【実務思考】【AU-H29-1-PM2-Q1】情報システムに関する内部不正対策の監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H29-1-PM2-Q1)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭情報システムに関する内部不正対策の監査についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成29年 午後2 問1について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H29-1-PM2-Q1)

 出典:情報処理推進機構 システム監査技術者試験 平成29年 午後2 問1(🔗取り扱いガイドライン)

📘問題

■タイトル
 情報システムに関する内部不正対策の監査について
■内容
 近年,従業員などの内部不正による,情報システムを対象とした情報漏えいなどが増えている。内部不正による損害には,情報漏えいなどに伴う直接的な損害に加え,組織の管理態勢の不備や従業員などのモラルの低さが露呈するなど,組織の社会的信用の失墜がもたらす損害も無視できない。
 内部不正の動機は,組織,上司,同僚などへの不満,金銭目的など,様々である。また,従業員などが不正を行える環境や不正を正当化できる状況を組織が放置することも,内部不正を誘発する大きな要因になる。
 情報システムに関する内部不正では,従業員などが業務を行うために有するアクセス権限を悪用して情報の不正窃取,改ざんが行われる場合が多く,外部の者や権限を有しない内部の者による不正アクセスよりも,その防止や発見が難しい。したがって,内部不正対策では,技術的対策に加え,組織的対策を適切に組み合わせることが重要になる。組織的対策には,例えば,規程の整備,労働環境の整備,内部不正が発生した際の対応手順の整備,規程・手順が遵守されるための各種施策の実施などがある。
 システム監査では,内部不正を予防し,その被害を最小限にとどめるための技術的対策だけでなく,組織的対策が適切に行われているかどうかを確かめる必要がある。また,監査を行うに当たっては,当該対策が法令などに準拠して行われているかどうかという観点も重要になる。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが携わった組織において,内部不正が発生した場合に重大な影響を及ぼす情報システムの概要と,その情報システムにおいて内部不正が発生した場合の影響について,800字以内で述べよ。
■設問イ
 設問アに関連して,内部不正の技術的対策の実施状況を確認するための監査手続について,内部不正の特徴を踏まえた留意点を含めて,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問アに関連して,内部不正の組織的対策の実施状況を確認するための監査手続について,内部不正の特徴を踏まえた留意点を含めて,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 近年,内部不正による,情報システムを対象とした情報漏えいなどが増えている。内部不正は,従業員などが業務を行うために有するアクセス権限を悪用して情報の不正窃取,改ざんが行われる場合が多いので,外部者や無権限者による不正アクセスよりもその防止や発見が難しい。したがって,内部不正対策では技術的対策だけでなく,業務効率,従業員教育などの組織的対策が必要となってくる。
 本問は,システム監査人として,内部不正の特徴を十分に踏まえた上で,技術的対策と組織的対策の両方について,組織が適切な対策を実施しているかどうかを確認するための監査手続を立案できる知識・能力などを評価する。
■採点講評
 問1(情報システムに関する内部不正対策の監査について)は,設問イでは,アクセス権の限定,アクセスログの取得など一般的な技術的対策について論述している解答は多かったが,権限を有する者による不正アクセスなど,内部不正の特徴を踏まえた留意点を含めて論述できている解答は少なかった。設問ウでは,規程の整備,教育の実施といった組織的対策について論述している解答は多かったが,より一歩踏み込んで職務の分離などによる内部統制の構築,従業員などに対する営業秘密となる情報の明示といった対策まで論述できている解答は少なかった。本問は,不正アクセスの発見,防御の方法が,外部からの不正アクセスとは異なる内部不正対策の監査の出題なので,解答に当たっては,内部不正の特徴を踏まえて論述してほしい。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】内部不正による情報漏えいや改ざんは外部攻撃以上に発見が難しく、組織の信用失墜リスクを高めています。
  2. 【監査視点】監査では、最小権限管理やログ監視などの技術的対策と、規程整備や職場環境改善といった組織的対策の両面を確認することが重要です。
  3. 【行動・着眼点】監査人は、不正の動機・機会・正当化の視点から内部不正リスクを分析し、統制の有効性と継続的改善状況を重点的に検証すべきです。

