06 評価・報告基準
目的
本基準は、統制・実装基準の評価方法と報告方法を定義する。評価の主語は「チェックしたか」ではなく、「統制が効いていると説明できるか」である。
準拠率だけを主要指標としてはならない。準拠率は、重要度、証跡品質、鮮度、例外、再指摘を隠す可能性がある。
評価単位
評価は、次の単位で行う。
| 単位 | 目的 |
|---|---|
| Control ID単位 | 統制目的ごとの有効性を評価する。 |
| System ID単位 | 個別システムの統制状態と例外を評価する。 |
| Tier単位 | 重要システム群の統制状態を評価する。 |
| 担当者別 | システムオーナー、基盤、開発、運用、委託先管理の実装状態を評価する。 |
| 証跡単位 | 証跡の信頼度、鮮度、完全性、改ざん耐性を評価する。 |
| 例外単位 | 期限、代替統制、残余リスク、承認、滞留を評価する。 |
評価結果
統制評価結果は、次のいずれかに分類する。
| 評価 | 条件 |
|---|---|
| 有効 | 基準を満たし、有効な証跡が鮮度SLA内に存在する。 |
| 有効だが改善要 | 統制は機能しているが、証跡品質、鮮度、運用効率に改善余地がある。 |
| 例外管理中 | 基準未達だが、05に基づく例外、代替統制、期限、承認がある。 |
| 不備 | 基準未達で、例外がない、または例外が期限切れ・不十分である。 |
| 未評価 | 証跡不足、対象不明、ID未付与等により評価できない。 |
| 対象外 | 分類、データ、利用形態により適用対象外であり、理由が記録されている。 |
未評価は合格ではない。未評価が継続する場合は不備として扱う。
KPIとKRI
| 指標 | 意味 | 報告先 |
|---|---|---|
| 重要システム証跡契約率 | Tier 0/1に証跡契約がある割合。 | 経営、CISO |
| System ID付与率 | 全システムが台帳、証跡、リスク登録簿へ接続できる割合。 | CISO、運用 |
| Owner ID付与率 | 責任者不明システムを減らせているか。 | 経営、システムオーナー |
| 一次証跡比率 | 自己申告やスクリーンショット依存を下げているか。 | CISO、内部監査 |
| 証跡鮮度SLA遵守率 | 古い証跡で判断していないか。 | 2線、内部監査 |
| 重大脆弱性SLA内是正率 | 重大脆弱性を期限内に是正できているか。 | CISO、システムオーナー |
| 特権IDレビュー完了率 | 特権権限を定期的に見直しているか。 | ID担当、内部監査 |
| ログ取得カバレッジ | 重要ログ源が収集、保全、監視されているか。 | 運用、SOC |
| バックアップ復元試験成功率 | 復旧可能性を実際に確認しているか。 | システムオーナー、運用 |
| 例外滞留日数 | 例外が長期放置されていないか。 | 経営、CISO |
| 期限切れ例外数 | リスク受容期限を過ぎた例外がないか。 | 経営、リスク管理 |
| 監査再指摘率 | 同じ統制不備が繰り返されていないか。 | 内部監査、CISO |
| 委託先証跡更新率 | 外部依存の証跡が期限内に更新されているか。 | 委託先管理担当 |
| 共通統制継承率 | 共通基盤の統制を各システムが利用できているか。 | CISO、共通基盤担当 |
報告頻度
| 対象 | 頻度 | 内容 |
|---|---|---|
| 経営層 | 四半期以上。重大リスクは随時。 | 重大不備、期限切れ例外、投資判断、重大インシデント。 |
| CISO・2線 | 月次以上。 | KPI/KRI、証跡品質、例外、是正進捗。 |
| システムオーナー | 月次または四半期。 | 担当システムの統制状態、例外、改善計画。 |
| 運用・開発・基盤 | 週次から月次。 | 脆弱性、構成逸脱、ログ欠損、バックアップ、CI/CD不備。 |
| 内部監査 | 監査計画に基づく。 | 証跡品質、評価ロジック、例外妥当性、再指摘。 |
経営報告に含める事項
経営報告には、少なくとも次を含める。
- Tier 0/1の統制有効性。
- 重大不備と改善計画。
- 期限切れ例外と長期滞留例外。
- 証跡契約率、一次証跡比率、証跡鮮度SLA遵守率。
- 重大脆弱性SLA内是正率。
- バックアップ復元試験結果。
- 委託先、SaaS、AI/Dataの重大リスク。
- 投資判断が必要な統制不備。
内部監査観点
内部監査は、全件証跡収集の代行をしてはならない。内部監査は、次を独立に評価する。
| 観点 | 確認内容 |
|---|---|
| 証跡品質 | 証跡が一次証跡またはシステム生成レポートであり、鮮度SLA内か。 |
| 評価妥当性 | 評価ロジックが統制目的に対応しているか。 |
| 例外妥当性 | 期限、代替統制、残余リスク、承認者が妥当か。 |
| サンプリング | 重要システム、期限切れ例外、再指摘領域を優先して確認する。 |
| 再指摘 | 同じ不備が繰り返されていないか。 |
| 共通統制 | 継承統制の範囲と証跡が明確か。 |
リスク登録簿への接続
次の場合は、リスク登録簿へ登録しなければならない。
- Tier 0/1の重大不備。
- 期限切れ例外。
- 重大脆弱性SLA超過。
- 重要ログ源の長期欠損。
- 復元試験失敗または未実施。
- 委託先証跡未取得または重大是正未了。
- AI/Dataの未承認利用または機微データ入力リスク。
- 投資判断が必要な統制不備。