[https://www.youtube.com/watch?v=KLna32aKfrY:embed:cite]

平成28年度春期システム監査技術者試験午後Ⅰ問1「情報セキュリティインシデント対応状況の監査」を徹底解説します。CSIRTの運用における検知システムの設定不備、兼任社員のスキル不足によるトリアージのリスク、システム変更時の連携不備など、実務でも起こりうる事例から監査のポイントを学びましょう。サクラ先輩とモモちゃんの会話形式で分かりやすく紐解く資料をベースに、合格に必要な視点を解説します。 今回の学習の中心となるのは組織内CSIRTにおけるインシデントハンドリングの監査です。まずCSIRTとはComputer Security Incident Response Teamの略で、企業内で情報セキュリティインシデントが発生した際に中心となって対応する組織を指します。本問のB社ではイベント認知からトリアージ、そしてインシデントレスポンスという一連の流れが定義されていますが、ここには潜むリスクを見抜く力が監査人に求められます。一つ目の重要ポイントは検知システムの運用における継続的な見直しです。セキュリティの脅威は日々進化しているため、CSIRT設置時に設定した検知基準をそのまま放置していると、新技術を利用した攻撃や新たな攻撃形態に対応できなくなるリスクがあります。監査では単に検知できないという事実だけでなく、技術の進歩に追従できていないという背景を含めてリスクを評価する必要があります。二つ目はトリアージ業務における人的リソースとマニュアルの整合性です。B社のように専任ではない兼任社員が対応する場合、高度なスキルを前提としたマニュアルでは正確な判断が困難になる恐れがあります。ここで監査人に求められるのは推測ではなく証拠に基づく判断です。具体的には兼任社員に対して不明点の確認方法を質問したり、実際のトリアージ記録を査閲して判断の妥当性を検証したりといった監査手続が重要になります。三つ目はシステム変更管理とインシデント対応の連携です。子会社がネットワーク機器をバージョンアップした際にログの形式が変わり、CSIRTでの解析が遅れた事例が示すように、システムの変更時には単に報告させるだけでは不十分です。その変更がログ解析や監視体制にどのような影響を与えるかまで事前に把握する仕組みが構築されているかを確認しなければなりません。最後に外部関連組織との連携の重要性です。これは情報の受信と発信の両面から考える必要があります。外部からの情報収集が遅れれば他社ですでに発生している攻撃と同じ被害を自社も受けることになり、逆に自社での発生情報を外部に共有しなければ被害を拡大させ加害者側の立場になりかねません。このようにシステム監査では規程の有無だけでなく、実効性と外部への影響まで視野に入れた多角的な視点が不可欠です。