（設問ア）

1.当社の業務と情報システムの概要
1.1.当社の業務の概要と私の役割
　当社は中堅食品メーカーの子会社で、インターネット
を利用した通信販売を業とする有限会社である。私は当
社のＣＥＯとして経営に当たっているが、従業員４名の
小さな会社であり、幅広い業務を自ら担当している。販
売商品の専門家として、商品の選定やセールスプロモー
ションも重要な職務である。一方で、上級シスアド資格
保有者として、当社情報システム全般の責任者も兼ねて
いる。後述するシステムは自ら企画したものであり、開
発段階にも深く関与し、運用管理者をも兼ねている。
1.2.情報システムの概要と機器構成
　当社の通信販売用ウェブサイトは独自に構築したもの
ではなく、大手ショッピングモール「Ｒ市場」のシステ
ムを利用している。Ｒ市場では受注データをＣＳＶファ
イルとしてダウンロードさせるサービスを提供しており、400
当社で構築したシステムは、このデータを処理して必要
な帳票等を出力するものである。
　Ｒ市場からの受注データはデータベースに蓄積される
と共に、在庫引当や売上伝票作成等に使用される。この
時点で在庫不足品の発注書作成や、顧客へ商品を発送す
る際の配送伝票と納品書の出力が行われる。また、本シ
ステムはカード決済の消し込み処理や、月末の月次処理
による決算用の帳票を出力する機能も備えている。
　本システムはデータを管理するサーバ、インターネッ
トに接続するためのプロキシサーバ、および３台のパソ
コンがＬＡＮで接続されたものである。
　私は本システムのユーザである一方で、開発にも関与
しているが、経営者として本システムの信頼性・安全性
・効率性を評価する責務も負っている。本論文では、シ
ステム監査人の視点から、本システムのコンピュータウ
ィルス対策の適切性を検証する。　　　　　　　　　　  800

（設問イ、ウ）

2.コンピュータウィルスの感染・発病を回避するための対策
2.1.社内の体制作りと規則遵守の徹底
　コンピュータウィルスを社内のシステムに持ち込ませ
ないためには、以下に述べるようにシステムの運用・管
理基準を定める必要がある。そして、システムのユーザ
である社員にこれを徹底するための教育を十分に行うこ
とも求められる。
1)ソフトウェアの管理
　コンピュータウィルスに感染したソフトウェアが社内
システムのパソコンにインストールされることを防ぐた
め、以下のルールを定める。
　a)ソフトウェアは正規のルートで販売されているもの
　　等、出所の明らかなもののみを用いること。
　b)新規にソフトウェアをインストールする必要が生じ
　　た場合、必ず管理者の許可を得て使用すること。
　c)システムに障害が生じた際に正しく復旧できるよう、400
　　ソフトウェアの原盤たるＣＤ−ＲＯＭ等は確実に保
　　管しておくこと。」
　d)ソフトウェア管理台帳を作成し、全てのソフトウェ
　　アについて下記の項目を記録すること。
　　　・ソフトウェアの名称
　　　・入手経路・年月日
　　　・インストールしたパソコンと年月日
　　　・原盤の保管方法
　　　・その他特記事項
　　　・管理者の承認日付と確認印
2)ファイルの管理
　外部から入手したファイルからマクロウィルス等に感
染することを防ぐため、以下のルールを定める。
　a)外部から入手したファイルは、開く前に必ず所定の
　　ワクチンソフトでウィルスチェックを行う。
　b)電子メールに添付されたファイルを受信した場合、  800
　　業務上必要でないものは開かないこと。
　c)ワクチンソフトは自動的に表示されるメッセージに
　　従って、定期的にアップデートすること。また、新
　　ウィルス発見の情報を得た場合、随時ワクチンソフ
　　トのサイトにアクセスして確認・更新すること。
2.2.不正アクセス等の対策
　上述のような社内の体制を確立しても、部外者による
不正な操作や外部からの不正なアクセスによって、社内
システムにコンピュータウィルスが持ち込まれる恐れが
ある。このようなリスクを低減させるため、以下に述べ
る対策を取ることが有効である。
1)システムの不正な利用を防ぐためのＩＤ管理
　全社員にＩＤ・パスワードを与え、管理台帳に記録す
る。ＩＤは管理者用（私ともう１名の幹部社員）とユー
ザ用（その他の社員）でアクセス権限の範囲が異なる。
パスワードは各自が随時変更するが、変更した日時が記 1200
録され、１ヶ月以上変更していない場合、警告音が鳴る
ようにしておく。社員の異動等の場合には、ＩＤの削除
や新設を迅速に行い、管理台帳に遺漏なく記載する。
2)外部からの不正アクセス防止のための対策
　インターネット経由で外部から不正なアクセスを受け、
コンピュータウィルスを持ち込まれることを防ぐため、
以下の対策を取る。
　a)プロキシサーバにファイアウォール機能を組み込み、
　　外部からのアクセスを禁止する。
　b)プロキシサーバには、外部からのアクセス要求記録
　　を残す。
　c)データサーバは社内の３台のパソコンのローカルＩ
　　Ｐアドレス以外からのアクセスを拒否するよう設定
　　する。また、全ての許可または拒否されたアクセス
　　の記録を残す。
3.コンピュータウィルス対策の有効性を確認する監査手 1600
続
3.1.社内の体制と規則遵守状況の監査
1)ソフトウェア管理
　ソフトウェア管理台帳を入手し、システムの各サーバ
及びクライアントのパソコンに実際にインストールされ
てりうソフトウェアと比較する。そして次のいずれかに
該当するものがないか確認する。
　a)管理台帳に記載されていないソフトウェア
　b)管理台帳に記載された日時以降に更新されているソ
　　フトウェア
　以上のいずれかに該当するソフトウェアについては、
直ちにウィルス検査を行う。そして、a)に該当するもの
については、関係者にヒアリング等を行い、インストー
ルされた経緯を調査する。それが業務上必要なものであ
れば管理台帳への記載を、不必要なものであれば削除を
勧告することになる。b)に該当するものについては、更 2000
新の経緯を同様に調査し、必要に応じて原盤と比較する。
そして監査の結果によって登録台帳への更新記録の記載
またはソフトウェアの原状回復を勧告することになる。
2)ファイルの管理
　外部から入手したファイルの取扱いについての業務マ
ニュアルの調査と担当者へのヒアリングを行い、ウィル
ス検査の実施状況を調べる。また、実際に添付ファイル
を含む電子メールを送信し、ワクチンソフトの稼動状況
を調べる。
　ワクチンソフトはウィルス検査のログを残しているの
で、業務が行われた日に正しく稼動していたかを確認す
る。また、アップデートの記録を調べ、ワクチンソフト
が常に最新の状態に保たれていることを確認する。
3.2.不正アクセス等の対策の監査
1)ＩＤ管理
　ＩＤの管理台帳を調査し、ＩＤの新設や削除が適切に 2400
行われていることを確認する。また、パスワードの変更
記録を調べ、パスワードが規定通りの頻度で変更されて
いるか確認する。いずれの場合にも、不審な点があれば
関係者にヒアリングを行う。
2)外部からの不正アクセス防止対策
　インターネット経由で社内システムへのアクセスを試
み、ファイアウォールが正しく機能して拒否されること
を確認する。そして、プロキシサーバのログを調べ、外
部から実際に不正なアクセスの試みがあったか否かを調
べる。不正なアクセスの試みが発見された場合、それが
拒否されていることを、以下の２段階にわたり確認する。
　a)プロキシサーバがアクセスを拒否していること。
　b)データサーバにアクセスの要求が達していないこと。