« 2005年12月 | メイン | 2006年2月 »

2006年1月29日

システム監査の品質保証について

「システム監査の品質を確保し高めるための取り組み」について

こっくんさんの質問の要旨

設問ウの「システム監査の品質を確保し高めるための取り組み」で、 システム監査基準を列記しようと考えています。

そこで質問です。
システム監査基準(またはシステム管理基準)を記述する場合、 原文に忠実に書いたほうがベターですか。
それともイのあたりに基づいて、相当アレンジしたほうがいいですか。 ”程度”を教えてください。

結論

 「システム監査基準」「情報セキュリティ監査基準=報告書ガイドライン=」 を中心にすえつつ、不足している部分を他のスタンダードな規格で補うと良いでしょう。 まずは中心とすべき内容を列挙しておきましょう。

旧システム監査基準のなかでの重要点
 

システム監査基準のなかで重要な点を列挙します。使える部分は使いましょう

        
  • 1.II 用語の定義(2)システム監査人:次の知識及び能力を有し、システム監査に従事する もの①情報システムの基本知識、②システム監査の知識、③システム監査実施能力、④システム監査の実施 にあたっての関連知識
  •   
  • 2.V 一般基準 1体制:組織体はシステム監査が適切に実施できる体制 を整備すること

これらは、監査の品質確保のために監査人に要求するべき資質や体制を論述するときに便利です。

システム管理基準
 

システム管理基準にも重要な項目が掲載されて入ります。これをシステム監査の品質確保に 応用すると良いでしょう。

        
  • 4.3 教育訓練
  •   
  • (1)教育訓練に関する計画やカリキュラムは人的資源管理の方針に基づいて作成、見直すこと
  •   
  • (2)教育訓練に関する計画やカリキュラムは技術の向上、業務知識の習得、情報システムの情報セキュリティ 確保から検討すること
  •   
  • (3)教育訓練は、計画やカリキュラムに基づいて定期的かつ効果的に行うこと
  •   
  • (4)要員に対するキャリアパスを確立し、業務環境及び情報環境の変化に対応した見直しを行うこと

これらは、本来、被監査組織に適用すべきものですけれど、監査組織を監査する という観点で利用できます

品質保証の国際規格

 ISO9000、品質保証の国際規格を引用すると次のようなことが書いてあります。

        
  • 4 品質マネジメントシステム 4.1 一般要求事項
  •   
  • 組織は、品質マネジメントシステムを確立し、文書化し、実施し、かつ、維持すること。その品質 マネジメントシステムの有効性を継続的に改善すること。
  •   
  • a)品質マネジメントシステム(Quality Management System)に必要な手続きを明確にすること。b)手順の順序と相互関係を明確にすること。
  •   
  • c)これら手順の運用、監視を支援するためのリソースや情報の利用を確実にすること、d)これらのプロセス を監視、測定、分析すること、e)継続的改善の仕組みを確保すること。

 QMSでは他にも重要なことを多くのべていますから、QMSの規格を一度、目を通すことをお勧めします。

 また、問題文の最後に「また、システム監査の品質確保の状況について、経営者や第三者 に明確に説明できるようにしておくことも大切である」とあるので、体系的な品質保証体制を 構築しておくことが必要でしょう。

 回答になっていますでしょうか。

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 17:06

2006年1月25日

システム監査の小論文試験対策の準備

システム監査基準の暗記が必要です

読者の方からのご質問

  経済産業省が公表している新システム監査基準と新システム管理基準をダウンロードし、暗記をはじめたところです。
基準を暗記する上で使うべき資料ですが、経済産業省が公表した新システム監査基準/新システム管理基準を暗記すればよいのでしょうか。
暗記すべき基準の網羅性についてこれだけでよいのか不安に思っています。

回答

システム監査試験の小論文は、まず、システム監査基準の暗記と理解が必要です。 その理由は以下の通りです。

  • 1.監査は監査基準にしたがって実施されるから
  • 2.小論文試験の採点は監査基準の理解が考査されるから

  まず上記の考えは間違いではないとおもいますので自信を持って   取り組んでください。このほか、以下のものをお読みいただくことが重要です。

システム監査基準で暗記すべき項目
      
  • 1.情報セキュリティ監査基準
  •   
  • 2.情報セキュリティ監査基準 実施基準ガイドライン
  •   
  • 3.情報セキュリティ監査基準 報告書基準ガイドライン
では、健闘をお祈りします

投稿者 kato : 12:53

2006年1月24日

保証型監査の報告書記載事項について

利害関係者への開示を目的とした監査についての質問

こっくんさんの質問の要旨

平成16-1の「取引先など利害関係者・・・」について質問があります。
加藤先生の論文作成例では、2.2.1基本記載項目で、「指摘事項」がなく、
「改善勧告」としているのはなぜですか。
『保障(保証だとおもいます ママ;加藤)型監査』という性格上、「改善勧告」はなじまず、
逆に「指摘事項」を記述するほうが適切な気がするのですが。
また利害関係者が安心して監査報告書を使用するためには
監査報告書の作成者、作成日は盛り込むべき事項としては必要だと思うのですが、
システム管理基準どおりとするのがいいのでしょうか?

