応用情報技術者過去問題 令和4年秋期 午後問11
⇄問題文と設問を画面2分割で開く⇱問題PDF問11 システム監査
テレワーク環境の監査に関する次の記述を読んで,設問に答えよ。
大手のマンション管理会社であるY社は,業務改革の推進,感染症拡大への対応などを背景として,X年4月からテレワーク環境を導入し,全従業員の約半数が業務内容に応じて利用している。このような状況の下,テレワーク環境の不適切な利用に起因して,情報漏えいなども発生するおそれがあり,情報セキュリティ管理の重要性は増大している。
Y社の内部監査部長は,このような状況を踏まえて,システム監査チームに対して,テレワーク環境の情報セキュリティ管理をテーマとして,監査を行うよう指示した。システム監査チームは,X年9月に予備調査を行い,次の事項を把握した。
〔テレワーク環境の利用状況〕
〔テレワーク環境に関して発生した問題〕
内部監査部長は,システム監査チームから予備調査で把握した事項について報告を受け,X年11月に実施予定の本調査で,テレワーク環境に関するセキュリティ点検について重点的に確認する方針を決定し,次のとおり指示した。
大手のマンション管理会社であるY社は,業務改革の推進,感染症拡大への対応などを背景として,X年4月からテレワーク環境を導入し,全従業員の約半数が業務内容に応じて利用している。このような状況の下,テレワーク環境の不適切な利用に起因して,情報漏えいなども発生するおそれがあり,情報セキュリティ管理の重要性は増大している。
Y社の内部監査部長は,このような状況を踏まえて,システム監査チームに対して,テレワーク環境の情報セキュリティ管理をテーマとして,監査を行うよう指示した。システム監査チームは,X年9月に予備調査を行い,次の事項を把握した。
〔テレワーク環境の利用状況〕
- テレワーク環境で利用するPCの管理
Y社の従業員は,貸与されたPC(以下,貸与PCという)を,Y社の社内及びテレワーク環境で利用する。
システム部は,全従業員分の貸与PCについて貸与PC管理台帳に,PC管理番号,利用する従業員名,テレワーク環境の利用有無などを登録する。貸与PC管理台帳は,貸与PCを利用する従業員が所属する各部に配置されているシステム管理者も閲覧可能である。 - テレワーク環境の利用者の管理
従業員は,テレワーク環境の利用を申請する場合に,テレワーク環境利用開始届(以下,利用届という)を作成し,所属する部のシステム管理者の確認,及び部長の承認を得て,システム部に提出する。利用届には,申請する従業員の氏名,利用開始希望日,Y社の情報セキュリティ管理基準の遵守についての誓約などを記載する。システム部は,利用届に基づき,貸与PCをテレワーク環境でも利用できるように,VPN接続ソフトのインストールなどを行う。
各部のシステム管理者は,従業員が異動,退職などに伴い,テレワーク環境の利用を終了する場合に,テレワーク環境利用終了届(以下,終了届という)を作成し,システム部に提出する。終了届には,テレワーク環境の利用を終了する従業員の氏名,事由などを記載する。システム部は,終了届に基づき,貸与PCをテレワーク環境で利用できないようにし,終了届の写しをシステム管理者に返却する。 - テレワーク環境のアプリケーションシステム
テレワーク環境では,従業員の利用権限に応じて,基幹業務システム,社内ポータルサイト,Web会議システムなど,様々なアプリケーションシステムを利用することができる。これらのアプリケーションシステムのうち,Web会議システムは,X年6月から社内及びテレワーク環境で利用可能となっている。また,従業員は,基幹業務システムなどを利用して,顧客の個人情報,営業情報などにアクセスし,貸与PCのハードディスクに一時的にダウンロードして,加工・編集する場合がある。
〔テレワーク環境に関して発生した問題〕
- 顧客の個人情報の漏えい
Y社の情報セキュリティ管理基準では,テレワーク環境への接続に利用するWi-Fiについて,パスワードの入力を必須とすることなど,セキュリティ要件を定めている。
X年5月20日に,業務管理部の従業員が,セキュリティ要件を満たさないWi-Fiを利用してテレワーク環境に接続したことによって,貸与PCのハードディスクにダウンロードされた顧客の個人情報が漏えいする事案が発生した。 - 貸与PCの紛失・盗難
