R5 AU2-2・サイバーセキュリティ管理体制に関するシステム監査について

bear-crow


サービスの概要、及びサイバーセキュリティ管理体制が必要となる理由


1.1 サービスの概要
 Z社は、自社開発のネットワーク機器を販売し、運用やインシデント対応までをワンストップで実施している通信事業者である。通信業界において後発であるZ社は、販促において他社に後れを取り、競合他社との差異化を図る必要があった。そこで、Z社経営陣は、自社機器のサポート力の強化を全社的に実施することとなった。特に、カスタマーサポートの窓口となるサービスデスク対応の強化を図った。これにより、Z社のコアコンピタンスとなるサポート対応の体制が構築されつつあった。
 Z社では、さらにサポート力の強化を図る為、従来は事業所に出社して受付対応及びサービスデスク対応を実施していたサポート対応従事者(以下、対応者という)の対応を、勤務地に捉われず、広く人員を募集する為、自宅でのサポートデスク対応の従事者(以下、これらをテレワーク及びテレワーカーという)を募集することとなった。
1.2 サイバーセキュリティ管理体制が必要となる理由
 Z社のサポートデスク対応は、主に電話対応やリモートデスクトップ機能を利用したサポート対応となる。これらは、Z社のクラウドPBXやVPNを利用して、自宅でも活用できるため、テレワーカーが従事可能な環境は構築が容易である。
 ただし、テレワークは相互監視が可能であったり、十分なセキュリティ対策の取れた事務所内ではない場所での業務にあたるため、サイバーセキュリティ管理体制が特に必要となる。サプライチェーンの弱点を悪用した攻撃のように、昨今のサイバー攻撃は直接標的を狙わず、「最も弱い鎖の輪」から順次狙っていく手口も存在する。
 これらの点からテレワーク及びテレワーカーには十分なサイバーセキュリティ管理体制が必要となる。
757‐1457

2. サイバーセキュリティ管理体制におけるPDCAサイクル実施の適切性の監査

1. PDCAサイクル実施の監査
 私は、Z社システム監査部門のシステム監査人の立場で、設問アで述べたテレワーカー雇用のセキュリティ管理体制(以下、本体制という)のPDCAサイクルの監査を実施することとなった。
1.1 監査の着眼点及び入手すべき監査証拠
 PDCAサイクルにおいて重要なのは、あるべき姿とされる目標と、その達成具合の進捗が計測可能なようにすること、及びその維持と改善の具体的方策である。この観点に基づき、実施される本体制のPDCAサイクルの実施の適切性の監査における入手すべき監査証拠を挙げる。
(1)目標について
 目標について重要なことは、Z社のテレワークについての必須のセキュリティ特性とZ社が雇用するテレワーカーに必要とされるセキュリティに関わる知識・スキルが明確になっているか、またその設定にあたって十分な検討がなされたかを確認する必要がある。このため、テレワーク及びテレワーカーに関する組織図、テレワーカーが所属することになるZ社技術部サポート課が作成したテレワークに関する運用規定、またテレワーカー雇用の採用条件を検討したZ社技術部のテレワーカ雇用に関する会議の議事録である。
(2)達成具合の進捗について
 現状とあるべき姿の達成具合の進捗について重要なことは、できるだけ計測可能なように設定することである。この設定についてを検討したはずである監査証拠は、テレワーカの教育計画会議の議事録とテレワークの運用規定である。
(3)維持と改善の具体的方策について
 維持と改善の具体的方策については重要なことは、継続的にかつ人員が増えた場合、また退職などによる減員の場合でも網羅的にテレワークに求めるセキュリティ対策がなされているか、である。この点に関して、テレワーカの教育計画会議の議事録とZ社技術部のテレワークの要員がテレワーカの人事について適時・適切に情報を入手しているかのヒアリングである。
2 監査手続について
(1)目標についての監査手続
 テレワーク及びテレワーカーに関する組織図を閲覧し、必要な権限者及び対応者が運用規定の作成に関わっているかを確認する。また、テレワーカ雇用に関する会議の議事録を査閲し、目標の明確性を確認する。
(2)達成具合の進捗の監査手続
 テレワークの運用規定を閲覧しその目標を確認する。これに加え、テレワーカの教育計画会議の議事録を閲覧し、目標に対する達成具合をどのように計測及び判定するかを確認する。
(3)維持と改善の具体的方策について
 テレワーカの教育計画会議の議事録を査閲し、求めるテレワーカの知識・スキルが一定ではなく必要に応じて改善ができるような観点があるかどうかを確認する。また、テレワーカの人事に関して、ヒアリングを実施し確認する。
1989-2700

