問題
問94
情報システムのログ管理に関する監査を実施した。監査人が指摘事項として監査報告書に記載すべきものはどれか。
- 重要なサーバのアクセスログを、改ざんできないように別のサーバに転送して保管している。
- ログの保管期間を社内規程で定め、期間を過ぎたログは適切に破棄している。
- 特権IDによる操作ログを取得しているが、その内容を定期的にレビューする担当者が定められていない。
- ログの時刻が正確であることを保証するために、NTPサーバと時刻同期を行っている。
正解
正解は「ウ」です。
解説
正解は「特権IDによる操作ログを取得しているが、その内容を定期的にレビューする担当者が定められていない。」です。システム監査では、ルールが守られているか、リスクが放置されていないか、という観点でチェックします。選択肢ウは、ログを「取得している」という良い点がある一方で、そのログを「誰もチェックしていない」という重大な問題点を指摘しています。
特権ID(管理者権限など)はシステム内で非常に強力な操作ができるため、その操作記録であるログを定期的にレビューすることは、不正行為の発見や抑止のために不可欠です。例えば、お店に防犯カメラを設置しても、録画映像を誰も確認していなければ、万引きを見つけることも、抑止することもできませんよね。ログも同様で、取得するだけでなく、それを適切に監視・レビューする体制が整っていなければ意味がありません。この体制の不備は、監査人が改善を促すべき「指摘事項」として適切です。
ア(重要なサーバのアクセスロ…):
ログの改ざん防止対策が講じられており、これは適切な管理策です。したがって、指摘事項ではなく、良い点(評価点)となります。
イ(ログの保管期間を社内規程…):
規程に基づいてログを適切に管理・破棄しているため、これは望ましい状態です。指摘事項にはあたりません。
エ(ログの時刻が正確であるこ…):
ログの正確性を保つための時刻同期は、非常に重要な管理策です。これも適切な対応であり、指摘事項にはなりません。
解法のポイント
システム監査の指摘事項を選ぶ問題では、「何がリスクとなるか」「何が管理上の不備か」という視点で考えることが重要です。選択肢ア、イ、エは、いずれもセキュリティ対策やログ管理が「適切に行われている」状況を示しています。これらは監査において評価されるべき良い点です。一方、選択肢ウは、ログを取得するという行動(Do)はしているものの、その後の確認(Check)と改善(Act)のプロセスが欠けている状態、つまりPDCAサイクルが回っていない不備を指摘しています。このように、管理が形骸化している状態は重大なリスクとなるため、監査の指摘事項として最も適切です。
用語補足
ログ:
コンピュータの操作や出来事の記録です。お店の防犯カメラの映像のように、「いつ、誰が、何をしたか」を記録したもので、問題が発生した際の原因調査などに使われます。
指摘事項:
監査を実施した結果、発見された問題点や改善が必要な点のことです。健康診断で見つかった「要再検査」や「生活習慣の改善指導」のようなものです。
特権ID:
システム内で特別な力を持つ、いわば「マスターキー」のような管理者用アカウントのことです。一般の利用者にはできない設定変更やデータ削除など、強力な操作が可能です。
NTPサーバ (Network Time Protocol):
ネットワークに接続されたコンピュータの時刻を、正確な時刻情報に合わせる(同期する)ためのサーバです。テレビの時報のように、みんなの時計を正確に合わせる役割を担います。
