« 実査と精査、監査項目と監査ポイントについて | メイン | 改正パートタイム労働法について »

2008年4月 2日

システム監査の網羅性の確保について

システム監査の基本的用語について

掲示板読者の方からご質問いただきました

 電子メールのモニタリングをするにあたり、セキュリティ対策の監査について論述しようとしました。 ここでも悩ましいのは、セキュリティ対策の網羅性です。情報セキュリティ管理基準は莫大すぎて、覚え切れません。
「セキュリティ対策として、①物理的セキュリティ、②人的セキュリティの両方について監査を行った。」
これでは内容が薄いですよね。セキュリティ監査を得意分野として持っておこうと思いますが、 得策ではないのでしょうかね?
 ITProには、以下の記事がありました。ここでは「旧システム管理基準」の「いるか」を覚えたとあり、 これなら覚えられそうです。この中で、データ管理と運用管理などに絞れば全部覚えられそうです。 ですが、旧基準なので、これでいいのでしょか?
 なんか脈絡のない質問になっていましましたが、アドバイスをいただけると幸いです。

ご回答

 システム監査において、網羅性は重要な問題です。システム監査人にとって、 看過した要因でセキュリティインシデントが発生した場合、責任問題にも発展しかねないからです。
 しかし、すべての監査することは困難なので、実務上、論文上落としどころが必要です。
 その場合のスタンスを示したいと思います。

システム監査における網羅性のスタンス
  • システム監査人としても、被監査組織から説明を求められた場合、網羅性の根拠を示したい
  • そのためには、スタンダードな手法を採用することが無難
  • 小論文の場合、採点する側も模範解答が必要で、その模範解答はスタンダードなものになるはず
網羅性にかかわり参照すべきスタンダード

 そこで、スタンダードとして考えられる項目を列挙します。

  • 旧システム監査基準
  • システム管理基準
  • ISO27000:ISMS 情報セキュリティマネジメントシステム
  • JIS Q15001:個人情報保護マネジメントシステム要求事項

 以下、モニタリングにかかわるスタンダードを洗い出してゆきたいと思います。この範囲で まとめてもらえれば合格できると思います。

旧システム監査基準
  • ハ 運用業務 1 運用管理 (9):オペレーション実施記録は運用ルールに基づいて一定期間保存しているか。
  • 同 3 データ管理(2):データのアクセスコントロールモニタリングは有効に機能しているか
  • 同 4 出力管理 (6):出力情報の利用状況を記録し、定期的に分析しているか
  • 同 5 ソフトウェア管理(2):ソフトウェアへのアクセスコントロール及びモニタリングは有効に機能しているか
  • 同 6 ハードウェア管理 (6):ハードウェアの利用状況を記録し、定期的に分析しているか
  • 同 7 ネットワーク管理 (2):ネットワークのアクセスコントロール及びモニタリングは有効に機能しているか
  • 同 7 ネットワーク管理 (3):ネットワークの利用状況を記録し、定期的に分析しているか
  • 同 9 建物・関連設備管理 (2):建物及び室への入退の管理は不正防止及び機密保護の対策を 講じているか
システム管理基準
  • III 開発業務 2 システム設計(14):モニタリング機能を考慮して設計すること
  • IV 運用業務 2 運用管理(15):情報システムの稼動に関するモニタリング体制を確立すること
  • データ管理、出力管理:及びソフトウェア、ハードウェア、ネットワーク、建物・関連設備は旧システム監査基準と同じ
  • VI 共通業務4.2 業務遂行(3):要員の交代は誤謬防止、不正防止、及び機密保護等から検討すること
  • 同 4.4 健康管理 (2):メンタルヘルスケアを行うこと
  • 同 7 ネットワーク管理 (2):ネットワークのアクセスコントロール及びモニタリングは有効に機能しているか
  • 同 7 ネットワーク管理 (3):ネットワークの利用状況を記録し、定期的に分析しているか
  • 同 9 建物・関連施設管理 (2):建物及び室への入退の管理は不正防止及び機密保護の対策を 講じているか
ISO27000:ISMS 情報セキュリティマネジメントシステム

