« 平成21年(2009年度)システム監査技術者試験小論文解答速報 | メイン | 平成21年度、2009年度 システム監査技術者試験 小論文 問1 解答速報 »

2009年4月19日

平成21年度、2009年度 システム監査技術者試験 小論文 問2 解答速報

1 システム監査の目的とシステム環境
1.1 システム監査の目的

 私が勤務するA社は、機械部品製造販売業である。A社では自動車部品を生産する設備を 開発し、かつ生産、販売している。
 A社の経営者の経営戦略は以下の通りである。①今までのような大手自動車製造会社の 下請けの脱却、②大手頼みの受注ではなく、自社での独自受注ルートの確立。 。
 このため、Webを立ち上げ、Webをとおして自社の強みや製品の品質の高さ、技術力を アピールすることによってWeb受注を行うことを企画した。このため、営業部と情報システム部は 共同でレンタルサーバを借りてそのレンタルWebサーバ上にA社Webを立ち上げる体制を 確立した。
 Webサーバからの引き合い、問い合わせ、受注は当初の予定の2倍に推移し、年間5,000万円 以上の受注を得ている。A社はWebサーバを営業支援システムと位置づけ、ITガバナンスの 観点から、その有効性を見直し、さらなる受注を得ようとしている。
 従って、来年度の目標売上高は1億円。粗利益額は7,000万円を予定している。

1.2 情報システムの環境について

 A社では情報資産のコスト削減を行うためにWebサーバをレンタルサーバ会社Bに アウトソーシングしている。その概要と構成は次の通りである

  1. レンタルサーバはB社内に存在する
  2. レンタルサーバの構成はメールサーバとWebサーバ及びDNSサーバである。
  3. DNSサーバは別契約のサイトにセカンダリサーバが存在する
  4. Webサーバからの受注はB社提供のSSLによって保護されている
  5. 第三者中継予防対策としてメールサーバにはPOP Before SMTP処置が施されている。
  6. メール受信の盗聴防止対策としてAPOPが設定されている

 A社ではWebサーバの有効性を確認するためにアクセスログ監視を毎日、定時に行っている。 その概要は次の通りである。

  1. CGI機能を用いてCGI情報を収集する
  2. アクセスログは1ヶ月単位でサーバから自動削除されるのでログ情報を毎月末バックアップする
  3. 最初されたアクセスログを解析ソフトを使って分析する
  4. アクセスログにかかわる特記情報は経営者に報告されると共に社内イントラネットで 営業部員に共有される
2 ログの活用法と留意点について
2.1 ログの活用法

 A社では、アクセスログをWebシステム投資対効果のITガバナンスの指標として認識している。

 その活用法は次の通りである
  1. 月次目標受注額とWebサーバアクセス数の対比。
  2. 受注にいたった顧客のアクセス形跡のトレース。
  3. 受注にいたった顧客の検索キーワードの分析。
  4. 受注前に閲覧したWebコンテンツの補足。
  5. 見込み顧客のドメインをWhoisで予測して営業活動への活用。
2.2 ログ活用の留意点

 アクセスログには次のようなリスクが危惧されている。

  1. Webサーバの障害によるログの参照不可、ログの喪失
  2. アクセスログの世代管理。構成管理ミスによる誤謬、ログの消去
  3. 期限切れアクセスログの分析用業務サーバからの削除の失敗、消し忘れ
  4. アクセスログ分析結果の営業部員PCからの漏洩
  5. 営業部員の誤操作によるアクセスログの誤廃棄
  6. アクセスログから得られた個人情報の営業部PCからの漏洩
  7. アクセスログから得られた営業機密情報の営業部PCからの漏洩
3 ログ活用の監査手続き
3.1 ログとITガバナンス

 ITガバナンスへのアクセスログは次のようなメリットを持つ ①Webサーバの構築運用コスト、受注高とアクセスログを監視することによって IT投資の有効性を計数的に監視することができる。
②アクセスログの活用によってWebサーバの稼働状況を可視的に監視することが できる。
③IT戦略をコンテンツ化した場合、そのコンテンツの有効性を計数的に分析し、 問題がある場合は是正することができる。
④計数化、可視化しているため、IT予算組みが容易に可能である。 ⑤株主などの投資家、利害関係者からに対するIT投資有効性の係数開示が可能。

3.2 監査手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、被監査情報システムの実態にかかわる資料をレビュー、 その特性を理解する。また、アクセスログ利用のリスクも検討する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. アクセスログのリスク、有効性についての監査、本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2009年4月19日 20:44