平成１０年度秋期　システム監査技術者　午後１問２

平成１０年度秋期システム監査技術者午後１

問２
　情報漏えいに関する次の記述を読んで，設問 1～3 に答えよ。

　W 社は，東京に本社，首都圏に五つの事業所をもつ証券会社である。
　昨年，情報の共有化を目的に，本社及び事業所ごとに LAN を構築した。顧客情報については，従来，各事業所ごとにデータベースを構築していたが，これを機会に本社のサーバ上に顧客データベースを統合した。本社と各事業所の LAN は，専用線で接続した。また，営業員の要望にこたえて，携帯端末からダイヤルアップ IP 接続で，本社のサーバ上の顧客データベースを利用できるようにした。
　顧客データベースは，顧客の住所，氏名，年齢，職業，取引履歴のほかに，趣味，し好などの情報を含んでいる。
　このたび，W 社の顧客情報が名簿業者に持ち込まれていたことが分かった。流出した顧客情報の内容を名簿業者に問い合わせたところ，内容の一部のリストが送られてきた。リストの内容は，データベースの内容そのものであり，ある事業所の一部の顧客情報が含まれていた。
　顧客情報の取扱いの現状を調査した結果，顧客情報管理システムの概要と運用状況は，次のとおりであった。

〔顧客情報管理システムの全体構成〕

(1) 　顧客データベースは，市販のソフトウェアパッケージを使用して本社のデータベースサーバに構築されている。ユーザ ID 及びパスワードが登録されている社員は，本社及び各事業所の LAN に接続されたすべてのパソコンから顧客情報の照会が可能である。

(2) 　顧客データの新規入力と更新については，入力者の所属する事業所の顧客データに限定される。これらのアクセスコントロールは，データベース管理ソフトウェアの機能によって実現される。

(3) 　パスワードの有効期間は 1か月に設定されており，ユーザは 1か月以内に変更を強制される。

(4) 　顧客情報管理システムは，暗号化の機能をもっていない。

〔ダイヤルアップ IP 接続の認証方式と運用〕

(1) 　ダイヤルアップ IP 接続時のユーザ認証のために，リモートアクセスサーバを導入している。

(2) 　リモートアクセスプロトコルは，PPP(Point to Point Protocol)を使用している。リモートアクセスサーバの認証プロトコルは，PAP(Password Authentication Protocol)と CHAP(Challenge Handshake Authentication Protocol)に対応している。W 社では，PAPを使用している。

(3) 　ダイヤルアップ IP 接続時の顧客データベースヘのアクセス権限は，照会だけに限定されている。

〔日次のバックアップ運用〕

(1) 　本社では，情報システム部の運用部門の全員が，ローテーションを組んで毎日定時に 1枚の光磁気ディスク(MO)にバックアップを取っている。

(2) 　バックアップ担当者は，バックアップしたMOに“バックアップyyyy/mm/dd”とラベルを付し，サーバ横の開架棚に置かれた MO ケースに入れている。

(3) 　バックアップには 2 枚の MO を交互に使用しており，前々日のバックアップで使用した MO に上書きし，ラベルをバックアップした日付に書き換えている。

〔月次のバックアップ運用〕

(1) 　月末には，日次バックアップに加えて，別の MO に月次バックアップを取り，他システムのバックアップデータとともに外部業者に保管を依頼している。

(2) 　バックアップ担当者は，外部保管用に月次バックアップした MO を封筒に入れて警備員に預けている。

(3) 　外部保管業者は，通常，夜間に来社し，前回保管分の MO と引換えに，今回の MO を警備員から受け取る。

(4) 　情報システム部の部員は，外部保管業者から返却された MO を翌日に警備員から回収し，そのまま次回の月次バックアップまで，日次バックアップした MO と同じサーバ横の開架棚に置かれた MO ケースに入れている。

〔事業所の帳票の管理運用〕

(1) 　事業所及び帳票保管場所には，IC カード方式の入退館管理システム及び入退室管理システムが導入されている。

(2) 　各事業所の責任者は，システムがダウンした場合に備え，またユーザ ID をもたないアルバイト職員も利用できるように，毎月末，顧客情報を帳票として出力している。

