経理部門が押さえておきたいサイバーセキュリティの留意点

Transcript

1. 経理部⾨が押さえておきたい サイバーセキュリティの留意点 公認会計⼠ 公認情報システム監査⼈(CISA) 原 幹 2025年6⽉26⽇

2. 登壇者紹介 原 幹 (HARA , Kan) 1992年 井上斎藤英和監査法⼈ 会計監査部⾨を経て、コンサルティングサービス部⾨の初期メンバーとして主に製造業を対象とした 連結決算・グループ経営管理・活動基準原価計算などのシステム企画・設計・構築を⾏う

   1998年 フューチャーシステムコンサルティング ビジネスアナリストとして、主に製造業・流通業を対象としたビジネスプロセスリエンジニアリング (BPR)実⾏⽀援・システム要件分析を⾏う 2001年 ウルシステムズ サービス業・流通業を対象としたビジネス要件分析・業務改⾰⽀援・システム要件分析を⾏う 2004年 NTTデータ システムデザイン 製造業を対象とした業務改⾰⽀援・プロジェクトマネジメント・定着化⽀援およびプロジェクト管理 システムの企画・設計・運⽤を⾏う 2007年 原幹公認会計⼠事務所 代表 株式会社クレタ・アソシエイツ 代表取締役 • 常に実践的な課題解決を展開し、多くのプロジェクトにて⾼い顧客満⾜度を得る • 会計およびIT領域での豊富な経験を有し、主要な技術要素やコンサルティングメソッドにも精通 • 「経営に貢献するITとは︖」という⼀貫した視点をベースにキャリアを形成、翻訳書およびメディアでの連載実績多数 • 専⾨領域 財務会計・内部統制・コーポレートガバナンス/ITガバナンス・プロジェクトマネジメント • 保有資格 公認会計⼠/公認情報システム監査⼈(CISA)/ 公認ITガバナンス専⾨家(CGEIT)/ Cybersecurity Audit Certificate 2

3. 登壇者紹介  「1冊でわかる! 経理のテレワーク(第2版)」(中央経済社)  「ITエンジニアとして⽣き残るための会計の知識」(⽇経BP社)  「クラウド会計」が経理を変える︕(中央経済社)  IFRS

   のきほんがよくわかる本(⾃由国⺠社)  会計⼠さんの書いた 情シスのためのIFRS(共著・翔泳社) 3

4. 本⽇お伝えしたいこと  サイバーセキュリティとは  経理業務にとってのサイバーセキュリティとは  具体的に対応するべきこととは  経理業務のデジタル化に対応した今後の⽅向性とは 4

5. ⽬次 1. サイバーセキュリティを理解する 2. 経理業務にとってのサイバーセキュリティ 3. 経理業務におけるサイバーセキュリティの留意点 4. 経理業務のデジタル化への対応と今後の動向 5

6. 1. サイバーセキュリティを理解する 6

7. サイバーセキュリティとは  サイバーセキュリティとは  情報技術(IT)を⽤いたシステム、ネットワーク、データへの不正 アクセス、損傷、盗難などの任意の外部からの攻撃や脅威から 保護する実務  サイバーセキュリティの特徴 

   企業全体に対して技術的側⾯のみならず、組織のポリシーや プロセスの側⾯からのセキュリティの要求事項を定義し、 その実⾏を推奨する  ビジネス視点および技術視点から不断の対応が必要になる 7

8. サイバーセキュリティとは  サイバーセキュリティの3要素  機密性(Confidentiality)  アクセスを許可された者だけが情報にアクセスできる  完全性(Integrity) 

   情報や情報の処理⽅法が正確で完全である  可⽤性(Availability)  許可された者が必要な時に情報資産にアクセスできる 完全性 可⽤性 機密性 8

9. 求められる対策 サイバーセキュリティの種類 PCやサーバへのデータ保管、編集、削除などの操作を⾏う際の不正・ 誤操作を防⽌する データセキュリティ システムで利⽤するIDなど、アカウントに適切な権限を付与された状 態での業務処理において適切な相互牽制や統制を実現する アイデンティティとアクセス権限の セキュリティ 会計ソフトなど、個別のアプリケーションを操作する場合のアプリ

   ケーション機能ごとの意図しない利⽤を防ぐ アプリケーションセキュリティ 社内ネットワークやインターネットを介したデータの送受信において 不正アクセスによりデータが奪取・盗難に⾄る事態を防⽌する ネットワークセキュリティ 業務で使⽤するPCなど、システムのエンドポイント(終端)で利⽤する 端末に適切なセキュリティを施してデータの奪取や悪⽤を防ぐ エンドポイントセキュリティ 重要なデータを取り扱う物理的な空間について、必要な利⽤権限を持 たないユーザーによるアクセスを物理的に防⽌する 物理セキュリティ サイバーセキュリティの類型 9

10. サイバーセキュリティの脅威  企業活動においてクラウド(インターネット上にIT資源が配置 される形態)・オンプレミス(⾃社内にIT資源が配置される形 態)などさまざまなコンピュータ活⽤がなされている  ITの活⽤に⽐例してサイバーセキュリティリスクも⾼まる  有効なサイバーセキュリティ対策をとらないと、企業の重要 データが悪⽤される可能性がある

    10

11. サイバーセキュリティ事故の事案 株式会社KADOKAWA 2025年3⽉期 第2四半期 決算説明資料 https://ssl4.eir-parts.net/doc/9468/ir_material_for_fiscal_ym10/166643/00.pdf  ランサムウェア被害による多額の損失発⽣ 11

