« 2006年3月 | メイン | 2006年5月 »

2006年4月24日

2006(平成18)年度システム監査試験 午後Ⅰ問4解答速報

午後Ⅰ 問4

設問1

(1)災害対応要員の選定に担当業務や経験年数が考慮されていない。
(2)復旧作業時の連絡手段は公衆電話回線利用のため災害時に混雑して利用できない。


設問2

(1)災害対応要員が全員集合できない、コンピュータセンタからデータが来ないことを前提にテストしていない点。
(2)災害対応要員が手順書に沿って,公衆回線を使いながら切替えが可能かどうかテストしていない点。


設問3

(1)災害対応計画とイントラネットの公表内容の一致を確認し、関係者が差し替えた内容を理解しているかをヒアリングで確認する。

以上

■2006年 システム監査解答速報目次に戻る

投稿者 kitta : 11:40

2006(平成18)年度システム監査試験 午後Ⅰ問3解答速報

午後Ⅰ 問3

設問1

システム開発部においてユーザへの影響度が小さいと判断された場合、UATは省略される。


設問2

(1)③を放置した場合のリスク
 本番移行後、運用部のオペレーションが困難になる。障害発生時に仕様書が無いので対応が困難になる。
(2)④を放置した場合のリスク
 システム開発部の開発担当者によって予告無く不正に改ざんされる可能性があり、その検出が困難である。


設問3

本番環境に対するアクセスログを精査し、本番環境に対するアカウントとパスワードを変更する。


設問4

修正中のプログラムが緊急変更された場合、一端隔離し、緊急変更を含めた対応が施されるまで本番移行しない。

以上

■2006年 システム監査解答速報目次に戻る

投稿者 kitta : 11:34

2006(平成18)年度システム監査試験 午後Ⅰ問2解答速報

午後Ⅰ 問2

設問1

(1)IDSのログ保管を従来の6ヶ月から1年に変更により、ログ保管に要する容量やコストが必要になる。
(2)ファイアウォールやIDSのログをM社別に識別しなければならず管理コスト、報告コストがかかる。


設問2

(1)顧客に開示する内容は顧客の業務や契約と直接関係のある内容に限定する。
(2)監査結果の開示に際して利用制限の契約を結び、複製・改ざんも制限する。


設問3

ISMSは国際標準の要求事項に対する文書化とその実行結果の審査である。従ってM社のような個別企業のSLAに対する内部の適合性を示すものではない。

以上

■2006年 システム監査解答速報目次に戻る

投稿者 kitta : 11:33

2006(平成18)年度システム監査試験 午後Ⅰ問1解答速報

午後Ⅰ 問1

設問1

(1)パッケージ販売先ユーザアンケートの収集に当たり利用目的を明示していない。
(2)機器販売事業部と顧客サービス部では他部門と個人情報を無断で共有化している。


設問2

(1)機器販売事業部で収集した登録はがきを来訪者が通る廊下に放置しているため個人情報が漏洩する可能性がある。
(2)ソフトウェア事業部で顧客貸与の個人情報のアクセスコントロールが無いため誰でも閲覧できる。


設問3(変更:2006年5月9日) 

(1)監査指摘事項
 ソフトウェア事業部が顧客から預かった個人データが個人情報として特定されていない。
(2)考えられる問題点
 共有サーバで共有されているため目的外の閲覧利用が可能になり漏洩リスクがある。
(3)改善策
 個人データを管理台帳に登録し、パスワード等でアクセスコントロールを実施し、使用後消去する。


以上

■2006年 システム監査解答速報目次に戻る

投稿者 kitta : 11:18

2006年4月17日

2006年(平成18年度)システム監査試験 午後Ⅱ問1解答速報

問1 監査手続書の作成について 【解答例】

1 システム監査の目的と概要と監査人の立場
1.1 システム監査の目的と概要

B社は学生用通信添削を実施する教育団体である。B社の大学受験教材は高い偏差値を受験する学生にとって バイブル的存在でありブランドも確立されている。

1.1.1 監査の目的

B社では顧客データベースに、会員である学生の出身高校、偏差値の推移、科目別添削情報、模試情報を 保有している。そして、その学生の合格大学、不合格大学とその偏差値、出題傾向と突合せ、独自の指導方針とその見直しを行い 高い合格率を生む教材の開発に努めている。  しかし、最近のセキュリティ事故の多発を受けて、B社ブランドと顧客のプライバシー保護すること、そして B社の事業の安定持続を目的としてB社経営者C氏は次のような通達を出した。

