« 2007年1月 | メイン | 2007年4月 »

2007年2月18日

システム監査試験小論文設問ア後半部の書き方

システム監査技術者試験小論文 設問ア後半部

 ある読者の方からご質問をいただきました。設問アの後半部への準備をどうしたらよいのかという 内容です。
設問アの前半部は事前に準備することはできるのですが、設問アの後半部はその場に適合して 書かなければならないの準備が難しいのでしょう。

設問ア後半部で問われる内容

 H18年試験の内容などをもとに考えると設問アの内容は次のように大別されそうです。
  1. 監査の目的、監査の概要
  2. 業務特性、業務的リスクの特徴
  3. リスクの影響
  4. 情報システムに期待される効果
設問ア後半部への対応策
 上記のような出題がされた場合、おおよそ次のような対応がよいと思われます。
  1. 監査目的は①潜在的リスクへの対応、②顕在的リスクへの対応を考える
  2. 監査概要はシステム監査基準やシステム管理基準等に準拠して書けばよい
  3. リスクへの影響は①社内外への被害、②二次被害、③経済的被害、④信用等の定性的被害、⑤社会的影響を重大な順で 400字以内で考察するとよいでしょう
  4. 情報システムに期待される効果は情報戦略に立ち返り、情報システムの構築目的を書けば良い
 以上のことを考えると、やっかいなのが業務特性、業務的リスクの特徴リスクの影響である。そこでリスクについて整理して考えてみる。
リスク要因の整理
  1. 文書管理上のリスク:視認性、紛失、複写、盗聴、誤謬
  2. 法的リスク:コンプライアンス違反、法的改廃、規制
  3. 業務的リスク:誤謬、業務の無駄、ムラ・無理、作業忘れ、版(ファイル等)の間違い
  4. 情報システム的リスク:障害、災害、不正アクセス、ウィルス等
  5. 情業務特性:風評被害、業界慣習、業界的財務特性など
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント

投稿者 kato : 21:47

2007年2月14日

USBメモリのセキュリティとリスク対策

USBメモリの価格実態

USBメモリの価格下落が続き、とうとう、2007年1月現在で1GBで2000円台のものが登場した。この背景として、 1GB程度のUSBメモリであれば、自分のPC環境をどこにでも携行できるため、仕事がはかどる ことが大きな要因と思われる。

USBメモリのセキュリティについて

 しかし、USBメモリには次のようなセキュリティ上の課題が残る

  1. 紛失・盗難の危険性
  2. 不正利用による、盗聴、閲覧の危険性
  3. データ破壊破損の危険性
  4. データ破壊破損の危険性

 特に、小指程度の大きさのメモリに、1GB程度のデータが入るため、大量の個人情報流出や企業情報の漏洩に 繋がる可能性も高い。これに対して過般性がたかいため、紛失・盗難などの危険性も高まる。

USBメモリのリスク対策

 このため、最近のUSBメモリではつぎのようなセキュリティ機能を実装するものも増えてきた。

  1. ファイルやフォルダーのパスワードロック、簡易パスワードの設定
  2. ファイルやフォルダーの[AES/Blowfish/Triple DES/DES]の4種類の暗号アルゴリズムの適用
  3. 他人に見られたくないデータをセキュリティ領域とフリー領域の設定も可能

 しかし、上記のようなハードウェアの充実だけでは情報漏えいは予防できない。このため 次のような対策が必要と思われる。

  1. USBメモリのセキュリティモードの設定、利用の周知、教育徹底
  2. 企業として管理対象とするUSBメモリの把握と管理、仕様場所の限定
  3. USBメモリへの複写してはいけないファイルのセキュリティの充実
  4. USBメモリ社外持ち出し・返却手続き、規約の整備
参考:「USBメモリ、パソコンどこでも自分仕様」
出所:日経新聞2007年1月31日
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント

投稿者 kitta : 11:49

2007年2月 7日

セキュリティの強化と不具合の発生について

 一般にセキュリティシステムを強化すると、システムの運用が困難になると いう法則があります。つまりセキュリティとユーザのアクセサビリティとは 互いにトレードオフの関係があるということです。

電子メールの送信障害事件

 先だって当社も電子メールの送信障害事件がありました。社の電子メールが 受信はできるのですが送信できなくなったのです。

送信障害事件の原因

 部下のシステム管理者が調査した結果、原因は、当社が使用しているプロバイダによる Outbound Port25 Blockingの影響でした。
 このOP25Bは、悪意あるユーザーがプロバイダのインターネット接続サービスを利用して、 大量の迷惑メールを送信する行為を規制する仕組みです。 この結果、ユーザが知らないうちに大量の迷惑メールが送信されるという問題も回避することを目的としているのです。

 
Outbound Port25 Blocking について

OP25Bは、メールサーバを利用しないメールの送信に対して 一定の制限を加え、迷惑メールの送信を抑制する手法です。 具体的には、メール送信時に利用されるWell Known Port番号の25番(Port25) および電子メールの送信経路を監視し、特定条件のメール送信を制限します。 当社の送信メールがこのOP25Bにかかったのです。

Outbound Port25 Blockingへの対処

 対応としては「Submission ポート」(587番ポート)を使っての受送信設定を行い無事復旧しました。
 プロバイダ等から連絡があると嬉しいのですが、なかったため会社の業務が一時混乱する事態となりました。


システム監査技術者試験・小論文対策講座(有)アイ・リンク・コンサルタント

投稿者 kitta : 14:21