左より、
会長・代表社員 荒川 栄一 氏
事務局 須田 花苗子 氏
監査補助スタッフ・事務局 水野 紗百花 氏
上場会社等監査人登録制度に沿うセキュリティ強化を
Azure Virtual DesktopとIntuneで実現
~短期間でセキュリティ強化・ユーザー満足の両方を達成~
法人紹介|永和監査法人
永和監査法人は2005年に設立され、企業の財務諸表等監査を中心に、さまざまな業務を展開している。
主な業務は財務諸表等監査、内部統制監査。
さらには、経営改善コンサルティングといったアドバイザリサービスも展開している。
監査品質の向上を目指す
永和監査法人は2005年の設立以来、企業の財務諸表等監査を中心に成長を続けており、高品質な監査業務を提供する専門家集団としての地位を確立している。
同法人では、監査対象の顧客に対してより高い品質の監査を提供することを目指している。
監査品質の向上のためには十分な人手が不可欠だが、中小規模の法人にとって新規人材の確保は容易ではない。そこで、働く環境の整備、就業規則等の見直しや人同士のつながりから紹介により人材を増やす取組みや、監査調書を効率的に作成するためのITスキルの強化を進めている。
さらに、セキュリティ管理にも重点を置く。監査法人では取扱うデータの多くがクライアントから入手する重要なデータであるため、データの保護が最優先事項なのだ。上場会社等監査人本登録のため、近年、抑制していた上場企業の監査の新規受嘱を再開するため、セキュリティ基準の強化が急務となった。
上場企業監査の指針に沿うセキュリティ対応を
短期間で実施する必要
永和監査法人では、常勤メンバーは法人で用意した貸与PCを、非常勤メンバーの大半は個人PC(BYOD)を利用していた。しかし、端末によってはデータの暗号化が未実施であるなどセキュリティ対策のバラつきが生じていた。また、全員共通で、端末にデータを残さないルールはあったが、システム的にそれを実現する仕組みは整っていなかった。
前述のとおり、監査法人では取り扱うデータはクライアントから入手する重要なデータが多く、上場企業の監査を行うには厳格なセキュリティ基準をクリアする必要がある。
そこで、上場企業監査の指針に沿って、貸与PCではPC内にデータを保存しない仕組みを、BYODには個人領域と業務領域を分別したうえで業務領域のデータを確実に保護する仕組みの導入を進めることになった。
しかし、申請時期の関係上、使用するサービス、業者の選定から、打合せ、テスト導入、本格導入まで約1ヶ月という厳しいスケジュールだった。
永和監査法人の代表として、監査の品質向上はもちろん法人としての環境整備もけん引する荒川 栄一氏は、当時を振り返り、
「7月はじめに導入期限がわかり、それから月末までに完了させなければならなかった。非常にタイトなスケジュールでした。」
と話した。
業界での導入実績がある製品と、
専門的な知見をもつパートナーを選定
日本公認会計士協会のIT専門部会が推奨するサービスを中心に検討し、数あるソリューションの中から、マイクロソフトのAzure Virtual Desktop(以下、AVD)の導入を決定した。AVDは大手監査法人でも導入実績があり、問題なく運用できている事例があったことが選定の決め手となった。
しかしIT専任担当者がいない永和監査法人では、AVD導入を法人内だけで進めることは難しい。そこで、次のステップとして支援パートナー企業の選定に進んだ。
複数の企業に声をかける中で、セキュリティ強化の背景やメンバーの働き方、利用する端末を考慮し、定められた期間内で対応する具体的なプランを提案したさとりファクトリがパートナーとして選ばれた。
「”7月末までにできます”と言ってくれたのが決め手でした。さらに、マイクロソフトのシステムに精通しており、打ち合わせでの難しい質問にもすぐに答えてくれたことが印象的でした。」(荒川氏)
この提案により、業務環境で使う端末をIntuneで管理し端末紛失・盗難時にはデータをリモートからの消去(リモートワイプ)を可能に、法人内のリソースへのアクセスをEntra IDで制限、BYODで業務をするユーザには、AVDによる端末にデータを残さない仕組みを導入する道筋が見えた。
中小になると、IT専門部隊を内部で確保するのが難しい状況が多いと思います。
なので、ITシステムに関する相談に乗ってくれて、定期的にメンテナンスできる企業に相談するのが良いと考えています。
推奨構成で構築したあと、検証しながら見直す進め方で
短期にセキュリティ基準・ユーザー満足の両方を達成
短期間での実現を目指すため、まずはさとりファクトリの推奨構成でパイロット環境を構築し、検証しながら進める方針がとられた。
