[情報セキュリティマネジメント試験]システム監査[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験におけるシステム監査について学習します。
システム監査
システム監査は情報システムを対象にして第三者が評価することです。
システムの複雑化・行動化に伴って当事者以外の利害関係者がシステムの信頼性・安全性・効率性・有効性を把握しにくくなっているのが現状です。
そのため依頼を受けたシステムの専門家や担当部署がシステムの企画・開発・運用・保守・利用までの状況を客観的に評価し、安全であると言った保証を与えたり助言したりします。
情報セキュリティ監査
情報セキュリティ監査では、組織の情報セキュリティマネジメント体制を対象とした第三者の評価です。
情報セキュリティに特化した監査で、情報資産全てを対象にして情報セキュリティの取り組みや対策が適切に実施されているかを外部の専門家が客観的に評価します。
情報セキュリティ監査のために経済産業省が策定した基準には以下の物があります。
- 情報セキュリティ管理基準・・・情報セキュリティ監査を受ける組織の実践規範で、情報セキュリティ監査において組織が行うべき推奨事例をまとめたものです。
- 情報セキュリティ監査基準・・・監査人の行為規範で、監査を実際に行う監査人が行うべき内容をまとめたもの。例えば独立性の確保や守秘義務が挙げられます。
システム監査と情報セキュリティ監査の違い
システム監査と情報セキュリティ監査は第三者による監査である点で同じですが、以下の点で異なります。
| システム監査 | 情報セキュリティ監査 | |
| 監査の対象 | 情報システム | 情報資産 |
| 監査の目的 | 情報セキュリティを含んだシステムの信頼性・安全性・効率性・有効性を監査する。 | 組織の情報セキュリティ確保のためのマネジメントを実施し監査する。 |
監査とコンサルティングの違い
監査とコンサルティングの違いとしては、両社とも依頼元である監査対象の組織に対して助言する点で同じですが、以下の点で異なります。
- 監査・・・監査報告書を監査対象の組織と、その組織の利害関係者に公開する。利害関係者からの信頼を得ることを目的とする。
- コンサルティング・・・調査報告を対象の組織のみに公開し、自組織の現状把握をすることが目的。
内部統制
内部統制は、企業が財務会計においてミスや不正を行わないように組織内部のルールや手順を整備・実証・証明することです。
担当者の身に業務を任せてしまうとミスや不正が起きやすくなるため、相互チェックのルールを制定します。
IT統制
IT統制は、内部統制のうちITに関連した内容を統制することです。
システムやシステムを利用した業務について、ルールや仕事のやり方を整備・実施・証明します。
統制には予防統制と発見統制があります。
- 予防統制・・・ミスや不正を防ぐための統制です。例えばミスしにくいシステムを作る、誰でもわかるUIにする、適切に権限を付与するなどです。
- 発見統制・・・ミスや不正を発見するための統制です。例えば入力値の値が正常かどうかを都度チェックする。バックアップと照合し乖離が無いかを確認するなどです。
更に統制の対象についても、以下の2種類があります。
IT業務処理統制
IT業務処理統制はシステムを用いた業務を統制することです。
例えば次のような例が挙げられます。
- あらかじめ決まった金額を入力する場合は手入力ではなく、リストや一覧から選択する
- 事前に設定した金額を超える取引はできなくする
IT全般統制
IT全般統制は、IT業務処理統制を実施できるように、適切にシステムを開発・運用することです。
もし、正しくIT業務処理統制を行ってもそもそもシステム自体に誤りがあれば内部統制が不十分となるため、システムの開発・運用を統制しなければなりません。
IT全般統制で問題となる例としては以下の通りです。
- システムの欠陥によって、財務情報システムのデータを削除した。
- 財務情報システムのアクセス権を不正に付与したため、会計の数値が外部に流失してしまった
ITガバナンス
ITガバナンスは企業が経営目標を達成するためにITを過不足なく、活用していくことです。
経営戦略をもとにした適切なIT戦略を決めたり、情報セキュリティに関する事故につながらないように従業者によるITの利用を統制します。
ガバナンスといった言葉を含む用語には以下の二つがあります。
- コーポレートガバナンス・・・企業の利害関係者が、企業経営層を統制・監視するための仕組み。
- 情報セキュリティガバナンス・・・企業が、情報資産のリスク管理のために情報セキュリティの意識・取り組み・業務活動を組織内に徹底させるための仕組み。
あわせて、ITガバナンスと情報セキュリティガバナンスで含まれる業務範囲も確認しておきましょう。
| ITガバナンス | 情報セキュリティガバナンス | |
| 情報セキュリティ | 対象 | 対象 |
| 情報セキュリティ以外 | 対象 | 対象外 |
| IT | 対象 | 対象 |
| 非IT | 対象外 | 対象 |
システム監査・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
監査調書の説明はどれか。(H.29/春)
ア 監査人が行った監査手続の実施記録であり,監査意見の根拠となる。
イ 監査人が監査実施に当たり被監査部門に対して提出する,監査人自身のセキュリティ誓約書をまとめたものである。
ウ 監査人が監査の実施に利用した基準書,ガイドラインをまとめたものである。
エ 監査人が正当な注意義務を払ったことを証明するために,監査報告書とともに公表するよう義務付けられたものである。
問2
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。(H.31/春)
ア ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
イ ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。
ウ ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。
エ パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。
問3
経済産業省”情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)” における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。(H.31/春)
ア 同じ監査対象に対して情報セキュリティ監査を実施する場合,保証型の監査から手がけ,保証が得られた後に助言型の監査に切り替えなければならない。
イ 情報セキュリティ監査において,保証型の監査と助言型の監査は排他的であり,監査人はどちらで監査を実施するかを決定しなければならない。
ウ 情報セキュリティ監査を保証型で実施するか助言型で実施するかは,監査要請者のニーズによって決定するのではなく,監査人の責任において決定する。
エ 不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。
解説(クリックで展開)
システム監査・まとめ
今回はシステム監査について学習しました。
システム監査がなぜ重要なのか、どのようなことを行うかをしっかりと押さえておきましょう。
次回はシステム戦略について学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
