平成21年春期試験午後問題 問12

問12 システム監査

⇱問題PDF
DB監査ツールを利用したシステム監査に関する次の記述を読んで,設問1~4に答えよ。
 G社は,生活用品の製造・販売業を営んでいる中堅企業である。全国の百貨店,総合スーパーでの店頭販売を主としていたが,数年前にインターネット販売システム(以下,販売システムという)を構築した。G社の販売システム構成を図に示す。
pm12_1.png
〔販売システム概要〕
  • 販売システムのサーバは,Webサーバ,業務サーバ,DB(データベース)サーバで構成される。
  • インターネットを流れるデータは,暗号化されている。サーバ設置ゾーンだけを流れるデータは,暗号化されていない。
〔販売システム利用内容〕
  • インターネットを介した顧客からの注文データなどは,まずWebサーバ経由で業務サーバにアクセスしてユーザ認証が行われる。認証できたデータは,業務サーバで処理され,必要に応じてDBサーバ上の業務DBの参照・更新が行われる。
  • 顧客管理業務を行っている業務部の担当者は,各自のアカウントID及びパスワードを用いて,業務PCから業務サーバ,DBサーバにアクセスする。
  • 販売システムへの上位アクセス権限をもつシステム部のDB管理者は,管理PCから業務DBの保守ができる。
内部監査室のW室長は,販売システムの監査を実施するために,内部監査室のX君をリーダーとする監査チームを作った。これまでのシステム監査は,内部監査室が主管部署となり,DBMSの機能を利用してログを収集し,監視していた。しかし,W室長は,昨今の"個人情報保護法"や"内部統制報告制度"(いわゆるJ-SOX)への対応を考慮すると現在の監視機能だけでは不十分であると考えた。検討の結果,疑わしいアクセスに対する警告機能やレポート機能に優れているDB監査ツールを導入することにした。

 DB監査ツール導入に際してシステムスキルが必要になったので,W室長はシステム部のY部長に応援を要請した。Y部長は,販売システムのDB管理者であるシステム部のZ君を,技術担当として監査チームメンバーに任命した。W室長は,Z君にこれまでの経緯を伝え,DB監査ツール導入検討を行うように依頼した。またX君は,表に示す販売システム監査計画を立案し,これをW室長に報告し,承認を受けた。
pm12_2.png
 Z君が採用したDB監査ツールの情報取得方式は,図中の破線で示すようにDB監査サーバを設置し,DBサーバに本番環境LAN経由で送られてくるパケットを監視してアクセス情報を記録するものである。この方式はこれまでのDBMSの機能を利用した方式と比較すると,ログ取得の際にaサーバへの負荷が発生せず,稼働中のaサーバに手を加える必要がないので短期間での導入が可能であるという特長がある。
 Z君は,監査に備えて特別な行動をされることを回避するために,業務部に事前に申し入れずにDB監査ツールを導入した。その後,監査チームは,表の〔監査日程〕に従って監査を開始した。まず,業務部における販売システムのアカウントID及びパスワードの取扱いに関して,業務部のアカウント管理者にヒアリングした。

〔業務部のアカウント管理者へのヒアリング結果(抜粋)〕
  1. 業務部のアカウント管理者は,業務部の担当者のアカウントIDに関する登録,変更及び削除の管理を適切に行っている。
  2. 業務部の担当者は,各自のパスワードを3か月ごとに変更するルールになっていて,それを遵守している。
  3. 顧客の個人特定情報へのアクセスは,業務部の中でも特別な権限を付与された担当者だけが行える。この権限の付与は,業務部長の承認を必要とする。

設問1

本文中で,"監査の独立性",及び"監査手続の正当性"のそれぞれの観点から見て不適切な行動がある。それぞれ,"だれ"が"何をした"(40字以内)かを述べよ。

解答例・解答の要点

監査の独立性(だれ):Y部長
監査の独立性(何をした):システム部のZ君を技術担当として監査チームメンバーに任命した (30文字)
監査手続きの正当性(だれ):Z君
監査手続きの正当性(何をした):監査対象部署である業務部に事前に申し入れずにDB監査ツールを導入した (34文字)

