「監査」とは第三者的な立場から、調査や検証を実施し、評価を下す人のことですが、システム監査も、独立した立場で企業や団体の情報システムを監査するのが主な仕事。 システムの信頼性や安全性、効率などの点に問題がないかを調べた上で、問題があれば改善策を提示します。
現在、システム監査は法律によって実施が求められている「法定監査」ではありません。
しかし、
● 会計監査などの法定監査の一部としてシステム監査をする
● セキュリティや外部委託業務の依頼の際に、信頼性を確かめるため利用する
といった動きが広がる将来性のある仕事です。
危険ケース No.1
5年前に中小企業向けのセミナーに参加して「これからはITを活用する時代だ」という講師の言葉に触発されてシステムを初めて導入しました。
導入は知り合いのITシステム業者に依頼。業者に言われるままにネットワークも含めた機器やソフトウェアを購入したので、どんな構成なのかは把握していませんでした。
機器やオペレーションシステムの担当は、若手のパソコンに詳しい社員に任せていたのですが・・・
若手の担当者の方が、退職されてしまって
ITシステムに関してわかる人が誰もいない状況になってしまったと。
そうなんです。
しかもその後にITシステムでトラブルが発生し、システムが使えなくなってしまいました。
トラブルの際、導入した時のITシステム業者には連絡しましたか?
その業者にトラブル対応の依頼をしたところ、保守契約を結んでいないことから対応を断られてしまいました。
結果として、ITシステムを復旧させる方法がわからなくなってしまったんですね。
はい。ITシステムが使えなくなったので、顧客から入手していた受領書や請求書の控えなどの紙の伝票を引っ張り出して、人力で突合することに。
結局、ITシステム導入前の手作業ベースの業務を定着させるために半年以上かかり、社員に多大な業務負荷をかけてしまいました。
高額な金額を支払って導入したITシステムなのに、廃棄するにも費用がかかるので、電源を落としたまま放置することに…。
今回のケースは、一見システム監査とは関係がないように思えます。
しかし、システム監査では、システムそのものの機能や管理状況だけでなく、会社としてどのような組織や体制でシステムを管理し、維持しようとしているのかという管理の環境面についても監査の対象とします。
システム監査・対象項目 ?システム管理の環境編?
危険ケース No.2
うちの会社は、IoT機器の製造や販売を手がけていて、
世界中の家電・スマートフォン・自動車、そして重要なインフラ設備をネットワークにつないでます。
セキュリティ対策はしているつもりだったんですが・・・
さまざまなメンテナンスや遠隔操作を実施できるようにするための機器が攻撃を受け、IoTのサービスが数時間にわたって提供できなくなってしまったと。
原因を究明して対策を立てていきましょう。
機器の出荷時には最新のセキュリティ対策を実施していますし、定期的にセキュリティの更新プログラムを配信しています。
<1>攻撃を受けた機器と<2>被害を防止できた機器の差異を確認してみると、
<1>はセキュリティの更新プログラムがされていなくて、初期パスワードの変更もされていませんね。
なるほど・・・
定期的にセキュリティの更新プログラムを配信していますが、
きちんと適用されているかどうかまで確認できていませんでした。
詳しく調べてみましたが、攻撃元は、外国に設置されているネットワーク機器ですね。
そこから御社の機器の出荷状態のパスワードを利用してログインを試行するという攻撃を仕掛けられています。
ログインが実施できた機器の設定情報を書き換え、機器を乗っ取るという手法です。
IoT機器のシステム監査というのはまだ制度化されておらず、現状ではほとんど実施されていません。
しかし、今回取り上げたような攻撃については、現実に発生してきています。
システム監査人としては、起こったネットワーク攻撃の対処療法的だけでなく、このような問題が起こらないようにする、もしくは起こっても被害を最小限にする方策を経営者に対して提言します。
システム監査・対象項目 ?ネットワーク攻撃編?
株式会社メトリックス Metrics Inc.