3. インシデント発生時を想定したサイバーセキュリティ管理体制の適切性の監査について

1.インシデント発生時を想定したサイバーセキュリティ管理体制の適切性の監査について
 設問イの監査において、テレワーカ雇用におけるサイバーセキュリティ管理体制のPDCAサイクルの実施の適切さを確認したが、昨今のサイバーセキュリティにおけるインシデントは、発生を防ぐことに主眼を置くだけではなく、発生を前提としていかに回復するかといったサイバーレジリエンスの確保も重要となっている。この観点に立ち、私はインシデント発生時を想定したサイバーセキュリティ管理体制の適切性の監査を実施した。

1.1 監査の着眼点と監査証拠について
 私は予備調査において、テレワーク及びテレワーカのセキュリティ対策の確認を実施し、テレワークで利用するPCに対し、IT資産管理ソフト「A」(以下、Aという)、及びEDR(Endpoint Detection and Response)の「B」(以下、Bと呼ぶ)を利用する旨の回答を得ていた。サイバーレジリエンスにおいては、操作ログ、具体的にはランサムウェアの悪意のあるファイル操作などを検知し、早急な対応を要する。Z社のテレワークではA及びBによりサイバーレジリエンスを確保する、との回答を得ていた。従って、インシデント発生時を想定したサイバーセキュリティ管理体制の適切性の監査は、A及びBの仕様や運用を確認することとなる。
1.2 入手すべき監査証拠について
(1)Aの監査証拠について
 Aは、PCにエージェントと呼ばれるソフトウェアをインストールし、管理コンソールを用い、管理者により一括管理が可能となる。このコンソールを用いたエージェントの利用状況を閲覧する。また、テレワーク従事者のリストも入手する。次に、Aの異常発生時の通知機能設定状況を確認するためのAのZ社基準の設定マニュアル、及び異常発生時の運用手順書を入手する。
(2)Bの監査証拠について
 Bは、PCにインストールされると常時ファイルアクセスを監視し、以上を検知、対応及び管理者に通知をする。Bの監査証拠は、インストールを実施したPCについてのリストであるAのコンソールからBのインストール状況を抽出したリスト。また、Bの異常発生時の通知機能設定状況を確認するためのBのZ社基準の設定マニュアル、及び異常発生時の運用手順書を入手する。

2.監査手続について
(1)Aの監査手続について
 Aのエージェントのインストール状況について、その網羅性を確認するためにコンソールによるエージェント稼働状況とテレワーク従事者リストの突き合いを実施する。また、Aの運用を実施する要員に運用手順書について、インタビューを実施し、運用手順書に従った対応が可能かを確認する。Aの運用を実施する要員については、要員の中から最も運用の経験が浅い者にインタビューを実施する。
(2)Bに関する監査手続について
 Bのインストール状況の網羅性についてAのコンソールを利用し確認をする。また、Bの運用を実施する要員に運用手順書について、インタビューを実施し、運用手順書に従った対応が可能かを確認する。インタビューを実施する者はAの監査手続と同様に、要員の中から最も運用の経験が浅い者にインタビューを実施する。

以上
 



この記事が気に入ったらサポートをしてみませんか?