(3) 　顧客情報の出力帳票は開架棚に常時置かれており，必要とする者が，随時に持ち出して使用できる。

(4) 　古くなった帳票は裁断処理する規則になっているが，ある事業所では，表面に“焼却”と朱書きされた帳票が，ごみ処理業者が指定するビル内の共有スペースに置かれている。この帳票は，ビルのごみ処理業者によって他のゴミと一緒に搬出されている。

(5) 　この事業所では，ごみ処理業者はビルの管理会社と契約しており，直接この事業所とごみ処理契約を結んではいない。

設問１

　W 社の顧客情報漏えいのリスクに関連して，情報漏えいの原因となり得る取扱上の問題点は何か。次の(1)，(2)について，それぞれ 50 字以内で述べよ。

(1)日次バックアップ及び月次バックアップの MO
(2)顧客情報の出力帳票

設問２

　W 社の機密保護の適切性を監査する場合の監査ポイントは何か。次の(1)，(2)について，それぞれ 30 字以内で述べよ。さらに，監査ポイントごとの監査手続をそれぞれ 50 字以内で述べよ。

(1)バックアップした MO の外部保管
(2)出力帳票の保管

設問３
　W 社における顧客情報の機密保護を強化するための対策について，技術面及び運用面から，それぞれ 50 字以内で述べよ。

KIKI注：この問題の解答例はweb上で公開されているサイトはありませんでした。ご了承ください。

(1)	顧客データベースは，市販のソフトウェアパッケージを使用して本社のデータベースサーバに構築されている。ユーザ ID 及びパスワードが登録されている社員は，本社及び各事業所の LAN に接続されたすべてのパソコンから顧客情報の照会が可能である。
(2)	顧客データの新規入力と更新については，入力者の所属する事業所の顧客データに限定される。これらのアクセスコントロールは，データベース管理ソフトウェアの機能によって実現される。
(3)	パスワードの有効期間は 1か月に設定されており，ユーザは 1か月以内に変更を強制される。
(4)	顧客情報管理システムは，暗号化の機能をもっていない。

(1)	ダイヤルアップ IP 接続時のユーザ認証のために，リモートアクセスサーバを導入している。
(2)	リモートアクセスプロトコルは，PPP(Point to Point Protocol)を使用している。リモートアクセスサーバの認証プロトコルは，PAP(Password Authentication Protocol)と CHAP(Challenge Handshake Authentication Protocol)に対応している。W 社では，PAPを使用している。
(3)	ダイヤルアップ IP 接続時の顧客データベースヘのアクセス権限は，照会だけに限定されている。

(1)	本社では，情報システム部の運用部門の全員が，ローテーションを組んで毎日定時に 1枚の光磁気ディスク(MO)にバックアップを取っている。
(2)	バックアップ担当者は，バックアップしたMOに“バックアップyyyy/mm/dd”とラベルを付し，サーバ横の開架棚に置かれた MO ケースに入れている。
(3)	バックアップには 2 枚の MO を交互に使用しており，前々日のバックアップで使用した MO に上書きし，ラベルをバックアップした日付に書き換えている。

(1)	月末には，日次バックアップに加えて，別の MO に月次バックアップを取り，他システムのバックアップデータとともに外部業者に保管を依頼している。
(2)	バックアップ担当者は，外部保管用に月次バックアップした MO を封筒に入れて警備員に預けている。
(3)	外部保管業者は，通常，夜間に来社し，前回保管分の MO と引換えに，今回の MO を警備員から受け取る。
(4)	情報システム部の部員は，外部保管業者から返却された MO を翌日に警備員から回収し，そのまま次回の月次バックアップまで，日次バックアップした MO と同じサーバ横の開架棚に置かれた MO ケースに入れている。

(1)	事業所及び帳票保管場所には，IC カード方式の入退館管理システム及び入退室管理システムが導入されている。
(2)	各事業所の責任者は，システムがダウンした場合に備え，またユーザ ID をもたないアルバイト職員も利用できるように，毎月末，顧客情報を帳票として出力している。
(3)	顧客情報の出力帳票は開架棚に常時置かれており，必要とする者が，随時に持ち出して使用できる。
(4)	古くなった帳票は裁断処理する規則になっているが，ある事業所では，表面に“焼却”と朱書きされた帳票が，ごみ処理業者が指定するビル内の共有スペースに置かれている。この帳票は，ビルのごみ処理業者によって他のゴミと一緒に搬出されている。
(5)	この事業所では，ごみ処理業者はビルの管理会社と契約しており，直接この事業所とごみ処理契約を結んではいない。