12. サイバーセキュリティ事故の事案 株式会社KADOKAWA 2025年3⽉期 第2四半期 決算説明資料 https://ssl4.eir-parts.net/doc/9468/ir_material_for_fiscal_ym10/166643/00.pdf  ランサムウェア被害による多額の損失発⽣ 12

13. サイバーセキュリティ事故の事案  ランサムウェアの影響によるビジネスへの打撃 カシオ計算機株式会社 2025年3⽉期 第2四半期 決算概要 https://www.casio.co.jp/content/dam/casio/global/corporate/ir/library/results/2025/setumei25_2nd.pdf 13

14. ⽶国における動向  セキュリティインシデント(セキュリティを脅かす事象)に関 する情報開⽰に関する規則が採択された(2023年7⽉)  年次報告書(Form 10-K)において、サイバーセキュリティ ガバナンス体制の開⽰を要求する(2023年12⽉以降)  取締役会レベルでのサイバーセキュリティの専⾨知識について

    は開⽰が求められないが「サイバーセキュリティ脅威によるリ スクを取締役会がどのように監視するか」「サイバーセキュリ ティの脅威のリスクを評価・管理するための経営陣の役割と専 ⾨知識」については記述が必要になる  「重要性のあるサイバーセキュリティインシデント」が発⽣し たことを認めた際の臨時報告書(Form 8-K)を4営業⽇以内に開 ⽰することを新たに要求する(2023年12⽉以降) 14

15. ⽇本における動向  サイバーセキュリティの開⽰規制は現在は存在しない  「サイバーセキュリティ対策情報開⽰の⼿引き」が総務省よ り公表されている(2019年6⽉)  「情報セキュリティ報告書モデル」を2007年に公表し、情報セ キュリティの取組の中でも社会的関⼼の⾼いものについて情報 開⽰することにより、当該企業の取組が顧客や投資家などのス

    テークホルダーから適正に評価されることを⽬指す  近い将来にはサイバーセキュリティに関する開⽰規制が⽶国 に追随する形で実現される可能性がある  経理部⾨に必要なサイバーセキュリティへの対応とは︖ 15

16. ⽇本における動向  「サイバーセキュリティ対策情報開⽰の⼿引き」における 開⽰の枠組み 総務省 サイバーセキュリティ対策情報開⽰の⼿引き https://www.soumu.go.jp/main_content/000630516.pdf 16

17. サイバーセキュリティリスクへの取組み事例  株式会社エヌ・ティ・ティ・データ 17

18. サイバーセキュリティリスクへの取組み事例  旭化成グループ 18

19. サイバーセキュリティリスクへの取組み事例  DNPグループ 出典: DNPグループ CSRマネジメントトピックス 2022 https://www.dnp.co.jp/sustainability/report/pdf/topic_security.pdf 19

20. 2. 経理業務にとってのサイバーセキュリティ 20

21. 2.1 経理業務における情報管理  経理業務において、会計システムをはじめとしたITの活⽤が 広く普及した  ITに依拠した経理実務の実現  仕訳登録・伝票承認・関連書類の閲覧 

    ⽇々の経理業務において、取り扱う業務データをさまざまな セキュリティ上の脅威から適切に保護する必要がある  特にサイバーセキュリティへの配慮がこれまでより強く求め られる 21

22. 2.1 経理業務における情報管理  経理業務で取扱うデータは機密情報の集合である  取引伝票や各種証憑書類は秘匿性が⾼い  労務業務と関連する場合、従業員の個⼈情報も取り扱う  重要データを会計システムに⼊⼒した結果、データは⾼度な

    機密性と厳格な管理を要求される  機密性の要件  給与情報︓給与・賞与・扶養控除申請情報は漏洩するとプライバシーの侵害 となる  銀⾏⼝座情報︓従業員や取引先の銀⾏⼝座情報は悪⽤されるリスクが⾼い  請求書・⽀払明細︓取引先企業の機密情報(契約⾦額、条件など)が含まれる ため、漏洩は契約トラブルや信頼喪失につながる  契約情報︓契約内容は競合他社に知られると不利益になる  予算・損益情報︓経営計画や損益情報が外部に流出すると企業戦略が競合他 社に知られる  資⾦調達情報︓資⾦調達計画や財務データは市場への影響も⼤きい 22

23. 2.1 経理業務における情報管理  経理業務で取扱うデータは機密情報の集合である  取引伝票や各種証憑書類は秘匿性が⾼い  労務業務と関連する場合、従業員の個⼈情報も取り扱う  重要データを会計システムに⼊⼒した結果、データは⾼度な

    機密性と厳格な管理を要求される  管理要件  完全性︓⼊⼒時チェック・監査ログ記録・定期的なデータ検証など  可⽤性︓バックアップと復元・システム冗⻑化・保守管理など  追跡可能性︓ログ管理・監査証跡など  法規制遵守︓記録保存期間の厳守・電⼦帳簿保存法対応など  データ更新・削除の明確化︓データロック・変更承認プロセスなど 23

24. 2.2 経理業務のデジタル化の波  経理業務⾃体に⾃動化の波が訪れている  慢性的な⼈材不⾜を受けた業務効率向上の要請  進化した会計システムにおいて、ITの持つ能⼒や可能性を⽣か すことができるようになった 

    銀⾏⼝座やクレジットカードサービスと連携した取引登録の⾃動化  証憑記載事項を読み取り解析しての取引内容への反映  販売システムからの請求データの連携 24

25. 2.2 経理業務のデジタル化の波  クラウド会計ソフトとは  クラウドサービスとして会計帳簿作成機能を提供する  AIの利点を⽣かした実装サービスとして2012年頃から台頭  SaaS(Software

    as a Service)の経理業務領域への適⽤事例  AIの機能を会計領域に適⽤した先進事例として注⽬ 25

26. 2.2 経理業務のデジタル化の波  クラウド会計ソフトの主な機能  仕訳作成を⾃動化する  カード明細や銀⾏⼊出⾦から仕訳の費⽬を⾃動化  機械学習による勘定科⽬の推測

