システム監査(全79問中17問目)
No.17解説へ
情報セキュリティ管理基準(平成28年)を基に,情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
出典:令和3年春期 問58
- Webページに対して,マルウェア検出のためのスキャンを行っている。
- マルウェア感染によって被害を受けた事態を想定して,事業継続計画を策定している。
- マルウェア検出のためのスキャンを実施した上で,組織として認可していないソフトウェアを使用している。
- マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い,必要に応じて修正コードを適用し,脆弱性の低減を図っている。
広告
解説
情報セキュリティ管理基準は、組織において効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール(管理策)を整備・運用するための実践的な規範であると同時に、情報セキュリティ監査をする際に、監査人が監査上の判断の尺度として使うべき基準です。情報セキュリティ管理基準(平成28年)では、"12.2 マルウェアからの保護"として全部で14個のコントロール項目を規定しています。
- 情報セキュリティ管理基準(以下、本基準)では、予防または定常作業として「ウェブページに対するマルウェア検出のための走査」を行うことを求めているため、適切な対応状況と判断できます。
- 本基準では「マルウェアの攻撃から回復するための適切な事業継続計画を策定する」ことを求めているため、適切な対応状況と判断できます。
- 正しい。本基準では、「認可されていないソフトウェアの使用を禁止する正式な方針を確立する」とともに「認可されていないソフトウェアの使用を防止又は検出するための管理策を実施する」ことを求めています。したがって、組織が認可していないソフトウェアを使用している状況は、指摘事項に該当します。
- 本基準では「マルウェアに付け込まれる可能性のある脆弱性を、技術的脆弱性管理などを通じて低減させる」ことを求めているため、適切な対応状況と判断できます。
広告