アマゾン ウェブ サービス ジャパンは昨年の夏、「AWS Startup.fm」にて IPO に関する悩みを抱えるスタートアップ企業の方々に向けて「上場を目指すスタートアップ必見！『上場準備で技術部門が取り組むべきセキュリティ対策と内部統制（IT 統制）』」を実施しました。その第 2 弾として、2023 年 3 月 16 日に実践編のイベントを開催しました。

今回の実践編では、上場コンサルティングを行うブリッジコンサルティンググループ株式会社や 2022 年 6 月に上場を果たした株式会社ヌーラボの方々を招聘。IPO における IT 統制対応の早期着手の意義やクラウド上でのセキュリティ対策を進める方法、具体的な運用方法のデモンストレーションなどをイベント内で紹介しました。ここでは、そのレポートをお届けします。

本セッションの一部をYoutubeにて、株式会社ヌーラボ セッション資料、AWS セッション資料を左記リンクにて公開をしております。

＜スピーカー＞

本田 琢磨 氏：ブリッジコンサルティンググループ株式会社 執行役員 BOS事業部長

大野 一樹 氏： ヌーラボ株式会社 Site Reliability Engineer サービス開発部 SRE課

尾原 颯 ： アマゾンウェブ サービスジャパン合同会社 Solutions Architect スタートアップ事業本部

IPO 準備と IT セキュリティ

本田 琢磨 氏：ブリッジコンサルティンググループ株式会社 執行役員 BOS 事業部長

最初に登壇したのは、ブリッジコンサルティンググループ社の本田 氏。同社は、公認会計士人材の知見・経験を活用した経営支援サービスを展開するプロフェッショナルファームです。本田 氏は発表する項目として「ビジネスリスクと IT リスク」「IPO 準備の中での技術部門の関わり方」「監査基準委員会報告書 315 の概要」を挙げ、順に解説しました。

まずは「ビジネスリスクと IT リスク」について。企業が経営を行ううえでは、外部要因・内部要因さまざまな種類のリスクが発生しえます。そのうち、IT リスクに対応するために重要なのが、本イベントのテーマである内部統制です。これは、企業が健全かつ効率的に事業を運営するために、必要なルールや業務プロセスを整備して運用することを意味します。

次に「IPO 準備の中での技術部門の関わり方」について触れました。IPO 準備の過程で、企業は証券取引所に数多くの申請書類を提出します。そして、基本的には主幹事証券会社がチェックを行い、財務数値に関連する部分は監査法人がチェックします。これらのチェックの際には、主に上場準備室や CFO が主幹事証券会社・監査法人と対峙して説明を行うことになります。

監査法人の担当者は会社の業務システムを理解したうえで、リスクを把握したいと考えています。その前提をふまえて「システムに関連する情報は技術部門が最も深く理解しているからこそ、技術部門の方々は積極的に監査法人の担当者とコミュニケーションをとってほしい。そうすることで、監査がスムーズに進む」と本田 氏はアドバイスしました。

さらに「監査基準委員会報告書 315 の概要」について解説しました。監査基準委員会報告書とは、公認会計士・監査法人の財務諸表監査における実務指針が記載されたものです。その 315 番には、財務諸表の重要な虚偽表示リスクを識別し、評価することの実務上の指針が記載されています。この指針のなかに、監査における評価内容として IT システムや内部統制の整備状況も含まれているのです。

セッション終盤では、IT 全般統制は大きく分けて「アクセス管理プロセス」「プログラムや他の IT 環境への変更を管理するためのプロセス」「IT 業務を管理するプロセス」「外注管理プロセス」の 4 つが含まれていること、IPO 準備ではこれら各プロセスのセキュリティを向上させるのが重要であることなどを述べ、本田 氏は発表を終えました。

企業の上場時に必要な監査要件とマネジメントサービスによる解決

大野 一樹 氏：ヌーラボ株式会社 Site Reliability Engineer サービス開発部 SRE課

次に登壇したのは、ヌーラボ社の大野 氏です。同社は 2022 年 6 月 28 日に東京証券取引所 グロース市場に上場しました。その経験をふまえ、大野 氏は上場までに必要な IT 全般統制と会計監査の監査要件について、現場のエンジニアの視点から解説していきました。

ヌーラボ社の上場申請のための対応は 2021 年から開始しました。VPoE や管理部長（CFO）、情シス、セキュリティ担当者を中心として、上場準備のためのタスクフォースチームを組成したのです。そして、その頃から監査法人との定期的なミーティングが始まり、会計監査や IT 全般統制への対応を実施していきました。

ヌーラボ社の事例では、上場監査の要件を監査法人とタスクフォースチームが共同で管理しました。そして、現場の担当者にタスクをアサインするトップダウン方式を採用したのです。技術要件や対応の細かな仕様については、監査法人と担当者とで相談しあって決めていきました。この対応方針について、大野 氏は「監査対応の方針を、現場の担当者の裁量で決められたのは正解だった」と当時を振り返ります。

