2022年 秋期 応用情報技術者試験 問11
テレワーク環境の監査
大手のマンション管理会社であるY社は、業務改革の推進、感染症拡大への対応などを背景として、X年4月からテレワーク環境を導入し、全従業員の約半数が業務内容に応じて利用している。このような状況の下、テレワーク環境の不適切な利用に起因して、情報漏えいなども発生するおそれがあり、情報セキュリティ管理の重要性は増大している。
Y社の内部監査部長は、このような状況を踏まえて、システム監査チームに対して、テレワーク環境の情報セキュリティ管理をテーマとして、監査を行うよう指示した。
システム監査チームは、X年9月に予備調査を行い、次の事項を把握した。
テレワーク環境の利用状況
(1) テレワーク環境で利用するPCの管理
Y社の従業員は、貸与されたPC(以下、貸与PCという)を、Y社の社内及びテレワーク環境で利用する。
システム部は、全従業員分の貸与PCについて、貸与PC管理台帳に、PC管理番号、利用する従業員名、テレワーク環境の利用有無などを登録する。貸与PC管理台帳は、貸与PCを利用する従業員が所属する各部に配置されているシステム管理者も閲覧可能である。
(2) テレワーク環境の利用者の管理
従業員は、テレワーク環境の利用を申請する場合に、テレワーク環境利用開始届(以下、利用届という)を作成し、所属する部のシステム管理者の確認、及び部長の承認を得て、システム部に提出する。利用届には、申請する従業員の氏名、利用開始希望日、Y社の情報セキュリティ管理基準の遵守についての誓約などを記載する。システム部は、利用届に基づき、貸与PCをテレワーク環境でも利用できるように、VPN接続ソフトのインストールなどを行う。
各部のシステム管理者は、従業員が異動、退職などに伴い、テレワーク環境の利用を終了する場合に、テレワーク環境利用終了届(以下、終了届という)を作成し、システム部に提出する。終了届には、テレワーク環境の利用を終了する従業員の氏名、事由などを記載する。システム部は、終了届に基づき、貸与PCをテレワーク環境で利用できないようにし、終了届の写しをシステム管理者に返却する。
(3) テレワーク環境のアプリケーションシステム
テレワーク環境では、従業員の利用権限に応じて、基幹業務システム、社内ポータルサイト、Web会議システムなど、様々なアプリケーションシステムを利用することができる。これらのアプリケーションシステムのうち、Web会議システムは、X年6月から社内及びテレワーク環境で利用可能となっている。また、従業員は、基幹業務システムなどを利用して、顧客の個人情報、営業情報などにアクセスし、貸与PCのハードディスクに一時的にダウンロードして、加工・編集する場合がある。
テレワーク環境に関して発生した問題
(1) 顧客の個人情報の漏えい
Y社の情報セキュリティ管理基準では、テレワーク環境への接続に利用するWi-Fiについて、パスワードの入力を必須とすることなど、セキュリティ要件を定めている。
X年5月20日に、業務管理部の従業員が、セキュリティ要件を満たさないWi-Fiを利用してテレワーク環境に接続したことによって、貸与PCのハードディスクにダウンロードされた顧客の個人情報が漏えいする事案が発生した。
(2) 貸与PCの紛失・盗難
テレワーク環境の導入後、貸与PCを社外で利用する機会が増えたことから、貸与PCの紛失・盗難の事案が発生していた。
各部のシステム管理者は、従業員が貸与PCを紛失した場合、貸与PCのPC管理番号、紛失日、紛失状況、最終利用日、システム部への届出日などを紛失届に記載し、遅くとも紛失日の翌日までに、システム部に提出する。システム部は、提出された紛失届の記載内容を確認し、受付日を記載した後に、紛失届の写しをシステム管理者に返却する。
営業部のZ氏は、X年8月9日に営業先から自宅に戻る途中で貸与PCを紛失したまま、紛失日の翌日から1週間の休暇を取得した。同部のシステム管理者は、Z氏からX年8月17日に報告を受け、同日中に当該PCの紛失届をシステム部に提出した。
情報セキュリティ管理状況の点検
(1) 点検の体制及び時期
システム部は毎年1月に、各部における情報セキュリティ管理状況の点検(以下、セキュリティ点検という)について、年間計画を策定する。各部のシステム管理者は、年間計画に基づき、セキュリティ点検を実施し、点検結果、及び不備事項の是正状況をシステム部に報告する。システム部は、点検結果を確認し、また、不備事項の是正状況をモニタリングする。X年の年間計画では、2月、5月、8月、11月の最終営業日にセキュリティ点検を実施することになっている。
(2) 点検の項目、内容及び対象
システム部は、毎年1月に、利用されるアプリケーションシステムなどのリスク評価結果に基づき、セキュリティ点検の項目及び内容を決定する。また、新規システムの導入、システム環境の変化などに応じて、リスク評価を随時行い、その評価結果に基づき、セキュリティ点検の項目及び内容を見直すことになっている。各部のシステム管理者は、前回点検日以降3か月間を対象にして、セキュリティ点検を実施する。X年のセキュリティ点検の項目及び内容の一部を表1に示す。
| 項番 | 点検項目 | 点検内容 |
|---|---|---|
| 1 | テレワーク環境の利用者の管理状況 | テレワーク環境を利用する必要がなくなった従業員について、終了届をシステム部に提出しているか。 |
| 2 | テレワーク環境に関するセキュリティ要件の周知状況 | テレワーク環境への接続に利用するWi-Fiについて、セキュリティ要件は周知されているか。 |
| 3 | 貸与PCの管理状況 | 貸与PCを紛失した場合、遅くとも紛失日の翌日までに、紛失届をシステム部に提出しているか。 |
| 4 | アプリケーションシステムの利用権限の設定状況 | セキュリティ点検対象のアプリケーションシステムに対して、適切な利用権限が設定されているか。 |
(3) 点検の結果
業務管理部及び営業部のシステム管理者は、テレワーク環境導入後のセキュリティ点検の結果、表1の項番2及び項番3について、不備事項を報告していなかった。
内部監査部長の指示
内部監査部長は、システム監査チームから予備調査で把握した事項について報告を受け、X年11月に実施予定の本調査で、テレワーク環境に関するセキュリティ点検について重点的に確認する方針を決定し、次のとおり指示した。
(1) 表1項番1について、aとbを照合した結果と、セキュリティ点検の結果との整合性を確認すること。
(2) 表1項番2について、業務管理部におけるセキュリティ点検の結果を考慮して、システム管理者がcしているかどうか、確認すること。
(3) 表1項番3について、紛失届に記載されているdとeを照合した結果と、セキュリティ点検の結果との整合性を確認すること。
(4) 表1項番4について、システム部がfの結果に基づいて、X年8月のセキュリティ点検対象のアプリケーションシステムとして、gの追加を検討したかどうか、確認すること。
(5) セキュリティ点検で不備事項が発見された場合、システム管理者が不備事項の是正状況を報告しているかどうか確認するだけでは、監査手続として不十分である。システム部がhしているかどうかについても確認すること。