2016年 秋期 応用情報技術者試験 問11
ID管理の監査
T社は、関東を中心に、住宅の販売、施工及びリフォームを手掛けている住宅販売会社である。T社の基幹システムである住宅販売システムは、重要な情報を管理していることから、T社ではアクセス管理を強化することにした。その一環として、T社の監査室は、住宅販売システムを利用するためのID(以下、利用者IDという)の管理状況について、システム監査を実施することにした。
住宅販売システムの予備調査
住宅販売システムは自社で開発し、本社の営業管理部と20か所の支店で利用されている。監査室では、これらの利用者IDの管理状況について予備調査を行い、次の情報を入手した。
(1) 利用者IDの概要
利用者IDは、住宅販売システムの権限マスタで管理されている。権限マスタには、利用者ID、利用者名、所属、役職、利用権限及び最終更新日が記録されている。利用権限には、メニュー別に利用の可否を設定できる。
① メニューのうち、管理者メニューでは、権限マスタの更新及びアクセスログの参照ができる。管理者メニューの利用権限が与えられているのは、各支店及び営業管理部のそれぞれ1名(以下、システム管理者という)である。
② システム管理者以外の利用者IDには、管理者メニュー以外の各メニューの入力、承認、参照などの利用権限が設定されており、住宅販売システムの顧客情報などもダウンロードできる。
支店では、一部の従業員しか住宅販売システムを利用していないので、利用者IDの付与は当該従業員に限定されている。一方、営業管理部に所属している従業員の場合、全員に利用者IDが付与されている。
(2) 利用者IDの更新(登録・変更・削除)
利用者IDの更新は、各支店及び営業管理部のシステム管理者が実施している。
① 支店の利用者IDの更新については、ID申請書に利用者本人が必要事項を記入し、支店長の承認を受けた後、当該支店のシステム管理者に渡している。システム管理者は、承認済みID申請書に基づいて、権限マスタデータを更新している。
② 営業管理部の利用者IDの更新については、ID申請書に利用者本人が必要事項を記入し、本人が所属する課の課長の承認を受けた後、営業管理部のシステム管理者に渡している。システム管理者は、ID管理台帳に利用者ID情報を記載した後に、権限マスタデータを更新している。ID管理台帳には、利用者ID、利用者名、所属、役職、利用権限及び更新日が記載されている。
③ 利用者IDは、"部門番号+連番"で構成されており、人事システムの情報を更新しても権限マスタの情報は自動更新されない。したがって、部門間の異動の場合には、異動元での削除申請と異動先での登録申請を行う必要がある。
(3) 利用者IDの定期的な確認(以下、利用者ID棚卸という)
利用者ID棚卸は、権限マスタの登録内容が適切かどうかを定期的に確認するために、年に2回、各支店及び営業管理部で実施されている。
① 支店では、利用者ID数が少ないので、各支店のシステム管理者が住宅販売システムの権限マスタ一覧画面で、利用者ID、利用者名、所属及び役職を照合し、画面上で直接確認作業を行っている。このとき、支店に在籍していない従業員の利用者IDが発見された場合は、支店長の承認を得て画面上で権限マスタデータを更新している。
② 営業管理部では、システム管理者がID管理台帳のコピーを利用者ID棚卸リストとして各課に配布する。各課の課長は、利用権限などの各項目にチェックマークを付けながら訂正事項があれば記載し、承認印を押してシステム管理者に返している。システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し、営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。
(4) 利用者IDの監視
情報漏えい防止の観点から、情報をダウンロードできるメニューの利用を記録しており、各支店及び営業管理部のシステム管理者が利用結果を監視している。情報のダウンロード用のメニューは、利用しやすいように情報の種類別に提供されている。
① ダウンロードの理由を記録に残すために、当該メニューの利用者は必ずシステム管理者にダウンロードの対象範囲及び理由を電子メールで報告する。ダウンロード操作は、システム管理者が実施する場合もある。その場合にはシステム管理者自身宛での電子メールで記録に残す。
② システム管理者は、住宅販売システムのアクセスログから情報のダウンロード用メニューの利用ログを選択して"月次ログリスト"として出力し、内容のレビューを行い、確認印を押している。不正アクセスが発見された場合は、支店長又は営業管理部長に報告している。
監査計画
監査室は、予備調査で入手した情報に基づいて監査要点を検討し、これに対応する監査手続を策定して、表1に示す"監査手続一覧"にまとめた。
| 項番 | 監査要点 | 監査手続 |
|---|---|---|
| (1) | 利用者IDが①承認済みID申請書に対応する権限マスタデータが当該ID申請書の内容と適切に更新されているかどうかを確かめる。 | ②削除申請については、ID申請書の網羅性を検証するために、aの網羅に基づいてID申請書の有無を確かめる。 |
| (2) | 利用者ID棚卸が適切に実施されているかどうかを確かめる。 | ①支店において、利用者ID棚卸が適切に実施されているかどうかを確かめる。 |
| ②営業管理部の利用者ID棚卸リストをレビューし、利用者ID棚卸が適切に実施されているかどうかを確かめる。 | ||
| ③営業管理部の利用者ID棚卸の手続が不十分なので、監査人が自らbとcを照合し、一致しているかどうかを確かめる。 | ||
| (3) | 利用者IDの監視が有効に実施されているかどうかを確かめる。 | ①月次ログリストの出力対象が、dを満たしているかどうかを確かめる。 |
| ②月次ログリストのレビューについて、リストにシステム管理者の確認印があるかどうかを確かめる。 |