SecureNaviとPwC Japan監査法人、継続的監査（Continuous Audit）およびOSCALの普及・実装促進に向けた共同研究・情報発信を開始

SecureNavi株式会社（以下、SecureNavi）は、PwC Japan有限責任監査法人（以下、PwC Japan監査法人）とこのたび、継続的監査（Continuous Audit）およびOSCALの普及・実装促進に向けた共同研究・情報発信活動を開始しました。両者は、社内規程の整備や証跡管理・監査対応など、いわゆる「文系のセキュリティ」領域の高度化・自動化をテーマに、調査研究・情報発信・セミナー開催等を共同で推進していきます。企業規模を問わず継続的監査およびOSCALの実務活用を促進し、監査の高度化・自動化の実現を目指します。

背景

一般に、セキュリティ領域は暗号技術やネットワーク防御といった「理系の技術領域」が中心と捉えられがちです。しかし、企業の情報セキュリティを実効的に機能させるうえで不可欠なのは、社内規程の整備、運用ルールの遵守、統制の文書化、第三者への説明責任といった「文系のセキュリティ」の領域です。ISMSをはじめとするマネジメントシステムや各種セキュリティ監査は、まさにこの領域を担うものです。

一方で、「文系のセキュリティ」の現場は依然として多くが人手による運用・証跡収集・監査対応に依存しています。こうした課題に応える枠組みとして、セキュリティ統制の有効性を機械可読な形で継続的に評価する「継続的監査」と、その基盤技術である米国国立標準技術研究所（NIST）推進のOSCALが、国内外で急速に注目を集めています。

こうした状況を背景に、システム監査・監査自動化において先進的な知見を持つPwC Japan監査法人と、「文系のセキュリティ」のDXを専門とするSecureNaviは、両者の連携によってこの領域に新たな価値を提供できるものと考え、今回の共同研究・情報発信活動の開始に至りました。

取り組み概要

本共同研究および情報発信活動において、両者は以下の活動を推進します。

• 共同研究の実施：継続的監査の実装モデル、およびOSCALの国内適用に関する調査・研究を共同で実施し、「文系のセキュリティ」の自動化に向けたユースケースと論点を整理します。

• 共同での情報発信： 調査研究の成果を、ホワイトペーパー、ブログ記事、各種メディアを通じて広く発信します。

• 共同セミナー・イベントの開催： 経営者、情報システム部門、監査・コンプライアンス担当者を対象に、継続的監査・OSCALの実務適用に関するセミナーを開催します。

両者のそれぞれの強みを持ち寄り、中堅・中小企業から大企業まで、幅広い対象に対して実践的かつ有用な知見を提供してまいります。

今後について

SecureNaviとPwC Japan監査法人は、本共同研究および情報発信活動を通じて、「文系のセキュリティ」領域における継続的監査・OSCALの国内議論の深化と実装の促進に貢献していきます。将来的には、共同研究の成果を踏まえたサービス提供や、業界団体・規制当局との連携も視野に、企業規模を問わずセキュリティガバナンスの質を底上げし、社会全体のレジリエンス向上に寄与することを目指します。今後の具体的な活動内容については、順次両者のウェブサイトおよび各種広報チャネルを通じてお知らせいたします。

SecureNavi株式会社 代表取締役CEO 井崎 友博 コメント

このたび、PwC Japan監査法人とともに、継続的監査（Continuous Audit）およびOSCALの普及・実装促進に取り組めることを大変嬉しく思います。

私たちは、ISMS認証やプライバシーマーク取得支援を通じて、多くの企業が証跡収集や監査対応に多くの工数を費やしている現場を見てきました。これまでセキュリティ認証や監査は、人手による証跡収集や確認作業に支えられてきましたが、継続的監査（Continuous Audit）やOSCALの普及によって、その運用をより継続的かつ効率的なものへ進化させられると考えています。本取り組みを通じて、「文系のセキュリティ」の高度化・自動化を推進し、企業規模を問わずセキュリティガバナンスの向上に貢献してまいります。

