【実務思考】【AU-H29-1-PM2-Q2】情報システムの運用段階における情報セキュリティに関する監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H29-1-PM2-Q2)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭情報システムの運用段階における情報セキュリティに関する監査についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成29年 午後2 問2について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H29-1-PM2-Q2)

 出典:情報処理推進機構 システム監査技術者試験 平成29年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
 情報システムの運用段階における情報セキュリティに関する監査について
■内容
 企業などでは,顧客の個人情報,製品の販売情報などを蓄積して,より良い製品・サービスの開発,向上などに活用している。一方で,情報システムに対する不正アクセスなどによって,これらの情報が漏えいしたり,滅失したりした場合のビジネスヘの影響は非常に大きい。したがって,重要な情報を取り扱うシステムでは,組織として確保すべき情報セキュリティの水準(以下,セキュリティレベルという)を維持することが求められる。
 情報セキュリティの脅威は,今後も刻々と変化し続けていくと考えられるので,情報システムの構築段階で想定した脅威に対応するだけでは不十分である。例えば,標的型攻撃の手口はますます高度化・巧妙化し,情報システムの運用段階においてセキュリティレベルを維持できなくなるおそれがある。
 そこで,情報システムの運用段階においては,セキュリティレベルを維持できるように適時に対策を見直すためのコントロールが必要になる。また,情報セキュリティの脅威に対して完全に対応することは難しいので,インシデント発生に備えて,迅速かつ有効に機能するコントロールも重要になる。
 システム監査人は,以上のような点を踏まえて,変化する情報セキュリティの脅威に対して,情報システムの運用段階におけるセキュリティレベルが維持されているかどうかを確かめる必要がある。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが関係する情報システムの概要とビジネス上の役割,及び当該情報システムに求められるセキュリティレベルについて,800字以内で述べよ。
■設問イ
 設問アを踏まえて,情報システムの運用段階においてセキュリティレベルを維持できなくなる要因とそれに対するコントロールを,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで述べたコントロールが有効に機能しているかどうかを確認する監査手続を,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 情報システムを取り巻く情報セキュリティの脅威は刻々と変化し続けていくので,構築時に想定したセキュリティレベルを満たすだけでは,変化する情報セキュリティの脅威に対応することは,難しい。したがって,情報システムの運用段階においては,セキュリティレベルが維持できるように適時に対策を見直すためのコントロールが重要になる。
 本問は,システム監査人として,情報システムの運用段階において変化する情報セキュリティの脅威に対して,セキュリティレベルを維持するためのコントロールが有効に機能しているかどうかを監査するための知識・能力などを評価する。
■採点講評
 問2(情報システムの運用段階における情報セキュリティに関する監査について)は,設問アでは,セキュリティレベルではなく,リスクを論述している解答が多かった。設問イでは,構築段階で想定できる要因とそのコントロールの論述が多く,問題文で求めている運用段階における情報セキュリティの脅威の変化を踏まえた解答は少なかった。設問ウでは,設問イで述べたコントロールに対応した監査手続を論述できていない解答が目立った。また,監査手続ではなく,監査結果,指摘事項などを論述している解答も散見された。本問は,運用段階において変化する情報セキュリティの“脅威”に対する監査の出題であるので,問題文をよく読み,題意を理解した上で,解答してほしい。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】情報システムの運用段階では、セキュリティ脅威の高度化に伴い、継続的なセキュリティレベルの維持と改善が求められます。
  2. 【監査視点】監査では、リスク変化に対応するPDCAの運用状況や、インシデント対応体制の有効性を重点的に確認することが重要です。
  3. 【行動・着眼点】監査人は、最新の脅威動向を踏まえ、監視・対応プロセスが実効的に機能しているかを継続的に検証すべきです。

