« 統合されるシステムアナリストと上級シスアド | メイン | 平成19年 システム監査技術者試験解答速報 午後Ⅱ  »

2007年4月16日

平成19年 システム監査技術者試験解答速報 午後Ⅱ 

平成19年 システム監査技術者試験 午後II 問1 解答例

監査対象の概要と監査目的
監査対象の概要
 A社はインターネットで日用品を販売している雑貨関連の企業である。 インターネットにおける通信販売の業務概要は、Webサーバを持ち商品 約1,000品目を公開する。購入希望者はWebサーバを閲覧して商品購入する。 購入希望者の情報は顧客データベースに登録される。また受注希望はSSLで 暗号化されて受注担当者に到達する。受注担当者は受注内容を確認して 商品を発送する。
 A社における売上においてこの通信販売業務は売上の45%を占めるように なっており、もはや基幹業務としての位置づけとなり、経営者は経営計画で 来年度の全売上に対して50%以上の売上獲得を目標とすることを計画していた。
監査目的
 A社経営者は、インターネットにおける通信販売の業務の急くキュリティ 機能について、次のような考えを持っている
  1. Webサーバによる通信販売の有効性は保たれているか
  2. Webサーバ、メールサーバ等の安全性は保たれているか
  3. 個人情報保護体制の確保は適切に行われているか
 そこで、以上のことを確認するために、第三者の専門的機関にシステム監査 を依頼した。依頼目的は次のとおりである。
  1. Webサーバによる通信販売の有効性をヒット数と購買率及び客動線管理 の観点で監査する
  2. Webサーバ、メールサーバ等の安全性をセキュリティの予防、処置、 是正体制の存在、運用、継続的改善の観点で監査する
  3. 個人情報保護体制の確保について、今回は特にアクセスコントロールの 観点で監査する
 ここで重要なことは、セキュリティ機能も大変重要であるがシステム監査の結果が A社の通信販売ビジネスに効果的であることが求められる。
IT監査技法と監査手続き
IT監査技法
 監査の個別計画書によると、監査に利用するIT監査技法は次のとおりである。
  1. Webサーバによる通信販売の有効性を監査するために、Webサーバのアクセスログ 提供サービスを利用する。
  2. Webサーバ、メールサーバ等の安全性のセキュリティを監査するために 外部に公表しているサーバ群及びファイアウォールのアクセスログを 利用する。また、外部からの攻撃に対する強度を測定するためにぺネトレーション テストを実施する。
  3. 顧客データベースのアクセスコントロールの観点で監査するために、DBMSの セキュリティ機能の点検を行うためDBMSのユーティリティ機能を利用する
 この監査を円滑に実施するために次のような手段を講じた。
  1. Webサーバ上のコンテンツにCGI(Common Gatewa Interface)をスクリプトとして 挿入しておき、アクセスログがビジュアルに表示されるようにしておいた。
  2. Webサーバ、メールサーバ等のぺネトレーションを円滑に実施するために、 パスワードに対して辞書攻撃やDOS攻撃をテスト的に行うためのテストツールを 用意した。
  3. 顧客データベースのDBMSのユーティリティ機能を利用して得られた結果を 集計する監査ソフトウェアを導入した。
監査手続き
 以下の手順で監査を実施する。
(1)年間監査計画に基づき個別監査計画を行うとともに経営者を訪問し、 監査の意図や目的の理解を行う。
(2)予備調査:被監査組織の情報システム、組織概要を監査するために、 組織図、経営計画書、情報システム概要図、業務マニュアル、セキュリティ マニュアルを入手して、査読する。
(3)監査手続き書の作成:(2)に基づいて監査手続き書を作成する。 監査漏れのないようにチェックリスト等を用意する。
(4)監査(本調査):現場に赴き、組織関係者にインタビューを行うと ともに計画されている文書や伝票の存在、コントロールの存在を確認して 証拠を採取して監査調書を作成する。
(5)報告:監査調書に基づき監査報告書を作成し、上司の承認を得るとともに 顧客の捺印と合意を得て被監査組織の上長に提出する。
(6)フォローアップ監査:監査結果に基づき点検事項を整理して不適合事項が 是正されているかを1ヵ月後に点検する。
IT監査の留意点
留意点の概要
 以下の点で留意が必要である。
  1. 顧客に対して、IT監査ツールを利用する旨の計画書の作成と合意
  2. ITツールの利用について監査組織のなかで、監査ツールの特性や被監査システムに与える 影響度を理解し、事前に教育及び訓練、監査組織内での事前テストを実施しておく必要がある。
  3. 事前テストの結果を整理、評価して、IT監査ツールの問題点を理解しておく必要がある。
  4. 監査手続き書のなかでIT監査ツールの取り扱い注意事項、取り扱い規約、 取り扱いマニュアルを整備しておく必要がある
 監査手続き書のなかに特に以下の内容を銘記しておく必要がある。
  1. 顧客から与えられたパスワード、ID等の取り扱いと有効期限の確認
  2. IT監査ツールの利用目的の確認と利用記録の整備、上司の許可、承認の 確認
  3. IT利用ツールの利用権限者への利用資格の付与と利用後の資格解除の 手続き及び記録の採取



投稿者 kato : 2007年4月16日 07:02