システム監査
平成11年午後I問3
K社は、法人向けのパッケージソフトウェア販売会社である。役員を含めた全
社員に対し一人1台のパソコンを配置し、業務に使用している。社内LANを整
備したとき、すべてのパソコンを社内LANに接続した。
その後、社内LANのインターネット接続を検討した際に、営業員から“ほと
んどの客先に電子メールが普及しているので、提案書や見積りなどのやり取りに
電子メールを使用したい”という要望が強く挙がった。社長も、売上の拡大には
顧客とのコミュニケーションが重要であると考え、電子メールをその手段として
活用するために、インターネット接続と同時に全社員に電子羊一ルアカウントを
付与することにした。
社長は、同時に、不正アクセスやデータ漏えいなどが発生しないように情報セ
キュリティに関する基本方針を自ら定め、情報システム部長に、情報セキュリテ
ィポリシ案を策定するように指示した。
〔情報セキュリティポリシ〕
社長の指示に基づき、情報システム部長は、次のように情報セキュリティポリ
シの枠組みを定めた。
(1) “情報セキュリティポリシ”の階層は、次の図のとおりとする。
(2) 情報セキュリティ対策を講じる上で、その前提として決められていなけれ
ばならない基本的な指針を“セキュリティスタンダード”と呼ぶ。例えば、
情報のオーナシップを明確にし、その情報を重要度に従って区分することな
どが含まれる。
(3) “セキュリティスタンダード”に基づいて、それぞれの利用システムごと
にユーザが守るべき情報セキュリティに関する基本事項を、“セキュリティ規
定”として定める。
(4)“情報セキュリティポリシ”に従って、関連する規定、手続書、マニュアルなどを見直す。
社長は、“情報セキュリティ基本方針”を次の文書にまとめた。
| 社員各位
1999年×月×日
社長 昨今、機密情報の漏えい、プライバシ侵害などの問題がクローズアップされて (1)会社は、機密度、重要度に基づく相応の情報セキュリティ対策を講じ、技 当面、情報セキュリティに関する主管部署を情報システム部とするので、会社 以上
|
情報システム部長は、“セキュリティスタンダード”に続いて、電子メールに関
する“セキュリティ規定”をまとめた。電子メールに関する“セキュリティ規定”
の内容の抜粋は、表のとおりである。
|
|
|
| 【10.電子メールアカウント】 | |
|
|
会社は、全社員に電子メールアカウントを付与する。 |
|
|
社員は、電子メールアカウント付与時に通知されたパスワードを初回使用時 に変更しなければならない。 |
|
|
社員は、パスワードを毎月変更し、個人の責任において管理しなければなら ない。 |
| 【20.電子メールの使用】 | |
|
|
社員は、会社の機密に属する重要情報を電子メールで送信する場合、暗号化 しなければならない。 |
|
|
社員は、社外に対して許可なく会社の機密に属する情報を送信してはな らない。 |
|
|
社員が顧客との間の営業折衝に使用する電子メールは、証跡として6か月間 保存しなければならない。 |
| 【30.プライバシ】 | |
|
|
社員は、電子メールで社員、顧客、その他の者のプライバシ情報を送信して はならない。 |
|
|
会社は、監査などの目的で電子メールの使用状況及び内容を閲覧する場合が ある。 |
| 【40.ウイルス対策】 | |
|
|
社員は、指定されたアンチウイルス製品を必ず常駐監視状態で使用しなけれ ばならない。 |
|
|
社員は、ウイルスが検出された場合、直ちにシステム管理者に報告し、指示 に従わなければならない。 |
| 【50.バックアップ】 | |
|
|
社員は、送受信したメッセージがシステム上のトラブルなどで棄損した場合 に備え、自らの責任において必要なメッセージのバックアップをとらなけれ ばならない。 |
なお、このセキュリティ規定とは別に電子メール使用マニュアルを作成し、全
社員に配布している、内容は、メールソフトウェアの設定や送受信の操作に関す
る記述が中心である。
〔電子メールの運用状況〕
運用開始後の半年間に、次のような状況が発生していた。
| (a) | 営業員は、新商品の案内、セミナの案内、関連情報の通知などに頻繁に電 子メールを使用している。これらの送信先の顧客には、他の営業員の顧客も 含めている。 電子メールは、送信先に複数の顧客を併記する形式で送信して いる。電子メールの使用を開始した直後から、送信した電子メールに関して、 顧客から幾つかのクレームが寄せられた。 |
| (b) | 営業員が営業部長あてに社内文書を電子メールで送信したところ、CC(写 し送信先)に顧客が指定されており、社内文書が外部に流れたことがあった。 また、電話で受けた見積依頼に電子メールで返信したところ、送信先違いで 別の顧客に送信したこともあった。 |
| (c) | ある社員が受信した電子メールの添付ファイルを開こうとしたとき、ウイ ルス検出の警告メッセージが表示された。この社員は、すぐにシステム管理 者に報告した。 |
設問1
K社の“セキュリティスタンダード”において、一般的にどのような項
目が定められるべきか。〔情報セキュリティポリシ〕の(2)に挙げられた項
目以外に二つ挙げ、それぞれ30字以内で述べよ。
設問2
〔電子メールの運用状況〕から判断して、次の問いに答えよ。
| (1) | (a)のクレームの内容として、(b)のほかに想定される事項を二つ挙げ、 それぞれ40字以内で述べよ。 |
| (2) | (a)、(b)の対策として、表中に挙げられている内容以外に規定すべきも のは何か。それぞれの状況ごとに、30字以内で述べよ。 |
設問3
〔電子メールの運用状況〕の(c)において、報告を受けたシステム管理者
がとるべき行動について、次の問いに答えよ。
| (1) | 状況を把握するために、ユーザから報告させるべき事項を、50字以内 で述べよ。 |
| (2) | アンチウイルスソフトウェアのベンダに対して確認、依頼すべき事項 を、50字以内で述べよ。 |
sponsored link
このページ
のTOPへ
