---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.当社の業務と情報システムの概要
---------------------------------------------------------------------
1.1.当社の業務の概要と私の役割
----
当社は中堅食品メーカーの子会社で、インターネット
を利用した通信販売を業とする有限会社である。私は当
社のCEOとして経営に当たっているが、従業員4名の
小さな会社であり、幅広い業務を自ら担当している。販
売商品の専門家として、商品の選定やセールスプロモー
ションも重要な職務である。一方で、上級シスアド資格
保有者として、当社情報システム全般の責任者も兼ねて
いる。後述するシステムは自ら企画したものであり、開
発段階にも深く関与し、運用管理者をも兼ねている。
----
1.2.情報システムの概要と機器構成
----
当社の通信販売用ウェブサイトは独自に構築したもの
ではなく、大手ショッピングモール「R市場」のシステ
ムを利用している。R市場では受注データをCSVファ
イルとしてダウンロードさせるサービスを提供しており、
当社で構築したシステムは、このデータを処理して必要
な帳票等を出力するものである。
R市場からの受注データはデータベースに蓄積される
と共に、在庫引当や売上伝票作成等に使用される。この
時点で在庫不足品の発注書作成や、顧客へ商品を発送す
る際の配送伝票と納品書の出力が行われる。また、本シ
ステムはカード決済の消し込み処理や、月末の月次処理
による決算用の帳票を出力する機能も備えている。
本システムはデータを管理するサーバ、インターネッ
トに接続するためのプロキシサーバ、および3台のパソ
コンがLANで接続されたものである。
私は本システムのユーザである一方で、開発にも関与
しているが、経営者として本システムの信頼性・安全性
・効率性を評価する責務も負っている。本論文では、シ
ステム監査人の視点から、本システムのコンピュータウ
ィルス対策の適切性を検証する。 (800字ライン)
---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.コンピュータウィルスの感染・発病を回避するための対策
---------------------------------------------------------------------
2.1.社内の体制作りと規則遵守の徹底
----
コンピュータウィルスを社内のシステムに持ち込ませ
ないためには、以下に述べるようにシステムの運用・管
理基準を定める必要がある。そして、システムのユーザ
である社員にこれを徹底するための教育を十分に行うこ
とも求められる。
1)ソフトウェアの管理
コンピュータウィルスに感染したソフトウェアが社内
システムのパソコンにインストールされることを防ぐた
め、以下のルールを定める。
a)ソフトウェアは正規のルートで販売されているもの
等、出所の明らかなもののみを用いること。
b)新規にソフトウェアをインストールする必要が生じ
た場合、必ず管理者の許可を得て使用すること。
c)システムに障害が生じた際に正しく復旧できるよう、
ソフトウェアの原盤たるCD−ROM等は確実に保
管しておくこと。」
d)ソフトウェア管理台帳を作成し、全てのソフトウェ
アについて下記の項目を記録すること。
・ソフトウェアの名称
・入手経路・年月日
・インストールしたパソコンと年月日
・原盤の保管方法
・その他特記事項
・管理者の承認日付と確認印
2)ファイルの管理
外部から入手したファイルからマクロウィルス等に感
染することを防ぐため、以下のルールを定める。
a)外部から入手したファイルは、開く前に必ず所定の
ワクチンソフトでウィルスチェックを行う。
b)電子メールに添付されたファイルを受信した場合、
業務上必要でないものは開かないこと。
c)ワクチンソフトは自動的に表示されるメッセージに
従って、定期的にアップデートすること。また、新
ウィルス発見の情報を得た場合、随時ワクチンソフ
トのサイトにアクセスして確認・更新すること。
----
2.2.不正アクセス等の対策
----
上述のような社内の体制を確立しても、部外者による
不正な操作や外部からの不正なアクセスによって、社内
システムにコンピュータウィルスが持ち込まれる恐れが
ある。このようなリスクを低減させるため、以下に述べ
る対策を取ることが有効である。
1)システムの不正な利用を防ぐためのID管理
全社員にID・パスワードを与え、管理台帳に記録す
る。IDは管理者用(私ともう1名の幹部社員)とユー
ザ用(その他の社員)でアクセス権限の範囲が異なる。
パスワードは各自が随時変更するが、変更した日時が記
録され、1ヶ月以上変更していない場合、警告音が鳴る
ようにしておく。社員の異動等の場合には、IDの削除
や新設を迅速に行い、管理台帳に遺漏なく記載する。
2)外部からの不正アクセス防止のための対策
インターネット経由で外部から不正なアクセスを受け、
コンピュータウィルスを持ち込まれることを防ぐため、
以下の対策を取る。
a)プロキシサーバにファイアウォール機能を組み込み、
外部からのアクセスを禁止する。
b)プロキシサーバには、外部からのアクセス要求記録
を残す。
c)データサーバは社内の3台のパソコンのローカルI
Pアドレス以外からのアクセスを拒否するよう設定
する。また、全ての許可または拒否されたアクセス
の記録を残す。
---------------------------------------------------------------------
(設問ウ)
---------------------------------------------------------------------
3.コンピュータウィルス対策の有効性を確認する監査手続
---------------------------------------------------------------------
3.1.社内の体制と規則遵守状況の監査
----
1)ソフトウェア管理
ソフトウェア管理台帳を入手し、システムの各サーバ
及びクライアントのパソコンに実際にインストールされ
てりうソフトウェアと比較する。そして次のいずれかに
該当するものがないか確認する。
a)管理台帳に記載されていないソフトウェア
b)管理台帳に記載された日時以降に更新されているソ
フトウェア
以上のいずれかに該当するソフトウェアについては、
直ちにウィルス検査を行う。そして、a)に該当するもの
については、関係者にヒアリング等を行い、インストー
ルされた経緯を調査する。それが業務上必要なものであ
れば管理台帳への記載を、不必要なものであれば削除を
勧告することになる。b)に該当するものについては、更
新の経緯を同様に調査し、必要に応じて原盤と比較する。
そして監査の結果によって登録台帳への更新記録の記載
またはソフトウェアの原状回復を勧告することになる。
2)ファイルの管理
外部から入手したファイルの取扱いについての業務マ
ニュアルの調査と担当者へのヒアリングを行い、ウィル
ス検査の実施状況を調べる。また、実際に添付ファイル
を含む電子メールを送信し、ワクチンソフトの稼動状況
を調べる。
ワクチンソフトはウィルス検査のログを残しているの
で、業務が行われた日に正しく稼動していたかを確認す
る。また、アップデートの記録を調べ、ワクチンソフト
が常に最新の状態に保たれていることを確認する。
----
3.2.不正アクセス等の対策の監査
----
1)ID管理
IDの管理台帳を調査し、IDの新設や削除が適切に
行われていることを確認する。また、パスワードの変更
記録を調べ、パスワードが規定通りの頻度で変更されて
いるか確認する。いずれの場合にも、不審な点があれば
関係者にヒアリングを行う。
2)外部からの不正アクセス防止対策
インターネット経由で社内システムへのアクセスを試
み、ファイアウォールが正しく機能して拒否されること
を確認する。そして、プロキシサーバのログを調べ、外
部から実際に不正なアクセスの試みがあったか否かを調
べる。不正なアクセスの試みが発見された場合、それが
拒否されていることを、以下の2段階にわたり確認する。
a)プロキシサーバがアクセスを拒否していること。
b)データサーバにアクセスの要求が達していないこと。
(2750字ライン)
[ 戻る ]