問3
ネットワークシステムにおけるセキュリティの監査に関する次の記述を読んで,設問
1〜3 に答えよ。
E 社は,事業戦略及び情報戦略の策定支援,業務改善及びシステム構築に関するコンサルティング並びに企業の合併及び買収に関する調査と支援を行っている中堅の経営コンサルティング会社である。同社では,上記の業務に関連して契約上で守秘義務がある顧客の重要情報を社内ネットワークシステム上のサーバに蓄積している。
このような理由から,同社は,ネットワークシステムの構築と同時に,ネットワーク利用におけるセキュリティ方針を策定し,社員に周知徹底してきた。ネットワーク環境及びセキュリティ方針は,ネットワークの利用目的の変化によって随時変更が行われているので,最新のセキュリティ方針が遵守されているかどうかについて,監査部が周期的に監査を実施している。
〔今回の監査の重要テーマ〕
| (1) | コンサルタントは社外で仕事をすることが多いので,顧客の事務所や自宅から公衆電話網を経由して社内のネットワークシステムを利用したいとのニーズが高まり,最近,リモートアクセスサーバが導入された。このため,リモートアクセスサーバ経由での不正アクセスに対するセキュリティコントロールの状況について監査を実施する。 |
| (2) | 基幹業務用の統合ソフトウェアパッケージ(以下,統合業務パッケージという)の導入に伴って,パッケージ販売会社 D 社が ISDN 経由で E 社のネットワークに接続してオンラインで保守を行うようになった。この接続に関するセキュリティコントロールの状況について監査を実施する。 |
| (3) | ファイアウォールの設定状況及びその管理に関するセキュリティコントロールの状況については,毎回の監査の重要テーマとなっている。したがって,今回も同様の監査を実施する。 |
〔予備調査で入手した資料〕
1.現状のネットワークシステム概要図
2.ネットワーク接続機器の機能(丸数字はネットワークシステム概要図内の番号を示す)
(1)ファイアウォールDは前回監査時と同じものであり,その主な機能は,次のとおりである。
| (2) | D 社との接続に使用しているルータCは,保守に必要な種類のパケット(事前に定められた D 社側の IP アドレスをもつ)だけを通過させるように設定されている。 |
(3)今回導入したリモートアクセスサーバB及び認証サーバFの主な機能は,次のとおりである。
3.関連するセキュリティ方針(抜粋)
(1) ネットワークシステムの利用方針
(2)セキュリティの管理責任者
〔監査人が実施した監査手続の抜粋〕
| (1) | 実際にリモートアクセスサーバヘの不正アクセスがないかどうかを調査するために,リモートアクセスサーバのログ情報を出力して検証を行った。 |
| (2) | D 社との接続において,不正アクセスがないかどうかを調査するために,統合業務パッケージの保守記録とファイアウォール及び基幹業務システムサーバのログ情報を比較して検証を行った。 |
〔監査結果の抜粋〕
監査手続(2)によって,保守記録にはないアクセスが幾つかあることを発見した。これらのアクセスの
IP アドレスは,すべて D 社のものであった。
設問1
監査手続(1)の実施において,不正アクセスがあったかどうかを確かめるために,必要とされるリモートアクセスサーバのログ情報を三つ挙げ,それぞれ
10 字以内で述べよ。
設問2
監査手続(2)及びその監査結果に基づき,E 社ネットワークヘのアクセス及び基幹業務システム自体へのアクセスに関して,監査人が提案すべきコントロールを一つずつ挙げ,それぞれ
50 字以内で述べよ。
設問3
E 社のファイアウォールDのセキュリティコントロールの有効性に関する監査において重要と思われる監査ポイントを三つ挙げ,それぞれ
40 字以内で述べよ。