情報処理技術者試験

システム監査技術者論文メモ

平成29年度問1、情報システムに関する内部不正対策の監査について

システムの概要と内部不正が発生した場合の概要

・A社の業務管理システム

・A社の事業に関する膨大なデータが含まれており、特に、価格情報や利益率が他社に漏れれば競争が不利になる可能性がある。

・取引先の情報や、個人情報も含まれており、情報漏洩があれば信用が失墜し、事業の継続にも影響が出る可能性がある。

内部不正の技術的対策と実施状況確認の監査手続き

内部部製の技術的対策

・システムユーザーに対しては、アカウントごとに権限を付与し、自分の業務に関する機能、自分の部署の情報にしかアクセスできないように設定している。

・システム保守ベンダーは、業務上管理者権限を保有している。データ持ち出し対策として、外部のネットワークに接続できないように設定し、外部記憶装置の接続もポリシーで接続不可の設定を行なっている。

監査手続き

・監査社にシステム権限を付与してもらい、権限の設定状況を確認した。また、もう一つユーザー用のアカウントを作成してもらい、権限を設定して、正しくアクセス制御が行われていることも確認した。

・システム保守ベンダーに対しては、端末貸与の際にポリシーの設定内容を画面キャプチャで取得しておきそれを参照した。また、社内ネットワークからのアクセスログも確認し、外部への接続がないことも確認した。

内部不正の組織的対策と実施状況確認の監査手続き

内部不正の組織的対策

・オンライン教育システムを用いて、内部不正に関する教育を実施した。

・上司が部下のアクセス履歴を月次で確認し、不明なログがあれば聞き取り調査を行う。

監査手続き

・オンライン教育のプログラム内容、テスト内容が適切であることの確認。

・オンラインプログラムの受講率、テスト合格率が100パーセントであることの確認。

・複数社員にインタビューを行い、教育内容を十分に理解しているかを確認。

・上長のアクセスログから、毎月ログの閲覧を行なっていることを確認。

・上長に事前アンケートを取り、ログの内容について聞き取りを行なったことがないと回答した上長数人に一緒にログを見ながら、聞き取り不要と判断した理由を説明してもらった。

平成29年度問2、情報システムの運用段階における情報セキュリティに関する監査について

情報システムの概要とビジネス上の役割及びシステムに求められるセキュリティレベル

情報システムの概要とビジネス上の役割

・A社は小売業を営む企業。

・A社の商品管理システムは、ベンダー、A社商品担当者、A社ECサイト担当者がそれぞれ必要事項を入力する。

・各人の利用できる機能、閲覧できる範囲には制限がある。

システムに求められるセキュリティレベル

・外部からの侵入は絶対に阻止する必要がある。

・アカウント権限が適切に機能し、各個人がアカウントを適切に管理することが必要となる。

情報システムの運用段階においてセキュリティレベルを維持できなくなる要因とそれに対するコントロール

要因

・①サーバーやミドルウェア、プログラム言語のセキュリティパッチ適用、アップデートが適切に行われず、外部の攻撃者にセキュリティホールを突かれてしまう。

・②攻撃者の手法にシステムが対応できなくなっている可能性。システム改修時に追加開発したプログラムでセキュリティ対応に問題があるもしくはシステム開発後に新しく生まれた攻撃手法に対応できていない可能性がある。

・③個人のセキュリティ意識の低下から、パスワードが当人以外に漏れている可能性がある。

コントロール

・①システム開発時にパッチ等の適用対象リストを作成し、毎週、情シス担当者がパッチ情報を確認する。

・②システム改修時はセキュリティテストの必要有無が判定される。必要である場合はあらかじめ定められたセキュリティテストを実施する。また、年に1回外部のセキュリティテスト会社に依頼してセキュリティ対応状況を確認してもらう。

・③社員への教育を実施する。社内のセキュリティ委員会を月次で開催し、教育プログラムを作成しオンラインで全社員に受講してもらう。

コントロールが有効に機能しているかどうかの監査手続き

セキュリティパッチ適用

・パッチのチェックを行っている資料を確認し、情シス担当者に実際に作業状況を見せてもらい最新のパッチが資料上適用されていることを確認する。

・システム担当者に現在のシステムのバージョンのエビデンスを提出してもらい、資料と照合する。

セキュリティテストの実施

・過去のシステム改修履歴とセイキュリティテスト必要可否の資料を確認し、運用実績を確認。

・一番新しいセキュリティテストが必要と判定された案件について、実施したセキュリティテスト結果とエビデンスを確認する。

・外部のセキュリティテスト会社への依頼では、過去数年分のレポートを確認し実施状況を確認。最新のレポートでは詳細に確認し、指摘された内容と指摘への対応が完了していることを確認する。

教育活動の実施

・セキュリティ委員会の議事録を確認し、開催実績を確認する。

・オンラインの教育プログラム実施状況を確認し、社員の受講率と確認テストの合格率を確認する。

・教育を終えた社員数人に過去のテストを抜粋したものをもう一度受けてもらいその点数から理解度を確認する。

ABOUT ME
hazukei
「はずけい」と申します。 この度一児の父となりました。まだ実感はわかないのですが、猛烈に忙しくなりそうです。楽しみつつ頑張りたいと思います!