🧭情報システムの運用段階における情報セキュリティに関する監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 情報システムの構築段階で、いかに堅牢なセキュリティ対策を施しても、それで終わりではない。
    • 情報セキュリティの脅威(特に標的型攻撃など)は、日々、刻々と変化し、高度化・巧妙化し続けている。
    • そのため、システムの「運用段階」において、構築時に定めたセキュリティレベルを維持し、新たな脅威に対応し続けるための継続的な活動が不可欠である。
    • しかし、多くの組織で、運用段階のセキュリティ対策が、日々の業務に追われて後回しにされたり、形骸化したりしている。
    • また、脅威への対策が100%完璧ではありえないことを前提とした、インシデント発生時の迅速な対応(回復的コントロール)の重要性も見過ごされがちである。
  • 変化の必要性の背景:
    • 脅威環境の動的な変化: 新たな脆弱性の発見、新しい攻撃手法の登場など、セキュリティを取り巻く環境は静的なものではなく、常に変化している。これに対応するには、静的な対策ではなく、動的なプロセスが必要となる。
    • サイバーレジリエンスの考え方: 攻撃されることを前提とし、いかに被害を防ぎ、被害を受けても迅速に復旧し、事業を継続できるかという「サイバーレジリエンス」の考え方が重要になった。
    • セキュリティ運用の高度化: 脅威インテリジェンスの活用、セキュリティ監視センター(SOC)による24時間監視、インシデント対応専門チーム(CSIRT)の設置など、運用段階のセキュリティを担う専門的な機能やサービスが普及した。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 継続的なセキュリティ態勢管理: 組織のセキュリティレベルが、一度設定して終わりではなく、継続的なPDCAサイクル(Plan-Do-Check-Act)を通じて、維持・向上されている。これには、定期的なリスクアセスメントの見直し、セキュリティ対策の有効性評価、改善計画の策定・実施が含まれる。
    • プロアクティブな脅威ハンティングとインテリジェンス活用: 攻撃の兆候を待つだけでなく、最新の脅威インテリジェンスに基づき、自組織の環境内に潜んでいるかもしれない脅威を積極的に探し出す「脅威ハンティング」のような、プロアクティブな活動が行われている。
    • 自動化されたセキュリティ運用(SOAR): 脅威の検知、分析、対応といった一連のセキュリティ運用プロセスが、可能な限り自動化されている(SOAR: Security Orchestration, Automation and Response)。これにより、対応の迅速化と、アナリストの負荷軽減を実現する。
    • 実効性のあるインシデント対応体制: 脅威を完全に防げないことを前提に、インシデント発生を迅速に検知し、封じ込め、復旧するためのインシデント対応計画と、それを実行するCSIRTが機能している。定期的な訓練により、その実効性が検証・改善されている。
  • 克服すべき障壁:
    • 「構築すれば安全」という誤解: システム構築時のセキュリティ対策に満足してしまい、その後の運用段階での継続的な努力を怠る。
    • 人材不足と疲弊: 24時間365日、進化し続ける脅威に対応し続ける、高度なスキルを持つセキュリティ人材の確保が極めて困難。現場が日々の対応に追われ、疲弊してしまう。
    • コストの継続的な発生: セキュリティは「終わりのない旅」であり、ツールや人材への継続的な投資が必要となるが、その予算確保が難しい。
    • 有効性の測定の難しさ: 「何も起きていない」状態が、セキュリティ対策が有効である証拠なのか、単に運が良いだけなのかを証明することが難しい。
  • 利害関係者の視点:
    • 経営層: 変化し続ける脅威環境に対して、組織のセキュリティ態勢が、静的なものではなく、動的に適応し続けているという保証を得られる。
    • 顧客/利用者: 自分の情報を預けている企業が、最新の脅威に対しても継続的に対策を講じているという信頼感を持つことができる。
    • セキュリティ運用チーム: 明確なプロセスと自動化されたツールに支えられ、場当たり的な対応から脱却し、より高度な分析や脅威ハンティングに集中できる。
    • 監査人: 構築時の静的な設定だけでなく、運用段階における「動的なプロセス」の有効性を評価する。リスク評価の見直し、脆弱性管理、インシデント対応といった、継続的なセキュリティ活動の記録(議事録、管理台帳、レポート等)を監査証拠として、セキュリティレベルが維持されているかを検証する。

3. 要約

  • [200文字]要約:
    セキュリティは構築時だけでなく、運用段階での継続的な維持活動が不可欠。理想像は、変化する脅威に対応し、リスク評価や対策を常に見直すPDCAサイクルを確立すること。インシデント発生を前提とした対応体制も重要。監査人は、この動的な管理プロセスの有効性を評価する。
  • [400文字]要約:
    日々変化する脅威に対応するため、情報セキュリティはシステム運用段階での継続的な活動が重要となる。あるべき理想像は、定期的なリスク評価に基づきセキュリティ対策を見直し、改善し続けるPDCAサイクルを確立することだ。また、攻撃されることを前提に、インシデントを迅速に検知・対応する体制(SOC/CSIRT)を整備し、訓練を通じて実効性を高める。監査人は、これらの継続的なセキュリティ運用プロセスが有効に機能しているかを評価する。
  • [800文字]による詳細な考察:
    本問題は、情報セキュリティを静的な「状態」ではなく、動的な「プロセス」として捉える、現代セキュリティの基本思想を問うている。一度構築した城壁に頼るのではなく、常に巡回し、補強し、侵入に備える、継続的な営みこそがセキュリティの本質である。
    • あるべき理想像とは、「NISTサイバーセキュリティフレームワーク(CSF)」に代表されるような、体系的な管理体制の実現である。NIST CSFは、「識別」「防御」「検知」「対応」「復旧」という5つの機能で構成され、セキュリティ対策を包括的に捉える。理想的な組織では、このフレームワークに基づき、自社のセキュリティ活動が体系的に整理・管理されている。①識別:自社の情報資産とリスクを常に把握。②防御:アクセス制御や脆弱性管理を継続的に実施。③検知:SOCなどが24時間体制で異常を監視。④対応:CSIRTがインシデント対応プロセスを実行。⑤復旧:事業継続計画に基づき、迅速にサービスを復旧させる。これらの活動全体が、経営層の監督の下、PDCAサイクルとして機能し、組織のセキュリティ成熟度が継続的に向上していく。
    • 理想像実現へのアプローチとして、システム監査人は、このフレームワークの各機能が有効に機能しているかを評価する。監査手続は、静的な設定の確認に留まらない。例えば、「防御」の監査では、パッチ管理台帳をレビューし、脆弱性がタイムリーに修正されているかという「プロセス」を検証する。「検知」の監査では、SOCの監視レポートやアラートの記録を分析し、検知ルールが有効に機能しているか、誤検知・過検知が多くないかを確認する。「対応」の監査では、インシデント対応の訓練記録や、実際のインシデント対応報告書(ポストモーテム)を精査し、対応プロセスが実効性を持ち、かつ組織の学習に繋がっているかを評価する。
    • 期待される効果は、特定の攻撃手法に依存しない、変化に強い「サイバーレジリエンス」の獲得である。これにより、未知の脅威に対しても、被害を最小限に抑え、迅速に回復することが可能になる。
    • 考慮すべきリスクは、フレームワークの導入自体が目的化し、チェックリストを埋めるだけの形式的な活動に陥ることだ。監査人は、各活動が、自社のビジネスリスクに照らして、本当に意味のあるものになっているか、という本質的な視点を持ち続ける必要がある。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。