解説

〔監査の独立性について〕
システム監査基準(平成30年)に「システム監査人としての独立性と客観性の保持」という章があるように、監査人は、監査対象と利害関係がない、独立した立場で監査を実施することが求められます。

問題文を読むと「Y部長は,販売システムのDB管理者であるシステム部のZ君を,技術担当として監査チームメンバーに任命した」とあります。表「販売システム監査計画」を見ると、今回の監査対象は販売システムであり、監査対象部署にシステム部が含まれています。Z君は販売システムのDB管理者ですので監査対象と密接な関係があります。したがって、今回の監査チームのメンバーとしてはふさわしくありません。これが監査の独立性の面から問題となります。

なお、DB監査ツール導入に際して、W室長がシステム部のY部長に応援を要請し、その結果Z君が監査メンバーに任命されているので、W室長がY部長に応援を要請したことが問題のようにも思えます。しかし、今回の場合、W室長はあくまで「DB監査ツール導入の応援を要請した」だけであり、要請を受けたY部長は、販売システムの開発や保守にかかわっていないシステム部員を任命することもできたはずです。この点でY部長に落ち度があります。もっとも、監査メンバーに就任したZ君にW室長が経緯を説明していることから、W室長がZ君の監査メンバー就任を知らないとは思えないので、W室長にも責任がありそうですが…。

∴Y部長
 システム部のZ君を技術担当として監査チームメンバーに任命した

〔監査手続きの正当性について〕
問題文を読むと「Z君は,監査に備えて特別な行動をされることを回避するために,業務部に事前に申し入れずにDB監査ツールを導入した」とあります。一見、筋が通っているようですが、システム監査は犯罪の捜査ではありません。監査対象部門の協力を得ながら実施しなければなりません。今回のZ君の行動は、正当な監査手続とは言えません。

個別監査計画においては、実施すべき監査手続の概要を示し、監査手続は計画に沿って行わなければなりません。そして、個別監査計画は、内部監査に先立って承認を受ける必要があり、また、その修正についても速やかに承認されなければなりません。Z君は承認を受けていない監査手続を実施していますが、監査の正当性が問われ、監査の実施に係るトラブルに繋がる行為と言えます。このような監査手続を実施する際には、監査の実施に先立って、システム監査人に関する権限と責任を組織体の内部監査規程等によって明確にし、周知しておくことが必要です。

∴Z君
 監査対象部署である業務部に事前に申し入れずにDB監査ツールを導入した

設問2

監査チームは表の〔監査日程〕に従って監査を実行した。監査チームが実施した作業のうち,〔監査日程〕①~③に該当するものを,解答群の中から一つずつ選び,記号で答えよ。
解答群
  • DB監査ツールで取得したアクセスログやレポートから,アクセスコントロールの存在を確認し,証跡を採取した。
  • 監査実行中に問題ありと判断した事項を,指摘事項として監査報告書に記載し,報告した。
  • 監査対象部署での改善活動状況において,改善計画どおりに行われているかどうかを定期的に確認した。
  • 監査手続の内容,時期,範囲などについて,計画を立案した。
  • 販売システム設計書を読み,アクセスコントロール機能の内容を把握した。

解答例・解答の要点

①:
②:
③:

解説

〔①予備調査について〕
本調査に先立って、監査対象の実態を把握するために行われる事前調査です。本調査が円滑に進むように、監査対象(情報システムや業務等)の詳細、事務手続やマニュアル等を通じた業務内容、業務分掌の体制を把握することに努めます。よって「オ」が該当します。