テレワーク環境の導入後,貸与PCを社外で利用する機会が増えたことから,貸与PCの紛失・盗難の事案が発生していた。
各部のシステム管理者は,従業員が貸与PCを紛失した場合,貸与PCのPC管理番号,紛失日,紛失状況,最終利用日,システム部への届出日などを紛失届に記載し,遅くとも紛失日の翌日までに,システム部に提出する。システム部は,提出された紛失届の記載内容を確認し,受付日を記載した後に,紛失届の写しをシステム管理者に返却する。
営業部のZ氏は,X年8月9日に営業先から自宅に戻る途中で貸与PCを紛失したまま,紛失日の翌日から1週間の休暇を取得した。同部のシステム管理者は,Z氏からX年8月17日に報告を受け,同日中に当該PCの紛失届をシステム部に提出した。
- 点検の体制及び時期
システム部は毎年1月に,各部における情報セキュリティ管理状況の点検(以下,セキュリティ点検という)について,年間計画を策定する。各部のシステム管理者は,年間計画に基づき,セキュリティ点検を実施し,点検結果,及び不備事項の是正状況をシステム部に報告する。システム部は,点検結果を確認し,また,不備事項の是正状況をモニタリングする。X年の年間計画では,2月,5月,8月,11月の最終営業日にセキュリティ点検を実施することになっている。 - 点検の項目,内容及び対象
システム部は,毎年1月に,利用されるアプリケーションシステムなどのリスク評価結果に基づき,セキュリティ点検の項目及び内容を決定する。また,新規システムの導入,システム環境の変化などに応じて,リスク評価を随時行い,その評価結果に基づき,セキュリティ点検の項目及び内容を見直すことになっている。各部のシステム管理者は,前回点検日以降3か月間を対象にして,セキュリティ点検を実施する。X年のセキュリティ点検の項目及び内容の一部を表1に示す。 - 点検の結果
業務管理部及び営業部のシステム管理者は,テレワーク環境導入後のセキュリティ点検の結果,表1の項番2及び項番3について,不備事項を報告していなかった。
内部監査部長は,システム監査チームから予備調査で把握した事項について報告を受け,X年11月に実施予定の本調査で,テレワーク環境に関するセキュリティ点検について重点的に確認する方針を決定し,次のとおり指示した。
- 表1項番1について,aとbを照合した結果と,セキュリティ点検の結果との整合性を確認すること。
- 表1項番2について,業務管理部におけるセキュリティ点検の結果を考慮して,システム管理者がcしているかどうか,確認すること。
- 表1項番3について,紛失届に記載されているdとeを照合した結果と,セキュリティ点検の結果との整合性を確認すること。
- 表1項番4について,システム部がfの結果に基づいて,X年8月のセキュリティ点検対象のアプリケーションシステムとして,gの追加を検討したかどうか,確認すること。
- セキュリティ点検で不備事項が発見された場合,システム管理者が不備事項の是正状況を報告しているかどうか確認するだけでは,監査手続として不十分である。システム部がhしているかどうかについても確認すること。
設問1
〔内部監査部長の指示〕(1)のa,bに入れる適切な字句をそれぞれ15字以内で答えよ。
解答入力欄
- a:
- b:
解答例・解答の要点
- a:従業員の異動,退職などの状況 (14文字)
- b:終了届の記載内容 (8文字)
解説
予備調査の概要が示され、その記載に基づいて監査手続の実施に際して必要な事項を回答するパターンは例年通りですが、本問では、情報システムや情報システムを使って実施されている業務そのものではなく、これらに対する定期点検を監査対象としている点が異質です。本問のテーマになっている情報セキュリティについては、業務部門が自部門における管理状況を点検し、さらにシステムのリスク管理の機能を担う部門が、点検の実施状況および不備の是正状況をモニタリングする体制となっていることが実務上多いことを反映した出題です。コロナ禍で一般化したテレワーク環境への監査を題材として、情報セキュリティ管理状況の点検に関して実効性を確認する場合に、システム監査人に求められる能力・知識が問われています。