新システム監査基準等の記述

 議論を行う前に「システム監査基準」「情報セキュリティ監査基準=報告書ガイドライン=」 が述べている内容について吟味してゆこうと思います。

システム監査基準
 

システム監査基準のV.報告基準 3.監査報告書の記述事項では次のように述べて います。

        
  • 1.監査報告書のなかには、保証意見、助言意見を述べる
  •   
  • 2.指摘事項、改善勧告などを述べる
情報セキュリティ監査基準=報告書ガイドライン=
 

情報セキュリティ監査基準=報告書ガイドライン=については次のように述べて います。

        
  • 助言意見の表明:助言意見は欠陥の表明に留まらず、改善点提言する
  •   
  • 助言意見の留意事項:助言意見は継続的改善のために行われる。
  •   
  • 助言意見の留意事項:助言意見は保証意見との誤解を与えてはいけない

つまり、以上のことから、助言意見と対比して考えるべきものは保証意見なのです。また、助言意見は指摘事項とセット と考えるべきでしょう

保証型監査作成上の留意点

 保証型監査では、保証意見を述べるのですが、それには以下のものがあります。

        
  • 1.肯定意見
  •   
  • 2.限定的肯定意見
  •   
  • 3.否定意見

保証型監査において、「肯定的意見の表明が困難であると判断される場合、助言型監査に切り替えることが できる」とあります。つまり、保証型監査で助言意見(改善勧告)を述べてはいけないということには なりません。

結論

 加藤は以下のように考えます。

        
  • 1.保証型監査にも助言意見(改善勧告)があっても良い
  •   
  • 2.助言意見を書くときには、保証を与えたと誤解されるような書き方はいけない
  •   
  • 3.助言意見と指摘事項は対になっているもので、対比されるものではない
  •   
  • 4.報告書の作成日は通常、監査報告書に盛り込みます

 監査で、問題点を指摘し他のち改善勧告を与えるか、肯定意見を出して保証のお墨付きを 与えるかという流れで考えてよいとおもわれます。報告書作成日については、実務的にはご指摘のとおり、 記載することが妥当とおもわれます。ただし、小論文で書くかどうかは微妙で(恐らく書かないでも 合格できる)とおもわれます。

 回答になっていますでしょうか。

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 00:51

2006年1月22日

予備調査と本調査との違いについての考察

予備調査と本調査の差異について

何処藁子さんの質問の要旨

この予備調査と本調査の点検(整備と運用)の具体的な方法の境目がよくわかりません。
ドキュメントレビューの場合、例えば機密性の監査での入退出管理のコントロールの妥当性は入退出の記録簿があり、記録されていることでコントロールの整備状況が確認できます。 では、運用状況の確認(本調査)ではやはり、入退出記録簿に都度記録されていることを点検するのでしょうか?
あるいは現地調査での立会いで入退出があるまで待つのでしょうか?
それとも予備調査の段階では記録簿の存在の確認までで、内容は本調査に譲り、見ないようにするのでしょうか? また、記録簿に記述されている内容はどこまでで信用できるのでしょうか?
以上よろしくお願いいたします。

予備調査と本調査との違い
予備調査と本調査との目的の違い
 

予備調査と本調査との違いを簡潔に表現すると次のとおりです。

        
  • 1.予備調査は被監査組織の概要を理解することを目的として行われる
  •   
  • 2.本調査はコントロールの実態の存在を確認することが重視される
予備調査では何をするか

 監査人は予備調査では次のような行動をとります。

        
  • 1.予備調査ではセキュリティドキュメントを取り寄せレビューする
  •   
  • 2.予備調査では、組織図や組織規定などを入手しておおまかなコントロールの概要を理解しようとする
  •   
  • 3.情報システム構成図や部屋割り、ネットワーク構成図などのを入手する

 予備調査のポイントは、組織や情報システムの脆弱性やセキュリティシステムの 存在、セキュリティ管理項目の漏れを書類上からチェックしてゆくのです。

監査の重点~どこまで踏み込むか~

 年間監査計画は組織の実態に即して行われます。例えば、まったくまっさらな組織。 つまり監査初回の組織では、セキュリティシステムの実態が存在しているのかがチェックされます。このように どの部分に重点的に監査すべきなのかは組織や、監査を受けた回数によって異なります。

