----------------------------------------------------------------------
(モバイルシステムのセキュリティ監査について)
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
モバイルシステムの概要と情報リスク
----------------------------------------------------------------------
1-1 私が携わったモバイルシステムの概要
----
今回、私は紳士服・婦人服の製造販売を業とする中堅
アパレルメーカーA社のモバイルシステムのシステム監
査を担当することになった。私は、SIベンダーのIT
コンサルティング部に所属している。
A社のモバイルシステムの概要は、東京本社にある基
幹サーバ内のデータをリモートアクセスを経由して登録・
修正・参照できる仕組みになっている。具体的には、各
営業担当者がノートパソコンを所有し、外出先や移動中
などの場所に制限されずに、基幹サーバ内に蓄積してい
る販売情報・在庫情報・生産進捗情報にアクセスできる
ようになっている。
本社の基幹サーバ内のデータをリアルタイムで情報共
有し、得意先でのリアルタイムビジネスを実現すること
で、営業業務効率の向上や顧客サービスの向上を図るこ
とを狙いとしている。
----
1-2 想定していた主要な情報リスク
----
外出先や移動中などに社内の基幹サーバ内のデータに
アクセスできることは、大きなメリットではあるが、そ
の反面、次のような情報リスクが存在する。
1.不正アクセスのリスク
A社内の基幹サーバに対して、従業員本人になりすま
して不正にアクセスを行ったり、A社ネットワークに不
正な攻撃をしかけ、業務上の機密情報や従業員個人情報
を不正に取得しようとするリスクが存在する。
2.データ盗聴・改ざんのリスク
各営業担当者がノートパソコンから社内の基幹サーバ
にアクセスしているデータを、第三者が盗聴・改ざんを
行ない、機密情報や個人情報を不正に取得・変更しよう
とするリスクが存在する。
どちらの情報漏えいリスクについても、A社の社会的
信用を損なうことになるので、十分留意する必要がある。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
情報リスクに関するセキュリティ対策について
----------------------------------------------------------------------
2-1 開発段階で組み込んだ技術的セキュリティ対策
----
A社は、社会的信用を損なうことにつながる情報漏え
いリスクに対して、次のようなセキュリティ対策を講じ
た。
1.利用者認証技術の強化
なりすましによる不正アクセスを防止するために、
ID・パスワードを固定化せずに、ワンタイムパスワー
ドによる認証の仕組みを構築した。
2.ファイアーウォールの設置
A社ネットワークへの第三者から不正な攻撃を防止す
るために、ネットワークの入り口にファイアーウォール
を設置し、IPアドレスとポート番号によるフィルタリ
ング機能によるアクセス制御を行った。
3.データの暗号化
各営業担当者のノートパソコンと社内基幹サーバ間の
データの盗聴や改ざんについては暗号化技術を取り入れ
て、データを暗号化することにより、盗聴・改ざんリス
クを防止した。
----
2-2 運用段階で実施した物理的および人的セキュリティ対策
----
開発段階での技術的セキュリティ対策だけでなく、運
用段階においても物理的および人的セキュリティ対策を
実施した。
1.ノートパソコンおよびUSBメモリキーの管理
開発段階で技術的セキュリティ対策を協会しても、物
理面において、ノートパソコンやワンタイムパスワード
認証に必要なUSBメモリキーを紛失すると、その中の
情報が漏えいしてしまう。A社では、営業担当者が外出
時にノートパソコンを持ち出す場合は、台帳記入を義務
付け、帰社時にも同様の記入を義務付けることで、物的
管理の強化を図った。
2.アクセスログの収集とモリタリング
各ノートパソコンからの社内基幹データに対するアク
セスログを収集して、不正なアクセスが行われていない
か、定期的にモリタリングを行うことを実施した。
----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
セキュリティ対策についての監査手続きと留意点
----------------------------------------------------------------------
3-1 開発段階で実施する監査手続きと留意点
----
開発段階で実施する監査手続きとしては、次のような
ものがあげられる。
1.システム設計書やネットワーク仕様書、ハードウェア
構成情報、ソフトウェア構成情報などのドキュメントを
レビューして、ワンタイムパスワードによる利用者の認
証技術が組み込まれているか、IPアドレスとポート番
号によるフィルタリング機能としてファイアウォールが
構成に組み込まれているか。
2.ノートパソコンと社内基幹サーバ間の通信データを暗
号化するための暗号化技術が組み込まれているか、など
を確認する。
監査手続きの留意点としては、利用者の認証技術やフ
ァイアウォールの設置、データの暗号化技術をシステム
開発に組み込むことにより、開発費用が大きくなり費用
対効果が見合わなくなっていないか、また、セキュリテ
ィ対策として、これらの技術が十分なレベルであるのか、
などを考慮する必要がある。
----
3-2 運用段階で実施する監査手続きと留意点
----
運用段階で実施する監査手続きとしては、次のような
ものがあげられる。
1.営業担当者が持ち出すノートパソコンやUSBメモリ
キーについて、外出時と帰社後の持ち出し状況や返却状
況などが記入された台帳などが存在しているか、日々記
入されているか、日々記入されている内容をチェックす
る管理者が存在しているか。
2.ノートパソコンから社内基幹サーバへのデータアクセ
スログを調べて、アクセス権限のない不正なアクセスが
発生していないか、定期的にモリタリングを行う仕組み
が構築され正常に機能しているか、現地で調査を行ない
確認する、などである。
監査手続きの留意点としては、開発段階で組み込まれ
たセキュリティ対策が、運用段階でおいても、その技術
レベルが維持されるとともに、適正かつ効果的に運用さ
れているか、また、運用段階で実施される物理的および
人的セキュリティ対策が、開発段階で組み込んだ技術的
セキュリティ対策と補完しあい、全体のセキュリティ管
理が強化されているか、などを考慮する必要がある。
以 上
[ 戻る ]