監査の対象となっているセキュリティ点検を行っているのは、「各部のシステム管理者」と「システム部」であり、内部監査部長が、この両者の行った点検内容の何らかを問題視して、システム監査チームに確認するよう具体性のある指示を出しているのが、すべての設問に共通する建付けです。
〔abについて〕
本設問では、表1項番1の「テレワーク環境を利用する必要がなくなった従業員の終了届をシステム部に提出しているか」について、各部のシステム管理者による適正な点検が行われているかどうかを確認するための監査手続が問われています。
照合する情報の一つは「終了届(の写し)の記載内容」です。終了届はシステム部に提出された後、各部のシステム管理者に返却されているので、各部のシステム管理者が点検に使うことができます。
照合の相手方となるのは、テレワークの終了届を提出する義務がある人の一覧、すなわち異動・退職があった従業員を特定できる情報です。この二つを照合すれば、終了届の提出が漏れなく行われているかどうかを確実に点検することができます。具体的には、過去3か月の「従業員の異動,退職などの状況」がわかる人事発令情報などが妥当します。点検の実施は3か月ごとですから、3か月分の異動・退職の情報であれば各部のシステム管理者自らが用意することも容易だと考えられます。
本文中にはそれらしい記録として「貸与PC管理台帳」がありますが、貸与PC管理台帳の項目"テレワーク環境の利用有無"は、終了届に基づいてシステム部により更新されるので、終了届の提出の有無と一致することになります。したがって、貸与PC管理台帳と終了届を突き合わせても、終了届の提出漏れを検知することはできません。
∴ab=従業員の異動,退職などの状況、終了届の記載内容
監査の対象となっているセキュリティ点検を行っているのは、「各部のシステム管理者」と「システム部」であり、内部監査部長が、この両者の行った点検内容の何らかを問題視して、システム監査チームに確認するよう具体性のある指示を出しているのが、すべての設問に共通する建付けです。
〔abについて〕
本設問では、表1項番1の「テレワーク環境を利用する必要がなくなった従業員の終了届をシステム部に提出しているか」について、各部のシステム管理者による適正な点検が行われているかどうかを確認するための監査手続が問われています。
照合する情報の一つは「終了届(の写し)の記載内容」です。終了届はシステム部に提出された後、各部のシステム管理者に返却されているので、各部のシステム管理者が点検に使うことができます。
照合の相手方となるのは、テレワークの終了届を提出する義務がある人の一覧、すなわち異動・退職があった従業員を特定できる情報です。この二つを照合すれば、終了届の提出が漏れなく行われているかどうかを確実に点検することができます。具体的には、過去3か月の「従業員の異動,退職などの状況」がわかる人事発令情報などが妥当します。点検の実施は3か月ごとですから、3か月分の異動・退職の情報であれば各部のシステム管理者自らが用意することも容易だと考えられます。
本文中にはそれらしい記録として「貸与PC管理台帳」がありますが、貸与PC管理台帳の項目"テレワーク環境の利用有無"は、終了届に基づいてシステム部により更新されるので、終了届の提出の有無と一致することになります。したがって、貸与PC管理台帳と終了届を突き合わせても、終了届の提出漏れを検知することはできません。
∴ab=従業員の異動,退職などの状況、終了届の記載内容
設問2
〔内部監査部長の指示〕(2)のcに入れる適切な字句を15字以内で答えよ。
解答入力欄
- c:
解答例・解答の要点
- c:セキュリティ点検を適切に実施 (14文字)
解説
〔cについて〕
業務管理部のシステム管理者が行うべきであったことを予備調査の結果の中から探します。
〔情報セキュリティ管理状況の点検〕(1)に「各部のシステム管理者は,年間計画に基づき,セキュリティ点検を実施し,点検結果,及び不備事項の是正状況をシステム部に報告する」と記載されています。しかし(3)では、業務管理部のシステム管理者が、点検結果および不備事項を報告していなかったことが明らかになっています。
