情報セキュリティマネジメント試験 平成28年春(2016)午後 ③情報セキュリティ自己点検

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. CSAとは?
  2. 簡易チェックリストを作成

はじめに、架空の会社 R 社の説明

R 社は従業員数 600名の投資コンサルタント会社である。R 社では、顧客の個人情報を取り扱っていることから、情報セキュリティの維持に注力している。

R 社ネットワークでは URL フィルタリングを導入しており、フリーメールサービスを提供する WEB サイトやソフトウェアのダウンロードサイトへのアクセスを禁止している。また、従業員にノート PC 又は、デスクトップ PC のどちらかを貸与しており、それらの PC のうち、ノート PC だけが、リモート接続サービスによる社内ネットワークへの接続が許可されている。

海外営業部の部員は 10 人で、顧客は 500 人弱である。各部員は、担当顧客に、電子メールや電話を使って営業を行っている。海外営業部は他の営業部のオフィスとは離れた海外営業部専用のオフィスで業務を行っている。海外営業部で使用している顧客管理システム( C システム)は、海外営業部だけが使用している。C システムでは、アクセスログを 3 ヶ月分保存している。海外営業部の部員は、出張がなく全員がデスクトップ PC だけを使っている。

海外営業部では、情報システム部が運用管理を行っているファイルサーバを使用しており、各部員は顧客情報を含むファイルを当該ファイルサーバに一時的に保存する場合がある。その場合は、ファイルのアクセス権を各部員が最小権限の原則に基づいて設定することになっている。R 社では、顧客情報を保護するために、次の 2 点を各担当者が定期的に確認することになっている。
・ファイルサーバに不要な顧客情報を保存していないか。
・ファイルのアクセス権は適切に設定されているか。

R 社では、情報セキュリティ推進部が実施する情報セキュリティ教育があり、海外営業部では、新たに配属された部員だけが受講することになっている。教育終了後には試験があるが、1 回では合格できず、再度教育と試験を受ける部員が時々いる。この教育資料は、世の中で新たなセキュリティ脅威が発見される都度、情報セキュリティ推進部で更新している。

海外営業部の簡易チェック

海外営業部の W 氏は 2 か月前に情報セキュリティリーダに任命された。
海外営業部では、自部門の情報セキュリティを確保するために、独自の取組として、四半期に 1 回、海外営業部で作成した情報セキュリティ簡易チェックリストを全部品に配布し、記入させている。
下記チェックリストは、5 年前に作成されたものである。

海外営業部の情報セキュリティ簡易チェックリスト

W 氏が全部員にこのチェックリストを記入してもらったところ、全部員が全てのチェック項目が OK を記入して報告してきた。W 氏は念のため、数人に実施状況を確認したが、いずれも確かに報告のとおりだった。チェックリストは作成から 5 年も経過しており、情報セキュリティ事故のニュースを最近よく耳にするようになったことから、W 氏は、チェック項目の追加を部長に提案した。

W 氏が作成した情報セキュリティ簡易チェックリスト追加項目案

上記の表を見た部長は、”部員が OK と記入してきたとしても、11 番のように、その結果が正しいか客観的に判断できないチェック項目がある” として、W 氏に再検討をするよう指示した。

監査部による情報セキュリティ監査

R 社監査部は、1 年に 1 回、CSA 方式による情報セキュリティ監査を実施している。CSA とは、監査部が被監査部門を直接評価するのではなく、被監査部門が、自部門の活動を評価することを指す。
R 社では、5 年前、監査の方式を決定するに当り、監査部が各部門を直接監査する方式と CSA 方式の利点、欠点を比較評価した。その結果、業務内容の十分な理解に基づいて評価できる。又、評価実施者に対する意識付けや教育として役立つ。などを理由として、R 社にとっては CSA 方式の方がメリットが大きいと判断し、CSA 方式を採用した。

R 社の監査実施の手順

CSA の実施

海外営業部にも監査部から CSA を実施するよう依頼があり、W 氏が海外営業部の評価を行うことになった。W 氏は、監査部から送付されてきた CSA シートに従って、職場の状況を観察したり、部員にヒアリングしたりして評価を行った。評価結果を下記に示す。CSA シートの評価結果は次のルールに従って記入する。