🧭情報システムに関する内部不正対策の監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 情報漏えいやデータ改ざんといったセキュリティインシデントの原因として、従業員など組織内部の人間による「内部不正」が大きな割合を占めている。
    • 内部者は、業務上、システムへの正当なアクセス権限を持っているため、外部からの攻撃に比べて、その不正行為の防止や発見が極めて難しい。
    • 内部不正の動機は、金銭目的、組織への不満、個人的な好奇心など様々であり、その機会(不正を行える環境)や正当化(不正を自分に納得させる理由付け)が揃うと発生リスクが高まる(不正のトライアングル理論)。
    • 対策が、ファイアウォールなど外部からの侵入を防ぐ「技術的対策」に偏りがちで、内部不正の要因となる「組織的対策」(規程、労働環境、教育など)が不十分である。
  • 変化の必要性の背景:
    • ゼロトラストセキュリティの原則: 「社内にいる人間だから信頼できる」という前提が崩れ、全てのアクセスを検証・監視するゼロトラストの考え方が主流になった。これは内部不正対策と軌を一にする。
    • 内部不正による被害の甚大化: 一人の従業員が、大量の顧客情報や機密情報を容易に持ち出せるようになり、内部不正による被害額や社会的信用の失墜が、外部攻撃以上に深刻になるケースが増えた。
    • 働き方の多様化: テレワークや外部委託の増加により、物理的な監視の目が届きにくくなり、内部不正のリスクが高まった。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 技術的・組織的対策の統合: 内部不正対策が、技術的対策と組織的対策が相互に補完しあう、包括的なフレームワークとして設計・運用されている。
    • 技術的対策(性悪説に基づく統制):
      • 最小権限の原則と職務分掌: 従業員には、業務に必要な最小限の権限のみが付与され、重要な業務は複数の担当者でないと完結できないように職務が分離されている。
      • アクセス監視と操作ログ: 重要な情報資産への全てのアクセスや操作が記録され、AIなどを活用して異常な振る舞い(例:深夜の大量ダウンロード)を自動的に検知・警告する仕組み(UEBAなど)が導入されている。
    • 組織的対策(性善説に基づく環境づくり):
      • 公正な人事評価と良好な労働環境: 従業員の不満が不正の動機とならないよう、公正な評価制度や、風通しの良い職場環境が整備されている。
      • 継続的な教育と倫理観の醸成: 全従業員に対して、情報セキュリティに関する規程や、内部不正がもたらす結果についての教育が定期的に行われ、高い倫理観が醸成されている。
      • 内部通報制度の確立: 不正の兆候に気づいた従業員が、不利益を被ることなく安心して通報できる、実効性のある内部通報窓口が設置・運用されている。
  • 克服すべき障壁:
    • 従業員への不信感とのバランス: 過度な監視や制限は、従業員を信頼していないというメッセージになり、モラルの低下や生産性の阻害を招く。
    • 動機の多様性と予測困難性: 内部不正の動機は個人的なものが多く、誰が、いつ不正を働くかを事前に予測することは極めて困難。
    • 「性善説」への過度な依存: 「うちの従業員に限って不正など働くはずがない」という思い込みが、必要な技術的対策の導入を妨げる。
    • 対策の複雑性とコスト: 包括的な対策(特に高度な監視システムの導入など)には、多大なコストと専門知識が必要となる。
  • 利害関係者の視点:
    • 経営層: 組織の評判や資産を内部から破壊する、最も厄介なリスクの一つを、技術・組織の両面から管理できているという保証を得られる。
    • 一般従業員: 公正な環境で安心して働くことができる。明確なルールがあることで、意図せず不正に加担してしまうリスクを避けられる。
    • 人事/コンプライアンス部門: 従業員の不満の芽を早期に摘み、健全な組織文化を醸成する。内部通報制度などを通じて、自浄作用を高める。
    • 監査人: 内部不正という、発見が困難なテーマに対して、技術的コントロール(アクセスログ分析など)と、組織的コントロール(規程、教育、労働環境など)の有効性を両面から評価する。監査は、従業員への牽制効果も持つ。