  1. 既存のセキュリティ方針や規定の有効性の検証が必要
  2. セキュリティ規定やマニュアルの実践状況の点検が必要
  3. 情報漏えい事故発生時の対応状況の点検が必要
  4. 顧客データベースの完全性、可用性、機密性の点検が必要
  5. コンプライアンス的検証が必要
  6. セキュリティ管理者指導下によるセキュリティマネジメントシステムの継続的改善の仕組み確立が必要

 その結果、B社の顧客データベースシステムのセキュリティマネジメントの監査が行われることになった。

1.1.2 監査の概要
 

監査の概要は次のとおりである。

  1. 経営者のヒアリング(監査ニーズの採取)
  2. 予備調査(被監査組織の実態の理解)
  3. 個別監査計画書、監査手続書の作成
  4. 本監査の実施
  5. 監査調書の作成
  6. 監査報告書の作成と組織の長であるC氏への報告・助言
  7. 3週間後のフォローアップ
1.2 私の役割と立場

 私はB社とは第三者的立場にある、ITコンサルティング企業のシステム監査人である。私はB社とシステム監査に かかわる業務委託契約を受けて、B社の顧客データベースシステムを中心として同社のセキュリティマネジメント システムのシステム監査を実施して、助言する立場にある。


2 監査手続書作成について
2.1 レビューしたドキュメント

 監査手続書作成に当たってレビューしたドキュメントは次のとおりである

  1. 経営者のセキュリティ方針(社達)
  2. 機密管理規定、マニュアル、手続書
  3. 組織図、権限分掌規定
  4. システム構成図(ハード、ソフト)、ネットワーク構成図
  5. 建物の見取り図、配置図
  6. 文書管理規定、契約書雛形
  7. 協力会社組織、依頼手続き
  8. 関連法規、条例、規制等
2.2 設定した監査項目と監査技法
2.2.1 設定した監査項目
  1. セキュリティ方針達成のために必要な規定が可視化されているか、存在しているか
  2. 文書化されたコントロールが実現しているか
  3. セキュリティ関連の文書は適切に管理されているか
  4. コントロールが組織内に周知徹底されているか、教育されているか
  5. 組織内にコントロールの適切さを検証し継続的改善する仕組みが存在しているか
  6. 情報システムに対する完全性、可用性、機密性が保持されているか
  7. 情報システムに運営に当たって関係法規に準拠しているか。違反はないか
  8. 情報資源の管理にあたり協力会社は脅威になっていないか
  9. ファシリティ管理は適切か

 この監査項目ごとに詳細なチェック項目を作成し、チェックリストを作成した。

2.2.2 監査技法の工夫

 上記のチェック項目について以下の監査技法に基づく監査を実施した。その上で、 ①組織の緊急性の高い項目(脆弱性や脅威)から監査する、②組織のセキュリティマネジメントシステムの 成熟度を理解しながら監査を行う、③データベースシステムのアクセスコントロールに重点をおいて監査する。

  1. 文書レビュー:コントロールの可視化、コントロールの存在定義確認
  2. 文書の照合:マニュアルと監査証跡との対比、マニュアルの保管維持状態の点検
  3. インタビュー:チェックリストと権限分掌規定に基づき関係各所のインタビューの実施
  4. 作業記録の収集、採取とレビュー:職務の分離、内部統制の妥当性の確認
  5. アクセスログの採取:DB,ネットワークに関するアクセスログの採取とレビュー
  6. 脆弱性検証ツールを使った仮想アタック:ネットワークの脆弱性の検証

 このうち特に、①顧客データベースの開発者と運用者および管理者が同一人物であるか、 ②セキュリティ、脆弱性への対応が最新技術に対応しているかが重要なポイントになる。

3 効果と課題
3.1 効果

 監査助言の結果次のような効果があった。

  1. 情報システム、特に顧客データベース運用にかかわる脆弱性が発見された
  2. 従業員教育と周知徹底に改善事項があることが発見された
  3. 協力会社のコントロールに課題があることがわかった
  4. B社が協力会社X社と調整し、X社のシステム監査権限を得た

