R4 AU PM2-1 情報システムの個別監査計画と監査手続について

1.携わった情報システムの概要及び、その特徴、並びにシステム監査の個別監査計画の概要について

1.1携わった情報システムの概要及び、その特徴について
　Z社は、自社開発のネットワーク機器の販売、インシデント対応を自社にて実施する通信事業者である。Z社では自社製品、及び一般的なネットワークやアプリケーションのサポート（以下、サポート対応という）を技術部にて実施している。
　Z社では、サポート対応を自社の強みとして他社との差別化を図る戦略を打ち出している。そこで、サポート対応に従事する対応者の幅広い雇用を検討し、在宅でのサポート対応（以下、リモートワークという）を可能とする体制、及び情報システムを構築した。
　リモートワークでは、Z社内のセキュリティ要件を満たした設定のイメージディスクでOSをインストールしたPC（以下、利用PCという）を配布する。また、サポートシステムを利用可能とするVPNソフト、及び稼働状況を確認し、操作を制御できるIT資産管理ソフトに連動するエージェントソフト（以下、エージェントソフトという）をインストールしリモートワークの対応を実施する。
1.2　システム監査の個別監査計画の概要について
　Z社内部監査室では、Z社の経営戦略上の重要ポイントとなるサポート対応を、経営層からの関心の高い事項と考えた。そこで、監査ニーズに基づいてサポート対応における有効性と情報セキュリティのコントロールを、今年度の監査テーマとした。個別監査計画として、リモートワーク運用の適切性について監査を実施することとなった。
　ただし、Z社ではサポート対応の強化のために様々施策や新規の情報システムを打ち出した。これにより、サポート対応における監査も、多数実施する必要があるため、リモートワーク運用における監査の監査時間・監査費用といった監査資源も十分とは言えない状況であった。
　私は、Z社内部監査室に所属するシステム監査人の立場で、リモートワーク運用の監査を実施する者である。
800-1500

2.リモートワーク運用の監査で設定した重点項目・着眼点及び想定した監査上の制約について

2.1リモートワーク運用の監査で設定した重点項目・着眼点
　リモートワーク運用における監査に当たって、設定した重要項目と着眼点について以下に述べる。
　リモートワーク運用における利用PCは、通常のサポート対応で利用するPCと違い、相互監視がない状況であり、監視による牽制効果が実効されない。この為、故意、過失に関わらず、情報漏洩のような情報セキュリティに関わるリスクが非常に高いと考えられる。ただし、Ｚ社経営部のサポート対応に関する期待を考慮すると、リスクに対するコントロール、具体的には情報セキュリティに関する対策が過度なセキュリティレベルとなり、その有効性や効率性にマイナスの影響を与えることがないように運用しなければならない。
　上記から、人や環境を利用するコントロールの評価ではなく、利用PC自体のシステムとして稼働するコントロールの有効性を評価する必要がある。また、そのコントロールが不足や過度なものではないか、の二点を重点項目とした。
　着眼点として、利用PCの初期設定はZ社が定めるセキュリティ規定を満たしているかを設定した。また、エージェントソフトが利用PCの全てにインストールがされ、操作の制御がサポート対応の有効性や効率性を過度に損なうものでないか、を設定した。
2.2想定した監査上の制約について
　監査の計画に当たって、想定した監査上の制約は、以下の通りである。
　リモートワーク運用のシステム監査において、対象と計画したのは、利用PCの稼働状況である。ただし、対象の利用PCはリモートワーク実施者の各リモートワーク環境に設置されている。さらに、リモートワーク実施者は様々な理由でZ社社内ではなく、在宅での対応を選択している。この点を考慮すると、被監査対象の実査は困難である。
　また、前述した監査資源も十分ではない状況で、かつリモートワーク対応の運用が稼働中の状況のため、この点においても利用PCの目視によるチェック及び全数を対象とした確認が困難な状況が監査上の制約と言える。
1800-2500

3.想定した監査上の制約を踏まえて、実施できない監査手続及びそれによって生じる監査リスク、並びに監査リスクに対応するために作成した監査手続について

3.1　目視によるチェック及び全数を対象とした確認が困難であることから実施できない監査手続及びそれによって生じる監査リスクについて
　設問イで述べた監査上の制約によって、全数を対象とした実際に目視及び操作する観察によって、利用PC自体の情報漏洩防止のコントロールの有効性を確認する監査手続が実施することができない。これは、上記の監査手続によって得られる監査証拠がリモートワーク運用の全体に網羅的に存在することを立証することができない。
　情報漏洩のリスクの高いリモートワーク運用のシステム監査において、全数調査ではなく、一部のサンプルを確認する標本調査を実施するのは、監査の結論を誤る監査リスクが生じる。
　そして、その監査リスクはZ社の経営戦略上、重要な位置を占めるリモートワーク運用において、リスクコントロールに大きく影響すると考えられた。
3.2　監査リスク
　上記から、全数調査が困難な状況で、それを補完する監査手続が必要と考え、検討した監査手続が以下である。
①リモートサポートPC用のイメージディスクから初期設定済のPCを作成し、その設定とZ社のセキュリティ規定の準拠性をチェックリストを用いて比較をする。さらに、リモートサポートPCの作成を視察し、その作成工程で上記のイメージディスクからされたことを示す監査証拠を入手する。
②リモートワーク運用で配布したPC及び配布する予定のPCについてリモートサポート利用PCの管理台帳を確認し、IT資産管理ソフトからエージェントソフトの稼働状況との突合いを実施し、リモートサポートPCが全数において網羅的に管理状態にあることを示す監査証拠を入手する。
　以上の追加の監査手続を実施することで、全数調査の実施が困難な状況において、監査判断を誤る監査リスクを低い水準に抑える対応方法として、個別監査計画を策定した。