関連するすべての法律、規則を満たす必要がある。
• 人間行動
  情報システムのパフォーマンス維持に関わる人間の行動を尊重する必要がある。

組織

・CIO、委員会、情報システム部門、利用部門

Ⅰ.ITガバナンス

1.情報システム戦略の方針及び目標設定

2.情報システム戦略遂行のための組織体制

・経営陣はCIO（Chief Information Officer）を任命すること。CIOは経営陣の一員としての役割と統括責任者としての役割が求められる。

3.情報システム部門の役割と体制

Ⅱ.企画フェーズ

1.プロジェクト計画の管理

2.要件定義の管理

3.調達の管理

Ⅲ.開発フェーズ

1.開発ルールの管理

・システム開発部署とシステム運用部署の責任者を分離する。（不正を防止するため）

2.基本設計の管理

・PMは要件定義から実装を考慮して、基本設計を作成する。

3.詳細設計の管理

・PMは詳細設計を作成する。

4.実装の管理

5.システムテスト（結合テスト）の管理

・PMはテスト要件を明確にする。

6.ユーザー受け入れテストの管理

7.移行の管理

8.プロジェクト管理

9.品質管理

Ⅳ.アジャイル開発

1.アジャイル開発の概要

（1）利用部門と情報システム部門・ビジネス部門が一体となったチームによって開発を実施すること。

2.アジャイル開発に関係する人材の役割

（2）開発チームは、複合的な技能と、それを発揮する主体性を持つこと。

3.アジャイル開発のプロセス（反復開発）

（1）プロダクトオーナーと開発チームは、反復開発によってユーザーが利用可能な状態の情報システムを継続的にリリースすること。

（2）プロダクトオーナーと開発チームは、反復開発を開始する前にリリース計画を策定すること。

（3）プロダクトオーナーと開発チームは、緊密なコミュニケーション構築のためのミーティングを実施すること。

（4）プロダクトオーナーと開発チームは、イテレーション毎に情報システム、及びその開発プロセスを評価すること。

（5）プロダクトオーナーと開発チームは、利害関係者へのデモンストレーションを実施すること。

Ⅴ.運用・利用フェーズ

・運用管理ルールを、開発フェーズで作成した運用設計に基づいて作成すること。

・運用管理者は作業手順を標準化し、明文化すること。

・運用管理者は年間運用計画を策定すること。

・運用管理者はリリース計画を策定し、リリース管理手順を作成して管理すること。

・運用管理者は運用部門と、利用部門を繋ぐ単一窓口（SPOC：Single Point of Contact）のサービスデスクを設置すること。

・サービスデスクは利用部門への情報発信などの積極的なコミュニケーションを行うこと。

システム管理基準　追補版（財務報告に係るIT統制ガイダンス）

https://www.meti.go.jp/policy/netsecurity/downloadfiles/guidance.pdf

IT全社的統制

企業の統制が全体として有効に機能する環境を保障するためのITに関連する方針と手続き等、情報システムを含む内部統制。

（例）運用管理ルールの策定、年間のシステム運用計画策定

IT全般統制

業務処理統制が有効に機能する環境を保障するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続きのうち、IT基盤を単位として構築する内部統制。

（例）プログラムのバックアップ範囲やタイミングの策定

IT業務処理統制

業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係る内部統制。

（例）購買データの入力が、入力管理ルールに基づいて正しく行われることを確保する。

財務報告に係る内部統制の評価及び監査に関する実施基準

「財務報告に係る内部統制の評価及び監査の基準」も同じ資料に記載。

https://www.fsa.go.jp/news/r1/sonota/20191213_naibutousei/1.pdf

Ⅰ.内部統制の基本的枠組み

1.内部統制の定義

内部統制は4つの目的が達成されているという合理的保証を得るためのもの。

1. 業務の有効性及び効率性
2. 財務報告の信頼性
3. 事業活動に関わる法令等の遵守
4. 資産の保全

内部統制は6つの構成要素からなる。

1. 統制環境
   組織の気風を決定し、組織内すべての者の統制に対する意識に影響を与えるものである。
2. リスク評価と対応
   組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、適切な対応を行うプロセス。
3. 統制活動
   統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針、手続きのこと。
4. 情報と伝達
   必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することである。
5. モニタリング（監視活動）
6. IT（情報技術への対応）

