システム監査
平成10年午後I問2
W社は、東京に本社、首都圏に五つの事業所をもつ証券会社である。
昨年、情報の共有化を目的に、本社及び事業所ごとにLANを構築した。顧客
情報については、従来、各事業所ごとにデータベースを構築していたが、これを
機会に本社のサーバ上に顧客データベースを統合した。本社と各事業所のLAN
は、専用線で接続した。また、営業員の要望にこたえて、携帯端末からダイヤル
アップIP接続で、本社のサーバ上の顧客データベースを利用できるようにした。
顧客データベースは、顧客の住所、氏名、年齢、職業、取引履歴のほかに、趣
味、し好などの情報を含んでいる。
このたび、W社の顧客情報が名簿業者に持ち込まれていたことが分かった。流
出した顧客情報の内容を名簿業者に問い合わせたところ、内容の一部のリストが
送られてきた。リストの内容は、データベースの内容そのものであり、ある事業
所の一部の顧客情報が含まれていた。
顧客情報の取扱いの現状を調査した結果、顧客情報管理システムの概要と運用
状況は、次のとおりであった。
〔顧客情報管理システムの全体構成〕
| (1) | 顧客データベースは、市販のソフトウェアパッケージを使用して本社のデ ータベースサーバに構築されている。ユーザID及びパスワードが登録され ている社員は、本社及び各事業所のLANに接続されたすべてのパソコンか ら顧客情報の照会が可能である。 |
| (2) | 顧客データの新規入力と更新については、入力者の所属する事業所の顧客 データに限定される。これらのアクセスコントロールは、データベース管理 ソフトウェアの機能によって実現される。 |
| (3) | パスワードの有効期間は1か月に設定されており、ユーザは1か月以内に 変更を強制される。 |
| (4) | 顧客情報管理システムは、暗号化の機能をもっていない。 |
〔ダイヤルアップIP接続の認証方式と運用〕
| (1) | ダイヤルアップIP接続時のユーザ認証のために、リモートアクセスサー バを導入している。 |
| (2) | リモートアクセスプロトコルは、PPP(PointtoPointProtocol)を使 用している。リモートアクセスサーバの認証プロトコルは、PAP(Password AuthenticationProtocol)とCHAP(ChallengeHandshakeAuthentication Protocol)に対応している。W社では、PAPを使用している。 |
| (3) | ダイヤルアップIP接続時の顧客データベースヘのアクセス権限は、照会 だけに限定されている。 |
〔日次のバックアップ運用〕
| (1) | 本社では、情報システム部の運用部門の全員が、ローテーションを組んで 毎日定時に1枚の光磁気ディスク(MO)にバックアップを取っている。 |
| (2) | バックアップ担当者は、バックアップしたMOに“バックアップ yyyy/mm/dd”とラベルを付し、サーバ横の開架棚に置かれたMOケースに入 れている。 |
| (3) | バックアップには2枚のMOを交互に使用しており、前々日のバックアップ で使用したMOに上書きし、ラベルをバックアップした日付に書き換えている。 |
〔月次のバックアップ運用〕
| (1) | 月末には、日次バックアップに加えて、別のMOに月次バックアップを取り、 他システムのバックアップデータとともに外部業者に保管を依頼している。 |
| (2) | バックアップ担当者は、外部保管用に月次バックアップしたMOを封筒に 入れて警備員に預けている。 |
| (3) | 外部保管業者は、通常、夜間に来社し、前回保管分のMOと引換えに、今回のMOを警備員から受け取る。 |
| (4) | 情報システム部の部員は、外部保管業者から返却されたMOを翌日に警備 員から回収し、そのまま次回の月次バックアップまで、日次バックアップし たMOと同じサーバ横の開架棚に置かれたMOケースに入れている。 |
〔事業所の帳票の管理運用〕
| (1) | 事業所及び帳票保管場所には、ICカード方式の入退館管理システム及び 入退室管理システムが導入されている。 |
| (2) | 各事業所の責任者は、システムがダウンした場合に備え、またユーザID をもたないアルバイト職員も利用できるように、毎月末、顧客情報を帳票と して出力している。 |
| (3) | 顧客情報の出力帳票は開架棚に常時置かれており、必要とする者が、随時 に持ち出して使用できる。 |
| (4) | 古くなった帳票は裁断処理する規則になっているが、ある事業所では、表 面に“焼却”と朱書きされた帳票が、ごみ処理業者が指定するビル内の共有 スペースに置かれている。この帳票は、ビルのごみ処理業者によって他のゴ ミと一緒に搬出されている。 |
| (5) | この事業所では、ごみ処理業者はビルの管理会社と契約しており、直接こ の事業所とごみ処理契約を結んではいない。 |
設問1
W社の顧客情報漏えいのリスクに関連して、情報漏えいの原因となり得
る取扱上の問題点は何か。次の(1)、(2)について、それぞれ50字以内で
述べよ。
(1) 日次バックアップ及び月次バックアップのMO
(2) 顧客情報の出力帳票
設問2
W社の機密保護の適切性を監査する場合の監査ポイントは何か。次の
(1)、(2)について、それぞれ30字以内で述べよ。さらに、監査ポイント
ごとの監査手続をそれぞれ50字以内で述べよ。
(1)バックアップしたMOの外部保管
(2)出力帳票の保管
設問3
W社における顧客情報の機密保護を強化するための対策について、技術
面及び運用面から、それぞれ50字以内で述べよ。
sponsored link
このページ
のTOPへ
