H30 AU PM2-2 リスク評価結果を利用したシステム監査計画の策定について

bear-crow


1.携わった組織の主な業務と保有する情報システムについて

1.携わった主な業務について
 Z社は、自社開発のネットワーク機器を販売、サポートデスク対応を実施する通信事業者である。Z社の機器は、オンプレミスやクラウドといったネットワークの形態に合わせた商品やサービス(以下、商材という)を展開し、それらにコストパフォーマンスに優れたセキュリティ対策を実施する、という経営戦略を採用している。
 Z社では、各種の商材を顧客ニーズに合わせて提案し、販売、設置から運用支援までを自社にてワン・ストップで対応し、その粒度の細かいサービス対応を自社のコア・コンピタンスとしている。
2.保有する情報システムの概要について
 Z社の営業活動では、営業支援システム、グループウェア、商材カタログなど多岐に渡るシステムが存在する。Z社では、これらの各種システムを、経営戦略の実現に向けて利活用を推進している。
 Z社の各種システムは、S社認証システムによりシングルサインオン(以下、SSOという)機能を提供する。
 SSOは、Z社技術部が運用・保守を実施する。
 Z社の営業活動では、このSSOの機能の利用により、各種システムが一つの認証で利用可能となるため、各種システムの可用性向上に大いに役立っている。
 また、SSOでは、多段階認証、多要素認証が可能となるため、各種システムがそれぞれ持つセキュリティ要件に応じて、認証の強度を変更することが可能となる。
 Z社では、昨今のセキュリティ事情を鑑みて、今期からSSOに全社員の認証情報を対象として、認証情報に認証要素の追加を計画している。
 私は、Z社監査室のシステム監査人の立場で、SSO運用のリスク評価を行い、システム監査計画を策定した。

2.リスク評価の手順と留意点について

1.リスク評価の手順について
 SSOのシステム監査計画の立案に伴い、リスク評価を実施する対象の選定を実施することとした。これは、SSO運用におけるリスクをSSOのシステム全体を網羅的に評価を実施することは、ITガバナンスの評価という監査そのものの目的としては問題ないかもしれないが、コストや時間、また被監査部門の負担を考慮すると必ずしも合理的とは言えないからである。
 私が採用した手順は以下のとおりである。
①考え得るリスクの列挙
 これは、SSOに関わるリスクを網羅的に列挙する方法である。これは、リスクの影響といった条件よりも数を優先するバズ・セッションの形で複数の監査人で実施する。留意点については、客観性を担保しかつ偏向を排する必要がある点である。これについては、システム監査基準ガイドラインのリスク項目から考え得るリスクを列挙する方法も合わせる。
②リスクの評価
 ①で選出したリスクに対し、共通の評価を実施する。リスクの評価に当たっては、リスクの発生する確率と発生した場合の影響を掛け合わせる方法を実施する。それぞれを五段階で数値化し、計算をする。留意点としては、認証基盤であるSSOに関してのリスクと、認証先の各種システムのリスクについて峻別して評価を実施することである。この点に基づき、SSOそのもののリスクの評価の正確性を担保する。
③リスクの評価に基づく選定
 ②で実施したリスクの評価に対し、優先度を決定する。留意点として、監査のニーズを加味することである。優先度が高い項目から網羅的に実施するのではなく、適時性や、経営戦略との合致といった点も加味することが必要である。
 リスク値が高く、監査のニーズに合致する項目について、監査対象の選定や監査目標の設定を行う。今回の計画では、リスク値が最も高く、また今後の認証情報に認証要素を追加する計画(以下、多要素認証の計画という)における導入の適切性の監査とした。
1555-2255

3.監査部門以外が実施したリスク評価の結果の利用について

3.1 監査部門以外が実施したリスク評価の結果の利用する利点について
 設問イで述べた監査の計画において、Z社技術部がSSOの導入にあたり実施したリスク評価を利用することとした。それは、リスクに対する技術的により正確な視点を持つ点と、多要素認証の計画のリスク評価の時間的な監査資源の節約が可能となるからである。特に、リスクに対する技術的な視点については、SSOに関する知識の不足からくる指摘事項の過ちのような監査リスクを大幅に下げることが可能となると思われる。
3.2 監査部門以外が実施したリスク評価の結果の利用する問題点について
 監査部門以外が実施したリスク評価の結果を利用する問題点については、リスク評価の偏向の有無が挙げられる。これは、具体的にはSSOを推進する側と利用する側では生じるリスクが異なるためである。さらに、今回は被監査部門が実施したリスク評価を利用するため、システム監査においては全面的に依拠はできない点が挙げられる。それは、監査の客観性が損なわれているからである。
3.3 監査部門として必要な措置について
 以上から、監査部門以外が実施したリスク評価の結果の利用について、監査部門として必要な措置については問題点であるリスク評価の偏向について検討する必要がある。導入する側である技術部が実施したリスク評価をレビューし、利用部門のリスクが十分に検討されていることを確認した。
 また、客観性の担保をする必要がある。そこで、私は上記のレビュー実施に際し、監査人の立場で確認することとし、監査の客観性を損なわないようにした。
 これらの措置によって、監査部門が実施したリスク評価の結果と、監査部門以外が実施したリスク評価の結果を利用し、多要素認証の計画における導入の適切性の監査計画を策定した。
以上




 
 

この記事が気に入ったらサポートをしてみませんか?