1. ホーム
  2. ブログ
  3. データ活用
  4. データ連携と統合を科学するブログ
  5. アクセス違反発生!その時最も疑われるのはIT部門 第3話

アクセス違反発生!その時最も疑われるのはIT部門 第3話

アクセス違反が発生したとき、疑われるのは情報システム部門に所属する「あなた」かもしれません。自身を守るため、ひいては会社を守るためにも本ブログをご覧いただければと思います。

(第1話はコチラ第2話はコチラ

 

※本ブログで登場する人物・団体は架空のものです。

 

第3話:「え!?その情報取れないの!?」
IT内部統制において、監査ログを用いたチェック業務を実施しようとした際、直面する悲劇・・・その②

ユニバーサル精工株式会社は、IT内部統制の定期チェック業務に対して調査を開始した。 それからしばらくしたある日、情報システム部門長の信頼厚男は担当の内統 査檻から再度経過報告を受けたのであった。

信頼 厚男

「内統君。先日依頼した定期チェック業務のファイルアクセスの件、経過報告を頼む。」

内統 査檻

「・・・はい。」

信頼 厚男

「その調子だと、DBアクセスに続いて想定外の事体が起きてるな?」

内統 査檻

「・・・仰せの通りです。」

信頼 厚男

「DBアクセスの時にも伝えたが、悪い知らせであればなおさら聞かねばならない。責めたりしないからあるがままの現状を伝えてくれ。」

内統 査檻

「ありがとうございます。今回は、「システムとデータの改ざん」に関して、会計システムのファイルアクセス周りに関する調査をまとめてきました。」

信頼 厚男

「承知した、続けたまえ。」

内統 査檻

「はい。弊社の会計システムはWindowsOS上で稼働しております。サーバに関するファイルアクセス情報はWindowsセキュリティログで取得・保管しております。」

信頼 厚男

「その点は認識している。」

内統 査檻

「はい。今回の監査ログの定期チェック業務実施を想定し、Windowsセキュリティログに関して仕様の詳細を調査しました。その結果、大きく2つの課題がある事がわかりました。まず1つめは、アクセス経路(サーバコンソール経由、NW経由、リモートデスクトップ経由)により、「誰が」に関する情報が取得できない事がわかりました。」

信頼 厚男

「そうだったのか。報告ありがとう。会計システムへはNW経由のアクセスは認めていないので、サーバコンソール経由、リモートデスクトップ経由の2系統になるな。」

内統 査檻

「その2系統であれば、DBログの時と同じで、2015年に、社内ネットワークの刷新固定IPからDHCPへ変更した事により、IPアドレスが動的に変わってしまい、IPアドレスだけで「どの端末から」に該当する情報がとれなくなっています。」

信頼 厚男

「なるほど。それではWindowsセキュリティログだけでは検証ができないな。」

内統 査檻

「はい。今回の監査要件を満たす為には、Windowsセキュリティログの他に、DHCPのログ、それとDHCPログ上に記録されるMACアドレスが管理されているPC管理台帳が必要となります。」

信頼 厚男

「わかった。貴重な情報だった。これから対策を考えよう。ではもう1つの課題を教えてくれ。」

内統 査檻

「はい。実はこちらの課題の方が深刻です。」

「信頼部長、結論からお伝えするとWindowsセキュリティログだけでは、ファイルが更新された情報を取得する事は出来ない事が判明しました。」

信頼 厚男

「何?それはどういうことだ?」

内統 査檻

「はい。Windowsセキュリティログは、Windows内のファイルに対して、何らかのアプリケーションが行ったプログラムアクセスを記録します。Read、Write等ログ上記載はされるのですが、実際に保存されたかどうかは、アプリケーションの仕様によってばらばらな為、セキュリティログから判断する事はできません。」

信頼 厚男

「そうだったのか。」

内統 査檻

「はい。ファイルアクセスを監査ログで検知する場合は、サーバ側で検知する方法、クライアントPC側で検知する方法のおおきく2つございます。しかし、そのいずれも、ファイルを更新したという情報は、「プログラムアクセス」レベルであり、実際に「ユーザが意図する操作による更新」を指していない事がわかりました。」

信頼 厚男

「そうか。なるほど。」

内統 査檻

「はい。よって今回の監査要件を満たす為には、サーバ側の監査ログ、クライアントPC側の監査ログにより、アクセス経路を明確にし、その上で実際にファイルが更新されたかどうかは、OS上でファイルの更新年月日時分秒を取得するコマンドを発行すれば、完璧ではないですが、データからファイルアクセスの監査証跡を実現できます。

もちろん、先にお伝えした、DHCPログ上に記録されるMACアドレスが管理されているPC管理台帳も必要です。ログ及びデータがあって初めて監査に必要な元データがそろいます。加えて、作業申請書の情報を掛け合わせることで初めて定期チェック業務が実現できる事がわかりました。」

信頼 厚男

「了解した。内統君。詳細な報告、感謝するよ。私のほうで、今回の件を含め、社内のポリシー変更をすることにより解決できる課題に関して、今回の報告を含めて取りまとめよう。内統君のほうでは、引き続き調査を続けてほしい。」

内統 査檻

「わかりました!」

 

 

それから、1週間後、情報システム部門長の信頼厚男は担当の内統 査檻を呼び出した。

 

 

信頼 厚男

「内統君。君からの報告を受けて、社内ポリシーを以下に変更したよ。」

  • DBに対する「データまたはプログラムの新規作成・更新・削除」を行う会計システム作業用PCの固定化

  • 会計システム作業用PCにおける、IPアドレスの固定化

  • 会計システム作業用PCにおける、DBアクセスツールは「○×△」のみとする

  • 会計システムへのファイルの新規作成・更新・削除は、ひきつづきリモートデスクトップ、または、サーバコンソール上とする
信頼 厚男

「このポリシー変更は本日から施行された。よって、本日以降は監査ログに監査要件を満たす為の情報が出力されているはずだ。これで、部下が正しい操作で業務が行われているか証明する為の必要な情報は監査ログに出力されるはずだ。現状ログに記載されている内容が満たされていなかった事で、対応策を考えるのにかなりの時間がかかってしまったな。しかし、周り道になったが今回の調査は必要な工程。情報は出そろったはずだ。当初の予定通り、定期チェック業務を円滑に行うための方法を検討してくれ!」

内統 査檻

「わかりました!」

ユニバーサル精工株式会社は、監査ログを保管していただけだった為、いざチェックを実施しようとしたとき、様々な問題が発覚しました。IT内部統制の定期チェック業務に対する調査はまだまだ続きます。

おすすめ記事