COLUMN

2024.12.04 ｜ Writer：NTT東日本　アベ

【ガイドライン改正】監査法人の情報セキュリティ強化にVDIを活用

情報セキュリティリスクの増大を受け、監査プロセスにおける情報管理の強化やサイバー攻撃からの保護が、社会的責任を担う監査事務所にとって不可欠となっています。2024年8月に改正された「上場会社等の監査を行う監査事務所の適格性の確認のためのガイドライン」では、監査業務で扱う機密情報の保護やデータの一元管理、外部アクセスの安全性確保などが求められ、事務所のデジタル環境整備が急務とされています。

本記事では、ガイドライン改正の概要と、改正によって監査事務所に求められること、有効な情報セキュリティ対策について解説します。

VDIの導入に関するお問い合わせはこちらからお受けしておりますのでお気軽にご相談ください。

1. 「上場会社等の監査を行う監査事務所の適格性の確認のためのガイドライン」改正の概要: 1-1. 改正1：ガイドラインの項目立てを整理; 1-2. 改正2：公認会計士法施行規則第93条、第95条、第96条について、着眼点や判断基準を追加; 1-3. 改正3：レビュー実績や審査会の議論内容をもとに、より実態に即した着眼点や判断基準を追加; 1-4. 改正4：具体的な例示やガイダンスの追加
2. 情報セキュリティ対策とリスクに備える意識の醸成: 2-1. 監査事務所に求められる具体的な対策; 2-2. デジタル化の進展に伴うリスク増加への対応; 2-3. ガイドライン改正によって高まるセキュリティ意識
3. 情報セキュリティ対策として有効な「仮想デスクトップ」: 3-1. 仮想デスクトップがセキュリティ対策として有効な理由; 3-2. 代表的なサービスである「DaaS」「VDI」の特徴やメリット、デメリットを比較
4. NTT東日本のVDIサービス: 4-1. 【導入事例その1】医療法人オーク会のクラウドVDI活用; 4-2. 【導入事例その2】JFEシビル株式会社のクラウドVDI活用
5. まとめ

1. 「上場会社等の監査を行う監査事務所の適格性の確認のためのガイドライン」改正の概要

今回の改正では、上場企業に対する監査の信頼性と質の向上を目的として、大きく４点の強化が図られました。

1-1. 改正1：ガイドラインの項目立てを整理

「監査に関する品質管理基準」や、品質管理基準報告書第1号「監査事務所における品質管理」などを参考に、ガイドラインの項目立てが整理されました。これにより、監査事務所が品質基準を把握しやすくなり、監査プロセスの透明性向上が期待されています。

1-2. 改正2：公認会計士法施行規則第93条、第95条、第96条について、着眼点や判断基準を追加

上場会社等の監査を行う監査事務所に対し、情報通信技術の活用状況や人材確保の状況等を公表するための体制整備にあたっての着眼点や判断基準が新たに追加されました。

1-3. 改正3：レビュー実績や審査会の議論内容をもとに、より実態に即した着眼点や判断基準を追加

2023年6月のガイドライン策定以降、実際に日本公認会計士協会により実施されたレビューの実績や、上場会社等監査人登録審査会での議論内容を踏まえ、着眼点や判断基準について、これまで定められていなかった部分や拡充の必要がある部分の追記が行われました。

1-4. 改正4：具体的な例示やガイダンスの追加

監査事務所がガイドラインをより実務で活用できるよう、具体的な事例やガイダンスが新たに盛り込まれました。

VDIの導入に関するお問い合わせはこちらからお受けしておりますのでお気軽にご相談ください。

2. 情報セキュリティ対策とリスクに備える意識の醸成

ガイドラインの改正に伴い、監査事務所が企業や顧客の情報を扱うにあたっての情報セキュリティ対策がこれまで以上に重要視されるようになりました。

2-1. 監査事務所に求められる具体的な対策

監査事務所に対しては、情報の漏えいや不正アクセスの防止を目的として、以下のような対策が求められています。

アクセス権限の管理や二要素認証の導入など、外部からの侵入防止
データの暗号化
クラウド環境にデータを保管する場合の暗号化や第三者へのアクセス制限
アクセスログの監視や不審な行動の検知システムの導入による内部不正の防止
従業員による情報漏えいさせるリスクに備え、定期的な研修やセキュリティ意識の向上

