目的意識の低い内部監査では意味がない:ビジネスに差がつく防犯技術(12)(2/2 ページ)
記録から見えてくることと見えないこと
情報セキュリティ関係の監査では、入退室記録をチェックすることが多い。
しかし、入退室記録が本来持つ意義をしっかり理解していないために、お粗末な評価がされているケースが少なくない。
例えば、サーバルームへの入室に対して入退室記録が義務付けられていたとしよう。
そこにある保守委託先のエンジニアが入室し、入退室記録に9時から17時まで「サーバ作業」をしていたと記入していたとしよう。後日、監査担当者はこの記載を見てどう思うだろうか。サーバルームに「サーバ作業」のために終日入室していたということが分かったとしてもあまり意味がない。
もし、その日にサーバへの不正アクセスがあったとすると、真っ先にこのエンジニアが疑われてしまうだろう。そして、結局、このエンジニアが犯人ではなかったとしても、彼のせいで真犯人捜しが遅れてしまうことになる。
もし、彼が作業内容としてもう少し具体的な内容を書いていれば、疑われることもなかっただろうし、無駄な捜査に時間を取られることもなかったかもしれない。
本来、入退室記録は、不審な者を発見するためというよりも正当な者を判別するために意義があるものである。不正侵入する者はできるだけ跡を残したがらない。やましい気持ちがないからこそ、堂々と跡を残せるのである。
「サーバ作業」とだけ書いたこのエンジニアは不正アクセスとまではいかなくても、余計なことまでやっていた疑いを持たれても仕方がない。あるいは、モラルが低く情報セキュリティに対する理解があまりないのかもしれない。
結局、監査する側としては、入退室記録からは判断することができないため、彼に面談して直接質問することによって、「サーバ作業」が適切なものだったのかを確認するか、彼の作業を観察することを考えることになる。記録から見えてくることと、決して見えないことがあるのだ。
「はい」「いいえ」で答えにくい質問をしよう
先の例でこのエンジニアに対して質問によって適否を確認する場合、「はい」「いいえ」で答えにくい質問をする必要がある。
いつ、どこで、誰が、何を、どのようにといった質問によって、具体的に回答させるのである。具体的な回答は実際にやっていることでないとできないし、それが虚偽であれば、「はい」「いいえ」で答えにくい質問の連続によって、矛盾を生み出すことになる。もちろん、それが真実であれば、どれだけ質問が連続しようとも矛盾は生じない。
仮に回答者に勘違いがあって矛盾があったとしても、回答者に少しも焦りはない。「はい」「いいえ」で答えにくい質問の連続は、監査や不正捜査において大変強力な道具となるものなのだ。
現場観察では反応を見る
最後に、監査技法としての現場観察を挙げておこう。観察とはまさに自分の目で確かめるということだ。
とはいうものの、ただ見ているだけでは、見えるものも見えてこない。目の前に起きている状況から「何かを見たい」という意思がなければ、効果のある観察は期待できない。
委託先視察を思い浮かべてほしい。委託先は見てほしくないものを隠そうとするし、そうでなくてもよそ行きの言動で飾り付けるだろう。現場観察で見たいものを見るためには、見られるような状況を作り出すことが必要だ。
決算業務を見たいならば、期末に訪問すればよいというのは容易に思い付くが、いつ起きるか分からないような状況を、釣り糸を垂らすがごとく待ち続けるのは困難である。警察で問題になっているような機会提供型のおとり捜査はやり過ぎだろうが、見たい反応を引き起こすためのトリガーを考えることは必要である。
例えば、先に見た入退室記録の場合で、部外者が入室する際はゲストバッジを着用してもらったり、社員が同行するといったルールが守られているかを確認するのであれば、監査担当者自らがゲストバッジを外して1人で入室して周りの反応を待てばよい。
もちろん、事前に監査業務として関係者から許可を取っておくことが必要だが。
今回は、重要性が高まる内部監査を効果的に行うために留意すべき点について、いくつか説明した。良い行いにも悪い行いにも因果関係があり、その行いの本質に迫れば真実が見えてくる。
さて、この連載も終わりに近づいている。次回は、総まとめとして防犯の技術を振り返ってみることにしよう。
筆者プロフィール
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
MBA/システムアナリスト/公認不正検査士
- 立命館大学経済学部・法学部卒業
- 関西学院大学大学院商学研究科修了
- 信州大学大学院工学研究科修了
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。