情報セキュリティ関係の監査では、入退室記録をチェックすることが多い。
しかし、入退室記録が本来持つ意義をしっかり理解していないために、お粗末な評価がされているケースが少なくない。
例えば、サーバルームへの入室に対して入退室記録が義務付けられていたとしよう。
そこにある保守委託先のエンジニアが入室し、入退室記録に9時から17時まで「サーバ作業」をしていたと記入していたとしよう。後日、監査担当者はこの記載を見てどう思うだろうか。サーバルームに「サーバ作業」のために終日入室していたということが分かったとしてもあまり意味がない。
もし、その日にサーバへの不正アクセスがあったとすると、真っ先にこのエンジニアが疑われてしまうだろう。そして、結局、このエンジニアが犯人ではなかったとしても、彼のせいで真犯人捜しが遅れてしまうことになる。
もし、彼が作業内容としてもう少し具体的な内容を書いていれば、疑われることもなかっただろうし、無駄な捜査に時間を取られることもなかったかもしれない。
本来、入退室記録は、不審な者を発見するためというよりも正当な者を判別するために意義があるものである。不正侵入する者はできるだけ跡を残したがらない。やましい気持ちがないからこそ、堂々と跡を残せるのである。
「サーバ作業」とだけ書いたこのエンジニアは不正アクセスとまではいかなくても、余計なことまでやっていた疑いを持たれても仕方がない。あるいは、モラルが低く情報セキュリティに対する理解があまりないのかもしれない。
結局、監査する側としては、入退室記録からは判断することができないため、彼に面談して直接質問することによって、「サーバ作業」が適切なものだったのかを確認するか、彼の作業を観察することを考えることになる。記録から見えてくることと、決して見えないことがあるのだ。
先の例でこのエンジニアに対して質問によって適否を確認する場合、「はい」「いいえ」で答えにくい質問をする必要がある。
いつ、どこで、誰が、何を、どのようにといった質問によって、具体的に回答させるのである。具体的な回答は実際にやっていることでないとできないし、それが虚偽であれば、「はい」「いいえ」で答えにくい質問の連続によって、矛盾を生み出すことになる。もちろん、それが真実であれば、どれだけ質問が連続しようとも矛盾は生じない。
仮に回答者に勘違いがあって矛盾があったとしても、回答者に少しも焦りはない。「はい」「いいえ」で答えにくい質問の連続は、監査や不正捜査において大変強力な道具となるものなのだ。
最後に、監査技法としての現場観察を挙げておこう。観察とはまさに自分の目で確かめるということだ。
とはいうものの、ただ見ているだけでは、見えるものも見えてこない。目の前に起きている状況から「何かを見たい」という意思がなければ、効果のある観察は期待できない。
委託先視察を思い浮かべてほしい。委託先は見てほしくないものを隠そうとするし、そうでなくてもよそ行きの言動で飾り付けるだろう。現場観察で見たいものを見るためには、見られるような状況を作り出すことが必要だ。
決算業務を見たいならば、期末に訪問すればよいというのは容易に思い付くが、いつ起きるか分からないような状況を、釣り糸を垂らすがごとく待ち続けるのは困難である。警察で問題になっているような機会提供型のおとり捜査はやり過ぎだろうが、見たい反応を引き起こすためのトリガーを考えることは必要である。
例えば、先に見た入退室記録の場合で、部外者が入室する際はゲストバッジを着用してもらったり、社員が同行するといったルールが守られているかを確認するのであれば、監査担当者自らがゲストバッジを外して1人で入室して周りの反応を待てばよい。
もちろん、事前に監査業務として関係者から許可を取っておくことが必要だが。
今回は、重要性が高まる内部監査を効果的に行うために留意すべき点について、いくつか説明した。良い行いにも悪い行いにも因果関係があり、その行いの本質に迫れば真実が見えてくる。
さて、この連載も終わりに近づいている。次回は、総まとめとして防犯の技術を振り返ってみることにしよう。
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
MBA/システムアナリスト/公認不正検査士
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
Copyright © ITmedia, Inc. All Rights Reserved.