これらを対策することにより、外部からだけでなく内部からの脅威にも備えたセキュリティ体制が整えられます。

2-2. デジタル化の進展に伴うリスク増加への対応

近年は自宅や外部のネットワークを利用して業務を行うケースが増えたため、情報漏えいやサイバー攻撃のリスクが懸念されています。

こうしたリスクに対応するためには、VPN（仮想プライベートネットワーク）の利用やファイアウォールの強化、ゼロトラストセキュリティの導入が効果的です。ゼロトラストセキュリティは、「誰も信頼しない」という前提のもとでネットワークを構築する考え方です。リモートからのアクセスでも厳格な認証を要求するため、従来のセキュリティ対策では防げなかったリスクに対しても高い効果が期待できます。

また、クラウド環境での監査データの管理においては、クラウドサービスプロバイダーのセキュリティ体制を十分に確認し、監査事務所としての情報管理責任を果たすことが求められます。パブリッククラウドを利用する際には、ベンダーとの契約内容やセキュリティ対策についても慎重に検討する必要があります。

2-3. ガイドライン改正によって高まるセキュリティ意識

この改正では、特に情報管理の重要性が強調され、情報セキュリティが監査の信頼性に直結するという考えが示されています。IT部門や管理部門に一任されがちだった情報セキュリティ対策を、今後は経営陣からスタッフまで、組織全体でリスクに備える意識を広げ高めることが必要です。

さらに、今後は第三者機関によるセキュリティ体制の評価や、定期的な監査が導入される可能性もあります。これにより、監査事務所が情報リスクに対して継続的に改善を行う姿勢が問われることになります。こうした取り組みは、クライアントからの信頼を得るために欠かせない要素であり、監査事務所の競争力にもつながるといえます。

VDIの導入に関するお問い合わせはこちらからお受けしておりますのでお気軽にご相談ください。

3. 情報セキュリティ対策として有効な「仮想デスクトップ」

監査事務所における情報セキュリティ対策として、近年注目されているのが「仮想デスクトップ」の導入です。仮想デスクトップは、従業員がオフィス外からも安全に業務を行える環境を提供する一方で、企業のデータを保護し、セキュリティリスクを低減する手段としても非常に有効です。

3-1. 仮想デスクトップがセキュリティ対策として有効な理由

仮想デスクトップは、ユーザーがインターネットを介してアクセスする「仮想の作業環境」を提供します。この環境は物理デバイスに依存しないため、ユーザーがどこにいても、どのデバイスを使用しても、企業のセキュリティポリシーに沿った安全な作業を実現できるのが大きな特徴です。

仮想デスクトップを利用する場合、データはユーザーのローカルデバイスに保存されず、クラウドや企業のデータセンターに一元管理されます。これにより、デバイスの紛失や盗難による情報漏えいリスクを低減できます。また、仮想デスクトップを経由したアクセスは、管理者が厳格にアクセス権限を制御できるため、内部不正の抑止にもつながります。

さらに、仮想デスクトップ環境ではシステム全体の管理が比較的容易で、ソフトウェア更新やセキュリティパッチの適用を一元的に行えるため、迅速に最新のセキュリティ対策を講じることが可能です。これにより、外部の脅威に対する強力な防御が確保されると同時に、業務の安全性が向上します。

3-2. 代表的なサービスである「DaaS」「VDI」の特徴やメリット、デメリットを比較

仮想デスクトップ環境の導入方法としては、大きく分けて「DaaS（Desktop as a Service）」と「VDI（Virtual Desktop Infrastructure）」があります。

3-2-1. DaaS（Desktop as a Service）

DaaSは、クラウドサービスプロバイダーが仮想デスクトップ環境を提供し、企業がインターネットを通じて利用する形態です。

メリット

初期投資が少ない：ハードウェアやサーバーを自社で用意する必要がないため、初期導入コストが比較的低く抑えられる
スケーラビリティが高い：利用するユーザー数に応じて柔軟にリソースを追加・削減でき、必要に応じてすぐに環境をスケールアップできる
クラウドプロバイダーによる管理：システム管理やセキュリティ対策はプロバイダーが行うため、社内での管理負担が軽減される

デメリット

カスタマイズ性が低い：プロバイダーが提供する環境に依存するため、細かな設定やカスタマイズできる範囲が限られる
通信環境に依存する：クラウドに接続するため、安定したインターネット接続が必須で、通信環境が悪いと作業効率が低下する可能性がある

