「情報セキュリティマネジメント試験」(セスペ)でよく取り上げられる「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/) の証拠確保、人的管理、コンプライアンスの観点に含まれる内部不正対策(17)から(22)までの6項目を見ていきます。
(17)情報システムにおけるログ・証跡の記録と保存
【概要】
- 重要情報へのアクセス履歴及び利用者の操作履歴等のログ・証跡を記録する。
【想定されるリスク】
- ログ・証跡を記録し、定期的に確認していないと、ログ・証跡から不正行為の前兆となる行為を知ることができない。
- ログ・証跡が保存されていないと、内部不正の原因特定及び内部不正者の追跡、影響範囲等の調査が困難になる。
【補足】
ログを保存していると従業員に通知することで、内部不正の抑止効果が得られます。ただし、ログの保存期間を内部者に知らせるべきではありません。
(18)システム管理者のログ・証跡の確認
【概要】
- システム管理者のログ・証跡の内容を定期的にシステム管理者以外が確認する。
【想定されるリスク】
- システム管理者は大きな権限を持つため、監視をしないと、システム管理者の内部不正を検知することが困難になる。
【補足】
作業のログを確認するのは、システム管理者の上司または総括責任者になります。関連する過去問(平成28年春セマネ午前問10)を見てみましょう。
解答選択肢を、順番に解説します。
ア:
「内部不正の早期発見」の観点からは、ログを保存するだけでなく、ログの確認が必要です。また、「コストにかかわらず」というのは、適切ではありません。
イ:
利用者に管理権限を付与しては、ログを改ざんされるリスクがあります。
ウ:
ログの保存期間を周知すると、内部不正が行いやすくなる可能性があります。例えば、データを業務目的としてある場所に退避しておき、ログの保存期間終了後に第三者に転売するなどの不正が行えてしまいます。
エ:
これが正解です。不正が起きていないかを定期的に確認すべきです。
【正解】 エ