システム監査
平成14年午後I問1
ネットワークへの不正侵入に関する次の記述を読んで、設間1~3に答えよ。
X社は、衣料・雑貨の小売会社である。X社は、全国に店舗を展開しているほ
か、昨年からインターネットを利用してBtoCのビジネスを積極的に展開して
いる。
最近、X社のWebサイトが不正侵入sare、ホームページが改ざんされるという
事件が起こった。X吐の業務内容が業界で注目され、ジャーナリズムの話題にな
ったことが、侵入者の目に留まったようである。改ざんの内容は、ホームページ
の会社名を競合会社名に変更されるというものであった。
webサイトは、社内で比較的パソコンに精通しているS氏がWebシステム管
理者として業務機能を中心に構築したものであった。
X社システムのネットワーク構成は、次の図のとおりである。
〔Webサイト改ざん後のXの対応〕
社長は、すぐに業務を再開することを希望した。S氏は、とりあえずホームペ
ージの画面を修正し、自分が監視できる営業時間内に限りWeb業務を継続するこ
とにした。
また、X社が購入して利用しているWebサーバのメーカY社の勧めで、今後
はシステム監査を実施して、信頼性を確保することにした。内部監査部門には、
システム監査実施体制がないので、S氏独自の判断でY社のシステム監査サービ
ス部に監査を委託することにした。Y社システム監査サービス部は、過去にネッ
トワークセキュリティのシステム監査の経験があるとのことであった。
〔Y社システム監査サービス部のシステム監査業務受託までの経緯〕
X社担当の営業員から、システム監査サービス部に、X社のシステム監査を受
託するかどうかの打診があった。また、別途S氏から、社内にシステム監査実施
体制がないので、Y社システム監査サービス部のシステム監査を継続的に受ける
方向で検討したいとの電話があった。
Y社システム監査サービス部は、幾つかの事項を確認した後、システム監査サ
ービスを受託する旨を口頭でS氏に伝えた。
〔Y社システム監査サービス部のシステム監査アプローチ〕
Y社システム監査サービス部は、X社に確認した事項を基に、外部監査人とし
てどのような方針で何を実施すべきかを検討し、次のアプローチを採ることにし
た。
(1) 依頼内容は、ネットワークシステムのセキュリティに関するものである。
ただし、ネットワークの物理的及び論理的なセキュリティのほか、社内管理
体制についての監査もX社の要望と考えられるので、それらをカバーするも
のとする。
(2) 監査項目及び監査手続は、システム監査基準や過去のY社システム監査サ
ービス部の経験を基に作成する。
(3) 既に不正侵入が発生しており、その原因は、X社のネットワークセキュリ
ティコントロールの基本的な部分にあると考えられる。したがって、特に必
要がなければ実証的な検証は行わず、監査技法として質問、資料閲覧及び視
察を適用する。
(4) X社はY社のハードウェア販売先であることから、システム監査報告書に
おいては指摘事項の記載にとどめ、ハードウェアの追加購入などに話が及ぶ
おそれもあるので、改善策については記載しない。
〔監査調書に記述されている発見事項〕
Y社システム監査サービス部の監査調書には、システム監査によって発見され
た事項が、次のように記述されている。
(1) 全社的なセキュリティポリシが策定されていない。このため、保護すべき
情撃資産が明確でなく、また、セキュリティ管理者が定められていない。
(2) S氏は、管理者用IDに“admin”を使用しており、パスワードについても
及び“admin”を使用している。また、業務システムのファイル管理用のID
及びパスワードについても、同じものを使用している。S氏には、緊急時に
備え、業務システムファイルに対する直接更新の権限が与えられている。
(3) パケットフィルタリング方式のファイアウォールが設置されている。機能
テストを実施した結果、正常こ稼働しており、特に機能的な問題はない。
(4) Webサーバ及び外部向けDNSサーバが、DMZに設置されている。
