- 2026-05-01
筆者:ISACA東京支部基準委員会委員、ITガバナンス協会理事 福田重遠
(前書き)
今回、本書の第3版の出版に当たり、私もIoT監査の章についてのレビューや意見出しをいたしましたが、最終的に第3版が2026年3月に出版されたことは大きな喜びです。
(書評:実践IT監査ガイドブック 第3版 – 実務と体系を統合したIT監査の必携テキスト –)
本書は、IT監査に関する基礎理論、リスクマネジメント、内部統制、さらにはERP、クラウド、サイバーセキュリティ、IoT、データアナリティクスといった個別テーマに至るまでを一冊に収めた包括的な実務書である。日本語で読めるIT監査関連書籍の多くが概説的あるいは特定領域に偏る中で、本書は例外的に「体系」と「実務」を高い次元で統合している点に最大の特徴がある。
特に注目すべきは、本書が単なる手続書やチェックリスト集ではなく、フレームワークに基づく思考構造と、それを具体的な監査手続へ落とし込む橋渡しを意図して設計されている点である。IT監査を単なる統制評価としてではなく、「リスクを起点にした統制設計とその検証」という一連のプロセスとして理解させる構成になっている。
1. 本書の構造と設計思想
本書の全体構成は大きく三層に整理できる。
第一に基礎層として、IT監査の目的や基本概念、リスクの定義と分類、ITリスクマネジメントの考え方が提示される。この部分では、ISO 31000、NIST SP 800-30、そしてCOBIT 2019といった代表的フレームワークを比較しながら説明しており、単なる知識の提示ではなく「概念の位置づけ」を理解できるよう工夫されている。特にリスクの定義や評価アプローチについて複数のフレームワークを横断して整理している点は、実務での応用を前提とした構成といえる。
第二に方法論層として、IT統制、システム開発・運用・変更管理、IT全般統制(ITGC)など、監査実務の中核となる領域が詳細に解説される。この層では、単なる統制項目の羅列ではなく、統制がどのようなリスクに対応しているのか、また監査人がどのような観点で評価すべきかが明確に示されている。そのため、読者はチェックリストを覚えるのではなく、「なぜその統制が必要か」という因果関係を理解することができる。
第三にテーマ別監査層として、サイバーセキュリティ、ERP、クラウド、IoT、データアナリティクスといった現代的な監査対象が個別に取り上げられ、旧版よりも大きく拡張している点が最大の特徴であり、実務における適用性を大きく高めている。
2. フレームワーク起点の思考整理
本書の優れた点の一つは、IT監査をフレームワークに基づいて整理していることである。多くの実務書では統制項目が先行しがちであるが、本書ではリスクの概念整理から入り、その上で統制、さらに監査手続へと展開する構造が一貫している。
特に、ISO、NIST、COBITといった異なる思想を持つフレームワークを比較しながら整理している点は、実務家にとって極めて有用である。例えば、ISOがリスクマネジメントの原則を重視する一方で、NISTはセキュリティリスクの具体的管理に強みを持ち、COBITはガバナンスと管理プロセスの体系化に重点を置く。本書はこれらを単独で紹介するのではなく、それぞれの位置づけを明確にした上で統合的に理解できるような流れとなっている。
このような構成により、読者は特定のフレームワークに依存するのではなく、状況に応じて適切な考え方を選択できるようになる。これは監査実務において極めて重要であり、単なる知識以上の価値を提供している。
3. ERP監査における実務的深度
本書の中でも特に評価できるのがERP監査の章である。ここではSAP ERPおよびSAP S/4HANAを前提に、業務プロセス単位での監査観点が詳細に整理されている。
販売管理を例に販売業務のプロセスごとに、どのようなリスクが存在し、それに対してどのような統制が設計されるべきか、さらに監査人がどのように評価するかが具体的に示されている。加えて、職務分掌(SoD)やマスタデータ管理といったERP特有のリスクにも踏み込んでおり、単なるIT統制の延長ではない、業務とITが融合した監査の姿を提示している。
このレベルの粒度は一般的なIT監査の概説書を超えており、実務における即応性が高い。ERP監査に携わる実務者にとっては、個別テーマごとの手引きとして独立した価値を持つ内容となっている。
4. クラウドおよびAWS監査の体系化
クラウド監査の章では、クラウド特有のリスク構造が整理されている。特に重要なのは、クラウドサービスにおける責任分担の考え方であり、サービス提供者と利用者の役割が明確に区別されている点である。この整理により、監査対象がどこまで及ぶのかを論理的に判断できるようになる。
さらに、本書はAmazon Web Servicesに特化した監査手続も提示している。アクセス管理、ネットワーク設定、ログ管理、インシデント対応など、クラウド環境特有の統制領域について具体的な監査観点が整理されており、実務での適用性が高い。
また、SOCレポートの活用方法についても言及されており、外部委託環境における内部統制評価の考え方が整理されている点も評価できる。クラウド監査は責任境界が曖昧になりやすいが、本書はその曖昧さを構造的に解消している。
5. サイバーセキュリティおよびIoT監査の実践性
サイバーセキュリティ監査の章では、攻撃手法や脅威動向といった背景を踏まえた上で、監査の観点が提示されている。単に統制の有無を確認するのではなく、リスクに対して統制が適切に機能しているかを評価するという、本来の監査の視点が貫かれている。
IoT監査についても、デバイス、ネットワーク、クラウドといった構成要素ごとにリスクが整理されている点が特徴的である。IoTは技術的複雑性が高く、監査のアプローチが難しい領域であるが、本書は構成要素ごとに分解することで、監査可能な単位に落とし込んでいる。
6. データアナリティクス(DA)監査の導入
データアナリティクスの活用についても一章を割いている。ここでは、データ分析を単なるツールとしてではなく、監査プロセスの中に組み込む方法が提示されている。
具体的には、リスク評価、統制評価、証拠収集といった各段階において、どのようにデータ分析を活用できるかが整理されている。また、分析パターンや適用プロセスも示されており、実務への導入を意識した内容となっている。これは従来のサンプリング中心の監査から、全件分析や継続的監査への移行を示唆するものであり、監査の高度化に向けた重要な示唆を提供している。
7. 実務における位置づけ
本書は、通読して理解するタイプの書籍というよりも、実務におけるリファレンスとして活用することで真価を発揮する。監査対象やテーマに応じて該当箇所を参照し、監査手続の設計や評価の観点整理に利用するのが最良である。
また、本書は、統制評価に関する実務を強力に支援する一方で、ガバナンス全体の設計や経営レベルの意思決定に関する議論については、別途、他のフレームワークと組み合わせることで、より広い視野を確保することみ期待できる。本書は、IT監査の「実行部分」を担う中核的なツールと位置づけることができる。
8. 結論
本書は、IT監査に関する知識、方法論、実務手続を一体として提示した、日本では稀有な体系書である。フレームワークに基づく理論的整理と、具体的な監査手続の提示がバランスよく統合されており、初学者から実務経験者まで幅広い層にとって有用である。
特に、ERP、クラウド、サイバーセキュリティ、IoT、データアナリティクスといった現代的な監査テーマを網羅している点は、本書の大きな価値である。IT環境が急速に変化する中で、監査の対象も多様化しているが、本書はその変化に対応するための基盤を提供している。
総じて、本書は、IT監査を「実際に実行するための知識体系」として提示した点において高く評価できる。実務に直結する内容と体系的整理が両立しており、IT監査に関わる専門家にとっては必携の一冊である。
以上