        
  • 1.システム監査を踏み込む範囲、深さは異なる
  •   
  • 2.監査ごとに重視するチェック要点が異なる(目的が異なるから)
  •   
  • 3.本調査では、セキュリティドキュメントの示すコントロールの実態の存在がチェックされる
機密性の監査での入退出管理のコントロールの妥当性
予備調査

 加藤が監査をする場合、次のドキュメントを被監査組織に要求します。

        
  • 1.セキュリティマネジメントドキュメントをすべてレビュー
  •   
  • 2.その他、情報システム構成図、部屋割り、施錠状況等規約のレビュー
  •   
  • 3.1、2で発生するアウトプットドキュメントや証拠のドキュメント名のチェック

 重要なことは①入退室管理の脆弱性が組織に与える影響、②監査するドキュメントだけ でなく、どの人物にインタビューすると適切な監査ができるか、③書類上、定義されたセキュリティ コントロールに漏れがないかです。この点に注意します。

本調査

 本調査では、監査効率を考えて次のような考えで行動します。

        
  • 1.事前準備としてチェックリストを用意する
  •   
  • 2.チェックリストに事前に監査するドキュメントと監査対象となる人物を抑えておく
  •   
  • 3.監査は、まず、ドキュメントどおりのコントロールの存在を確認する
  •   
  • 4.具体的には入退室管理マニュアルがすぐに出てくるか、それが周知されているか担当者へインタビューする
  •   
  • 5.現場に連れて行ってもらい、そのとおりのコントロール実体であるか調査する
  •   
  • 6.コントロールのアウトプットが存在するか、捺印等の存在があるか、 いわゆるめくら判でないかを確認する

 回答になっていますでしょうか。

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 23:27

2006年1月 5日

2006年1月5日 テクニカルエンジニア情報セキュリティ試験概要の予測

テクニカルエンジニア(情報セキュリティ)試験について

 情報処理技術者試験に2006年4月試験より、テクニカルエンジニア(情報セキュリティ)試験 (以下SV試験)が追加されました。このSV試験について公式発表をベースに出題予測をしたいと思います。

セキュアプログラミングが出題される
出題されるプログラミング言語

 SV試験ではセキュアプログラミングが出題範囲となっています。 このセキュアプログラミングでは次の言語のいずれか1つが出題範囲となっています。 この出題範囲の違いが、従来のネットワーク試験との差異になっているものと思われます。

  • C++ :JISX3014
  • Java:TRX0005
  • Perl:プログラム言語Perlの用例・解説
セキュアプログラミングが出題の狙い

 SV試験のセキュアプログラミングは、プログラム作成能力よりも、 プログラムソースコードの脆弱性の発見・指摘・改善が重視されます。 私の予想では、午後Iの4問の中で1問必須問題として出題され、午後IIでは2問中1問出題される のではないかと考えています。

ネットワークの問題は出題されないのか

 では、ネットワーク試験は出題されないのか、という問題ですが、おそらく出題される と思われます。理由は、IPAの 新試験区分『テクニカルエンジニア(情報セキュリティ)試験』創設 のなかに サンプル問題として、しっかり、ネットワーク系の セキュリティ問題が残されているからです。

関係者の談話から引用する

 IPAセンター長の澁谷隆氏の談話を詳細に読み込んでゆくと次のようなことが わかります。

想定している受験者
  • 1.適切なセキュリティ機能の提供する情報システムを開発する人
  • 2.セキュリティ機能を組み込んだ業務アプリケーションを開発する人

 おそらく「1」は、個人やホストの認証システムの開発やDBMSなどのセキュリティ機能 を開発する人を想定しているのでしょう。「2」は業務アプリケーションを開発するときに 例えばデータベース開発の場合、grant文などを使いユーザアクセス権を確立しますが、 このようなセキュリティ設計ができる人を想定していると思われます。

データベースは本当に出題されるか

 この問題を考えるために、 @IT 自分戦略研究所( 出題範囲(平成17年10月版)を閲覧します。ここで、情報セキュリティ アドミニストレータ(SS試験)の出題範囲にデータベースがないのに対して、 SV試験にはデータベースがある点に注目です。したがって、午前試験には 必ずデータベースは出題され、午後Iにも出題される可能性が高いと思われます。 逆に監査と情報化と経営は出題されない点も重要です。

SV試験で重視される能力

 IPAセンター長の澁谷隆氏の談話から、試験内容では次の点が重視されていることが わかります。

  • 1.セキュリティPDCAサイクルの中で技術検討を行い、実装する開発者を対象としている
  • 2.技術的により踏み込んだ出題を行う
  • 3.開発に必要な知識にセキュリティを盛り込むことにより、開発設計段階からセキュリティ機能を 取り入れる能力

出所:セキュリティ産業新聞2005年12月10日

投稿者 kato : 21:46