3. 要約

  • [200文字]要約:
    内部不正は、正当な権限を持つため発見が困難。理想像は、最小権限などの「技術的対策」と、公正な労働環境や教育といった「組織的対策」を統合し、不正の機会と動機を減らすこと。監査人は、この両面の対策が有効に機能しているかを、ログ分析や規程のレビューを通じて評価する。
  • [400文字]要約:
    正当な権限を持つ者による内部不正は、防止・発見が困難だ。対策は、外部攻撃を防ぐ技術的対策だけでは不十分である。あるべき理想像は、最小権限の原則やアクセス監視といった「技術的対策」と、従業員の不満を減らす公正な処遇や継続的な倫理教育といった「組織的対策」を両輪で進めることだ。これにより、不正を「起こしにくく」し、不正を「起こそうと思わせない」環境を作る。監査人は、この両面の対策が有効に機能しているかを評価する。
  • [800文字]による詳細な考察:
    本問題は、サイバーセキュリティにおける永遠の課題である「内部不正」を取り上げ、その対策が技術一辺倒では不十分であり、人間の心理や組織文化にまで踏み込んだ、包括的なアプローチが必要であることを示している。これは、監査人に対して、技術的な知見だけでなく、組織論や心理学的な視点をも求める、学際的で深いテーマである。
    • あるべき理想像とは、「ゼロトラスト・アーキテクチャと、心理的安全性(Psychological Safety)の高い組織文化の融合」である。この状態では、システムは「誰も信頼しない」ことを前提に、全てのアクセスを厳格に検証・監視する(ゼロトラスト)。しかし、組織の文化は「従業員を信頼し、誰もが安心して意見を言え、挑戦できる」ことを前提とする(心理的安全性)。この一見矛盾する二つの要素が両立している。技術的な監視は、個人を罰するためではなく、組織全体を事故から守るためのセーフティネットとして機能し、その目的は従業員に透明性高く説明される。従業員は、不満や問題を抱え込んだ末に不正に走るのではなく、上司や同僚、あるいは内部通報窓口に安心して相談できる。この技術的なガードレールと、健全な組織文化の組み合わせこそが、内部不正に対する最も強力な抑止力となる。
    • 理想像実現へのアプローチとして、システム監査人は、二つの側面から監査を実施する。第一に「技術的対策の監査」。IAM(IDアクセス管理)システムの設定、特権IDの管理状況、データベースやファイルサーバへのアクセスログの分析、UEBA(User and Entity Behavior Analytics)ツールの検知シナリオの妥当性評価などを行う。第二に「組織的対策の監査」。情報セキュリティ関連規程のレビュー、従業員への教育記録の確認、人事評価制度の公平性に関する人事部門へのヒアリング、そして匿名の従業員満足度調査の結果分析などを行う。これら二つの監査結果を突き合わせることで、例えば「技術的な監視は厳しいが、従業員の不満が高い」といった、より本質的なリスクをあぶり出すことができる。
    • 期待される効果は、内部不正リスクの低減だけでなく、従業員のエンゲージメント向上や、健全な組織風土の醸成といった、より広範な経営改善効果である。
    • 考慮すべきリスクは、監査が従業員のプライバシーを過度に侵害することだ。監査人は、監査目的を達成するために必要な範囲を超えて、個人の行動を詮索することがないよう、厳格な倫理観と規律を持って監査に臨む必要がある。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。