 以上の事柄を踏まえて、経営者による見直し、あるいは現場から対処のための計画が打ち出され、 潜在的脅威について組織的にかつ計画的に対策を講じることができた。

3.2 課題

   今回の課題は、「協力会社の監査権限」であった。B社は協力会社に対して、データベースの マスタ入力作業、成績入寮作業を委託している。このX社において、①原票の取り扱いが適切か、 ②電子情報の中間成果物の管理、作業後廃棄が適切かなどのB社主導システム監査を行うことが望ましい しかし、B社とX社との関係が請負関係なので、X社に業務裁量権があり監査の実現が難しかった。

以上

■2006年 システム監査解答速報目次に戻る

投稿者 kato : 23:54

2006年4月16日

2006年(平成18年)システム監査試験 午後II問3解答速報

問3 情報漏えい事故計画の監査について【解答例】

1 重大影響を及ぼす情報とその影響
1.1 重大影響を及ぼす情報

A社高齢者福祉用品のレンタル・販売を行う組織のフランチャイザーである。A社の参加には、 A者と契約しているフランチャイジーが全国に100社ほどあり、A社はそのフランチャイジーを統括し、レンタルに必要な 物品を適宜供給する役割を担っている。A者が取り扱っている情報で情報漏えいすると問題になる情報には次のようなものがある。

  1. 顧客獲得にかかわる営業マニュアル
  2. 顧客へのサービス業務マニュアル
  3. 従業員教育マニュアル
  4. フランチャイザー(顧客リスト)
  5. フランチャイズ契約書
  6. フランチャイジーの保有する顧客リスト
  7. 経営戦略計画書

 なお、フランチャイジーの保有する顧客リストはA社の所有ではないが、情報漏えいすると、A社ブランドに傷 がつくため、事実上A社情報として認識を行う。

1.2 情報漏えいの影響
1.2.1 事業機会の損失

 営業マニュアルや業務マニュアルなどのマニュアル及び手続きなどが漏洩すると、ライバル企業にA社の営業実態などを知られ、 類似サービスを展開され、A社の独自性、差別性が損なわれビジネスの競争優位性が失われる。

1.2.2 信用の失墜

 フランチャイジーが保有する個人情報の漏洩が発生すると、例えそれがA社保有のそれでなくても、A社の社会的・同義的責任が問われ信用失墜し A社業績及び社会的評価に影響を及ぼすと共に、A社ブランドに傷がつくことになる。

1.2.3 新事業計画の頓挫

 経営計画書などの重要文書が漏洩することによって、A社で開発中の新事業領域を他の企業に先着されたり、 参入障壁を設定されたり、事業妨害がある可能性がある。


2 初期対応について
2.1 初動の目的

 情報漏えい時における初動の目的は、おおよそ次の通りである。

  1. 情報漏えい時には迅速対応すること
  2. 原因究明を早期に行うこと
  3. 漏洩にかかわる被害の把握と被害範囲を迅速行うこと
  4. 二次災害を予防すること
  5. 被害者あるいは被害部署への情報開示を適切に行い信用回復すること
2.2 事故対応計画に盛り込むべき初動対応項目

 情報漏えい発生時の事故対応計画書に盛り込むべき内容は次のとおりである。

2.2.1 事故対応計画における組織体制
  1. 事故発生時の連絡窓口の確保
  2. 事故発生時の対策チームの配置
  3. 事故処理関係者の事故処理手順の確認
  4. 事故処理体制
  5. 関係連絡先の所在地や電話番号の記録、保存、整備
2.2.2 事故対応計画における手続き
  1. 事故発生時の連絡窓口担当者の業務手続、証拠の保全
  2. 対策チームによる原因究明・対処手続き
  3. 漏洩した情報の回収責任部署の明示とその手続き
  4. 顧客のクレーム対応部署とその手続き
  5. 関係部署への連絡責任の明示と連絡手続き
  6. 情報漏洩の原因となったハード、ソフトの識別と隔離
2.2.3 組織的周知と教育
  1. 事故発生時の対処責任者の任命
  2. 事故発生時の関連要員のリハーサルとその手法
  3. 組織全体のセキュリティ(初動)教育と訓練
  4. 関連部署の事故処理手続きの確認
  5. 手続きの際の教育計画について
2.2.4 コンプライアンス(法的準拠)
  1. 関連する法規とその変更要綱の明確化
  2. アウトソーシングしている場合、事故発生時における契約に基づく処理の確保
  3. 訴訟に及ぶような重大な事故の発生時の法律専門家への窓口確保
  4. 個人情報保護法などの法規に準拠した手続きの存在の確立

