« 2006年(平成18年)システム監査試験 午後II問3解答速報 | メイン | 2006(平成18)年度システム監査試験 午後Ⅰ問1解答速報 »

2006年4月17日

2006年(平成18年度)システム監査試験 午後Ⅱ問1解答速報

問1 監査手続書の作成について 【解答例】

1 システム監査の目的と概要と監査人の立場
1.1 システム監査の目的と概要

B社は学生用通信添削を実施する教育団体である。B社の大学受験教材は高い偏差値を受験する学生にとって バイブル的存在でありブランドも確立されている。

1.1.1 監査の目的

B社では顧客データベースに、会員である学生の出身高校、偏差値の推移、科目別添削情報、模試情報を 保有している。そして、その学生の合格大学、不合格大学とその偏差値、出題傾向と突合せ、独自の指導方針とその見直しを行い 高い合格率を生む教材の開発に努めている。  しかし、最近のセキュリティ事故の多発を受けて、B社ブランドと顧客のプライバシー保護すること、そして B社の事業の安定持続を目的としてB社経営者C氏は次のような通達を出した。

  1. 既存のセキュリティ方針や規定の有効性の検証が必要
  2. セキュリティ規定やマニュアルの実践状況の点検が必要
  3. 情報漏えい事故発生時の対応状況の点検が必要
  4. 顧客データベースの完全性、可用性、機密性の点検が必要
  5. コンプライアンス的検証が必要
  6. セキュリティ管理者指導下によるセキュリティマネジメントシステムの継続的改善の仕組み確立が必要

 その結果、B社の顧客データベースシステムのセキュリティマネジメントの監査が行われることになった。

1.1.2 監査の概要
 

監査の概要は次のとおりである。

  1. 経営者のヒアリング(監査ニーズの採取)
  2. 予備調査(被監査組織の実態の理解)
  3. 個別監査計画書、監査手続書の作成
  4. 本監査の実施
  5. 監査調書の作成
  6. 監査報告書の作成と組織の長であるC氏への報告・助言
  7. 3週間後のフォローアップ
1.2 私の役割と立場

 私はB社とは第三者的立場にある、ITコンサルティング企業のシステム監査人である。私はB社とシステム監査に かかわる業務委託契約を受けて、B社の顧客データベースシステムを中心として同社のセキュリティマネジメント システムのシステム監査を実施して、助言する立場にある。


2 監査手続書作成について
2.1 レビューしたドキュメント

 監査手続書作成に当たってレビューしたドキュメントは次のとおりである

  1. 経営者のセキュリティ方針(社達)
  2. 機密管理規定、マニュアル、手続書
  3. 組織図、権限分掌規定
  4. システム構成図(ハード、ソフト)、ネットワーク構成図
  5. 建物の見取り図、配置図
  6. 文書管理規定、契約書雛形
  7. 協力会社組織、依頼手続き
  8. 関連法規、条例、規制等
2.2 設定した監査項目と監査技法
2.2.1 設定した監査項目
  1. セキュリティ方針達成のために必要な規定が可視化されているか、存在しているか
  2. 文書化されたコントロールが実現しているか
  3. セキュリティ関連の文書は適切に管理されているか
  4. コントロールが組織内に周知徹底されているか、教育されているか
  5. 組織内にコントロールの適切さを検証し継続的改善する仕組みが存在しているか
  6. 情報システムに対する完全性、可用性、機密性が保持されているか
  7. 情報システムに運営に当たって関係法規に準拠しているか。違反はないか
  8. 情報資源の管理にあたり協力会社は脅威になっていないか
  9. ファシリティ管理は適切か

 この監査項目ごとに詳細なチェック項目を作成し、チェックリストを作成した。

2.2.2 監査技法の工夫

 上記のチェック項目について以下の監査技法に基づく監査を実施した。その上で、 ①組織の緊急性の高い項目(脆弱性や脅威)から監査する、②組織のセキュリティマネジメントシステムの 成熟度を理解しながら監査を行う、③データベースシステムのアクセスコントロールに重点をおいて監査する。

  1. 文書レビュー:コントロールの可視化、コントロールの存在定義確認
  2. 文書の照合:マニュアルと監査証跡との対比、マニュアルの保管維持状態の点検
  3. インタビュー:チェックリストと権限分掌規定に基づき関係各所のインタビューの実施
  4. 作業記録の収集、採取とレビュー:職務の分離、内部統制の妥当性の確認
  5. アクセスログの採取:DB,ネットワークに関するアクセスログの採取とレビュー
  6. 脆弱性検証ツールを使った仮想アタック:ネットワークの脆弱性の検証

 このうち特に、①顧客データベースの開発者と運用者および管理者が同一人物であるか、 ②セキュリティ、脆弱性への対応が最新技術に対応しているかが重要なポイントになる。

3 効果と課題
3.1 効果

 監査助言の結果次のような効果があった。

  1. 情報システム、特に顧客データベース運用にかかわる脆弱性が発見された
  2. 従業員教育と周知徹底に改善事項があることが発見された
  3. 協力会社のコントロールに課題があることがわかった
  4. B社が協力会社X社と調整し、X社のシステム監査権限を得た

 以上の事柄を踏まえて、経営者による見直し、あるいは現場から対処のための計画が打ち出され、 潜在的脅威について組織的にかつ計画的に対策を講じることができた。

3.2 課題

   今回の課題は、「協力会社の監査権限」であった。B社は協力会社に対して、データベースの マスタ入力作業、成績入寮作業を委託している。このX社において、①原票の取り扱いが適切か、 ②電子情報の中間成果物の管理、作業後廃棄が適切かなどのB社主導システム監査を行うことが望ましい しかし、B社とX社との関係が請負関係なので、X社に業務裁量権があり監査の実現が難しかった。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kato : 2006年4月17日 23:54