問１
　電子メールシステムに関する次の記述を読んで，設問１〜３に答えよ。

　E社は，経営，財務及び税務に関する各種コンサルティングを行っている。既に，社内LANがインターネットと接続されており，すべての社員に電子メールのアドレスが与えられている。
　“なりすまし”，“情報の漏えい”といったリスクを考慮して，E社はコンサルティング業務で取り扱う顧客情報を電子メールで交換することをこれまで禁止してきた。しかし，電予メール利用者の増加に伴い，国内及び海外の関連会社を含めた社員間で，電子メールでの顧客情報の交換を行いたいとの要望が高まってきた。そこで，E社は，暗号化機能をもつ電子メールシステムを導入することにした。
　このシステムの導入計画段階において，E社の経営者は，監査部門に対して安全性を監査するように指示した。

〔暗号化電子メールソフトの機能〕

　暗号化のために導入された電子メールソフトの機能は，次のとおりである。

 

(1)	暗号方式は，公開かぎ暗号方式である。暗号化用のかぎ(“受信者の公開かぎ”という)を公開し，復号用のかぎ(“受信者の秘密かぎ”という)を受信者が保持する。
(2)	受信者は，電子メールソフトの機能を用いて公開かぎと秘密かぎを自分のパソコンのハードディスク上に生成する。受信者の公開かぎによって暗号化されたメッセージを復号できるのは，同時に生成された受信者の秘密かぎだけである。

 

(1)	暗号化電子メールの受信を行う者は，氏名，所属及び役職の情報を添えて情報システム部門内に設けられた社内の認証局(以下，“認証局”という)に証明書の発行を電子メールで申請する。そのときに，暗号化電子メールソフトによって生成されたペアの暗号化用の公開かぎと復号用の秘密かぎのうち，公開かぎの方を認証局に送付する(図1の)。 　当分の間，証明書は暗号化電子メールの使用が必要な者だけに発行する。初年度に想定される発行数は約300である。
(2)	認証局は，本社，国内及び海外の関連会社の人事部門に発行申請者の在籍の有無を確認した後，認証局のサーバに証明書を登録し，申請者に登録の通知を行う(図1の)。証明書には，申請者の氏名，電子メールアドレス，所属，役職及び証明書の有効期限(有効期間1年)が記載されているとともに，申請者の公開かぎ(受信者の公開かぎ)及び認証局のディジタル署名が含まれている。 　認証局は，ディジタル署名を生成するための暗号化かぎ(“認証局の秘密かぎ”という)を保持し，ディジタル署名復号用のかぎ(“認証局の公開かぎ”という)を認証局のサーバ上に公開する。
(3)	送信者は，認証局の公開かぎを認証局のサーバからあらかじめ取得しておく(図1の)。
(4)	送信者は，暗号化電子メールを送信するたびに，受信者の証明書を認証局のサーバから取得する(図1の)。送信者は，認証局の公開かぎによってディジタル署名を復号して，その証明書が認証局によって発行されたものであることを確認する。
(5)	送信者は，暗号化したいメッセージを受信者の公開かぎによって暗号化し，受信者に送信する(図2の)。
(6)	受信者は，暗号化されたメッセージを受信者の秘密かぎによって復号する。
(7)	発行申請者が所属する部門の責任者から人事異動や退職に伴う登録抹消の申請があった場合には，認証局は直ちに認証局のサーバ上から該当する証明書を削除する。
(8)	認証局では，有効期限が過ぎた証明書について，認証局のサーバ上から削除し，その旨を該当する証明書の申請者に連絡する。

設問１
　証明書の発行手続に関して，監査人が指摘すべき問題点とその改善方法について，それぞれ50字以内で述べよ。

設問２
　このシステムにおけるかぎ管理の妥当性を監査する場合の監査ポイントを二つ挙げ，それぞれ50字以内で述べよ。

設問３
　証明書の登録抹消手続において，抹消漏れが発生する可能性がある。具体的にどのような場合に抹消漏れが発生するか。また，監査人が抹消漏れの有無を検証するために実施すべき監査手続は何か。それぞれ60字以内で述べよ。