« 2008年春、システム監査技術者試験 小論文解答速報 | メイン | 2008年 システム監査技術者試験 小論文 解答速報 問3 »

2008年4月22日

2008年 システム監査技術者試験 小論文解答速報 問1

平成20年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1 アイデンティティマネジメントの実態と課題
1.1 アイデンティティマネジメントの実態

 私が勤務するA社は、食品製造販売業である。部署には研究開発部門、生産管理部門、 工場、倉庫、営業の5部門からなる。現在、海外企業と連携して新素材の研究に取組ん でいる。
 特に、新素材の研究をしている研究開発部門のセキュリティには高機密性が求めら れる。研究開発部門では、海外とのやりとりに電子メール、研究開発サーバへのアクセス、 研究プロジェクトの管理としてグループウェアなどを利用している。
 これらの情報資産へのアクセスコントロールとして、情報資産ごとに異なる IDとパスワードで認証を行いセキュリティ管理を実施している。

1.2 アイデンティティマネジメントの課題

 A社におけるアイデンティティマネジメントの課題は次のとおりである。

  1. 社内の研究開発スタッフの雇用形態も博士資格を持った契約社員、正社員、外部専門家など多岐に 分かり、IDとパスワードの管理が煩雑である。
  2. 海外からの情報資産に対するアクセス管理が煩雑である。
  3. 情報資産ごとにIDとパスワード管理するため、アクセス状況監視やパスワード定期的変更管理 が事実上困難となっている。
  4. 資産と管理方法が多岐に渡るため監査証跡の定期的確保が困難となっている。
  5. 情報資産管理が複雑化しているため、研究開発部門のセキュリティレベルが低下している。
  6. あわせて情報資産の使いやすさも低下している。
  7. ユーザーという実在する人間のアイデンティティを認証(Authentication)する ことが困難。
  8. 本人性を認証するため、サービス同士の相互信頼や、セキュアな転送経路が必要。
  9. 既にいない利用者のアカウントが残る「放置アカウント」の発生。
  10. 以上による、研究開発データの盗聴、改ざんのリスク。
2 アイデンティティ管理ツールの導入について

 A社では、内部統制の強化を目的として、1回の認証ですべての情報資産弐アクセスする権限を 与えるシングルサインオンシステムの導入を検討している。

(1)その目的は次の通り
  1. 当初の目的は、研究開発部門内で乱立する、多数のIDとパスワードを集約すること。
  2. 単一のIDとパスワードで複数の情報資産へのアクセスを可能とすること。
  3. 情報資産へのアクセスを容易にすること。
  4. 情報資産へのアクセス監視等アクセスコントロールを容易にすること。
  5. 本人性を認証するため、Identityをもとにアクセス制御などの認可できること。
(2)シングルサインオンシステムの課題

 シングルサインオンシステムでは上記のメリットがある反面、以下のようなリスクが危惧されている。

  1. 市販パッケージの既存認証基盤によるシングルサインオン構築は、ライセンス費が高額となることがある。
  2. 定期的なバージョンアップに伴い、保守費以外の支出を伴うケースが多い。
  3. ベンダのビジネス動向(販売撤退、買収等)により計画外費用が発生しやすい。
  4. トラブル発生時、パッケージソフト毎に対応窓口が異なる。
  5. A社情報システム部がシングルサインオンシステムに関するスキルを持っていない。
3 運用状況監査にかかわる要点と手続き
3.1 運用状況監査にかかわる要点

(1)セキュリティコントロール機能の強化
アイデンティティマネジメントによって、①ユーザ認証、②ユーザ認可、③ユーザ、情報資産管理、 ④監査証跡確保機能の強化
(2)セキュリティレベルの向上
 認証メカニズムを強化。X.509 デジタル証明書、 OTP (使い捨てパスワード) デバイスとしても知られている時間ベースの ハードウェアトークン、バイオメトリック認証を使用したセカンダリ確認などに より安全な非パスワード ベースのメカニズムおよびテクノロジが利用されているか
(3)利便性の向上
 アイデンティティマネジメントによってユーザの利便性は向上しているか
(4)コスト削減効果
 アイデンティティマネジメントによってITトータルコスト、管理コストは低減しているか。 また、運用だけでなくアプリケーションのセキュリティ機能開発コストが低減しているか。

3.2 運用状況監査にかかわる要点と手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、シングルサインオンシステムにかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. シングルサインオンシステムについて、監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2008年4月22日 08:28