こうした監査要件への対応は、上場する直前だけではなく上場後も継続的に実施することが求められます。だからこそ、なるべく企業の初期フェーズからこうした対応を実施しておくと、運用が楽になると大野 氏は推奨しました。

セッション後半では、ヌーラボ 社が具体的にどのような監査対応を行ったのかを解説しました。実施したことは大きく分けて、AWS サービス外の監査対応と AWS サービス内の監査対応があります。

AWS サービス外の監査対応としては、まず各種 IT サービスのアカウント・権限管理が挙げられます。タスク管理ツール（ヌーラボ社が提供する「Backlog」）を用いて、アカウント申請の履歴を管理しました。「誰が何の権限を申請して、誰が承認したか」の証跡を確実に残す方針にしたのです。他にも、顧客・会計データベースのマイグレーション・オペレーション履歴の取得や承認フローの可視化などを行いました。

次に、AWS サービス内の監査対応の詳細について解説します。まずは AWS Organizations によって、社内のすべての AWS IAM アカウントを一元管理しました。さらに、AWS Control Tower を用いて AWS CloudTrail で監査ログを収集するように設定し、各アカウントの権限で監査ログの収集を無効化できないようにしたのです。

他の監査対応として、データベースで発行されたクエリのログを AWS CloudWatch Logs で出力したことや、コンテナが動作しているホストマシンへのログインやコンテナへのログイン、ファイルシステムへの書き込みなどを禁止することで監査ログの取得要件が発生しないようにしたことなどを大野 氏は解説しました。

最後に、上図のまとめを述べて終了。上場監査の経験者だからこそ知る、実践的な知識が数多く紹介されたセッションでした。

チェックシートの紹介と具体的な活用方法について

尾原 颯 ： アマゾンウェブ サービスジャパン合同会社 Solutions Architect スタートアップ事業本部

イベント後半では、Solutions Architect の尾原が登壇。本田 氏と大野 氏の発表内容をふまえて「視聴者の方々には、ぜひ監査基準委員会報告書 315 に基づいた IT 全般統制の対応を、計画的に行える状態を目指していただきたい」と推奨しました。

なぜなら、こうした対応を計画的に実施できず、もしも監査の後半のフェーズで IT に関する指摘が入ってしまうと、上場が延期になるリスクが高まるためです。また、上場前に IT 全般統制の対応に追われることで、機能開発などに工数を割くことが困難になります。

こうした問題を避けるためには、技術部門で働く人々が上場のために必要なタスクやセキュリティの要件を把握し、CFO や監査法人の方々などのステークホルダーと適切にコミュニケーションをとりながら、システム関連の対応をすることが理想です。

「今回ご紹介する AWS Well-Architected フレームワークとチェックシートとの掛け合わせによって、そうした理想の状態を実現できる」と尾原は述べました。AWS Well-Architected フレームワークは、クラウド上でワークロードを設計・運用するための主要な概念や設計原則、アーキテクチャのベストプラクティスなどをまとめたものです。解説されている内容は多岐にわたり、300 以上のベストプラクティスが網羅されています。

しかし、技術部門で働く人々がこれらの内容をすべて把握することは困難です。そこで、ブリッジコンサルティンググループ社が作成したチェックシートが役立ちます。このチェックシートは、AWS Well-Architected フレームワークのなかから IPO 準備の監査対応で必要になる要素のみを抜き出して整理したものです。約 30 個のベストプラクティスに絞り込まれています。

セッション終盤では、監査法人役としてブリッジコンサルティンググループ社の本田 氏が参加し、デモンストレーションを行いながらチェックシートの活用方法を説明しました。

Q&A セッション（登壇者座談会）

各者による発表が終わった後は、登壇者の方々が視聴者からの質問に答える Q&A セッションを実施しました。

「IPO 準備の中で、IT に関する指摘が入るのはどのタイミングが多いでしょうか？」「監査ログの取得は、監査を円滑に進めるうえで重要なのでしょうか？」「監査法人の方とのコミュニケーションはどれくらい大変でしたか？」など、視聴者の方々のリアルな悩みが反映された相談が多数寄せられました。登壇者たちはそれぞれの質問に対して、丁寧に回答を行っていました。

「AWS Startup.fm」では今後も、スタートアップ企業で働く方々にとって有益なセッションを実施してまいります。ぜひこの記事を読まれたあなたも、次回のイベントにご参加いただければ幸いです。

導入支援・お見積り・資料請求等に関するご質問、ご相談に日本担当チームがお答えします。平日 10:00〜17:00 はチャットでもお問い合わせいただけます。お問い合わせはこちら。