     帳簿チェック  整合性の確認  帳簿残⾼と明細の整合  基準適合性の確認  10万円を超えた場合の消耗品費の計上  ボトルネックの発⾒  申請データの傾向分析  ワークフロー  取引の発⽣から消滅までを⼀元管理  ⾼速な新機能追加と進化を繰り返すのが特徴 26

27. 2.3 会計データの特性  会計データは期間⽐較の要請に対応して頻繁に過去のデータ が参照される  単⽉⽐較・累計⽐較・前年同⽉⽐較など  常に最新データと過去データを閲覧できる環境で管理される 必要がある

     税務調査における過去帳簿データのタイムリーな参照など  ⼀部のデータがセキュリティ上の問題で⽋落した場合、⽐較 可能なデータを提供できなくなるため会計データの有⽤性を ⼤きく疎外する 27

28. 2.4 ⾃動化推進に伴うサイバーセキュリティリスク  ITによる⾃動化の推進にはリスクがある  機密情報を適切に処理できないリスク  法令等を遵守せずに処理してしまうリスク  誤った処理を⼤量・⾼速に⾏ってしまうリスク

     正確な取引データの登録を達成するために、業務の各ポイン トでチェックを実施し、処理の正確性を確保する必要がある  ⾃動化とチェックのバランスを適切にコントロールしなけれ ば、誤処理のリスクが格段に⾼まる 28

29. 2.5 内部統制報告制度とIT統制の関係及び要求事項  公開企業においては財務諸表作成者が財務報告に係る内部統 制を適切に整備・運⽤する責任を有し、定期的な⾃⼰評価と 第三者による監査を実施することが義務づけられる  「内部統制評価」「内部統制監査」の実務において 「ITの利⽤」に関する統制評価が主要テーマの⼀つ 

    具体的には、適切な統制が整備・運⽤なされていることを企 業⾃らが検証し、かつ第三者による監査を受ける必要がある 29

30. 2.5 内部統制報告制度とIT統制の関係及び要求事項  「財務報告に係る内部統制の評価及び監査の基準並びに財務 報告に係る内部統制の評価及び監査に関する実施基準の改訂 について(意⾒書)」(いわゆる実施基準)が2023年4⽉に改定  ITの委託業務に係る統制の重要性が増していることを踏まえ サイバーセキュリティリスクの⾼まりを背景とした情報シス テムに係るセキュリティ確保の重要性を⽰す

     内部統制評価および監査の観点からもサイバーセキュリティ リスクが重視される潮流がある 30

31. 2.5 内部統制報告制度とIT統制の関係及び要求事項  財務報告に係るIT統制における評価・監査対象  ITに係る業務処理統制  “業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録 されることを確保するために業務プロセスに組み込まれたITに係る内部統制” 

    ⼊⼒情報の完全性、正確性、正当性等を確保する統制  例外処理(エラー)の修正と再処理  マスタ・データの維持管理  システムの利⽤に関する認証、操作範囲の限定などアクセスの管理  IT全般統制  “業務処理統制が有効に機能する環境を保証するための統制活動を意味 しており、通常、複数の業務処理統制に関係する⽅針と⼿続”  システムの開発、保守に係る管理  システムの運⽤・管理  内外からのアクセス管理などシステムの安全性の確保  外部委託に関する契約の管理 財務報告に係る内部統制の評価及び監査の基準並びに 財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意⾒書) https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html 31

32. 2.5 内部統制報告制度とIT統制の関係及び要求事項  監査基準委員会報告315号(A162)  “ITの利⽤から⽣じるリスクの程度及び内容は、識別されたITア プリケーション及び関連するその他のIT環境の内容及び特徴に より異なる。”  “企業がIT環境の⼀部について外部⼜は内部のサービスプロバイ

    ダを利⽤する場合は、関連するITリスクが⽣じる可能性がある 。”  “ITの利⽤から⽣じるリスクは、サイバーセキュリティに関連し て識別されることもある。”  “⾃動化された情報処理統制の数⼜は複雑性が増すほどITの利⽤ から⽣じるリスクが⾼まる可能性は⼤きくなり、取引の適切な 処理⼜は取引の基礎となる情報のインテグリティの適切な維持 のために、経営者が関連する内部統制に依拠する程度が⾼いほ ど、ITの利⽤から⽣じるリスクも⾼まる可能性が⼤きくなる。” 監査基準報告書315「重要な虚偽表⽰リスクの識別と評価」 https://jicpa.or.jp/specialized_field/publication/kansa/ 32

33. 2.5 内部統制報告制度とIT統制の関係及び要求事項  監査基準委員会報告315号 (付録5 ITを理解するための考慮事項)  “通常、サイバー事故は、社外との接点から内部のネットワーク の階層を通じて発⽣し、財務諸表の作成に影響を与えるITアプ リケーション、データベース及びオペレーティング・システム

    からはかなり離れているという点を認識することが重要”  “財務報告に影響が及ぶ可能性がある場合、監査⼈は財務諸表に おける潜在的な虚偽表⽰の影響若しくは範囲を判断するために 、関連する内部統制を識別し評価するか、⼜は企業がそのよう なセキュリティ侵害に関して適切な情報開⽰をしているかを判 断することがある。” 監査基準報告書315「重要な虚偽表⽰リスクの識別と評価」 https://jicpa.or.jp/specialized_field/publication/kansa/ 33