〔②本調査について〕
監査の結論を裏付けるために、十分かつ適切な監査証拠を入手するプロセスです。よって「ア」が該当します。

〔③評価・結論について〕
監査のプロセスを監査調書としてまとめるとともに、監査証拠から合理的な結論を導き、それを報告書としてまとめるプロセスです。よって「イ」が該当します。

なお、「ウ」はフォローアップで行う作業、「エ」は監査計画策定で行う作業です。

∴①=オ、②=ア、③=イ

設問3

DB監査ツールの情報取得方式について,(1),(2)に答えよ。
  • 本文中のaに入れる適切な字句を,図中の名称で答えよ。
  • 販売システムにおいて,Z君が採用したDB監査ツールの情報取得方式では取得することができない業務DBへのアクセス情報は何か。20字以内で述べよ。

解答例・解答の要点

  • DB
  • 管理PCから業務DBへのアクセス情報 (18文字)

解説

  • 問題文には「これまでのDBMSの機能を利用した方式と比較すると,ログ取得の際にaサーバへの負荷が発生せず,稼働中のaサーバに手を加える必要がないので短期間での導入が可能であるという特長がある」と記載されています。DBMS(DataBase Management System)が稼働しているサーバですので、aには「DB」が当てはまります。

    G社の販売システムはバス型トポロジーであり、DB監視サーバはDBサーバと同じ通信回線を共有するので、DB監視サーバにてDBサーバ宛てのアクセス情報を取得することが可能です。DBサーバでログ取得の必要がなくなればDBサーバの負荷軽減となります。

    ∴DB

  • 問題文を読むと「DB監査ツールの情報取得方式は,図中の破線で示すようにDB監査サーバを設置し,DBサーバに本番環境LAN経由で送られてくるパケットを監視してアクセス情報を記録するものである」と記載があります。そこで、図を確認すると、DBサーバには本番環境LANと運用管理LANそれぞれと接続されています。DBサーバのログからは、どちらのLANからのアクセスログも取得可能ですが、DB監査ツールでは本番環境LANのケーブルにのみ接続されているので、運用管理LANに流れるパケットはキャプチャできません。したがって、DB監査ツールの情報取得方式で取得できないのは、システム部のDB管理者が行う、管理PCから業務DBへのアクセスであると判断できます。

    ∴管理PCから業務DBへのアクセス情報

設問4

監査チームは,業務部のアカウント管理者に業務部の担当者のアカウントIDなどの管理状況をヒアリングした。本文中のヒアリング結果(a)~(c)のそれぞれに関する証跡を採取するために,DB監査ツールで取得すべき記録はどれか。解答群の中から一つずつ選び,記号で答えよ。
解答群
  • DB管理者による業務DB保守作業の記録
  • 業務部の担当者の販売システムアクセス累計時間の記録
  • 業務部の担当者のパスワードが変更された記録
  • 顧客の個人特定情報にアクセスを行った業務部の担当者の記録
  • 顧客のパスワードが変更された記録
  • 退職した業務部の担当者のアカウントIDが削除された記録

解答例・解答の要点

(a):
(b):
(c):

解説

ヒアリング結果を裏付ける監査証拠について問われています。

〔(a)について〕
アカウント管理についての内容です。退職者などのIDは速やかに削除する必要があります。それをきちんと実施しているかを確認するには、「カ:退職した業務部の担当者のアカウントIDが削除された記録」を見る必要があります。

〔(b)について〕
パスワードの変更に関する内容です。パスワードが定期的に変更されているかを確かめるには、「ウ:業務部の担当者のパスワードが変更された記録」を見る必要があります。

〔(c)について〕
顧客の個人特定情報へのアクセスが、権限を付与された担当者だけに限定されていることを確かめるには、「エ:顧客の個人特定情報にアクセスを行った業務部の担当者の記録」を見て、アクセスを行った担当者に権限を付与されているかを見る必要があります。

∴(a)=カ、(b)=ウ、(c)=エ
模範解答

Pagetop