3-2-2. VDI（Virtual Desktop Infrastructure）

VDIは、企業が自社でサーバーやインフラを用意し、内部で仮想デスクトップ環境を構築・運用する形態です。

メリット

高いカスタマイズ性：社内のインフラで管理するため、企業独自のニーズに合わせて細かく設定や調整ができる
セキュリティの高いデータ管理：データが社内に保持されるため、企業が自らセキュリティ対策を施し、データ管理を厳重に行える
オフライン対応が可能：ローカル環境に一部データを同期させることで、オフライン環境でも一時的に作業できるように設定可能

デメリット

初期費用が高い：サーバー設備やインフラ構築に初期投資が必要
メンテナンス負担が大きい：システムの更新やセキュリティパッチの適用など、ITスタッフによる管理が不可欠

VDIの導入に関するお問い合わせはこちらからお受けしておりますのでお気軽にご相談ください。

4. NTT東日本のVDIサービス

NTT東日本の提供するVDIサービス「クラウドVDI」は、テレワークや外部アクセスにおいて強固な情報セキュリティを確保し、企業のIT管理の負担軽減をサポートするクラウド型ソリューションです。「Amazon WorkSpaces」または「Azure Virtual Desktop」のクラウド基盤上で動作し、閉域ネットワークでの接続やVPNを用いたアクセス制御を提供しており、外部からの安全なデータアクセスが可能です。

24時間365日の監視体制を持ち、障害発生時には迅速な復旧対応が可能で、企業の業務継続をサポートします。また、AWS認定資格を持つスタッフによるサポートも付属しており、クラウドのプロフェッショナルが構築・運用に関する問題に先回りし、最適なサポートを提供します。導入時や運用面での不安を解消し、企業のIT担当者が抱える負担を軽減します。

サービスには、利用環境に合わせてCPUやメモリの調整、課金方式の変更、バックアップの復元など柔軟な管理機能も用意されており、VDIの設定やトラブル対応が容易に行える環境が整っています。こうした包括的な支援体制により、セキュリティを担保しつつ、快適なVDI環境を実現できるのがNTT東日本のクラウドVDIの強みです。

「クラウドVDI Amazon WorkSpaces / Azure Virtual Desktop」の詳細はこちら

4-1. 【導入事例その1】医療法人オーク会のクラウドVDI活用

【導入背景と課題】

業務デジタル化の流れに対応しつつ、患者データの漏えいリスク軽減のためにセキュリティを強化する必要がありました。また、業務拠点が複数にわたるため、スタッフが柔軟にアクセスできるセキュアな作業環境が求められていました。

【導入による効果】

クラウドVDIの導入により安全な仮想環境で業務ができるようになり、データの保管や管理も一元化されました。これにより、業務の効率化やセキュリティの強化が図られたほか、リモートアクセスにおいても安全性が確保されています。また、物理的なITインフラの管理コストも削減でき、医療に専念できる環境が整えられました。

導入事例の詳細はこちら

取り組みの決め手は、担当者の知識、対応力、そしてスピード感。不妊治療のリーディングカンパニーが取り組むクラウド活用の現在地

4-2. 【導入事例その2】JFEシビル株式会社のクラウドVDI活用

【導入背景と課題】

オフィスからだけでなく、複数の建設現場からも業務を遂行する必要があり、業務端末へのアクセスを柔軟にする必要がありました。特に、新型コロナウイルスの影響により、現場作業とリモートワークの融合が不可欠となったことから、セキュアなリモートアクセス環境を整えることが求められていました。

【導入による効果】

AWSやMicrosoft Azure上にVDIを構築することで、情報の一元管理と柔軟なアクセスを実現し、現場作業者が最新の設計データや計画にアクセスできる環境が整いました。また、インフラの管理負担が減り、業務効率が向上しました。建設業界ではプロジェクト管理や設計データの保護が課題である中、VDI環境は、ネットワーク経由でのアクセスが可能で、社外からでもセキュアにシステムに接続できるため、情報漏えいリスクの軽減と生産性の向上を実現することができました。

導入事例の詳細はこちら

クラウドVDI（Amazon WorkSpaces）導入によって現場での事務作業を可能にし、都度発生していた事務所との移動時間を削減した事例

情報セキュリティの強靭化なら、NTT東日本の「クラウドVDI」

5. まとめ

情報漏えいリスクやサイバー攻撃の脅威が増す中で、監査業務を担う事務所には、一層のセキュリティ強化とデジタル環境の整備が求められています。ガイドラインに準拠した適切な情報管理を行うためには、VDIサービスを活用してリスクを軽減し、セキュアな作業環境を整えることが今後ますます重要です。VDIの導入をお考えの方は、ぜひNTT東日本にお任せください！