解説

予備調査の概要が示され、その記載に基づいて監査手続の実施に際して必要な事項を回答するパターンは例年通りですが、本問では、情報システムや情報システムを使って実施されている業務そのものではなく、これらに対する定期点検を監査対象としている点が異質です。本問のテーマになっている情報セキュリティについては、業務部門が自部門における管理状況を点検し、さらにシステムのリスク管理の機能を担う部門が、点検の実施状況および不備の是正状況をモニタリングする体制となっていることが実務上多いことを反映した出題です。コロナ禍で一般化したテレワーク環境への監査を題材として、情報セキュリティ管理状況の点検に関して実効性を確認する場合に、システム監査人に求められる能力・知識が問われています。

監査の対象となっているセキュリティ点検を行っているのは、「各部のシステム管理者」と「システム部」であり、内部監査部長が、この両者の行った点検内容の何らかを問題視して、システム監査チームに確認するよう具体性のある指示を出しているのが、すべての設問に共通する建付けです。

〔abについて〕
本設問では、表1項番1の「テレワーク環境を利用する必要がなくなった従業員の終了届をシステム部に提出しているか」について、各部のシステム管理者による適正な点検が行われているかどうかを確認するための監査手続が問われています。

照合する情報の一つは「終了届（の写し）の記載内容」です。終了届はシステム部に提出された後、各部のシステム管理者に返却されているので、各部のシステム管理者が点検に使うことができます。

照合の相手方となるのは、テレワークの終了届を提出する義務がある人の一覧、すなわち異動・退職があった従業員を特定できる情報です。この二つを照合すれば、終了届の提出が漏れなく行われているかどうかを確実に点検することができます。具体的には、過去3か月の「従業員の異動，退職などの状況」がわかる人事発令情報などが妥当します。点検の実施は3か月ごとですから、3か月分の異動・退職の情報であれば各部のシステム管理者自らが用意することも容易だと考えられます。

本文中にはそれらしい記録として「貸与PC管理台帳」がありますが、貸与PC管理台帳の項目"テレワーク環境の利用有無"は、終了届に基づいてシステム部により更新されるので、終了届の提出の有無と一致することになります。したがって、貸与PC管理台帳と終了届を突き合わせても、終了届の提出漏れを検知することはできません。

∴ab＝従業員の異動，退職などの状況、終了届の記載内容

解説

〔cについて〕
業務管理部のシステム管理者が行うべきであったことを予備調査の結果の中から探します。

〔情報セキュリティ管理状況の点検〕(1)に「各部のシステム管理者は，年間計画に基づき，セキュリティ点検を実施し，点検結果，及び不備事項の是正状況をシステム部に報告する」と記載されています。しかし(3)では、業務管理部のシステム管理者が、点検結果および不備事項を報告していなかったことが明らかになっています。

実際に業務管理部では、会社が定めるセキュリティ要件に違反したことを原因とする情報漏えい事案が発生しています。この事案を起こした不備事項とその後の是正状況は、点検で把握されなければならない事実であり、報告がなかったことで、業務管理部ではシステム管理者による点検が適切に機能していないことが疑われます。したがって、テレワーク導入に伴う点検項目である項番2について、システム管理者が「セキュリティ点検を適切に実施」しているかどうかを確認する監査手続が必要となります。

∴c＝セキュリティ点検を適切に実施

解説

〔deについて〕
従業員が貸与PCを紛失した場合のルールは、各部のシステム管理者が「貸与PCのPC管理番号，紛失日，紛失状況，最終利用日，システム部への届出日などを紛失届に記載し，遅くとも紛失日の翌日までに，システム部に提出する」というものです。表1項番3でセキュリティ点検の内容となっているのは「遅くとも紛失日の翌日までに，紛失届をシステム部に提出しているか」ですので、内部監査部長の指示の対象は、紛失届提出のタイミングであることがわかります。紛失届の記載内容のうち、この提出期限が順守されているかどうかがわかる情報は、「貸与PCの紛失日」と「システム部への届出日」の二つです。

システム部が紛失届に記載する「受付日」と考えることもできますが、提出時間帯や記載内容の確認作業によっては、必ずしも即日に受付できるとは限らないので不適切です。あくまでも届出日ベースで判断することになります。

∴de＝貸与PCの紛失日、システム部への届出日

※紛失届の記載内容ですので、問題文の表記に従えば模範解答のとおりとなりますが、単に紛失日、届出日でも問題ないと思います。

解説

内部監査部長は、表1項番4の「アプリケーションシステムの利用権限の設定状況」についてシステム部が行うべき事項の確認を求めているので、システム部が何の結果に基づいて、何を行うべきであったかを予備調査の中から探します。

〔fについて〕
〔情報セキュリティ管理状況の点検〕(2)には「新規システムの導入，システム環境の変化などに応じて，リスク評価を随時行い，その評価結果に基づき，セキュリティ点検の項目及び内容を見直す」と説明されています。この記述より、セキュリティ点検対象のアプリケーションシステムを追加するなどのセキュリティ点検の見直しは、リスク評価の結果に基づいて行われることがわかります。よって、空欄fには「リスク評価」が当てはまります。

∴f＝リスク評価

〔gについて〕
〔テレワーク環境の利用状況〕(3)のテレワーク環境のアプリケーションシステムの中から、対象となるアプリケーションシステムを探します。追加するということは当初の計画では対象外であり、その後、X年8月の点検ではじめて必要になったということです。

セキュリティ点検の実施を時系列にたどると、以下のようになっています。

• 1月 … セキュリティ点検の定期見直し
• 2月 … セキュリティ点検の実施
• 4月 … テレワーク環境の導入
• 5月 … セキュリティ点検の実施
• 6月 … Web会議システムの利用開始
• 8月 … セキュリティ点検の実施
• 9月 … 予備調査

アプリケーションシステムのうち基幹業務システムと社内ポータルサイトについては、テレワーク環境の導入に伴いシステム環境が変化しているので、4月の段階でリスク評価が行われ、5月のセキュリティ点検からセキュリティ点検の対象となっていることになります。一方、6月から利用開始されたWeb会議システムは、5月時点では点検対象に含まれていませんから、8月の点検から新たに追加することを検討しなくてはなりません。よって、空欄gには「Web会議システム」が当てはまります。

∴g＝Web会議システム

解説

〔hについて〕
セキュリティ点検で不備事項が発見された場合に、システム部が何をすべきであったかを予備調査の中から探します。

〔情報セキュリティ管理状況の点検〕(1)には「各部のシステム管理者は，年間計画に基づき，セキュリティ点検を実施し，点検結果，及び不備事項の是正状況をシステム部に報告する」とありますが、内部監査部長は、これが適切に行われているかどうかを確認するだけでは監査手続として不十分であると言っています。なぜなら上記の説明に続いて「システム部は，点検結果を確認し，また，不備事項の是正状況をモニタリングする」とあるからです。システム部には、不備事項の是正状況の報告を確認するだけではなく、是正状況をモニタリングすることで改善の実効力を担保する役割が期待されているので、監査手続ではこのモニタリングの実施状況をも確認する必要があります。

∴h＝不備事項の是正状況をモニタリング