3 監査手続き
3.1 要綱

 監査にあたっては、情報漏えい時における初動の目的をレビューしたうえで、 安全性、信頼性、有効性の観点から事故対応計画書の実効性を評価する。特に次の項目について 監査を実施する。

  1. 初動計画の中で、不正利用の証拠保全を確実に行っているか
  2. 初動計画の活動が二次被害の発生を未然に防止するとともに、是正、予防の基点となっているか
  3. 訴訟に備えた記録の収集と保管、維持が行われているか
  4. テストや訓練等の記録のレビューによる事故対応計画の有効性の確認が行われているか
3.2 監査手順

   年度監査計画書に基づいて個別の監査計画を立案する。被監査部署に連絡を行いスケジューリングを 行ったうえで、予備調査を実施する。予備調査に基づき監査手続書を作成する。監査調書に基づいて 本監査を行う。本監査ではドキュメントの整備状況レビュー、計画運用状態のレビュー、監査証跡の確保を行う。 そのうえで監査調書を作成しその後、監査報告書を作成する。監査報告書の草稿を元に被監査部門と調整を行い、 被監査部門のサインを得て組織の長に提出する。

以上

■2006年 システム監査解答速報目次に戻る

投稿者 kato : 22:13

2006(平成18)年システム監査技術者試験
午後Ⅱ小論文解答速報 総評

2006年システム監査技術者試験 午後Ⅱ総評

■総評
  1. 例年になく実務的で平易なテーマが出題された
  2. e-文書法関連の問題が出題されるなど法規と関連性の高い問題も出題された
  3. 情報漏えいに関連する出題があった

察するに、個人情報保護法などの関心の高まりから、最も親しみやすい問3を選択した受験者が多いのではないか。しかし、問題の平易さからゆくと、問1を選択した受験者が合格しやすいのではないか。


■小論文を書く上での留意事項

それぞれの小論文を書く上で次の点に注意が必要である。

  • 問1:システム監査の手続きと監査技法を理解し、実務的な課題への対応策を示せなければならない
  • 問2:文書管理の規約、手続き、権限委譲に関する理解が必要である
  • 問3:情報漏えい事故によって発生する事態や影響について言及する必要がある

■難易度

[難易度]★が多いほど難しい

  • 問1 ★★☆☆☆
  • 問2 ★★★★★
  • 問3 ★★★★☆

[結論] 上記の難易度を決めた理由は次の通りである。

  • 問1 システム監査手続きが理解できていれば、半分合格したのも同然である
  • 問2 法的要件、ビジネス的要件に適合した監査を論ずることは大変難しい
  • 問3 個人情報漏洩だけに固執するとバランスの悪い論文になる。

■問題別、小論文戦略

 合格できるか、否かについての基準を示そう。

問題 問題を必須条件 合格のための工夫
問1 システム監査基準、手続きに関してしっかり暗記しているか 監査目的をしっかり定義できること。監査技法や項目を具体的に論述できること
問2 電子化した文書名を明示できること、書面と比較したときのメリットデメリットをコスト、検索効率などの生産性の観点で論評できるか 証券取引法、e-文書法などの法的側面を考察した上で、リスクを明確に述べることができるか。経営戦略に基づくビジネス要件に適合した電子文書のリスクを示せるか。
問3 個人情報漏洩に偏らずに論述できること。事故対応は、初動、原因究明、是正、予防対策を言及する必要がある 事業継続管理、クレーム対応などの手続きを事故対応計画に盛り込む必要がある。監査手続きは形式的な内容でよい

■2006年 システム監査解答速報目次に戻る

投稿者 kato : 20:47

2006年4月16日 2006(平成18)年度システム監査技術者試験
解答速報目次

システム監査解答速報目次

2006年度 システム監査試験午後Ⅱ解答速報

※留意事項
この解答速報はシステム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。

新版CD「システムアナリスト試験合格講座」
2006年4月12日より リリース!
オプションで午後I,午後IIの添削がつきます。
ライバルは既に持っている!

