----
1.1業務の概要
----
本件は、ある中央官庁総務課の業務である。
総務課の業務は、役所が使用する多種多様な文書の管
理、関係団体との連絡窓口、広報、役所内の業務の統
制、役所の歴史的資料管理等、多種多用な業務が存在す
る。
特に広報、渉外等の部外と関係する業務担当者は、出
張が多いのが特徴である。
----
1.2情報システムの概要
----
1.1項に示した業務を支援するために、以下のよう
な主要機能から構成される情報システムが運用されてい
る。
(1)ワープロ、表計算ソフト等の一般OA機能
従来は担当者ごとに個別に運用されていたワープロ、
表計算ソフトの種別を統一し、データの共有化を図る
もの。
(2)文書管理機能
過去に作成した文書等の共有化を図るもの。
(3)グループウェア機能
電子メール、掲示板による情報伝達、ワークフロー
による承認の効率化を図るもの。
ハードウェアの構成はOAサーバ1台と総務課員1人
1台合計50台のクライアントパソコンである。
利用者の認証はユーザIDとパスワードによって行っ
ている。
----
1.3モバイルコンピューティングに関して
----
現状ではモバイルコンピューティングは適用されてい
ない。しかし出張の多い総務課員が出張先から本システ
ムを利用できるようにするために、将来的にはモバイル
コンピューティング化される可能性はある。
モバイルコンピューティング化する場合には、セキュ
リティ上の理由から、法的に秘と扱われるデータは対象
としないことが前提である。
---------------------------------------------------------------------
2.モバイルコンピューティング環境下での運用によるリスク
---------------------------------------------------------------------
本システムをモバイルコンピューティング環境(以下
モバイル環境と呼ぶ)において運用すると仮定した場合、
予想されるリスクは以下の通りである。
(1)部外者による不正使用
この官庁の庁舎には厳重な入館チェックのしくみが
あるため、総務課事務室内に不審人物が立入る可能性
は低いという前提のもとにシステムのセキュリティ機
能は作られている。そのためモバイル化され、庁舎外
で運用するとなると、部外者により不正に使用される
恐れがある。
(2)外部からのネットワークへの侵入
インターネットと接続することにより、外部から
ハッカー等に侵入される危険性がある。
---------------------------------------------------------------------
3.統制機能と監査ポイント
---------------------------------------------------------------------
3.1統制機能
----
2項に示したリスクに対する統制機能を以下に示す。
(1)部外者による不正使用に対して
部外者による不正使用への対策として以下の統制機
能を組み込む。
ア モバイルユーザの選定
セキュリティの上から、モバイルユーザは庁舎外か
らシステムを利用する必要性のある職員だけに限定す
る必要がある。そのためモバイルユーザの申請制度を
設け、管理者が申請理由等を考慮した上で許可するよ
うにする。そして一定期間以上アクセスがなかった
ユーザのIDは自動的に削除することにより、真に必
要性のあるユーザのみが使用できるようにする。
イ モバイルユーザ専用のID・パスワードの管理
モバイルユーザに対してはモバイル専用のID及びパ
スワードを発行する。セキュリティ設備のない外部で
使用することを考慮して、モバイルユーザ用パスワー
ドは一般ユーザのパスワードよりも長い文字数とする
ことで、一般ユーザの利便性を損なわずにセキュリ
ティの強化を図る。パスワードは定期的に変更するこ
とをルール化し、変更しないユーザのIDは自動的に
削除することによりセキュリティの強化を図る。
ウ 端末及びアクセス記録の管理
モバイル用端末の管理台帳を準備し、端末を外部に
持ち出す場合には台帳に記入し、責任者の承認を得る
ようにする。
モバイルユーザのアクセス実績を記録し、ユーザ本
人へ通知することにより、他者による不正使用がない
ことを確認させる。
(2)外部からのネットワークへの侵入
ファイアーウォールサーバを設置し、外部からの侵
入を防ぐ。
----
3.2監査ポイント
----
3.1項に示した統制機能を確認するための監査ポイ
ントを以下に示す。
(1)部外者による不正使用
ア モバイルユーザの選定について
実際に提出されたモバイルコンピューティングの申
請書をチェックし、十分な必要性があると認められる
申請者だけに許可されていることを確認する。
またアクセスログをチェックし、定められた期間以
上アクセスがなかったユーザのIDが削除されている
ことを確認する。
イ モバイルユーザ専用のID・パスワードの管理
ユーザのパスワード一覧をチェックし、規定以上の
文字数のパスワードが設定されていることを確認する。
そしてパスワードを一定期間以上変更していないユー
ザのIDが削除されていることを確認する。
ウ 端末及びアクセス記録の管理
端末の管理台帳をチェックし、端末の紛失、長期間
の持ち出しがないか確認する。
一部のユーザを無作為に抽出し、アクセス記録の通
りにアクセスしたことを確認する。
(2)外部からの侵入に対して
ア ファイアーウォールのチェック
ファイアーウォールサーバのアクセスログをチェッ
クし、不正侵入がないことを確認する。
以上
[ 戻る ]