2.内部統制の基本的要素

(6)IT（情報技術）への対応

②ITの利用及び統制

＜ITの統制＞

ITの統制は、全般統制と業務処理統制の2つに分けられる。

全般統制：業務処理統制が有効に機能する環境を保証するための統制活動。

• システムの開発、保守に係る管理
• システムの運用・管理
• 外部からのアクセス管理などシステムの安全性の確保
• 外部委託に関する契約の管理

業務処理統制：個別業務ごとのプロセスに組み込まれた内部統制。

• 入力情報の完全性、正確性、正当性を確保する統制
• 例外処理（エラー）の修正と再処理
• マスタ・データの維持管理
• システムの利用に関する認証、操作範囲の限定などアクセスの管理

4.内部統制に関係を有する者の役割と責任

（1）経営者

取締役会が決定した基本方針に基づき内部統制を整備、運用する役割と責任を有する最終的責任者である。その責任を果たすため社内組織を通じて内部統制の整備、運用（モニタリングを含む）を行う。

（2）取締役会

内部統制の整備、運用の基本方針を決定する。また、経営者による内部統制の整備、運用に対する監督責任を有する。

（3）監査役又は監査委員会

独立した立場から内部統制の整備、運用の状況を監視、検証する役割と責任を有する。

（4）内部監査人

モニタリングの一環として内部統制の整備、運用の状況を検討、評価し、必要に応じてその改善を促す職務を担う。

（5）組織内のその他の者

内部統制は組織内のすべてのものによって遂行されるプロセスであり、それぞれ自分の職務との関連の上で一定の役割を担う。

Ⅱ.財務報告に係る内部統制の評価及び報告

3.財務報告に係る内部統制の評価の方法

（2）全社的な内部統制の評価

経営者が全社的な内部統制の整備運用状況やその状況が業務プロセスに及ぼす影響の度合いを評価する。

財務報告全体に重要な影響を及ぼす事項を十分に検討する。

例えば、全社的な会計方針及び財務方針、組織の構築運用に関する経営判断、経営レベルにおける意思決定プロセス。

（3）業務プロセスに係る内部統制の評価

⑤ITを利用した内部統制の評価

財務報告に係る全社的な内部統制に関する評価項目の例

ITへの対応

• 経営者は、ITに関する適切な戦略、計画などを定めているか。
• 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
• 経営者は、信頼性ある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
• ITを用いいて統制活動を整備する際には、ITを利用することによって生じる新たなリスクが考慮されているか。
• 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。

Ⅲ.財務報告に係る内部統制の監査

法律

商標法

商標の使用するものに独占的な使用権（商標権）を与える法律。紛らわしい商品で消費者が間違わないように。

電子消費者契約法

電子商取引などにおける消費者の操作ミスの救済、契約の成立時期の転換などを定めた法律。

ワンクリックなどの場合間違って購入してしまうことも考えられるので、その場合に救済してあげる法律。

特定商取引法

訪問販売、通信販売（ネットショッピング）、電話勧誘販売など、事業者と消費者の間で紛争が生じやすい取引について、消費者の利益を守ることを目的とした法律。

通信販売についての広告に関して、商品の販売価格、代金の支払い時期及び支払い方法、商品の引き渡し時期、売買契約の解除に関する事項の表示を義務付けている。

不正競争防止法

公正な競争を確保するために、類似商品などを規制する法律。

営業秘密を領得したものは刑事罰の対象となる。（営業秘密をコピーした段階でNG）

PL法（製造物責任法）

製造物の欠陥が原因で、他人の生命・身体・財産に障害が生じた場合、製造業者等に損害賠償を負わせるための法律。

PLとは英語の製造責任（product liability）の略。

製造者には輸入業者も含まれる。

免責事項が2つある。
作った時の科学、技術では欠陥が認識できなかった場合。
製造物が他の製品の部品として使われた場合で、指示された設計に従って作った場合。

製品の引き渡しから10年経過すると時効になり、以後発生した事故は免責となる。
被害者が損害について把握した後3年を過ぎるとその間に損害賠償請求を行わない限り時効となって請求権は消滅する。