新版CD「プロジェクトマネージャ試験合格講座」は
2006年4月後半日 リリース予定!Coming soon!
オプションで午後I,午後IIの添削がつきます。


■合格のためのガイドラインと正答率

 合格と足切りのガイドラインは以下の通りであると予想します。


表1.平成18年度AU試験の合格のガイドライン
試験 足切りの得点率 足切り割合 備考
午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
55門中38問以上取れないと、恐らく合格出来ない。
午後I 70%程度 ②=①×40%程度
午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

※これは試験センター発表の正式情報ではありません。弊社の推測値です


■IRTと足きり
午前の足きりライン

 午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

午後Iの足きりライン

 午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

■総評と論文の解答速報

投稿者 kato : 19:49

2006年4月 2日

システム監査試験、直前対策は基本に返れ!

経営と内部統制

 意外にこんな問題が出題される可能性が強いと考えています。平凡ですが無視できない問題です。
朝日新聞記事から「監視責任者情報盗む」

 朝日新聞を読んでいたら次のようなことが書かれていました。NTTデータの派遣社員、田中守容疑者が 派遣先の仙台銀行の顧客17人分のローンカードの暗証番号を盗み、偽造カードを作成し3100万円をATMから 引き出したそうです。田中容疑者はNTTデータのコンピュータセンターに勤務していた監視責任者であり、 出力プログラムを改ざんして暗証番号を含むローンカードデータを印字しカード偽造を行ったようです。
上司には「プログラム改善作業中」と嘘の報告をした上で、入退室記録を指紋で行っていたようですが、 そのデータも改ざんしていました。
 NTTデータは地方銀行の勘定系システムでシェアが高く、銀行システムのアウトソーシング先として有名で その結果として業績を伸ばしてきた経緯があります。今回の事故でNTTデータに対する信頼が低下することが 予想されます。

問題点の整理

 この事件の問題点を整理すると次のとおりとなります。

  1. コンピュータのセキュリティシステムは機能していた(ITの不備ではない)
  2. 上司は十分キャリアのある人材の派遣を受けて、監視業務を担当させていた
  3. 上司は偽りの報告を信用して業務を任せていた
  4. 田中容疑者は会社や上司の信頼を裏切って犯罪行為を行った
  5. しかし、結果として会社も信用を失い、組織的に上司も責任を問われることになろう
  6. しかし、組織業務はもともと人を信用しなければ成り立たないものである

 ポイントは①ITではなく人の問題であること、②組織は人を信用しなければ仕事は進められないこと、 ③にもかかわらず、一端、事件が起こると組織も上司も責任が問われること。


コントロールの何が欠けていたのか

 恐らく、上司の不運を認めつつ、次のようなセキュリティコントロールが不足していたため、 今回の事件が発生したものと思われます。

コントロールの不備
  1. カード作成が権限者であっても1人で作成できるルール、仕組みだったことが問題
  2. 田中容疑者の報告を鵜呑みにしていて、定期的点検を怠ったのではないか
  3. オペレータとプログラム改定者が同一人物だったのが問題

 人材不足の中小企業ではよくあることですが、大企業でオペレータとプログラマが同一人物という点に 疑問をもちました。

内部統制コントロールのあるべき姿

 上記の教訓を踏まえて、本件のあるべき姿を申し述べます

  1. カードデータの作成、更新作業は複数の人間で実施すべき(内部統制 internal control)
  2. システムの定期的点検(本番データの改ざんの点検)
  3. オペレータとプログラム改定者が同一人物であってはならない(職務の分離)
重要なことは

 整理していて気がついたことは、当たり前のコントロールができていなかったということです。 繰り返して言います。以下の点は旧制度の試験前からいわれていた重要なコントロールです

  • 内部統制(あるいは、内部けん制)
  • 定期的点検
  • 職務の分離

 直前対策、奇をてらうより基本に返れ!です。

※参考:朝日新聞2006年3月29日号NTTデータ「監視責任者情報盗む」

※(c)(有)アイ・リンク・コンサルタント 加藤忠宏

投稿者 kato : 16:53