実際に業務管理部では、会社が定めるセキュリティ要件に違反したことを原因とする情報漏えい事案が発生しています。この事案を起こした不備事項とその後の是正状況は、点検で把握されなければならない事実であり、報告がなかったことで、業務管理部ではシステム管理者による点検が適切に機能していないことが疑われます。したがって、テレワーク導入に伴う点検項目である項番2について、システム管理者が「セキュリティ点検を適切に実施」しているかどうかを確認する監査手続が必要となります。
∴c=セキュリティ点検を適切に実施
業務管理部のシステム管理者が行うべきであったことを予備調査の結果の中から探します。
〔情報セキュリティ管理状況の点検〕(1)に「各部のシステム管理者は,年間計画に基づき,セキュリティ点検を実施し,点検結果,及び不備事項の是正状況をシステム部に報告する」と記載されています。しかし(3)では、業務管理部のシステム管理者が、点検結果および不備事項を報告していなかったことが明らかになっています。
実際に業務管理部では、会社が定めるセキュリティ要件に違反したことを原因とする情報漏えい事案が発生しています。この事案を起こした不備事項とその後の是正状況は、点検で把握されなければならない事実であり、報告がなかったことで、業務管理部ではシステム管理者による点検が適切に機能していないことが疑われます。したがって、テレワーク導入に伴う点検項目である項番2について、システム管理者が「セキュリティ点検を適切に実施」しているかどうかを確認する監査手続が必要となります。
∴c=セキュリティ点検を適切に実施
設問3
〔内部監査部長の指示〕(3)のd,eに入れる適切な字句をそれぞれ10字以内で答えよ。
解答入力欄
- d:
- e:
解答例・解答の要点
- d:貸与PCの紛失日 (8文字)
- e:システム部への届出日 (10文字)
解説
〔deについて〕
従業員が貸与PCを紛失した場合のルールは、各部のシステム管理者が「貸与PCのPC管理番号,紛失日,紛失状況,最終利用日,システム部への届出日などを紛失届に記載し,遅くとも紛失日の翌日までに,システム部に提出する」というものです。表1項番3でセキュリティ点検の内容となっているのは「遅くとも紛失日の翌日までに,紛失届をシステム部に提出しているか」ですので、内部監査部長の指示の対象は、紛失届提出のタイミングであることがわかります。紛失届の記載内容のうち、この提出期限が順守されているかどうかがわかる情報は、「貸与PCの紛失日」と「システム部への届出日」の二つです。
システム部が紛失届に記載する「受付日」と考えることもできますが、提出時間帯や記載内容の確認作業によっては、必ずしも即日に受付できるとは限らないので不適切です。あくまでも届出日ベースで判断することになります。
∴de=貸与PCの紛失日、システム部への届出日
※紛失届の記載内容ですので、問題文の表記に従えば模範解答のとおりとなりますが、単に紛失日、届出日でも問題ないと思います。
従業員が貸与PCを紛失した場合のルールは、各部のシステム管理者が「貸与PCのPC管理番号,紛失日,紛失状況,最終利用日,システム部への届出日などを紛失届に記載し,遅くとも紛失日の翌日までに,システム部に提出する」というものです。表1項番3でセキュリティ点検の内容となっているのは「遅くとも紛失日の翌日までに,紛失届をシステム部に提出しているか」ですので、内部監査部長の指示の対象は、紛失届提出のタイミングであることがわかります。紛失届の記載内容のうち、この提出期限が順守されているかどうかがわかる情報は、「貸与PCの紛失日」と「システム部への届出日」の二つです。
システム部が紛失届に記載する「受付日」と考えることもできますが、提出時間帯や記載内容の確認作業によっては、必ずしも即日に受付できるとは限らないので不適切です。あくまでも届出日ベースで判断することになります。
∴de=貸与PCの紛失日、システム部への届出日
※紛失届の記載内容ですので、問題文の表記に従えば模範解答のとおりとなりますが、単に紛失日、届出日でも問題ないと思います。
設問4
〔内部監査部長の指示〕(4)のf,gに入れる適切な字句をそれぞれ10字以内で答えよ。
解答入力欄
- f:
- g:
解答例・解答の要点
- f:リスク評価 (5文字)
- g:Web会議システム (9文字)
解説
内部監査部長は、表1項番4の「アプリケーションシステムの利用権限の設定状況」についてシステム部が行うべき事項の確認を求めているので、システム部が何の結果に基づいて、何を行うべきであったかを予備調査の中から探します。