PwC Japan有限責任監査法人　上席執行役員 パートナー 宮村和谷 コメント

このたび、SecureNavi社との連携を通じて、継続的監査（Continuous Audit）やOSCALの普及・実装促進に取り組めることを大変嬉しく思います。サイバー空間におけるセキュリティ管理策の実装においては、その特性を生かすこと、すなわち、ソフトウェアや人工知能（AI）による自動化を駆使することが肝要です。機械可読な統制情報を活用した継続的かつ効率的な保証の仕組みは、社会全体のセキュリティレベル向上に不可欠であると考えております。両者の知見を結集し、日本における先進的な監査・ガバナンスの在り方を提示することで、不確実性の高い社会においてトラスト（信頼）を提供できるよう取り組みを続けてまいります。

参考情報

文系のセキュリティについて

社内規程、ルール整備、証跡管理、監査対応など、人と組織の運用によって支えられるセキュリティ領域を、両者では「文系のセキュリティ」と位置づけています。

OSCALについて

OSCAL（Open Security Controls Assessment Language）は、NIST（米国国立標準技術研究所）が開発した機械可読なセキュリティコントロールフレームワークです。

現在、多くの企業では、表計算ソフトや文書作成ソフトなどを使用して独自のフォーマットでセキュリティ対策を管理しています。しかし、コンプライアンス要件が増えるにつれて、これらの文書は複雑化し、企業間取引のセキュリティチェックや監査・審査活動が非効率化する課題が発生しています。

OSCALの基本アイデアは、ISO 27001やNISTのガイドラインなどのコンプライアンス要件に準拠するための管理策を、JSON/XML/YAMLといった機械可読フォーマットで統一的に表現することにあります。これにより、組織のコンプライアンス対応や監査プロセスが効率化され、負担の軽減につながります。

OSCALの普及が進むことで、企業や組織のコンプライアンス管理が標準化され、監査業務の自動化が可能になります。特に、企業間のセキュリティチェックや、ISMS認証を含む様々なセキュリティ認証、ガイドライン、法令・規格の準拠に関わる監査・審査業務の自動化が進み、手作業の負担が軽減されることが期待されています。

米国の政府機関がクラウドサービスを採用する際のガイドライン「FedRAMP」では、OSCAL対応の動きが進んでおり、2021年7月にはFedRAMPの要求事項をOSCAL形式で表現したコードや変換ツールが公開されました。また2025年には、FedRAMP認証の最新アプローチである「FedRAMP20x」の実証が始まっています。FedRAMP20Xの目標の一つは自動検証であり、可能な限り人間の入力なしで、クラウドサービスのステータス（脆弱性スキャン結果、構成スキャン、IAM状態、ログイベント、パッチ状況、変更履歴など）が自動的に検証され、必要なポリシーが自動的に適用されることを目指しています。これらのアプローチにより、大幅な工数削減とセキュリティ統制の継続的な適用・正確性の向上が期待されています。

日本国内においても、今後OSCALの活用が進むことで、大企業、金融、医療、公共部門などの分野での情報セキュリティ管理の効率化が期待されます。

SecureNavi株式会社 会社概要

「文系のセキュリティの悲報を、テクノロジーでいち早く解決する。」をビジョンに掲げ、情報セキュリティの課題をソフトウェアで解決する企業です。情報セキュリティ認証や規制、ガイドラインへの準拠、規程の整備・運用、監査や審査などの「文系のセキュリティ」領域をDX・高度化するソリューションを提供しています。

◼︎会社概要 

会社名：SecureNavi株式会社

代表者：代表取締役CEO 井崎 友博

設立：2020年1月

所在地：〒105-0003 東京都港区西新橋3-23-6 白川ショールームビル4F

コーポレートサイト：https://secure-navi-inc.jp/