〇論文設計テンプレート
太字:問題文抜粋箇所
1. ビジネス又はサービスの概要、及びサイバーセキュリティの管理態勢が必要となる理由
1.1 ビジネス又はサービスの概要
・加盟店と購入者の決済を代行するサービス
加盟店:未回収リスクの低減・売上増
購入者:多様な決済手段を選択可⇒販促促進
・決済代行システムを提供しているSierのシステム監査を担当
1.2 サイバーセキュリティの管理態勢が必要となる理由
①サイバー攻撃による検知機能の必要性
情報システムの停止、重要情報の外部流出などから攻撃があったことに気づく
⇒実害が生じてから初めてサイバー攻撃に気づくことになるから
②サイバーセキュリティ対策の必要性
被害が拡大し、ビジネス、サービスに及ぼす影響が大きくなることも想定されるから
③踏み台攻撃による対策の必要性
サプライチェーン上の取引先などのサイバーセキュリティ対策に脆弱性があると、取引先を経由した攻撃を受けるおそれがあるから
2. サイバーセキュリティ管理態勢におけるPDCAサイクルの実施が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容
2.1 サイバーセキュリティ管理態勢におけるPDCAサイクルの実施が適切かどうかを確かめるための監査の着眼点
〇監査の着眼点
2.1.1 Plan(計画)
①サイバー攻撃に対する検知機能の導入が計画されているか
②被害拡大を防止するための社内規程の整備が計画されているか
③加盟店システムを経由した踏み台攻撃の対応策が計画されているか
2.1.2 Do(実施)
①セキュリティソフトが導入されているか。
ex)マルウェア感染や外部からの不正アクセス、外部へのデータ送信などの検知
②被害拡大の防止や抑制のための情報セキュリティ規程が整備され導入されているか
ex)情報セキュリティ教育の義務化、連絡体制図等
③加盟店システムを対象としたCSA(コントロール・セルフアセスメント)の実施
2.1.3 Check(評価)
①
・他社製品との比較結果を検討した上でセキュリティソフトを選定しているか評価
・セキュリティソフト導入後の検知率が基準を満たしているか評価
②情報セキュリティ規程を改定し必要な記載が網羅され適切に運用されているか評価
③質問書の回答結果が基準点以下の加盟店を評価
2.1.4 Act(改善)
①
・システム構成の変更や経営環境の変化に応じて他社製品の比較結果を随時見直し再検討しているか
・サイバー攻撃の高度化、巧妙化に対応するための施策を講じているか
ex)シグネチャの設定見直し等
②各種規程の改定に準拠し情報セキュリティ規程も見直されているか
③
・基準点以下の加盟店に対するフォローアップを実施
・サイバー攻撃の高度化、巧妙化に対応するため適宜、質問書が見直しているか
2.2 入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容
〇監査手続
2.2.1 Plan(計画)
①検知機能導入計画書を査閲し経営層の承認が得られていることをドキュメントレビュー法によって確認
②情報セキュリティ委員会の議事録を査閲し社内規程の整備についての記載を確認
③月次定例会の議事録を査閲し踏み台攻撃の対応策について加盟店への周知が計画されているかどうかを確認
2.2.2 Do(実施)
①
・インフラ部より構成管理図を取得しセキュリティソフトが導入されているか確認
・当該システムの構成管理DBの登録内容と構成管理図を照合し差異がないことを確認
②
・e-ラーニングの受講履歴を査閲し全社員が情報セキュリティ教育を受講していることを確認
・情報セキュリティインシデント報告書を査閲し情報セキュリティ事故が発生した際に連絡体制図に準拠したフローで報告されていることを確認
③質問書とプルーフリストを照合して全加盟店が網羅されていることを確認
2.2.3 Check(評価)
①
・比較結果表を査閲し選定ソフトの妥当性を検証
・セキュリティソフト導入実績を査閲し検知率が当初の基準値を満たしているか確認
②情報セキュリティ規程を査閲し必要な記載が網羅され適切に運用されているか関係者へインタビュー
③質問書の回答結果が基準点以下の加盟店の実地調査
2.2.4 Act(改善)
①
・中長期計画書を査閲し経営目標との整合性が図られていることを確認
・チューニング計画書を査閲し適切な運用が行われていることを確認
②各種規程と情報セキュリティ規程を査閲し相互に矛盾がないことを確認
③
・質問書を査閲し改善策が適切に講じられているか確認
・質問書を査閲し質問項目が随時見直されているか改訂履歴より確認
3. インシデント発生時を想定したサイバーセキュリティ管理態勢が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容
3.1 インシデント発生時を想定したサイバーセキュリティ管理態勢が適切かどうかを確かめるための監査の着眼点
〇監査の着眼点
3.1.1 検知/連絡受付
・インシデントの検知に必要なチェック項目とチェック方法があらかじめ定義されているか(内部)
・インシデント報告用の窓口が設置されているか(外部)
3.1.2 トリアージ
・対応の優先順位付けの定義がされているか
3.1.3 インシデントレスポンス(対応)
・IT関連部署、外部専門機関と適宜連携されているか
3.1.4 報告/情報公開
・メディアや一般向けプレリリース、監督官庁への報告が行われているか
・組織内部の情報展開が行われているか
3.2 入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容
〇監査手続
3.2.1 検知/連絡受付
・インシデント検知一覧を査閲し定義された条件に基づいて自動検知されているか確認
・一般窓口で受理した報告がCSIRTのインシデント報告用窓口に転送される手順と判断基準が確立されていることを両担当者へインタビューし確認
3.2.2 トリアージ
・インシデントレスポンスの実績をサンプリングしトリアージの基準に準拠しているかどうかを確認
3.2.3 インシデントレスポンス(対応)
・IT関連部署、外部専門機関との対応計画書を査閲し適切な対応が取られていることを確認
3.2.4 報告/情報公開
・過去に発生したインシデント報告資料を査閲し適切な時期に情報公開されていることを確認
・組織内部でインシデント共有会が開催され関連システムの影響調査と対応が行われていることを確認
■参考
・サイバーセキュリティ経営ガイドラインVer3.0
20230324002-1.pdf (meti.go.jp)
・デロイトトーマツ(セキュリティ管理態勢評価)
セキュリティ管理態勢評価 | サービス:サイバーリスクサービス|デロイト トーマツ グループ|Deloitte
・JPCERT CC
インシデントハンドリングマニュアル (jpcert.or.jp)
■用語
・体制
[統一的、持続的な組織・制度、長期的な仕組み、システム]
・態勢
[一時的・部分的な対応・身構え]
■所感
本試験では問1実施のため未選択
もし選択していた場合は、問1よりも難航する可能性があった。
難易度が高く、問2選択の受験者がどのような論文を記載したのかとても気になった。
・設問ア
管理態勢が必要となる理由は問題文から3つ抜粋。
抜粋した3つを展開し設問イを作成するように心掛けた。
・設問イ
時間無制限で骨子から作成したため膨大となった。
PDCAで切り分ける余裕は本試験ではないと感じた。
設問アの①~③を踏まえた論文構成となっている。
・設問ウ
設問ア、イを踏まえた内容になっていない可能性が高い。
理由としては「インシデント発生時を想定したサイバーセキュリティ管理態勢」の記述が問題文に少なかったため展開しずらかった。
そのため、設問ア、イとの関連性が低いインシデントハンドリングのフレームワークを使用した。
