Click here to visit our sponsor 


----
1.1業務の概要
----
 本件は、ある中央官庁総務課の業務である。
 総務課の業務は、役所が使用する多種多様な文書の管
 理、関係団体との連絡窓口、広報、役所内の業務の統
制、役所の歴史的資料管理等、多種多用な業務が存在す
る。
 特に広報、渉外等の部外と関係する業務担当者は、出
張が多いのが特徴である。
----
1.2情報システムの概要
----
 1.1項に示した業務を支援するために、以下のよう
な主要機能から構成される情報システムが運用されてい
る。
(1)ワープロ、表計算ソフト等の一般OA機能
  従来は担当者ごとに個別に運用されていたワープロ、
 表計算ソフトの種別を統一し、データの共有化を図る
 もの。
(2)文書管理機能
  過去に作成した文書等の共有化を図るもの。
(3)グループウェア機能
  電子メール、掲示板による情報伝達、ワークフロー
 による承認の効率化を図るもの。
 ハードウェアの構成はOAサーバ1台と総務課員1人
1台合計50台のクライアントパソコンである。
 利用者の認証はユーザIDとパスワードによって行っ
ている。
----
1.3モバイルコンピューティングに関して
----
 現状ではモバイルコンピューティングは適用されてい
ない。しかし出張の多い総務課員が出張先から本システ
ムを利用できるようにするために、将来的にはモバイル
コンピューティング化される可能性はある。
 モバイルコンピューティング化する場合には、セキュ
リティ上の理由から、法的に秘と扱われるデータは対象
としないことが前提である。
 
---------------------------------------------------------------------
2.モバイルコンピューティング環境下での運用によるリスク
---------------------------------------------------------------------
 本システムをモバイルコンピューティング環境(以下
モバイル環境と呼ぶ)において運用すると仮定した場合、
予想されるリスクは以下の通りである。
(1)部外者による不正使用
  この官庁の庁舎には厳重な入館チェックのしくみが
 あるため、総務課事務室内に不審人物が立入る可能性
 は低いという前提のもとにシステムのセキュリティ機
 能は作られている。そのためモバイル化され、庁舎外
 で運用するとなると、部外者により不正に使用される
 恐れがある。
(2)外部からのネットワークへの侵入
  インターネットと接続することにより、外部から
 ハッカー等に侵入される危険性がある。
 
---------------------------------------------------------------------
3.統制機能と監査ポイント
---------------------------------------------------------------------
3.1統制機能
----
 2項に示したリスクに対する統制機能を以下に示す。

(1)部外者による不正使用に対して
  部外者による不正使用への対策として以下の統制機
 能を組み込む。

 ア  モバイルユーザの選定
  セキュリティの上から、モバイルユーザは庁舎外か
 らシステムを利用する必要性のある職員だけに限定す
 る必要がある。そのためモバイルユーザの申請制度を
 設け、管理者が申請理由等を考慮した上で許可するよ
 うにする。そして一定期間以上アクセスがなかった
 ユーザのIDは自動的に削除することにより、真に必
 要性のあるユーザのみが使用できるようにする。

 イ  モバイルユーザ専用のID・パスワードの管理
  モバイルユーザに対してはモバイル専用のID及びパ
 スワードを発行する。セキュリティ設備のない外部で
 使用することを考慮して、モバイルユーザ用パスワー
 ドは一般ユーザのパスワードよりも長い文字数とする
 ことで、一般ユーザの利便性を損なわずにセキュリ
 ティの強化を図る。パスワードは定期的に変更するこ
 とをルール化し、変更しないユーザのIDは自動的に
 削除することによりセキュリティの強化を図る。

 ウ  端末及びアクセス記録の管理
  モバイル用端末の管理台帳を準備し、端末を外部に
 持ち出す場合には台帳に記入し、責任者の承認を得る
 ようにする。
  モバイルユーザのアクセス実績を記録し、ユーザ本
 人へ通知することにより、他者による不正使用がない
 ことを確認させる。

(2)外部からのネットワークへの侵入
  ファイアーウォールサーバを設置し、外部からの侵
 入を防ぐ。
----
3.2監査ポイント
----
 3.1項に示した統制機能を確認するための監査ポイ
ントを以下に示す。
(1)部外者による不正使用

 ア  モバイルユーザの選定について
  実際に提出されたモバイルコンピューティングの申
 請書をチェックし、十分な必要性があると認められる
 申請者だけに許可されていることを確認する。
  またアクセスログをチェックし、定められた期間以
 上アクセスがなかったユーザのIDが削除されている
 ことを確認する。

 イ  モバイルユーザ専用のID・パスワードの管理
  ユーザのパスワード一覧をチェックし、規定以上の
 文字数のパスワードが設定されていることを確認する。
 そしてパスワードを一定期間以上変更していないユー
 ザのIDが削除されていることを確認する。

 ウ  端末及びアクセス記録の管理
  端末の管理台帳をチェックし、端末の紛失、長期間
 の持ち出しがないか確認する。
  一部のユーザを無作為に抽出し、アクセス記録の通
 りにアクセスしたことを確認する。

(2)外部からの侵入に対して
 ア  ファイアーウォールのチェック
  ファイアーウォールサーバのアクセスログをチェッ
 クし、不正侵入がないことを確認する。

                                         以上
[ 戻る ]