問題本文
社内のISMS活動の一環として,サーバのセキュリティについて監査を行うことになった。最初に実施することとして,適切なものはどれか。
選択肢
- ア.監査の計画書を作成する。
- イ.サーバのセキュリティ設定を見直す。
- ウ.全てのサーバの監査用ログの所在を確認する。
- エ.脆弱性検査ツールを利用して,サーバの脆弱性を確認する。
解説
ISMS活動の一環としてサーバセキュリティ監査を実施する場合,最初に行うべきは監査計画書の作成である. 監査計画書では,対象範囲・目的・基準・スケジュール・体制・手法等を明確化し,監査全体の進め方を整理する役割を持つ. これがないまま設定見直しや脆弱性検査ツールを使った具体作業に進むと,網羅性や独立性が確保できず監査として体をなさない. 計画→予備調査→本調査→評価→報告→フォローアップという監査標準フローを踏まえると,「最初は計画書作成」が唯一の正解となる. 監査の手順の基本を押さえる頻出問題である.
選択肢ごとの解説
- ア.正解. ISMS活動の一環としてサーバセキュリティ監査を行う場合,最初に実施すべきは監査の計画書作成である. 監査範囲・目的・基準・スケジュール・体制等を明確化することで,以降の予備調査・本調査・評価・報告がスムーズに進む. システム監査基準でも計画策定が最上流の工程として位置付けられている.
- イ.誤り. サーバのセキュリティ設定見直しは,被監査側(運用部門等)が行う改善活動であり,監査人が監査の最初に行う活動ではない. 監査人は独立した立場で評価・指摘を行う立場であり,監査対象の設定変更は監査の対象となる活動である. 監査と改善実施の役割を明確に区別する.
- ウ.誤り. 全サーバの監査用ログの所在確認は,予備調査(監査対象の状況把握)等の段階で行う作業であり,監査の最初の活動ではない. その前に監査計画書を作成して何のために何をどう監査するかを明確化することが必要となる. 計画なしの作業着手は監査として不適切である.
- エ.誤り. 脆弱性検査ツールを利用したサーバ脆弱性確認は,本調査(具体的な監査作業)の中で実施することはあるが,監査全体の最初に行う活動ではない. その前に計画書で対象・基準・手法を明確化しておくことが必要であり,計画段階を飛ばしてツール検査から入るのは順序が不適切.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問83