Click here to visit our sponsor 


----------------------------------------------------------------------

「テーマ:コンピュータウイルス対策に関する監査について」

----------------------------------------------------------------------


----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------

 私は、大手金融機関の情報システムの新規開発部門に
所属しており、又、昨年度から監査室にも内部監査員と
して兼務している。

 現在、インターネットを利用した顧客向けオンライン
サービスの開発や各職員の情報システムの積極的な活用
を図った業務遂行を推進している。インターネットを基
盤としたシステムや各職員の情報システム活用に伴い、
それに付随するリスクとして外部からのセキュリティ脅
威が増加していることや、金融機関で扱う個人情報には
信用(氏名、生年月日、家族構成、年収、就職先、個人
資産等)情報等極めて機密性の高いものが多いこと等か
ら、顧客情報の取り扱いにおける社会的信頼性の維持、
向上及び安定した情報システムの運用には極めて重要で
ある。又、職員の情報システム活用に伴い内部的なセキ
ュリティ脅威も増加している。先般、世界的な問題にも
なった

 韓国のコンピュータウイルスに見られるサイバーテロ
の大規模なシステム障害が発生した事もあり、このため
コンピュータウイルス対策の重要性が一般企業にも認識
されてきている。

 これらの、状況から当社では、コンピュータウイルス
に対する対策ポリシを策定し金融機関における個人情報
の取り扱いに準拠したコンピュータウイルス対策ポリシ
の策定を検討している。

 当社のコンピュータウイルス対策基準のポリシは宣言、
規定、基準書の三部構成とする方向である。宣言はトッ
プマネジメントの取締役社長の時代背景や顧客ニーズに
対する当社におかれた社会的立場と、コンピュータウイ
ルスに対する対策の位置付けを行い、規定ではコンピュ
ータウイルス対策の憲法にあたる部分で構成されている。
また、基準書は各システム単位での定義、規約等が記述
されている。これらのポリシは全職員はもとより、関連
会社および協力会社へも基準書を遵守する項目を契約書
へも明記し、グループ全体として取組む位置付けを明確
化する方向である。

----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
 通常、情報システムに対するコンピュータウイルス対
策ポリシ策定での監査は、コンピュータウイルス対策を
実装した情報システム全体の企業を取り巻く脅威や脆弱
性を変化させる外部的及び内部的な要因を適切に対応し、
目標とるすコンピュータウイルスに対するリスク対策制
御の水準を維持、遵守される様に管理されるか点検、評
価し、監査人として問題点を指摘し改善勧告を実施する。

 監査の目標は、実装されたコンピュータウイルス対策
基準が情報システム上で、十分機能発揮され、目標とす
るコンピュータウイルス対策制御水準が維持され、企業
の保有する情報資産が安全に活用され、経営目標を達成
する為のビジネス活動が支障なく遂行することにある。
コンピュータウイルス対策ポリシを実装した情報システ
ムが有効に機能する為の要件は以下の通りである。

(1) 最新のコンピュータウイルス情報も含めたコンピュ
  ータウイルスの特性を充分分析しているか
(2) 経営者の方針を充分考慮しているか
(3) 当社の情報システムに関する網羅性、実現可能性等
  を考慮しているか

 具体的なコンピュータウイルス対策ポリシの策定段階
の監査目標は以下の通りである。

(1) コンピュータウイルス対策ポリシの適切性
(2) コンピュータウイルス対策内容の適切性
(3) コンピュータウイルス対策の管理組織の適切性
(4) コンピュータウイルス対策の遵守状況を管理できる
  様になっているか

 一般的には、ポリシを一旦決定すると変更が厄介であ
ったり、各現場への周知徹底が課題であるが、影響が大
きい最新のコンピュータウイルスの出現の可能性もある。
その為その都度適切な対策が実施されないと脆弱性を抱
えることになり、ビジネス上や社会的にも脅威にさらさ
れることとなる。これらの状況を踏まえ、要件を十分汲
み取り反映されているかどうかチェックする。さらに、
策定段階でも、コンピュータウイルス対策ポリシ策定者
とトップマネジメントと意思疎通を行い理解を得ている
かどうかで、コンピュータウイルス策定ポリシ策定後の
支援状況が大きく影響を受ける。この様にポリシ策定段
階でシステム監査を実施することで、コンピュータウイ
ルス対策ポリシの内容を客観的に評価でき、策定完了前
に内容の改善を期待できる。

 同様に、コンピュータウイルス対策ポリシを改訂すべ
き条件が発生した場合でもタイミングの良いシステム監
査の実施を図る必要がある。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
 コンピュータウイルス対策ポリシ策定から時間の経過
と共に、策定時点に考慮した要因が変化し、情報システ
ム資源影響を与える脅威や脆弱性も変化する。この結果、
コンピュータウイルスに対するリスク制御における最適
性が劣化し、セキュリティ強度が低下することになる。
したがって、いかに当時のコンピュータウイルス対策ポ
リシを遵守していても問題が生じる可能性がある。監査
人は、以下の内容をポリシ策定の管理者が対応を実施し
ているかどうか監査する必要がある。

(1) コンピュータウイルス対策に対する監査計画の見直
  し
(2) コンピュータウイルス対策の管理者と連携による緊
  急なウイルス分析の実施
(3) 分析結果に基づく対策の見直しを提言
(4) 場合によってはコンピュータウイルス対策ポリシ改
  訂の提言
(5) 緊急性の高いコンピュータウイルス対策が発生した
  場合は改訂を待たずに対策を実施
[ 戻る ]