34. 2.5 内部統制報告制度とIT統制の関係及び要求事項 テクノロジー委員会研究⽂書第10号「サイバーセキュリティリスクへの監査⼈の対応(研究⽂書)」 図１ 監査上留意すべきリスクと影響 34

35. 2.5 内部統制報告制度とIT統制の関係及び要求事項  適切な統制の例  会計システムにおけるアカウント管理を徹底する  適切なアカウント管理によって不正や誤謬を防⽌する  仕訳改ざんのリスクに対応する

     適切な内部牽制により、仕訳データ作成者が悪意で改ざんすることを防⽌  システムの可⽤性を確保する  業務時間帯であるなしを問わず、常に経理業務のデータが閲覧・編集できる ように安定したシステム環境を提供する  役割は主にIT部⾨が担うため、繁忙期間中に業務が⻑時間停⽌することのな いよう、平常時から適切な対策が必要になる  適時なバックアップとリカバリ  仮に会計システムが停⽌するなど、継続的に利⽤できない状況が発⽣した場 合に、直ちにバックアップデータから復元して業務を再開できる 財務報告に係る内部統制の評価及び監査の基準並びに 財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意⾒書) https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html 35

36. 2.5 内部統制報告制度とIT統制の関係及び要求事項  実施基準における主な要求事項  ITに係る全般統制が、例えば次のような点において有効に 整備及び運⽤されているか評価する  システムの開発、保守 

    システムの運⽤・管理  内外からのアクセス管理などのシステムの安全性の確保  外部委託に関する契約の管理  経営者は、識別したITに係る業務処理統制が、適切に 業務プロセスに組み込まれ、運⽤されているかを評価する  ⼊⼒情報の完全性、正確性、正当性等が確保されているか  エラーデータの修正と再処理の機能が確保されているか  マスタ・データの正確性が確保されているか  システムの利⽤に関する認証・操作範囲の限定など適切なアクセス管理がな されているか 財務報告に係る内部統制の評価及び監査の基準並びに 財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意⾒書) https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html 36

37. 3. 経理業務における サイバーセキュリティの留意点 37

38. 3.1 経理業務におけるサイバーセキュリティとは  経理業務⾃体がサイバーセキュリティのリスクに⽇々晒され ている  ⽇々の業務処理のなかで必要⼗分なレベルでサイバーセキュ リティを意識しつつ、正確なデータをタイムリーに作成する 必要がある 38

39. 経理業務での対応施策 求められる対策 サイバーセキュリティの種類 • バックアップ・リカバリの定期的なテストを 実施する • クラウドサービスにおけるユーザーデータを 保全するできるか事前検証する PCやサーバへのデータ保管、編集、削除などの操

    作を⾏う際の不正・誤操作を防⽌する データセキュリティ • 重要なアカウントを厳格に運⽤する • 退職者のアカウントを放置しない • 認証情報を運⽤ルールに即して厳格に管理す る • クラウドサービスのアカウントを厳格に管理 する システムで利⽤するIDなど、アカウントに適切な 権限を付与された状態での業務処理において適切 な相互牽制や統制を実現する アイデンティティと アクセス権限のセキュリティ • データ処理要件を⾒直す 会計ソフトなど、個別のアプリケーションを操作 する場合のアプリケーション機能ごとの意図しな い利⽤を防ぐ アプリケーション セキュリティ • ファイルサーバに⼀時ファイルや不要な ファイルを放置しない • メールでの重要ファイルの送受信を避ける • 社外作業で不⽤意なセキュリティリスクに晒 さない 社内ネットワークやインターネットを介したデー タの送受信において不正アクセスによりデータが 奪取・盗難に⾄る事態を防⽌する ネットワーク セキュリティ • 端末を紛失されても業務に影響しないよう対 策をとる • 端末⾃体のセキュリティを最新に保つ 業務で使⽤するPCなど、システムのエンドポイン ト(終端)で利⽤する端末に適切なセキュリティを 施してデータの奪取や悪⽤を防ぐ エンドポイント セキュリティ • スキャン画像やプリントアウト書類を放置し ない • 第三者に覗き込まれるような場所で作業しな い 重要なデータを取り扱う物理的な空間について、 必要な利⽤権限を持たないユーザーによるアクセ スを物理的に防⽌する 物理セキュリティ • コンプライアンスを適切に理解する • セキュリティ教育を適切に実施する その他 3.1 経理業務におけるサイバーセキュリティとは 39

40. 3.2 データセキュリティ  施策  ビジネスの継続性を意識したバックアップ・リカバリの定期的 なテストを実施する  概要 

    会計データは企業の業績を表す重要情報であり、不⽤意な データ喪失や改変は許容されない  そのため⽇次・週次・⽉次といった定期的なデータバックアッ プを実施し、不慮の事態が起きた際にバックアップデータから 適時に復元できる対応が求められる  バックアップやリカバリの設定で終わることなく、定期的な復 元テストを実施することで重⼤なビジネスリスクに対応できる 40

41. 3.2 データセキュリティ  施策  クラウドサービスにおけるユーザーデータを保全できるか 事前検証する  概要 

    クラウドサービスを⽤いた経理処理を⾏っている場合には、セ キュリティリスクの⼤半がシステムベンダーの責任範囲になる  ⼤規模なシステムトラブルが起きた際に、⾃社の預けたデータ を直ちに復元または再現し、業務を直ちに再開できるかどうか を事前に確認する必要がある  クラウドベンダーのサービス仕様や利⽤規約を精査し、ユーザ ーデータの取り扱いをレビューして必要な対処が可能であるこ とを確認する 41