(5) HTTP、SMTP、Telnet及びFTPが利用可能になっている。HTTP及び
SMTP以外は、業務に使用されていない。
(6) 導入済みのソフトウェア群には、ファイルを暗号化するためのソフトウェ
アが含まれている。しかし、保管データの暗号化は、行われていない。
(7) ネットワークを常時監視するネシトワーク不正侵入検知ツールは、導入さ
れていない。
(8) 顧客ファイルのうち、通常の業務では削除されることのない取引履歴情報
の一部が削除されていた。
〔Y社システム監査サービス部のシステム監査報告と指摘事項〕
Y社システム監査サービス部は、必要な監査手続を終え、S氏あてにシステム
監査報告書を提出した。
システム監査報告書の指摘事項は、〔監査調書に記述されている発見事項〕の(1)
~(8)の発見事項に関するものであった。S氏は、社長に説明する必要もあること
から、指摘事項の詳細とそれらに対する改善策の導入提案について、Y社システ
ム監査実施担当者の一人から詳しく説明を受けた。S氏は、緊急性が高く実施が
容易なものから、Y社の協力を得て改善する方向で、社長の指示を仰ぐことにし
た。
設間1
X社がY社システム監査サービス部に委託したシステム監査では、その
依頼から報告までの過程に幾つかの間題点がある。主要なものを二つ挙
げ、改善案とともにそれぞれ50字以内で述べよ。
設間2
X社システムが外部からの不正侵入を許した原因と考えられる運用上の
不備事項は何か。不傭事項とそれに対応する有効な防止措置を二つずつ挙
げ、それぞれ30字以内で述べよ。
設問3
〔監査調書に記述されている発見事項〕には、Y社システム監査サービ
ス部が実施した資料閲覧によって発見された事項が含まれている。これら
の発見事項は、どのような資料閲覧から導かれたものか。また、そのとき
の監査目標は、どのようなものであったか。想定される監査目標を二つ挙
げ、監査目標を30字以内、対応する閲覧対象とした資料名を15字以内で、
それぞれ述べよ。
X社は、衣料・雑貨の小売会社である。X社は、全国に店舗を展開しているほ
か、昨年からインターネットを利用してBtoCのビジネスを積極的に展開して
いる。
最近、X社のWebサイトが不正侵入sare、ホームページが改ざんされるという
事件が起こった。X吐の業務内容が業界で注目され、ジャーナリズムの話題にな
ったことが、侵入者の目に留まったようである。改ざんの内容は、ホームページ
の会社名を競合会社名に変更されるというものであった。
webサイトは、社内で比較的パソコンに精通しているS氏がWebシステム管
理者として業務機能を中心に構築したものであった。
X社システムのネットワーク構成は、次の図のとおりである。
〔Webサイト改ざん後のXの対応〕
社長は、すぐに業務を再開することを希望した。S氏は、とりあえずホームペ
ージの画面を修正し、自分が監視できる営業時間内に限りWeb業務を継続するこ
とにした。
また、X社が購入して利用しているWebサーバのメーカY社の勧めで、今後
はシステム監査を実施して、信頼性を確保することにした。内部監査部門には、
システム監査実施体制がないので、S氏独自の判断でY社のシステム監査サービ
ス部に監査を委託することにした。Y社システム監査サービス部は、過去にネッ
トワークセキュリティのシステム監査の経験があるとのことであった。
〔Y社システム監査サービス部のシステム監査業務受託までの経緯〕
X社担当の営業員から、システム監査サービス部に、X社のシステム監査を受
託するかどうかの打診があった。また、別途S氏から、社内にシステム監査実施
体制がないので、Y社システム監査サービス部のシステム監査を継続的に受ける
方向で検討したいとの電話があった。
Y社システム監査サービス部は、幾つかの事項を確認した後、システム監査サ
ービスを受託する旨を口頭でS氏に伝えた。
〔Y社システム監査サービス部のシステム監査アプローチ〕
Y社システム監査サービス部は、X社に確認した事項を基に、外部監査人とし
てどのような方針で何を実施すべきかを検討し、次のアプローチを採ることにし