下請法

下請代金支払遅延防止法の略

下請代金の支払い期日は、親事業者が検査をするかどうかを問わず、納品日を起算日として60日が支払期日となる。

サンプリング（試査）

監査の対象となる母集団から一部の項目を抽出して監査を実施すること。

膨大なデータ全てをチェック（精査）することはできないので、怪しいところや重点的にチェックするポイントを決めてサンプリングを行う。

許容誤謬率

謬（びゅう）とは、あやまる、間違えるといった意味がある。

許容誤謬率とは、監査人が受け入れることができる所定の内部統制からの逸脱率であり、サンプル件数を決めるときに用いられる。

サンプリングリスク

サンプルに基づいた監査人の結論が母集団全体の姿と異なっているというリスクのこと。

統計的サンプリング

母集団の数やそこに含まれる誤りの推定数などからサンプル数を統計学的に算出したり、監査結果に対する結論を確率論的に導いたりすること。

母集団

監査人がサンプルを抽出し、それについて結論を出すことを望む、一組の完全な全体データのこと。

監査リスク

監査人が誤った監査結論を述べるリスクのこと。

監査リスク＝固有リスク×統制リスク×発見リスク

固有リスク：関連する内部統制が存在していないとの仮定の上で、財務諸表に重要な虚偽の表示がなされる可能性。

統制リスク：財務諸表の虚偽の表示が、企業の内部統制で防止、発見できない可能性。

発見リスク：企業の内部統制で防止、発見できなかった財務諸表の重要な虚偽の表示が監査手続きを実施しても発見できない可能性。

監査証拠

監査人が収集及び作成した資料、またそれを監査人の判断に基づいて評価した結果。

監査報告書に記載する監査意見や指摘事項は、監査証拠によって裏付けされていなければならない。

監査証跡（オーデット・トレイル）

情報システムの処理過程において、信頼性、安全性、効率性のコントロールが適切に組み込まれているか、監査対象の挙動が追跡できるような仕組みと記録のこと。

いつ、誰が、どこから、何をしたかということが時系列で記録される必要がある。アクセスログやシステムログがこれに当たる。

サービスレベル合意書（SLA：Service Level Agreement）

サービス提供者が依頼者との間で提供するサービスにおいて合意した品質保証レベル。

元々はインターネット接続サービスからはじまったもので、繋がりにくいなどの問題があったため、SLAで通信速度などを保証したのが始まり。

サービスカタログ

サービスプロバイダや情報システム部門などがエンドユーザー向けに提供中のITサービスをまとめたリストのこと。

サービスレベル合意書（SLA）作成指針

一つのSLAで、複数のサービス又は複数の顧客に対処しても良い。

SLAはサービス提供者及び顧客の責任も規定する。

SLAに記載する項目が多すぎるのは望ましくない。

SLAを簡略化するために全てのサービス又は大半のサービスに共通の情報を収録することが望ましい。

CSIRT（Computer Security Incident Response Team）

シーサートと呼ばれ、国家や企業内においてコンピュータインシデントセキュリティに関する報告を受け取り、調査し、対応活動を行う組織

JIPDEC（Japan Institute for Promotion of Digital Economy and Community：一般財団法人 日本経済社会推進協会）

プライバシーマークの使用許可を判定するなど

NISC（National center of Incident readiness and Stratety for Cybersecurity：内閣サイバーセキュリティーセンター）

