H29 AU PM2-1 情報システムに関する内部不正対策の監査について

1.内部不正が発生した場合に重大な影響を及ぼす情報システムの概要と、内部不正が発生した場合の影響について

1.内部不正が発生した場合に重大な影響を及ぼす情報システムの概要について
　Z社は、自社開発のネットワーク機器を販売する通信事業者である。Z社では、自社商品を販売後、設置から運用のサービスデスク対応（以下、これらをサービス対応という）までを一括で実施している。Z社では、このワン・ストップの対応を同社のコア・コンピタンスとして他社との差別化を図る経営戦略を取っている。
　Z社のサービス対応は、施工基準書や施工マニュアルが存在するが、それらにはない個別の対応やインシデント対応（以下、これらを特殊対応という）をZ社独自のナレッジマネジメントDBシステムA（以下、Aという）に収集している。Ａは、再発防止策の検討やマニュアルの追加といった形で利活用され、サービス対応の強化・改善に使用されている。Aはブラウザを利用したWEBサーバーである。
2.Aの内部不正による影響
　Aは上記のように、Z社の経営戦略上、重要な位置を占めるシステムと言える。このAに内部不正が発生した場合、以下の影響が考えられる。
①緊急停止し、アクセス制限がされサービス対応の品質が低下する
②内部不正防止策の策定や、対策の実施に伴う、時間やシステム変更のコストがかかる
③Z社の管理体制や従業員モラルの低さが露呈し、社会的信用が失墜する
　Z社の商材では、UTMなどのセキュリティ機器も取り扱っている為、その営業活動にも支障が出る。また、ステークホルダーの説明責任が生じるなど、サービス対応に留まらない多大な影響が考えられる。
　私は、Z社の監査部門のシステム監査人の立場で、Aの内部不正の対応の適切性を監査する者である。
718-1418

2.内部不正の技術的対策の実施状況を確認するための監査手続と内部不正の特徴を踏まえた留意点について

2.1内部不正の特徴について
　Aの内部不正の対応の適切性を監査するにあたり、以下に内部不正の特徴を挙げる。
①内部不正は、外部からの不正と違い情報資産にアクセスが可能な者により行われる。この為、例えば通常チェックされるはずである情報資産を有する機器のアクセス履歴の失敗のログは示されない。今回の場合、Aのアクセスログのうち、成功のログからも不正を発見する必要があるという特徴を持つ。
②内部不正は、情報資産にアクセスが許可されている動作であるため、発見が困難となる。このため、その対応には内部不正が困難になるような予防策が有効であるという特徴を持つ。
　以上から、内部不正の技術的対策の適切性の監査においては、発見、及び予防のコントロールのチェックが有効と言える。私は、予備調査において、Aの技術的な対応策として、クライアント証明書の利用を確認した。以下に、この監査手続について述べる
2.2Aの技術的対策の実施状況を確認するための監査手続について
　Aの内部不正の特徴を踏まえ、内部不正の発見を早期化するために時間外や不審なアクセス履歴の確認を適切に実施しているか、確かめるべきポイントとした。監査手続としては、Aの保守を実施する要員にインタビューを実施し、アクセス履歴の確認手順がAの保守マニュアルに従っているかを確認し、アクセス履歴の確認の適切性を示す監査証拠を得るを設定した。留意点としては、アクセス履歴の確認は、実施者のスキルにより正確性が左右されうる点である。このため、インタビューを実施する対象は、Aの保守作業員の中で最も当該作業の従事が短い者とする。
　Aの内部不正の特徴を踏まえ、内部不正を予防するためにアクセス許可を実施する端末のクライアント証明書の利用は適切か、を確かめるべきポイントとした。監査手続としては、A利用を開始し、クライアント証明書を発行する際に提出するA利用依頼書を査閲し、利用者の上長の確認がなされていることを確認し、Aの利用の際のクライアント証明書が適切に発行されることを示す監査証拠を得るを設定した。留意点としては、内部不正の予防にクライアント証明書を利用するためには、廃棄のプロセスも含めて検討しなければならない点である。このため、追加の監査手続として、
退職者のリストとクライアント証明書の失効リストの突合をし、退職者のクライアント証明書が適切に失効されることを示す監査証拠を得るを設定した。
1811-2511

3.内部不正の組織的対策の実施状況を確認するための監査手続と内部不正を踏まえた留意点についてについて

3.1内部不正の組織的対策の実施状況を確認について
　設問イにおいて内部不正の技術的対策の予防と発見について述べたが、その対応の適切性については組織的な対策も評価すべきである。私はこの考えに基づき、Aの組織的な対策の予防、及び発見のコントロールの有効性を確認することとした。以下が、具体的な監査手続である。
3.2内部不正の組織的対策の実施状況の監査手続と留意点について。
　設問イで述べた内部不正の特徴の発見のコントロールを踏まえ、実際のAの使用状況が内部不正を早期に発見できる環境であるか、を確認するポイントとした。監査手続としては、Aを利用する部署の事務所に訪問し、現地調査を実施し、相互監視や監視カメラの設置状況からAにアクセスし不正に漏洩することが困難であることを示す監査証拠を得るを設定した。留意点としては、現地調査の場合、監査人が訪問した時間の証拠となる点である。内部不正では時間外に実行されることも多いため、この点を考慮し、合わせて時間外の事務所の出入りや、入退出の管理も確認すべきである。
　設問イで述べた内部不正の特徴の予防のコントロールを踏まえ、Aの情報が不正競争防止法が定める営業秘密であることが網羅的に明示されているか、を確かめるべきポイントとした。監査手続としては、Aの開発ドキュメントを査閲し、情報を示すページに営業秘密であることを示すメッセージが表記されることを確認し、その網羅性及び明示性を示す監査証拠を得るを設定した。留意点としては、営業秘密であることを示し、それが従業員に周知されていなければならない点である。これを踏まえ、追加の監査手続としてAの情報について、従業員を対象としたZ社が定めるAの情報の取り扱いの周知徹底は適切か、という確かめるべきポイントを設定した。監査手続としては、従業員に向けたドキュメントの内容と頻度を確認し、Aの情報の取り扱いに対する周知徹底が適切に執り行われているかを示す監査証拠を得るを設定した。