〇論文設計テンプレート
太字:問題文抜粋箇所
1. 電子商取引システムの概要と運営する立場から重要と考えるリスク
※ビジネス上の特徴についても言及し記載
1.1 情報システムの概要
〇〇システム
特徴:ー
1.2 運営する立場から重要と考えるリスク
機密性:個人情報漏えい(ex クレジットカード等)
完全性:取引データの喪失
可用性:システムダウン(機会損失)
2. 機密性、完全性及び可用性を確保するためのコントロール
2.1 機密性を確保するためのコントロール
(1)内部からの漏えい
・アクセス権限の設定
・ダウンロード禁止ツールを使用
(2)外部からの漏えい
・ソースコード診断(ex PCIDSS)
・IDS導入
2.2 完全性を確保するためのコントロール
取引データ喪失に対するリカバリ機能
バックアップサーバ
2.3 可用性を確保するためのコントロール
冗長構成(WebAP1, WebAP2・DB1,DB2)
3. コントロールの適切性を監査する場合の監査手続
※監査証拠及び確かめるべきポイントに言及し記載
3.1 機密性を確保するためのコントロールに対する監査手続
(1)内部からの漏えい
・アクセス権限一覧表⇒妥当であるか確認
・ダウンロード禁止ツール⇒正常に動作しているか確認(監査証拠:オペレーション操作の画面コピー)
(2)外部からの漏えい
テスト実施記録⇒ソースコード診断の有無を確認
IDSの妥当性を確認⇒監査証拠:侵入検知ログ
3.2 完全性を確保するためのコントロールに対する監査手続
バグを埋め込みロールバック機能有効性確認
ロールフォワード処理の有効性確認⇒監査証拠:照合結果
3.3 可用性を確保するためのコントロールに対する監査手続
AP1号機サービスダウン時にAP2号機に切り替わることを確認
⇒監査証拠:オペレーションログ・トランザクションログ