た。
(1) 依頼内容は、ネットワークシステムのセキュリティに関するものである。
ただし、ネットワークの物理的及び論理的なセキュリティのほか、社内管理
体制についての監査もX社の要望と考えられるので、それらをカバーするも
のとする。
(2) 監査項目及び監査手続は、システム監査基準や過去のY社システム監査サ
ービス部の経験を基に作成する。
(3) 既に不正侵入が発生しており、その原因は、X社のネットワークセキュリ
ティコントロールの基本的な部分にあると考えられる。したがって、特に必
要がなければ実証的な検証は行わず、監査技法として質問、資料閲覧及び視
察を適用する。
(4) X社はY社のハードウェア販売先であることから、システム監査報告書に
おいては指摘事項の記載にとどめ、ハードウェアの追加購入などに話が及ぶ
おそれもあるので、改善策については記載しない。
〔監査調書に記述されている発見事項〕
Y社システム監査サービス部の監査調書には、システム監査によって発見され
た事項が、次のように記述されている。
(1) 全社的なセキュリティポリシが策定されていない。このため、保護すべき
情撃資産が明確でなく、また、セキュリティ管理者が定められていない。
(2) S氏は、管理者用IDに“admin”を使用しており、パスワードについても
及び“admin”を使用している。また、業務システムのファイル管理用のID
及びパスワードについても、同じものを使用している。S氏には、緊急時に
備え、業務システムファイルに対する直接更新の権限が与えられている。
(3) パケットフィルタリング方式のファイアウォールが設置されている。機能
テストを実施した結果、正常こ稼働しており、特に機能的な問題はない。
(4) Webサーバ及び外部向けDNSサーバが、DMZに設置されている。
(5) HTTP、SMTP、Telnet及びFTPが利用可能になっている。HTTP及び
SMTP以外は、業務に使用されていない。
(6) 導入済みのソフトウェア群には、ファイルを暗号化するためのソフトウェ
アが含まれている。しかし、保管データの暗号化は、行われていない。
(7) ネットワークを常時監視するネシトワーク不正侵入検知ツールは、導入さ
れていない。
(8) 顧客ファイルのうち、通常の業務では削除されることのない取引履歴情報
の一部が削除されていた。
〔Y社システム監査サービス部のシステム監査報告と指摘事項〕
Y社システム監査サービス部は、必要な監査手続を終え、S氏あてにシステム
監査報告書を提出した。
システム監査報告書の指摘事項は、〔監査調書に記述されている発見事項〕の(1)
~(8)の発見事項に関するものであった。S氏は、社長に説明する必要もあること
から、指摘事項の詳細とそれらに対する改善策の導入提案について、Y社システ
ム監査実施担当者の一人から詳しく説明を受けた。S氏は、緊急性が高く実施が
容易なものから、Y社の協力を得て改善する方向で、社長の指示を仰ぐことにし
た。
設間1
X社がY社システム監査サービス部に委託したシステム監査では、その
依頼から報告までの過程に幾つかの間題点がある。主要なものを二つ挙
げ、改善案とともにそれぞれ50字以内で述べよ。
設間2
X社システムが外部からの不正侵入を許した原因と考えられる運用上の
不備事項は何か。不傭事項とそれに対応する有効な防止措置を二つずつ挙
げ、それぞれ30字以内で述べよ。
設問3
〔監査調書に記述されている発見事項〕には、Y社システム監査サービ
ス部が実施した資料閲覧によって発見された事項が含まれている。これら
の発見事項は、どのような資料閲覧から導かれたものか。また、そのとき
の監査目標は、どのようなものであったか。想定される監査目標を二つ挙
げ、監査目標を30字以内、対応する閲覧対象とした資料名を15字以内で、
それぞれ述べよ。
sponsored link
このページ
のTOPへ注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
