応用情報技術者

＜情報セキュリティ＞

メールサーバのログについて、分かりやすく説明致します。

M社KのZ氏による調査で判明した事実は、「メールサーバのログには、不審なファイルが添付されたWeb管理者宛ての電子メールの受信履歴があった。また同じファイルが添付された電子メールが社内の他部署の社員にも送信されている記録があった。」等。
次ページ、情報セキュリティ担当要員の「K氏は、類似の標的型攻撃メールが送付された宛先を、メールサーバのログから調査し、標的型攻撃メールが届いた全ての社員に対して指示した。」

構成管理システムの構成情報

B社が運用する「構成管理システムでは、B社で使用するサーバ及びPCの構成情報を構成管理サーバに登録している」。「構成情報には、OSセキュリティパッチ（以下、OSパッチという）の適用状況（略）の情報が含まれる。
B社の「セキュリティ管理課では、最新のOSパッチが適用されていないPCを把握していない。」への対策案は、「構成管理システムの構成情報」を使って、PCのOSパッチの適用状況を把握する。」である。

U社のシステム監査チームは、「情報系システム及び基幹系システムの基本設計で定めるセキュリティ対策は、U社の情報セキュリティ対策基準に準拠する。」等を把握した。
監査手順は、「基本設計書及び情報セキュリティ対策基準を閲覧して、基本設計書の”セキュリティ設計”の内容が、セキュリティ要件を充足していることを確認する。

エンジニアリング企業K社では、外部に「サーバの運用を委託する場合は、定期的な管理レポートを（注：K社にとっての）顧客が要求する形で報告し、顧客が要求する場合には、サーバの管理について監査を行うことが、顧客との契約条件となる場合がある。」
（各社のクラウドサービスの比較表）中の提供企業「Z社」は、サーバの運用を「Z社」が行い、監査の受け入れは「不可」。
→L氏が、Z社のクラウドサービスの評価として、顧客要求への不適合の可能性があると判断した根拠は何か。
「サーバ管理についての監査ができない。」