〔fについて〕
〔情報セキュリティ管理状況の点検〕(2)には「新規システムの導入,システム環境の変化などに応じて,リスク評価を随時行い,その評価結果に基づき,セキュリティ点検の項目及び内容を見直す」と説明されています。この記述より、セキュリティ点検対象のアプリケーションシステムを追加するなどのセキュリティ点検の見直しは、リスク評価の結果に基づいて行われることがわかります。よって、空欄fには「リスク評価」が当てはまります。
∴f=リスク評価
〔gについて〕
〔テレワーク環境の利用状況〕(3)のテレワーク環境のアプリケーションシステムの中から、対象となるアプリケーションシステムを探します。追加するということは当初の計画では対象外であり、その後、X年8月の点検ではじめて必要になったということです。
セキュリティ点検の実施を時系列にたどると、以下のようになっています。
∴g=Web会議システム
〔fについて〕
〔情報セキュリティ管理状況の点検〕(2)には「新規システムの導入,システム環境の変化などに応じて,リスク評価を随時行い,その評価結果に基づき,セキュリティ点検の項目及び内容を見直す」と説明されています。この記述より、セキュリティ点検対象のアプリケーションシステムを追加するなどのセキュリティ点検の見直しは、リスク評価の結果に基づいて行われることがわかります。よって、空欄fには「リスク評価」が当てはまります。
∴f=リスク評価
〔gについて〕
〔テレワーク環境の利用状況〕(3)のテレワーク環境のアプリケーションシステムの中から、対象となるアプリケーションシステムを探します。追加するということは当初の計画では対象外であり、その後、X年8月の点検ではじめて必要になったということです。
セキュリティ点検の実施を時系列にたどると、以下のようになっています。
- 1月 … セキュリティ点検の定期見直し
- 2月 … セキュリティ点検の実施
- 4月 … テレワーク環境の導入
- 5月 … セキュリティ点検の実施
- 6月 … Web会議システムの利用開始
- 8月 … セキュリティ点検の実施
- 9月 … 予備調査
∴g=Web会議システム
設問5
〔内部監査部長の指示〕(5)のhに入れる適切な字句を20字以内で答えよ。
解答入力欄
- h:
解答例・解答の要点
- h:不備事項の是正状況をモニタリング (16文字)
解説
〔hについて〕
セキュリティ点検で不備事項が発見された場合に、システム部が何をすべきであったかを予備調査の中から探します。
〔情報セキュリティ管理状況の点検〕(1)には「各部のシステム管理者は,年間計画に基づき,セキュリティ点検を実施し,点検結果,及び不備事項の是正状況をシステム部に報告する」とありますが、内部監査部長は、これが適切に行われているかどうかを確認するだけでは監査手続として不十分であると言っています。なぜなら上記の説明に続いて「システム部は,点検結果を確認し,また,不備事項の是正状況をモニタリングする」とあるからです。システム部には、不備事項の是正状況の報告を確認するだけではなく、是正状況をモニタリングすることで改善の実効力を担保する役割が期待されているので、監査手続ではこのモニタリングの実施状況をも確認する必要があります。
∴h=不備事項の是正状況をモニタリング
セキュリティ点検で不備事項が発見された場合に、システム部が何をすべきであったかを予備調査の中から探します。
〔情報セキュリティ管理状況の点検〕(1)には「各部のシステム管理者は,年間計画に基づき,セキュリティ点検を実施し,点検結果,及び不備事項の是正状況をシステム部に報告する」とありますが、内部監査部長は、これが適切に行われているかどうかを確認するだけでは監査手続として不十分であると言っています。なぜなら上記の説明に続いて「システム部は,点検結果を確認し,また,不備事項の是正状況をモニタリングする」とあるからです。システム部には、不備事項の是正状況の報告を確認するだけではなく、是正状況をモニタリングすることで改善の実効力を担保する役割が期待されているので、監査手続ではこのモニタリングの実施状況をも確認する必要があります。
∴h=不備事項の是正状況をモニタリング