42. 3.3 アイデンティティとアクセス権限のセキュリティ  経理業務で作成する会計データの要請  「誰が」「いつ」「どのような」データを作成したものかを 追跡できるようにする(「データトレーサビリティ」)  データトレーサビリティの要請に応えるために 「いつ」「誰が」を特定するためのアイデンティティや

    アクセス権限が適切に管理されているかどうかが必須の要件に なる 42

43. 3.3 アイデンティティとアクセス権限のセキュリティ  施策  重要なアカウントを厳格に運⽤する  概要  ネットバンキングサービスやクレジットカードサービス(業務に

    直結する重要度の⾼いサービス)について、アカウント情報は経 理部⾨内で限定されたメンバーのみで共有し、その利⽤に関し てはより厳格なセキュリティが求められる  会計システムで利⽤するユーザーIDなど、部⾨内で共有して使 ⽤するアカウントについては担当者間で便宜的にアカウントを 共有するケースがあるが、システム操作した⼈物を特定できな くなるため⾏うべきではない(作成者と承認者が同じアカウント を使い回すようなケースは適切な内部牽制を無効化する)  管理者権限を持つアカウントは特定の⼈物に集中しがちなため 、複数の責任者を割り当ててローテーションなどの配慮をする ことで相互牽制を実現し、不正アクセスを防⽌する 43

44. 3.3 アイデンティティとアクセス権限のセキュリティ  施策  退職者のアカウントを放置しない  概要  退職者のアカウントがいつまでも使えてしまうと、会社の重要

    データに部外者がアクセスできるという状態が継続してリスク が⾼まる  ⼊退社のフローの中でアカウント「付与」と「停⽌」のプロセ スを適切に組み込むことで適時に退職者のアカウントを削除す ることでサイバーセキュリティリスクを低減できる 44

45. 3.3 アイデンティティとアクセス権限のセキュリティ  施策  認証情報を運⽤ルールに即して厳格に管理する  概要  会計システムを利⽤する際の認証情報としての任意のパスワー

    ドを設定する際に容易に推測可能な⽂字列を使わず、複雑な⽂ 字列を使うことで悪意のユーザーによる突破を防⽌する  利⽤するサービスごとに異なるパスワードを設定する(他の業務 システムやクラウドサービスと共通のパスワードを使うことで パスワードが漏洩時の影響範囲がより拡がり、不正に利⽤され るリスクが⾼まる) 45

46. 3.3 アイデンティティとアクセス権限のセキュリティ  施策  認証情報を運⽤ルールに即して厳格に管理する  概要  推測可能なパスワードを設定していた場合でも、多要素認証

    (MFA) を適切に設定することでセキュリティ強度を⾼めること ができるため、重要なサービスやシステムを使う場合には積極 的に設定する  業務で利⽤するパスワードの設定ルールについては、適切なパ スワードポリシーに基づいて適切に設定する  パスワードは各⼈が責任を持って管理する(⼈間の記憶⼒には限 界があるため、パスワード管理ツールなどの活⽤を推奨) 46

47. 3.3 アイデンティティとアクセス権限のセキュリティ  施策  クラウドサービスのアカウントを厳格に管理する  概要  SaaS(Software

    as a Service)を含むクラウドサービスは、アプ リケーション機能⾃体がインターネットに配置されてユーザー は必要な機能がインターネットを介して提供される  アプリケーションセキュリティの⼤半をベンダーの責任範囲に 委ねられる半⾯、ユーザーとしての利⽤にあたってもサイバー セキュリティリスクに適切に対応する必要がある  アカウント管理を適切に⾏い、悪意のユーザーがサービスにア クセスすることを防⽌する  クラウドサービスはインターネット接続を介してソフトウェア 機能を利⽤するため、ネットワーク環境におけるセキュリティ リスクにも留意する 47

48. 3.4 アプリケーションのセキュリティ  施策  会計アプリケーションにおけるデータ処理要件を⾒直す  概要  会計アプリケーションにおける「⼊⼒→処理→出⼒」という

    ⼀連のプロセスにおいて、適切なセキュリティ対策が施されて いるかどうかを事前に確認する 48

49. 3.4 アプリケーションのセキュリティ  データ「⼊⼒」段階での留意点  ⼊⼒を想定されない⽂字列が⼊⼒可能になっていないこと  実⾏可能なコードがデータとして⼊⼒されることでシステムの 動作に影響を及ぼすことがある 

    明細データ  証憑書類 ⼊⼒  伝票起票  仕訳登録  仕訳承認 処理  仕訳⽇記帳  残⾼試算表  決算書  注記情報 出⼒ 加⼯ 加⼯ • ⼊⼒を想定されない ⽂字列が⼊⼒できないか︖ • 実⾏可能なコードが ⼊⼒できないか︖ 49

50. 3.4 アプリケーションのセキュリティ  データ「処理」段階での留意点  ⼊⼒した会計データが適切に反映され、元帳や取引記録 データが最新の状態になっていること  セキュリティ不備が原因で適切に処理が⾏われないと、帳簿 データの⼀貫性が損なわれる

     明細データ  証憑書類 ⼊⼒  伝票起票  仕訳登録  仕訳承認 処理  仕訳⽇記帳  残⾼試算表  決算書  注記情報 出⼒ 加⼯ 加⼯ • ⼊⼒を適切に反映しているか︖ • 取引データは⼀貫しているか︖ 50

51. 3.4 アプリケーションのセキュリティ  データ「出⼒」段階段階での留意点  ⾏った操作に対して適切な出⼒画⾯・帳票が表⽰できること  ⼀貫性のある最新のデータに基づき、法令に準拠した書類を 表⽰・出⼒できることは必須の業務要件である 

