H31 AU PM2-2 情報セキュリティ関連の見直しに関するシステム監査について

1.携わった情報セキュリティ関連既定の見直しの概要とその背景

　Z社は、自社開発のネットワーク機器の販売、設置及び運用を実施する通信事業者である。
　先日、同業他社であるY社の情報セキュリティ関連のインシデントが発生した。それは、Y社のネットワーク機器が有するVPN機能によるインシデントであった。認証情報が漏洩し、悪意のある第三者によって内部ネットワークに侵入され機密情報の漏洩が発生した。VPN機能の認証情報は、Y社で規定した共通の情報であったため、想定される影響範囲が大きくなり、Y社及びそのインシデントは大きく報じられることとなった。
　これを受け、Z社ではY社と同等の機能を持つネットワーク機器A（以下、Aという）の設定する管理者情報及びVPN機能のユーザー情報（以下、ユーザー情報という）の見直しが必要となった。
　ユーザー情報の見直しは、Aのユーザー情報の取り扱いを従来よりも機密性を高める方向で検討された。ただし、Aの保守対応はZ社自身で行うため、機密性と相反する場合が多い可用性についても十分に担保されないとならない。
　以上の点から、ユーザー情報の見直しに関しては、Z社の複数部門にまたがる対応が必要となる。具体的には、技術部に所属する情報処理安全確保支援士、設置及び保守対応の部門を含む、複数部門でタスク・フォースとして対応することとなった。

2.影響を与えるIT資産の管理と利用について
　ユーザー情報の見直しによって影響があるIT資産は、Aの設置時に環境情報状況や詳細設定を登録する資産管理ソフトB（以下、Bという）である。また、Aの施工基準書や施工マニュアルといったドキュメント（以下、ドキュメントという）をユーザー情報に関する部分を訂正する必要がある。
721-1421

2.関連既定の見直しに関する手続きの適切性を確かめるための監査手続及び留意すべき事項について

　Z社経営陣は、設問アで述べたインシデントを強く受け止め、開始段階のユーザー情報の見直しの活動を、適時で修正できるように考え、システム監査部門に見直しの適切性の監査を命じた。
　私は、Z社のシステム監査部門におけるシステム監査人の立場で、ユーザー情報の見直しを監査する。
　ユーザー情報の見直しの監査では、次の観点から検討する手続きが必要である。次に観点ごとに監査手続を述べる。
①目的
　ユーザー情報の見直しの目的が適切でないと、ユーザー情報の見直しによるAのインシデント対応の有効性が減少したり、Y社と同様のインシデントを招くリスクがある。また、見直しの目的が適切であれば、ユーザー情報のセキュリティの強度や、機密性と可用性のバランスといった具体的な落とし込みも可能となる。ユーザー情報の監査手続としては、タスク・フォースの会議議事録を閲覧して、見直しの目的の適切性、及び目的に沿ったユーザー情報の設定変更を検討していることを示す監査証拠を得るを設定した。
　留意する事項として、見直しの目的の明確性が担保されていることである。見直しの目的が明確でなく、解釈の幅があった場合、ユーザー情報の見直しの適切性が損なわれる可能性がある。追加の監査手続として、タスクフォースの会議議事録を閲覧し、目的が明確かを確認する。併せて、タスクフォースのメンバにインタビューを実施し、見直しの目的の解釈が一致していることを示す監査証拠を得るを設定した。
②適用時期
　適用時期が適切に検討されていない場合、準備に手間取ったり、ユーザー情報の見直しの進捗管理に影響を及ぼす。監査手続としては、タスクフォースの進捗管理表を閲覧し、適用時期が準備期間や繁忙期などを考慮していることを示す監査証拠を得るを設定した。
　留意する事項としては、対応が遅滞なく行われるかを確認する必要がある。なぜならば、今回のようなインシデント対応では、遅滞により外部からの指摘を受けたり、インシデントが発生する可能性が高まるからである。そこで私は、追加の監査手続として、タスクフォースのメンバにインタビューを実施して可及的速やかに対応を検討していることを示す監査証拠を得るを設定した。
1700-2400

3.見直しした関連既定を周知徹底するための計画及び周知徹底状況の適切性を確かめるための監査手続及び留意事項

1.見直した関連既定を周知徹底するための計画について
　見直した関連既定が周知徹底されるためには、組織体制を考慮した周知手続が必要になる。Z社内では、タスクフォースの進捗計画の中では、社内のEラーニングを通じて周知する手続が計画されていた。しかし、予備調査の段階で、Aの保守対応はZ社で実施するが、Aの設置はZ社以外の業者に委託される場合があることが判明していた。このため、ユーザー情報の見直しについて網羅的に周知徹底するためには、この委託業者に対しても周知手続を実施する必要がある。
　監査手続としては、進捗計画を閲覧し、委託業者に対する周知手続が計画されているかを示す監査証拠を得るを設定した。
　留意すべき事項として、委託業者の網羅性に関しては、外部企業の調査になる為、業務に関わる委託業者全員について完全な網羅性を示す証拠を得ることが困難なことである。このため、追加の監査手続として、外部業者の周知手続の方法が網羅性について証拠能力の妥当性を得るを設定した。
2.周知徹底状況の適切性を確かめるための監査手続及び留意点について
　上記では周知徹底する計画についての監査について述べた。ユーザー情報の監査で計画されている、周知徹底状況の適切性を確かめる監査を以下に述べる。監査は、見直した内容について各担当者への確認という観点で実施した。監査手続としては、Aの設置、運用を実施するものにヒアリングを実施し。見直しの内容を理解していることを示す監査証拠を得るを設定した。
　留意すべき事項としては、周知徹底状況の網羅性も確認する必要がある。そこで追加の監査手続として、資産管理ソフトBを閲覧し、Aのユーザー情報の登録内容を全数検査によって見直しの内容の準拠性を得るを設定した。