R3 AU PM2-2 他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について

bear-crow


1.計画したシステム監査の目的及び概要、及び利用可能と想定した他の監査の概要

1.計画したシステム監査の目的及び概要

 Z社は、自社開発のネットワーク機器を販売し、運用からインシデント対応といったサポートデスクを一括で行う通信事業者である。
 Z社ではサポートデスク対応を、同社技術部にて行っている。Z社ではRPAやAIといった新しい技術を取り入れた取組を積極的に取り入れたDXの推進を経営戦略の一つとしている。Z社技術部ではこれを受け、顧客からのEメールを利用したサービス要求受付を、RPAによる自動化処理により一部を代行させる試み(以下、RPA受付システムという)を開始した。
 Z社は、RPA受付システムは、今後の経営戦略の重要な指針となると判断した。そこで、RPA受付システムのコントロールの適切性に関するシステム監査を実施することとなった。私は、監査室のメンバとして、このシステム監査に加わった。

2.利用可能と想定した他の監査の概要

 私は、RPA受付システムの監査計画の立案にあたり、そのコントロールの適切性を評価するにあたり、リスク分析を行い、RPAが利用するユーザーのパスワードなどの状態の管理状態を確認することとした。これは、同業他社において、共通アカウントによるインシデントが発生し、社会的に大きく報じられる事案が発生したためである。
 私は、上記インシデントを受け実施したセキュリティ監査の手続きとその結果(以下、セキュリティ監査結果という)を利用することした。これは、上記インシデントを受け、全社的に従業員のアカウント情報の管理のコントロール状況をZ社技術部の情報処理安全確保支援士が参加し実施されたセキュリティ監査である。
710-1410

2 システム監査で利用できると想定した理由について、及びセキュリティ監査結果について


1.システム監査で利用できると想定した理由について
  Z社の内部監査では、システム監査の品質の維持及び向上のため対象となった部署へアンケートを実施している。この中で、監査に関わる時間などの負担が看過できないものとして挙げられていた。このため、監査室内でもこの軽減が課題であった。私は、この点から、当該システム監査の目的に照らして利用可能な他の監査の結果を利用することで、監査効率の向上とともに今回の監査の主管部門であるZ社技術部への負担軽減が可能と考えた。
 また、セキュリティ監査結果は、上述の通り、Z社技術部内の情報処理安全確保支援士が参加しているため、実施した担当者の能力は十分と言える。
 加えて、パスワードの管理の適切性という監査の観点においては、両者の監査は重複する部分が存在し、十分利用可能と考えたためである。
2.セキュリティ監査について
 セキュリティ監査結果は、Z社に関わるシステムのアカウントのコントロール(以下、アカウント管理という)を監査したものである。Z社のシステムはSSO(Single Sign On)を利用しているため、一つのアカウントでZ社内の複数のシステムを利用している。このため、セキュリティ監査結果においては、この管理状況をSSOを管理する技術部システム管理課にインタビューと管理手順書の準拠性を確認する監査手続であった。
 また、上記のインシデントを受けて、全社的なアカウント管理の状況、具体的にはシステム管理課からのパスワード変更の要請があった。この際の、変更後のZ社が規定するセキュリティポリシーの準拠性を確認するため、SSOに設定可能なパスワードの強度の仕様の確認がなされた。
1475-2175

3. セキュリティ監査結果が利用できるかを評価するためのポイント、及び想定通りではなかった場合に見直すべきシステム監査の計画の内容について


1.セキュリティ監査結果が利用できるかを評価するためのポイント
 設問イで述べた、セキュリティ監査結果は、今回のシステム監査と同様にパスワード管理の適切性が監査項目となるが、以下の点を留意点として、利用可能な範囲を特定する必要がある。
①監査対象から独立した立場であるか
 セキュリティ監査結果は、システム課に対して技術部の情報処理安全確保支援士を実施した。RPA受付システムの主管部門は、技術部であるため、組織的な独立性が毀損することになることに留意すべきである。したがって、全面的に依拠することのではなく、部分的に、具体的には、この監査手続そのものに補完して、別の手続きを実施する必要がある。
②監査実施の時期について
 セキュリティ監査結果が実施されたのは他社の共通アカウントによるインシデント発生の直後であった。このため、セキュリティ監査結果が、そのコントロールの有効性確認できる範囲は厳密にはインシデント直後と言える。特に、インシデント発生後から変更・追加されたコントロールの評価はできないことに留意する必要がある。

2.想定通りではなかった場合に見直すべきシステム監査の計画の内容について
 二点の留意点から、見直すべきシステム監査の計画の内容を以下に述べる。
①セキュリティ監査結果が実施した監査手続のうち、SSOに関わる監査手続の追加 
 既に登録されているRPAシステムで利用するアカウントのみではなく、新規で追加するSSOシステムの登録のアカウントの登録手順の確認を追加した。
②セキュリティ監査結果後に追加されたコントロールの評価について
 Z社では、インシデント発生後にパスワードに関する規定が追加された。具体的には、個人が利用するパスワードではない場合、RPAでの利用を想定するアカウントは設定する者とは別の上長の了承が必要となった。この職務分掌のコントロールの確認をシステム監査では実施する。

以上





この記事が気に入ったらサポートをしてみませんか?