時間をかけて要件定義をすることが難しかったため、提案時には想定していなかった問題が生じることもあったが、その都度検証をしながら対応が進められた。たとえば、業務アプリケーションは何を配布するか、Intuneが干渉してしまうメーカープリインストールのアプリケーションにどう対応するか、Intuneが対応していないOSを搭載したPCはどうするか、など様々な課題に取り組んだ。
特に専門的な知識が求められる場面では、さとりファクトリの積極的な提案やトラブルシューティングが功を奏し、スムーズにプロジェクトを進めることができた。たとえば、Intuneを適用したPCがブルースクリーンになるトラブルが起きた際、さとりファクトリは、メールやオンライン会議では解決が難しいと判断し、事務所に駆けつけてPCを持ち帰って問題を解決するなど、迅速な対応が行われた。
永和監査法人の事務局として、総務業務からIT業務まで幅広く担当する須田 花苗子氏は
「調べてもわからない時すぐに質問してしまうのですが、いつもご丁寧に対応していただき助かっています。」
と話す。
このプロジェクトにより、永和監査法人の業務環境のセキュリティ強化が実現した。
Microsoft 365とGoogleアカウントを紐づけ、IntuneとEntra IDを使ってユーザー・端末のセキュリティを強化。管理配下にあるPC以外からのクラウド・ストレージへのアクセス制限、端末の利用状況や脅威のリアルタイム監視、端末紛失時のリモートワイプ、アプリケーションの自動配信を実現できる環境となった。同時にデータレスソリューションを採用し、ログオフや電源オフ時に貸与PC内のデータを削除する仕組みとした。貸与PCは既存の端末を継続したまま、セキュリティを強化しながらもPCの操作性はこれまでと同等に保つことができている。さらに、Microsoft Defenderのエンドポイント検出と対応(EDR)機能を使って、サイバー攻撃の痕跡を追跡し、異常な動作を自動で分析することで、攻撃が発生した際にも迅速な対応が可能となった。
BYODについては、同じくEntra IDで適切なユーザー管理を行ったうえで、AVDにより業務環境と個人環境を明確に分離し、業務環境(AVD)からのみ社内データにアクセスできる仕組みを構築した。
こうして日本公認会計士協会による書類審査も無事通過し、セキュリティ強化の第一段階が完了した。
導入後、貸与PCの使用者からは「操作性は従来の PCと変らず快適」と高評価を得ており、特に大手監査法人でVDIを使っていたユーザーからは「作業効率が格段に向上している」との声が寄せられている。
「PCセキュリティが大幅に強化された一方で、操作性は従来通り維持されており、二律背反なことを実現でき非常に満足しています。 」(荒川氏)
「全てのPCをセキュリティポリシーに準拠させるのが最初の目標です。そのなかで、どうしてもわからない部分はさとりさんに教えていただきながら、自分でも対応できるように吸収していきたいと思っています。」(須田氏)
また事務局業務と監査現場のアシスタントを兼任する水野 紗百花氏は
「セキュリティ強化前は、監査現場から“セキュリティが強化されたら面倒になりそう”というネガティブな声もありました。でも実際にやってみると“マニュアルもわかりやすいし、普通に業務できるね”という反応が多く、受け入れられていると感じています。」
と評価した。
AVDについては、これから本格的に活用が始まる段階だ。
荒川氏は「AVDに入ればその環境のみに集中できるので、むしろシンプルで使いやすいのではないかと期待しています。」と話した。
貸与PCは、今までと使い方がほとんど変わっていないので、使いにくいと話は出ていないです。
個人PCからのアクセス制限など仕組みが変化した点もありますが、さとりさんにご質問しながら適宜フォローしていければと思っています。
セキュリティ強化後も、受け入れていただいていると感じます。
また、ポータルサイトでのアプリ自動配信についても「これ便利で良いね」とポジティブな声をいただいていて、嬉しいです。
セキュリティ強化はモバイル端末に拡大、
AIによる業務効率も模索
協会基準をクリアした現在、永和監査法人は第2フェーズとしてモバイル端末のセキュリティ強化も計画している。
また、ITを活用した監査業務の効率化にも着手しており、AIを利用した監査調書の作成効率化や監査手続の高度化を目指した取り組みをはじめている。
荒川氏は今後の取組みについて、
「現在は監査品質の向上を進めている段階で、新規の上場企業向けの監査は受けていませんでしたが、今後は環境の整備と共に徐々に拡大していきたいと考えています。」
と語った。
2024年9月取材時点の内容です