〇論文設計テンプレート
太字:問題文抜粋箇所
1. 情報システムの概要と内部不正が発生した時の影響
1.1 情報システムの概要
・ユーザ系SIer
・営業部へ〇〇システムを提供
1.2内部不正が発生した時の影響
※内部の不正であることに着目
・組織の管理態勢の不備や従業員などのモラルの低さが露呈する。
・組織の社会的信用が失墜する。
①従業員による情報漏えい
②情報改ざんによる横領等の不法領得の獲得
〇購入者
・個人情報が流出し不正利用
〇加盟店(1万件)
・顧客の信用失墜⇒機会損失による売上減
〇グループ会社
・社会的信用失墜⇒株価暴落
2. 技術的対策の実施状況を確認するための監査手続
採点講評:権限を有する者による不正アクセスなど、内部不正の特徴を踏まえた留意点を含めて論述
2.1 内部不正の特徴を踏まえた留意点とコントロール
〇留意点
内部不正の動機
└組織、上司、同僚などへの不満、金銭目的等
〇コントロール
不正のトライアングルの抑制
・アクセス権限の設定(機会)
└開発:DB1・2号機(本番)、WebAP1・2号機(本番)、Batchサーバ(本番)利用不可
└運用:アクセスチェックサーバを経由し接続
※アクセスログの確保/アクセス制御
・ダブルチェックの徹底(機会)
・開発要員のサーバルームへの入室不可
・SKYSEA⇒USBの利用不可
・プリンターの使用不可⇒対象社員の特定
2.2 技術的対策の実施状況確認のための監査手続
〇監査手続
・アクセス権限の棚卸
⇒直近のアクセス日時や不要なIDが存在していないことを確認
⇒ログ分析ツールを活用し不正なログがないことを確認
3. 組織的対策の実施状況確認のための監査手続
※当該対策が法令等に準拠して行われているかどうかという観点も記載
採点講評:職務分離などによる内部統制の構築、従業員等に対する営業秘密となる情報の明示といった対策まで論述
ex)
労働環境の整備⇒三六協定の遵守
不正競争防止法⇒周知
3.1 内部不正の特徴を踏まえた留意点とコントロール
〇留意点/コントロール
・規定の整備(個人情報保護法)
・労働環境の整備
・内部不正が発生した際の対応手順の整備
・規程、手順が順守されるための各種施策の実施
3.2 組織的対策の実施状況確認のための監査手続
〇監査手続
・労働環境の整備⇒三六協定の遵守
・社員教育の実施(動機・正当化)
■用語
・アクセスチェックサーバ
サーバとクライアントの間に設置するだけで、厳密なアクセス制御を行えるだけではなく、「誰が・いつ・どのPCから・どのプロトコルで・どのサーバにアクセスをし、何をしたか」をモニタリングできる。