H29 AU PM2-2 情報システムの運用段階における情報セキュリティの監査について

1.情報システムの概要とビジネス上の役割、及び当該情報システムに求められるセキュリティレベルについて

1.情報システムの概要とビジネス上の役割について
　Z社は、自社開発のネットワーク機器を販売し、設置から運用までを実施する通信事業者である。Z社が展開する商材は幅広く、商品DBの参照や、営業支援システムなど多岐に渡るシステムの利用が必要となる。
　Z社の各システムは、それぞれ個別で認証を実施していた。このため、営業活動や設置業務などで可用性を損なうこととなり、認証機能の統一が求められていた。そこで、一つの認証機能で、複数のシステムの認証を連携させるSingle Sign On機能（以下、SSOという）を有する認証システムA（以下、Aという）を導入することとなった。
　Aの利用により、Z社の各種システムの利用、特に複数のシステムを扱う必要のある営業活動において大きな効果があった。また、Aの運用により各種システムのセキュリティ情報の更新やパスワードの強度の統一が図られることとなり、AはZ社におけるビジネス戦略に大きな影響がある。
2.情報システムに求められるセキュリティレベルについて
　Ａの機能であるSSOは、一つの認証でZ社の多くの情報システムへアクセスが可能となる。この情報システムには、個人情報や営業秘密を有するシステムも存在する。このため、Aの認証がインシデントによって、不正に認証された場合、上記の重要情報にアクセス可能となることが想定される。
　従って、Aが組織として確保すべき情報セキュリティレベルは、その他のシステムの水準よりも高く設定し、これを維持しないとならない。
　私は、Z社監査室に所属するシステム監査人として、運用段階にあるAのセキュリティレベルの維持の施策の適切性の監査をする者である。
754-1454

2.情報システムの運用段階においてセキュリティレベルを維持できなくなる要因とそれに対するコントロールについて

2.Aの運用段階において考え得るリスク、及びそのコントロールについて
　Aの運用段階におけるセキュリティレベル維持の適切性についてを監査するにあたり、Aに対するリスクアセスメントを実施した。検討したのは、以下のリスクを引き起こす要因と、そのコントロールである。
2.1　認証情報の強度の観点
　Aの認証情報はZ社の情報システムを利用する従業員全てである。構築段階では、登録するユーザー情報に変動がないが、運用段階におけるAのユーザー情報は新規に追加・削除が適時に必要となる。同様に、現在Aで設定されているそれらのユーザーの認証情報の強度は、構築段階において対応可能なものである。情報セキュリティの脅威は常に新しい手口が高度化・巧妙化しているため、認証情報強度に関わる設定の見直しが図られない場合、防ぎきれない新しい攻撃手段によってログイン情報を詐取されるリスクを引き起こす要因となる。
　この要因に対するコントロールとして、Z社ではAを運用・保守する情報システム部では、月次で情報セキュリティの情報収集の勉強会を実施し、情報セキュリティの知識を最新のものとするようにしている。
2.2　インシデント発生時の観点
　Aに関して、インシデントの発生を防ぐ観点での対策も重要だが、インシデントが発生した場合の対策も同様に重要と言える。Aにインシデントが発生した際の対策が十分でなかったり、計画通り遂行されなかった場合、被害が拡大する要因となる。
　この要因に対するコントロールとして、Z社情報システム部では、Aを利用する全利用者を対象に、定期的にパスワード変更を実施することでインシデント対応の予行練習としている。この予行演習を実施した際に得られた知見や経験をフィードバックできるように、パスワード変更を実施した後に検討会を実施している。
1600-2300

3.コントロールが有効に機能しているかどうかを確認する監査手続について

3.コントロールの有効性に関する監査手続について
　設問イで述べた、各コントロールが有効に機能しているかどうかを確認するための監査手続を以下に述べる。
3.1認証情報の強度についての監査手続
　認証情報の強度についての確認すべきポイントとして、情報セキュリティシステムの勉強会の内容は適切か、を設定した。監査手続は、情報システム部の勉強会の議事録を入手して査閲するという監査手続を設定した。これにより、勉強会で検討されている内容はAの認証情報の強度について適切に検討しているかを示す監査証拠を得るを設定した。
　また、上記の内容が情報システムメンバが十分に理解しているかを確認する必要があると考え、追加の監査手続として、情報システムメンバの中で最も経験年数の少ない人員に、勉強会の内容をヒアリングを実施するという監査手続を設定した。これにより情報システムメンバに情報セキュリティの勉強会の内容が十分に理解されているかを示す監査証拠を得るを設定した。
3.2インシデント発生時の観点について
　インシデント発生時の対策についての確認すべきポイントとして、パスワード変更の手続きは無理がなく効率的かを設定した。監査手続として、パスワード変更のスケジュールや告知のタイミングなどの計画書を査閲し、また情報システム部のパスワード変更の業務を現地調査をするという監査手続を設定した。これにより情報システム部が実施するパスワード変更の手続きが適切であることを示す監査証拠を得るを設定した。
　インシデント発生時を踏まえた予行練習についての確認すべきポイントとして、実施した予行練習で得られた知見や改善点が適切にフィードバックされているか、を設定した。監査手続として、情報システム部の検討会の議事録を全て入手し査閲するという監査手続を設定した。これにより検討会の内容が次の予行練習の内容に適切にフィードバックされているかを示す監査証拠を得るを設定した。
　以上が運用段階にあるAのセキュリティレベルの維持の施策の適切性の監査手続である。