    エラーログにより不正アクセスの発⾒につながる  明細データ  証憑書類 ⼊⼒  伝票起票  仕訳登録  仕訳承認 処理  仕訳⽇記帳  残⾼試算表  決算書  注記情報 出⼒ 加⼯ 加⼯ • 適切な画⾯・帳票が出⼒されるか︖ • 法令に準拠した書類を表⽰するか︖ • エラーログを出⼒できるか︖ 51

52. 3.5 ネットワークセキュリティ  施策  ファイルサーバに⼀時ファイルや不要なファイルを放置しない  概要  処理の過程で⼀時的に作成したファイルを部⾨の共有フォルダ

    やクラウドストレージにアップロードする場⾯は⽇常的にある  ファイルが作業終了後も放置されることで、会社の重要データ が閲覧する必要のない社内メンバーが閲覧してしまうリスクが ある  アップロード後⼀定期間が経過したら⾃動削除される仕様のストレージを⽤ いる  作業完了後はアップロードされたファイルの棚卸を⾏って不要ファイルを削 除するフローを実施する  作業中を除いて業務ファイルは共有ストレージに保存し、ローカルストレー ジに原則として保存しない  クラウドストレージのバージョン管理機能を適切に活⽤する ことで、⼀時ファイルが乱⽴する状況を回避する 52

53. 3.5 ネットワークセキュリティ  施策  メールでの重要ファイルの送受信を避ける  概要  電⼦メールでファイルを送受信する操作は、ファイルオブジェ

    クト(⽂書やワークシート)そのものがインターネットなどの ネットワーク上を流通する  ネットワークの情報が奪取されてしまうと重要データが漏洩 するリスクがある  「ファイルそのものをメールに添付して送信する」という 慣習⾃体を⾒直す  クラウドストレージサービスを⽤いて「期限付きの共有リンク」を使⽤する ことで、ファイルオブジェクトをやりとりしないようにする  リンクを「期限付き」にすることで⼀定期間後にリンクが消失しアクセス不 能になるため、不正アクセスに対するセキュリティを⾼めることが可能 53

54. 3.5 ネットワークセキュリティ  施策  社外作業で不⽤意なセキュリティリスクに晒さない  概要  社内ネットワークの整備はIT部⾨の管掌になるため、経理部⾨

    では独⾃にセキュリティへの配慮は求められない  社外で作業する状況になった場合には適切なセキュリティへの 対応を⾏う  セキュリティの脆弱なアクセスポイントを利⽤しない  会社の貸与するセキュリティ対策の施されたモバイルルーターのみを使⽤す る 54

55. 3.6 エンドポイントセキュリティ  施策  端末を紛失されても業務に影響しないよう対策をとる  概要  ノートブックPCを貸与配付している場合には、PCの紛失対策を

    適切にとる必要がある  ローカルストレージの暗号化処理を義務づけて仮に紛失した場合でもデータ の内容を閲覧できないようにする  社内の⼊退室管理が適切になされていない場合は侵⼊者により PCを持ち去られるケースも考えられる  PC端末のワイヤーロックにより物理的に持ち出せないようにする 55

56. 3.6 エンドポイントセキュリティ  施策  端末⾃体のセキュリティを最新に保つ  概要  ⽇々の業務で利⽤するPCなどの端末もセキュリティリスクに適

    切に対応する  定期的なウィルスチェックを実施する  OSやアプリケーションの定期的なアップデートを⾏う  端末のセキュリティ対応は、全社ポリシーに基づくアップデートのルールが ある場合はそれに従う 56

57. 3.7 物理セキュリティ  施策  スキャン画像やプリントアウト書類を放置しない  概要  スキャンした書類データがサーバーに残っている、プリントア

    ウトした書類が複合機やプリンタに放置されているといった事 象は、基本的なセキュリティ意識を持つことで回避できる  ⽇常的に起きる確率が⾼いため、常に留意する 57

58. 3.7 物理セキュリティ  施策  第三者に覗き込まれるような場所で作業しない  概要  経理部⾨がPCやモバイル端末を社外に持ち出して作業すること

    は、ソーシャルハッキングや盗難リスクを考慮すると原則とし て推奨されない  リモートワークの普及にともないPCの社外利⽤は柔軟に求めら れるようになったが、必要⼗分なセキュリティ対策は講ずる  のぞき⾒防⽌シートの使⽤義務付け  USBメモリの原則使⽤禁⽌ 58

59. 3.8 その他セキュリティ全般  施策  コンプライアンスを適切に理解する  概要  サイバーセキュリティに適切に対応するためには、経理業務と

    して対応が必要な法令を⼗分に理解する必要  関係諸法令を担当者や責任者に⼗分に周知されることで、必要 な対応を事前に図ることが可能になる  個⼈情報保護法  内部統制実施基準(特に評価・報告パート) 59

60. 3.8 その他セキュリティ全般  施策  セキュリティ教育を適切に実施する  概要  全社的なセキュリティ教育プログラムがあれば、経理部⾨もそ

    の中で知識習得機会を活⽤する  メンバー各⾃が必要⼗分なITリテラシーを持つことで、経理業 務を不必要なセキュリティリスクに晒す可能性を低減すること ができる  ⾝近なサイバーセキュリティリスクの脅威は基礎的な知識を持 っておくことで回避することができる  標的型メールやフィッシング詐欺など  定期的な訓練実施、参加率管理を⾏う 60