 「6.1.2 要員審査及びその個別方針」について

  • 従業員採用時の信用度のチェック実施
  • 情報処理施設や設備にアクセスする業務への配置に当たっての信用度の再確認の実施
  • 重要なポストにいる人物の信用度チェックの定期的な実施
  • 派遣、請負の信用チェック
  • 取り扱いに慎重を要するシステムにアクセスするスタッフに関するセキュリティ管理能力評価
  • 業務に影響を与えることにつながるような部下の個人事情の把握

 「7.1.2 物理的入退室管理」「7.1.4 セキュリティが保たれた領域での作業」「7.1.5 (データの)受渡し場所の隔離」について

  • すべてのスタッフに対する明確なIDの付与
  • スタッフ全員による不審な者の立ち入りについての監視
  • ビジターに対する管理領域内での行動記録、監視
  • スタッフ不在時における施錠と、不在時に侵入がないことの確認
  • 立ち入り制限の認可や作業の監視等による、サポートサービス要員等の第三者の立ち入り制限
  • 写真、ビデオ、オーディオ等の記録装置の持込禁止等の監視
  • 受渡しエリアへの外部からのアクセス制限
  • 受渡しエリアの外部から内部への通り抜け環境の排除
  • 受渡しエリアから保護領域までの安全確認の実施

 「9.7 システムアクセス及びシステム使用状況の監視」「9.7.1 事象の記録」「9.7.2 システムの使用状況の監視」 についてですが、膨大なのでポイントを明示します。

  • システムの不正な使用や不適切な運用のチェックや問題が発生したイベントは記録して保管する
  • システムアクセスの試みに成功したもの、拒否したものの記録
  • 情報処理施設及び設備の使用監視要領の確立
  • 監視手順に基づいた情報処理施設及び設備の使用についての監視
  • 監視記録のチェック
  • ログ情報の保護の確認
  • 監視要領のなかでの監視レベルの明確化
JIS Q15001
  • 4.4.3.3 従業員の監督:個人情報の安全管理が図られるように従業者に対して必要かつ適切な監督をしなければならない
  • 4.4.3.4 委託先の監督:委託する個人情報の安全管理が図られるように委託先に対して必要かつ適切な監督をしなければならない
  • 4.7 点検 4.7.1 運用の確認:事業者は個人情報保護のマネジメントシステムが適切に 運用されていることを事業者の各部門及び階層において定期的に確認しなければならない
経済産業省 個人情報保護法についてのガイドライン

 上記の内容は具体的でないので、もう少し調べてみると詳細(抜粋)なものがありました。

  • 組織的安全管理措置:権限と責任を定め、手順書を整備し、実施状況を確認する
  • 人的安全管理措置:雇用契約、非開示契約の締結と教育訓練の実施
  • 物理的安全管理措置:入退室管理の実施
  • 技術的安全管理措置:アクセスの識別と認証、アクセス制御、アクセス権限管理、アクセスの記録 、不正プログラム対策状況、情報システム動作、情報システムの監視

 安全管理の一環としてビデオやオンラインのモニタリングする場合、次の点を留意すること。

  • モニタリングの目的の明示、取得する個人情報の利用目的の特定
  • モニタリング実施責任者と権限の規定
  • モニタリング実施の場合 、社内規定の徹底
  • モニタリングが適切に行われているか監督、確認実施
まとめ

 モニタリングについて重要な要点を洗い出しましたが、膨大です。 だから、これらをすべて記載しようとすると無理があります。そこで、以下の工夫をしてください。

  • 設問アの段階で、どの資源をどの程度保護すべきかを明確にすること
  • 設問アの段階で、監査目的を明確にすべき
  • 設問アの段階で、監査の観点を明確化すべき

 設問アの段階で、監査要点を絞り込んでおかないと膨大な量の設問イ以降の執筆につながるということです。 だから「重要なのは設問ア」であり、ここで「監査対象」「監査目的」を明確化 することが合格の秘訣です。例を示します。

  • 監査目的は金融証券取引法に基づく内部統制の確認
  • 監査対象は会計、清算プロセス
  • 監査の観点は、プロセスの妥当性、データの信頼性、機密性の確保
  • 被監査組織は営業、会計、給与、購買部門
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2008年4月 2日 16:38