内閣官房に設置されたサイバーセキュリティの確保に関する活動を行う組織

CRYPTREC（Cryptography Research and Evaluation Committees）

クリプトレックと読む、直訳は暗号研究及び評価委員会。

政府のセキュリティを確保するために、安全性及び実装性に優れると判断される暗号技術を選出するプロジェクト。

システムソフトウェア品質モデル

• 機能適合性（機能完全性、機能正確性、機能適切性）
• 性能効率性（時間効率性、資源効率性、容量満足性）
• 互換性（共存性、相互運用性）
• 使用性（適切度認識性、習得性、運用操作性、ユーザーエラー防止性、ユーザインタフェース快美性、アクセシビリティ）
• 信頼性（成熟性、可用性、障害許容性、回復性）
• セキュリティ（機密性、インテグリティ、否認防止性、責任追跡性、真正性）
• 保守性（モジュール性、再利用性、解析性、修正性、試験性）
• 移植性（適応性、設置性、置換性）

マーケットバスケット分析

POSシステムなどで収集した販売情報から、顧客が買い物をした際の購入商品の組み合わせを分析する。

おむつとビールが一緒に購入されることが多いというエピソードが有名。

テスト密度、レビュー密度、指摘密度

件数をプロジェクトの規模で割ったもの。

テスト件数÷プロジェクト規模、レビュー件数÷プロジェクト規模、指摘件数÷プロジェクト規模

ハードニング

不要なサービスの停止やユーザーアカウントやアクセス権を厳格に管理することによってサーバそのもののセキュリティを高める手法の事。

トリアージ

重要で最初に扱うべきものを選別すること。救急事故現場において、傷の状態によって優先度を決めること。

語源は、フランス語の選別を意味するトリアージュだとされる説が有力。

コントロールトータルチェック

入力値（件数や合計金額）と出力結果（件数や合計金額）をチェックすること

実施記録、報告書

監査チェックリスト：監査の実施にあたって、事前に必要と思われる手続きや着眼点を一覧表にして用意するもの。

監査手続書：監査の実施手順を文書化したもの。

監査調書：監査業務の実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたもの。

監査報告書：最終的に監査依頼者に対して監査結果を報告するもので、監査意見などを含んでいる。

売掛債権回転期間

売掛債権が現金として回収されるまでの期間を示す指標であり、経理部門において、債券残高の集計処理結果と売上高の数値とを用いて算出できる。

売掛債権回転期間が前年同期の指標値と大きく異なれば、債権残高や売上高の数値に異常がある可能性がある。

コールドアイル（cold aisle：冷たい通路）

データセンタやサーバールームで機器を冷却するための冷たい空気が流れる空間のこと。

機器の前面同士を向かい合わせて冷たい空気を流し、機器の前面から取り込ませる。

反対に、機器の背面同士が向かい合う部分はホットアイルと呼ばれ熱くなっており、天井の空気高などから外部に空気を排出する。

コールドアイルとホットアイルを分離することで機器を効率的に冷却することができる。

CEマーク

製品をEU加盟国へ輸出する際に、安全基準を満たすことを証明するマーク。

CEとはフランス語で、ConformiteEuropeenne（欧州の法律に適合している）の意味。

技術者倫理における集団思考の問題点

技術者が集団で合意して意思決定する場合、個人で意思決定する場合と比べて特有の問題が生じること。

アーヴィング・ジャニスが指摘した8つの兆候

1. 集団は不死身の幻影
   自分の所属している集団は失敗することがなく、仮に万一失敗しても集団は存続する。
2. われわれ感情
   集団外の人を敵とみなす。
3. 合理化
   集団の行動を合理的なものとみなし、集団が行動した結果について、自らの責任でその結果が生じたと考えずにその責任を他人に転嫁する。
4. モラルの幻影
   集団固有のモラルを当然のものとし、その意味を深く検討する気を起こさせない。
5. 自己検閲
   集団のメンバが波風を立てないように自己検閲する。
6. 満場一致の幻影
   メンバの沈黙を同意と解する。
7. 直接圧力
   不一致の兆候を示す人に集団のリーダーが集団の統一を維持しようとして圧力をかける。
8. 心の警備
   意義が入ってくるのを防いで集団を保護する。