61. 4. 経理業務のデジタル化への対応と 今後の動向 61

62. 4.1 経理業務の本質とAIの適⽤可能性  データ加⼯業務としての経理業務  明細データ  証憑書類 ⼊⼒ 

    伝票起票  仕訳登録  仕訳承認 処理  仕訳⽇記帳  残⾼試算表  決算書  注記情報 出⼒ 加⼯ 加⼯ 62

63. 4.1 経理業務の本質とAIの適⽤可能性  テキストマイニング  ⼤量のテキスト情報から統計的⼿法に基づく⾔語処理 アルゴリズムを適⽤してデータを処理する⽅法  コンピュータを使って⼤量のテキストデータを分析し、 データに内在する有⽤な情報を抽出する技術

     「データマイニング」の適⽤領域のひとつとして普及した  マーケティング分野の利⽤が活発だが、経理領域においても 効果が実証されている  経理業務は「情報」を取り回す業務である  ⼤量にデータを蓄積・分析・活⽤する環境として最適 63

64. 具体例 期待効果 利⽤場⾯ ユースケース • AI-OCRで請求書を読み取り、必要な情報 を⾃動で抽出する • 仕訳ルールに基づき、⾃動で勘定科⽬や⾦ 額を仕訳に反映する

    • 承認フローをシステム化し、ペーパーレス を実現する • ⼿⼊⼒の削減 • 処理時間の短縮 • ⼊⼒ミス防⽌ • 請求書の受領 • データ抽出 • 仕訳作成 • 仕訳承認 請求 • スマートフォンアプリで経費申請、領収書 を撮影してアップロードする • AIが領収書の内容を読み取り、⾃動で経費 データを作成する • 承認フローをシステム化し、ペーパーレス を実現する • ⼿⼊⼒の削減 • 処理時間の短縮 • 不正防⽌ • 経費申請 • 領収書処理 • 経費承認 経費精算の⾃動化 • 銀⾏⼝座やクレジットカードの明細を⾃動 で取り込む • AIが明細の内容を分析し、⾃動で仕訳を作 成する • 会計ソフトと連携し、⾃動で帳簿に記帳す る • ⼿⼊⼒の削減 • 転記ミス防⽌ • リアルタイムな財務状況把握 • 仕訳の⾃動転記 • 残⾼試算表の作成 会計帳簿作成 • 会計ソフトのデータをAIが分析し、財務諸 表を⾃動作成する • 過去のデータからKPIの推移を予測する • 異常値を検知し、アラートを出す • 分析時間の短縮 • 精度の向上 • 意思決定の迅速化 • 財務諸表の作成 • KPI分析 • 経営状況の予測 財務分析 • チャットボットでよくある質問に ⾃動回答する • AIが過去の問い合わせ履歴から最適な回答 を提案する • 担当者の負担軽減 • 回答時間の短縮 • 顧客満⾜度向上 • 社内からの経理に関 する問い合わせ 問い合わせ対応 4.1 経理業務の本質とAIの適⽤可能性 64

65. 4.1 経理業務の本質とAIの適⽤可能性  会計処理の⾃動化  ⽣成AIは⾃然⾔語処理を得意とするため、従来システムでは⾃動化が難 しかった「より複雑な会計処理」「⾮定型的な処理」の⾃動化にも活⽤ が期待される  取引内容をAIが解釈して適切な勘定科⽬を選択し、仕訳を作成する

     ⾼度な不正の発⾒  過去の不正取引のデータを使ってAIを学習させることで、リアルタイム で不正の可能性が⾼い取引を検知する  不正の条件を⾃然⾔語で指定することが可能になる  ただし「質の⾼い不正データ」を⼗分に学習する必要がある  会計システムへのAI搭載  将来的にAIが取引を判断して会計処理を⾏う会計システムの開発へ期待  取引データを⾃動的に解釈し、適切な会計処理を⾃動的に実⾏する  経理担当者は例外処理やより⾼度な分析業務に集中することが可能 65

66. 4.1 経理業務の本質とAIの適⽤可能性  LLM(Large Language Model ⼤規模⾔語モデル)  ⼤量のテキストデータから学習したAIで、⼈間のように⾃然な ⾔語を理解し⽣成する

     質問応答、⽂章作成、翻訳など様々なタスクに対応する  RAG(Retrieval-Augmented Generation 検索拡張⽣成)  LLM⾃体は公開情報に基づく学習モデルであることから ⽣成できるデータに限界がある  LLMに加えて、固有情報や組織内コンテキストを追加学習 することでより⾼度な⽣成を可能にする  これにより、ハルシネーションの解消にもつながる 66

67. 4.1 経理業務の本質とAIの適⽤可能性  LLMとRAGの違い RAG LLM 特徴 外部の情報源(データベース、 検索エンジンなど)をリアル タイムに参照する

    事前学習で得た知識を基にタ スクを遂⾏する 知識の扱い⽅ 外部情報源を参照するため、 常に最新情報に基づいた回答 が可能 学習時点までの知識しか持た ないため困難 最新情報の反映 参照した情報源を提⽰できる ため、透明性が⾼い 回答の根拠を明⽰することが 困難 回答の透明性 67

68. 4.1 経理業務の本質とAIの適⽤可能性  ”多くの企業やエンジニアがRAGにチャレンジしている⼀⽅で RAGの精度向上に苦⼼している“  “⽣成AIを推進するリーダーは、ステークホルダーとの間で 期待値コントロールをうまく⾏うことが重要” https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20240807-future-oriented-infra-tech-hc 68

69. 4.1 経理業務の本質とAIの適⽤可能性  三菱商事の経理業務改⾰  開⽰資料作成に必要となる保証債務に関する情報を契約書等の ⽂書から抽出  ⽀払調書を作成するにあたり請求書から「会社名」や「摘要」 などの情報を抽出し、提出要否を判定

    https://enterprisezine.jp/news/detail/20112 69

70. 4.1 経理業務の本質とAIの適⽤可能性  AIを適⽤しやすい業務領域(財務会計)  ⼊⼒業務  仕訳起票の⾃動化  集計業務

     整合性チェック  B/S残⾼と明細資料  P/L残⾼と明細資料  総勘定元帳と増減明細期末残⾼  統制チェック  仕訳登録と承認  承認エラーや異常データの検知  出⼒業務  表⽰チェック  基準の準拠性  財務諸表本表と注記情報の整合性チェック  変更の影響チェック 70