・評価項目どおりに実施している場合:”OK”
・評価項目どおりに実施していないが、代替コントロールによって、”OK” の場合と同程度にリスクが低減されていると考える場合:”OK”(代替コントロールを具体的に評価根拠欄に記入する。)
・評価項目どおりに実施しておらず、かつ、代替コントロールによって評価項目に関するリスクが抑えらているわけではないと考える場合:”NG”
・評価項目に関するリスクがそもそも存在しない場合:”NA”

CSAシート(海外営業部の評価結果)

W 氏が、CSA 結果を監査部に提出したところ、監査部から電話があり、評価結果について質問を受けた。

質問1
NO26 の評価根拠欄についてであった。W 氏は、記載内容が事実であることを説明したところ、それであれば監査部としての評価結果も ”(OK)” にすると言われた。

質問2
NO29 の証跡として提出した利用者 ID 棚卸記録に、棚卸の際に不要になったと判断された利用者 ID が 5 個あることについてであった。W 氏が部内で事実を確認すると、いずれも棚卸の 1 か月以上前から、部員の退職又は異動で不要になっていた。これについては W 氏も改善が必要であると考え、部員の退職又は異動の際は、利用者 ID の削除申請と C システムからの削除を速やかに行うよう、管理職一人一人に周知する。ことを改善計画を策定して監査部に提出したところ、適切であるとの連絡があった。

新たな指摘についての改善計画

CSA の評価結果及びその後の事実確認に基づき、監査部から新たな指摘を受けました。それは、”C システムにおいて、利用者は、自分の担当外の顧客情報に対してもアクセスが可能であり、最小権限の原則が守られておらず、社外への顧客情報の漏洩ぼ防止できるようになっていない” というものであった。そこで、部長と W 氏は改善計画について下記のように検討を行った。

部長:新たな指摘に対応するために、担当する顧客の顧客情報だけにアクセスできるようにアクセス権を設定するという対策 が必要だね。

W 氏:はい。そのために全部員に担当顧客を確認しますので、2 週間ほど時間を下さい。

部長:分かった。その間のリスクを低減するために、 営業部員に対し、担当顧客以外の顧客情報を閲覧しないように周知し、牽制するという対策 を実施しておくというのはどうだろう。

W 氏:はい。わかりました。他にも、万が一顧客情報の漏洩が発生してしまったときのことを考えると、 アクセスログの保管期間を 3 年間に変更するという対策 も有効だと思います。

部長:それも実施しよう。他に、前から気になっていたのだが、部員が顧客情報を不適切に変更しないように、顧客情報の追加・修正・削除の権限についても考える必要があるね。

W 氏: 顧客情報の追加・修正・削除の権限は管理職だけに付与するという対策 はどうでしょう。

部長:それでは業務が回らなくなるのではないかな。 部員に顧客情報の追加・修正・削除は、システムのワークフロー機能を使って上長が承認することによってデータベースに反映されるようにするという対策 が、効率が良いのではないだろうか

W 氏:そうですね。しかし、ベンダに開発をお願いするので、半年は掛かります。対策が有効になるまで、負担は増えますが、顧客情報の追加・修正・削除のログを上長が定期的に確認するという対策 を行うのはどうでしょうか。

部長:そうだな、チョット大変だが実施しよう。今までの話をまとめて監査部に報告しておいてくれ。

W 氏が改善計画を監査部に提出したところ、監査部から、”内容に問題がないので、計画に基づいて改善を実施するように” と連絡きた。
その後、W 氏が再検討した簡易チェックリストは部長に承認され、使われることになった。また、海外営業部の情報セキュリティレベルは大きく改善された。

関連する用語

URL フィルタリング
アダルトサイトや薬物・犯罪に関するWebサイトなどのように、職務上または教育上、閲覧することが不適切なインターネット上のWebサイトをフィルタリングし、ユーザーに見せなくすることを指します。

CSA (統制自己評価)(Control Self-Assessment)
実際に業務を実施している担当者自身が評価・モニタリングすることにより、自律的なリスクマネジメント体制の構築・維持を可能とする手法です。

学習の確認

  1. CSAとは?
  2. 簡易チェックリストを作成