サイドチャネル攻撃

暗号解読手法の一つ、暗号を処理しているコンピュータを外部から観察、測定することで内部の情報の取得を試みる攻撃。

暗号データの通信路をチャネルと呼び、有線コードや無線電波が該当する。通信路以外（サイドチャネル）から暗号解読しようとするのが名称の由来。

SAML（Security Assertion Markup Language）

異なるインターネットドメイン間でユーザー認証を行うための、XMLをベースにした標準規格。

サムルと読む。

デザインパターン

デザインパターンとは、ソフトウェア開発にあたって多くのエンジニアが利用しやすいように、設計のノウハウをまとめたものである。

Observer（オブザーバー）

観察される側（Subject）と観察する側（Observer）の2つが存在し、Subjectの状態が変化したときにObserverに通知される。

Decorator（デコレータ）

ある機能を持つオブジェクトを新しいオブジェクトでラップし、動的に機能を拡張する。

Singleton：（シングルトン）

あるクラスのインスタンスが一つしか存在しないことを保証する。

Facade：（ファサード）

配列や集合のような実装の異なるコンテナに対し、同一のインタフェースでアクセする。

サービスプロフィットチェーン（SPC：Service Profit Chain）

直訳すると「サービス利益連鎖」。

企業が従業員を大切にすることで、従業員のサービス品質が向上し、それが顧客満足度を向上させ、最終的に企業利益につながるという考え方。

OODA（Observe Orient Decide Act）

ウーダと読む。アメリカ空軍で生まれた、先の読めない状況で成果を出すための意思決定方法。

みる（観察）、わかる（状況判断）、決める（意思決定）、動く（実行）のループを回すこと。

PDCAが計画から始まるのに対し、OODAは観察から始まる。現場からスタートするため素早く柔軟に対応ができる。

車の運転など、我々が普段行っていることでもある。

SDCA（Standardize Do Check Action）

標準化により成果を定着させるためのサイクルがSDCA

標準化、実行、評価、改善

受託業務に係る内部統制の保証報告書

受託会社は、①「システムに関する記述書」（委託業務遂行のための対象業務、関連する内部統制などを記載）、②「受託会社確認書」（①の記述書の内容が正確で、内部統制が適切にデザインされたものであり、有効に運用していることを記載）を作成する。

受託会社管理人は②の記載内容について合理的な補償を行う③「保証報告書」を作成する。

なお、受託会社が業務の一部を再委託する場合において、受託監査人の補償業務範囲に再委託先を含んでいる場合を「一体方式」、含まない方式を「除外方式」という。どちらを採用するかは再委託先の提供業務の重要性を検討して決める。

マネージャの役割

事業関係・マネージャ：顧客の将来の事業上の要求事項を理解し、それに応えるサービスを提供するための計画立案に対して責任を持つ。

サービスカタログ・マネージャ：サービスカタログの認可

サプライヤ・マネージャ：サービス提供者と個別の供給者との関係の管理

キャパシティ・マネージャ：要領・能力及びパフォーマンスのデータの分析及びレビュー

ビヘイビア法（振る舞い監視法）

behavirorとは行動、振る舞いのこと。マルウェアの感染や発病によって生じるデータの読み込みと書き込みの動作や通信などを監視して、マルウェアを検出する。

情報セキュリティマネジメントシステム-用語

脆弱性とは
一つ以上の要因によって悪用される可能性がある、資産または管理策の弱点のこと。

脅威とは
システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因のこと。

リスク特定とは
リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。

リスク評価とは
リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのこと。

リスク対応とは
リスクを修正するプロセスのこと。

BSC（バランススコアカード）

企業のビジョンと戦略を実現するために、財務の視点、顧客の視点、内部プロセスの視点、学習と成長の視点の4つの視点から達成指標やアクションプランを具体化するためのモデル。

3C分析

マーケティングを成功させる対象要素として顧客（Customer）、競合（Competitor）、自社（Company）にそれぞれ焦点を当てて分析しようとする考え方。

顧客（Customer）：年齢層や社会的ポジションなどの区分で購買層を分けて、それぞれ別の対応を考え、購買客の購買行動を分析して課題を発見する方法

競合（Competitor）：製品市場に参入してくると見込まれる、別市場の企業の動向を把握する。

自社（Company）：自社の販売力、生産力の評価や自社の保有する技術力を検証すること。