問題
問48
情報セキュリティ監査において、クラウドサービスの利用状況を点検した。監査人が指摘事項として監査報告書に記載すべきものはどれか。
- クラウドサービスの利用にあたり、自社とクラウドサービス事業者との責任分界点を明確にしている。
- 会社の機密情報をクラウド上に保管する際は、事前に情報セキュリティ委員会の承認を得るルールになっている。
- 従業員が会社の許可なく、個人で契約したオンラインストレージサービスに業務データを保存している。
- クラウドサービス上で管理している個人情報へのアクセスログを定期的に監視している。
正解
正解は「ウ」です。
解説
正解は「ウ」です。情報セキュリティ監査では、組織のルールや規程が守られているか、そして情報資産が適切に保護されているかをチェックします。選択肢「ウ」の「従業員が会社の許可なく、個人で契約したオンラインストレージサービスに業務データを保存している」状況は、一般的に「シャドーIT」と呼ばれ、重大なセキュリティリスクとなります。会社が管理していないサービスに重要な業務データが保存されると、情報漏えいやウイルス感染、データ紛失などの危険性が非常に高まります。
例えば、会社の機密情報が入った書類を、鍵のかからない個人のロッカーに入れておくようなもので、非常に危険な状態です。監査人は、このような会社のルールから逸脱した危険な行為を発見した場合、改善を促すために指摘事項として報告書に記載する必要があります。したがって、ウが監査報告書に記載すべき指摘事項として最も適切です。
ア(自社とクラウドサービス事業者との…):
責任分界点を明確にしているのは、適切なリスク管理が行われている証拠であり、むしろ良い点として評価されるべき事柄です。
イ(事前に情報セキュリティ委員会の承認を…):
承認ルールを定めているのは、適切な情報管理体制が構築されていることを示しており、指摘事項にはあたりません。
エ(個人情報へのアクセスログを定期的に…):
アクセスログを監視しているのは、不正アクセスなどを検知するための適切なセキュリティ対策であり、指摘事項にはあたりません。
解法のポイント
この問題を解くポイントは、「監査人が指摘すべきこと=ルール違反や危険な状態」という視点を持つことです。選択肢の中から、情報セキュリティの観点で「これは問題だ」「危ない」と感じるものを選びます。選択肢ア、イ、エは、いずれもセキュリティ対策が「適切に行われている」状況を説明しています。一方で、選択肢ウだけが、会社の許可なく(ルール違反)、管理外のサービスに(危険な状態で)業務データを保存しているという問題点を指摘しています。この違いを見極めることが正解への近道です。
用語補足
情報セキュリティ監査:
会社や組織の情報セキュリティ対策が、ルール通りにきちんと行われているかを第三者の視点でチェックすることです。これにより、弱点を見つけて改善につなげます。
シャドーIT:
従業員が、会社の許可を得ずに個人的に利用しているIT機器やクラウドサービスを業務に使うことです。管理者の目が行き届かないため、大きなセキュリティリスクとなります。
オンラインストレージ:
インターネット上にデータを保存できるサービスのことです。個人のスマートフォンで撮った写真を自動でバックアップするサービスなどが身近な例です。
責任分界点:
クラウドサービスなどを利用する際に、「どこまでがサービス提供者の責任範囲で、どこからが利用者側の責任範囲か」を明確にした境界線のことです。