71. 4.1 経理業務の本質とAIの適⽤可能性  AIを適⽤しにくい業務領域(財務会計)  ⾼度な判断業務  会計費⽬の選定が困難  仕訳⾃体の⽣成が困難

     税務⾯での判断が必要  特徴  複雑・少量・⾃動化が困難な処理  ⾮定型・判断が必要な処理  開⽰にあたっての重要性判定  キャッシュ・フロー「その他」の内訳分析  ただし、⽣成AIの活⽤によりこれらの制約も克服されていく ⾒込み 71

72. 4.2 DXの⽬指すべき姿 既存事業 新規事業/事業変⾰ デジタル トランスフォーメーション (DX) A B C

    デジタイゼーション デジタライゼーション × △ ◦ ◦ 出所:「ソフトウェア・ファースト」図3-10をもとに作成 Aの位置の組織: いきなりDX推進することを考えずまずは「B」「C」の位置を狙う Bの位置の組織: デジタライゼーションの途中なのでDX推進を始めてもいいがかなりの覚悟が必要 Cの位置の組織: デジタイゼーション/デジタライゼーションが完了しているのでDXを進めやすい ◦ 72

73. 4.2 DXの⽬指すべき姿  デジタイゼーション(Digitization)  データのデジタル化  いままでアナログで扱っていたものをデジタル情報として扱う  デジタライゼーション(Digitalization)

     プロセスのデジタル化  紙を前提とした仕事の進め⽅がデジタルを前提として運⽤する  デジタルトランスフォーメーション (Digital Transformation)  ビジネスモデルのデジタル化  データ・プロセスのデジタル化を前提として、ユーザーに新た な価値を提供する事業を⽣み出す ※及川卓也著「ソフトウェア・ファースト」の定義に基づく 73

74. 4.3 経理業務のDXとは  経理業務の価値＝ 「情報の加⼯・集計を通じて情報に付加価値をつける」 ⾮構造化 ⾮整形 散在 構造化 整形

    集中 書類 明細 モノ 会話 データ 加⼯・集計 74

75. 4.3 経理業務のDXとは  社内に散在する情報をとりまとめる  元情報は⾮定型・⾮構造化・分散保存されている  元情報を定型・構造化・集中保存する  複式簿記のルールに基づいてデータを整理する

     構造化・集中保存されたデータから仕訳を起票する  定型化された仕訳は容易に起票可能  ⾮定型的な仕訳は専⾨知識をもとに起票する必要がある  ⼀定の形式で判断可能な情報を出⼒する  仕訳帳  総勘定元帳  試算表  決算書(本体および注記) 75

76. 4.3 経理業務のDXとは  正確性  業務習熟度に⽐例する  ダブルチェックによる正確さの確保  信頼性

     検証を経た数値  相互チェックによる品質確保  ⾼速性  タイムリーな成果物の作成  ⼈間が補完できる領域に注⼒  AIの⽀援により、⾼い業務品質を実現できる 正確性 信頼性 ⾼速性 76

77. 4.4 サイバーセキュリティへの対応による経理業務の安定化  DXを正しく推進しサイバーセキュリティへの対応を⾏うこと で、重要業務データを保護しつつ安定した品質で経理業務を 運⽤することが可能になる 77

78. 4.4 サイバーセキュリティへの対応による経理業務の安定化  経理⼈材が今後⽬指すべき⽅向性︓ ストック型知識からフロー型知識へ  いままで  会計基準(ストック)から知識を得る 

    ストック型知識を適⽤して判断する  これから  会計基準はAIが解釈する(⼀時判断は対応可能)  他社事例、解釈事例など最新情報を検索する(フロー型知識)  フロー型知識を適⽤して実務判断を⾏う 78

79. 4.4 サイバーセキュリティへの対応による経理業務の安定化  経理⼈材が習得するべき知識領域とスキルセット  ビジネス  会計・税務の基本知識  事務処理能⼒

     チーム内コミュニケーション  異⽂化コミュニケーション  海外拠点対応  連結決算対応  テクノロジー  ITサービスやツールを活⽤する  プログラミングスキルも推奨される  サイバーセキュリティの知識は業務の前提知識としても求められる 79

80. まとめ  サイバーセキュリティとは  経理業務にとってのサイバーセキュリティとは  具体的に対応するべきこととは  経理業務のデジタル化に対応した今後の⽅向性とは 80

81.  Web  https://harakancpa.com/  https://harakancpa.com/blog/  X(Twitter)  https://x.com/harakancpa/

     LinkedIn  https://www.linkedin.com/in/harakan/  本資料における会社名・製品名・サービス名・ロゴ等は、それぞれ各社の商標または登録商標です。  本資料に掲載されている全ての画像・⽂章・情報等は著作権により保護されています。  本資料の⼀部または全部を無断で転載、または複製など、他の⽬的に使⽤することを固くお断りいたします。  第三者への提供、インターネットでのアップロード、SNSなどでの共有等もご遠慮ください。  本セミナー資料の作成にあたり、Google Gemini 2.5/Google Notebook LLM/ChatGPT 4o/Claude 4 SonnetのAIサービスを 補助的に使⽤しています。情報の正確性については可能な範囲で検証しておりますが、完全な信頼性を保証するものではありま せん。 Contact us 81