システム監査
平成9年午後I問3
で、設問1~3に答えよ。
E社は、事業戦略及び情報戦略の策定支援、業務改善及びシステム構築に関す
るコンサルティング並びに企業の合併及び買収に関する調査と支援を行ってい
る中堅の経営コンサルティング会社である。同社では、上記の業務に関連して契
約上で守秘義務がある顧客の重要情報を社内ネットワークシステム上のサーバ
に蓄積している。
このような理由から、同社は、ネットワークシステムの構築と同時に、ネット
ワーク利用におけるセキュリティ方針を策定し、社員に周知徹底してきた。ネッ
トワーク環境及びセキュリティ方針は、ネットワークの利用目的の変化によって
随時変更が行われているので、最新のセキュリティ方針が遵守されているかどう
かについて、監査部が周期的に監査を実施している。
〔今回の監査の重要テーマ〕
| (1) | コンサルタントは社外で仕事をすることが多いので、顧客の事務所や自宅 から公衆電話網を経由して社内のネットワークシステムを利用したいとの ニーズが高まり、最近、リモートアクセスサーバが導入された。このため、 リモートアクセスサーバ経由での不正アクセスに対するセキュリティコン トロールの状況について監査を実施する。 |
| (2) | 基幹業務用の統合ソフトウェアパッケージ(以下、統合業務パッケージと いう)の導入に伴って、パッケージ販売会社D社がISDN経由でE社のネ ットワークに接続してオンラインで保守を行うようになった。この接続に関 するセキュリティコントロールの状況について監査を実施する。 |
| (3) | ファイアウォールの設定状況及びその管理に関するセキュリティコント ロールの状況については、毎回の監査の重要テーマとなっている。したがっ て、今回も同様の監査を実施する。 |
〔予備調査で入手した資料〕
1. 現状のネットワークシステム概要図
2. ネットワーク接続機器の機能(丸数字はネットワークシステム概要図内の番
号を示す)
(1) ファイアウォール⑤は前回監査時と同じものであり、その主な機能は、
次のとおりである。
・TCP/IPプロトコルを利用した通信について、ファイアウォールを通
過するパケットに対して、IPアドレス、ポート番号及び通過方向によっ
て、その通過可否の設定(フィルタリング設定)が可能である。
・アプリケーションレベルのゲートウェイ機能をもち、ユーザ認証などによ
ってパケットの通過を許可又は拒否できる。
・ファイアウォールによって通過を許可又は拒否されたパケットに関する
ログ情報を記録できる。
(2) D社との接続に使用しているルータ④は、保守に必要な種類のパケット
(事前に定められたD社側のIPアドレスをもつ)だけを通過させるよう
に設定されている。
(3) 今回導入したリモートアクセスサーバ③及び認証サーバ⑦の主な機能
は、次のとおりである。
・リモートアクセスサーバに接続してきたパソコンにIPアドレスを動的
に割り当てることができる。接続するパソコン側は、固有のIPアドレス
をもっていない。
・リモートアクセスサーバヘのアクセスについて各種ログ情報を記録できる。
・認証サーバに登録されたユーザIDとパスワードによって、ユーザ認証を
行うことができる。
3. 関連するセキュリティ方針(抜粋)
(1) ネットワークシステムの利用方針
・インターネットの利用を電子メール及びホームページに限定する。
・社外への各種情報提供用のWWWサーバをファイアウォールの外側に置
き、社内及び社外からの検索を可能とする。
・リモートアクセスサーバ経由のアクセスを事前に許可された従業員だけ
に限定し、社内電子メールを含むグループウェアの利用とインターネット
の利用を可能とする。
・D社からのアクセスについては、基幹業務システムサーバの保守に利用を
限定する。
(2) セキュリティの管理責任者
・基幹業務システムをはじめとする各アプリケーションシステムの管理部
門の責任者は、当該システムが保有するデータについてのアクセス権限
(担当者ごとのアクセス可能なデータの種類とアクセス方法)を付与し、そ
のために必要な設定を該当するシステムのシステム管理者に指示しなけ
ればならない。
・システム管理者は、定められたアクセス権限に基づいて、担当するシステ
ムの機器及びそのソフトウェアの設定を行わなければならない。
・ネットワーク管理者は、各ネットワーク機器において、セキュリティ方針
に従ったアクセスだけが可能なように各ネットワーク機器及びそのソフ
トウェアの設定を行わなければならない。
・ネットワーク管理者及び各システムのシステム管理者は、セキュリティ方
針の違反について監視を行い、違反があったときには、ネットワークを管
理する情報システム部門の責任者及び該当するアプリケーションシステ
ムの管理部門の責任者に報告しなければならない。
〔監査人が実施した監査手続の抜粋〕
| (1) | 実際にリモートアクセスサーバヘの不正アクセスがないかどうかを調査 するために、リモートアクセスサーバのログ情報を出力して検証を行った。 |
| (2) | D社との接続において、不正アクセスがないかどうかを調査するために、 統合業務パッケージの保守記録とファイアウォール及び基幹業務システム サーバのログ情報を比較して検証を行った。 |
〔監査結果の抜粋〕
監査手続(2)によって、保守記録にはないアクセスが幾つかあることを発見し
た。これらのアクセスのIPアドレスは、すべてD社のものであった。
設問1
監査手続(1)の実施において、不正アクセスがあったかどうかを確かめ
るために、必要とされるリモートアクセスサーバのログ情報を三つ挙げ、
それぞれ10字以内で述べよ。
設問2
監査手続(2)及びその監査結果に基づき、E社ネットワークヘのアクセ
ス及び基幹業務システム自体へのアクセスに関して、監査人が提案すべき
コントロールを一つずつ挙げ、それぞれ50字以内で述べよ。
設問3
E社のファイアウォール⑤のセキュリティコントロールの有効性に関
する監査において重要と思われる監査ポイントを三つ挙げ、それぞれ40
字以内で述べよ。
sponsored link
このページ
のTOPへ
