外部サービスを利用したシステムの監査

システム監査 セキュリティ 情報処理技術者試験

外部サービスとしてAベンダーのSaaSを使用した新規情報システム開発を行うことになった。この場合どのようなリスクを想定してコントロールするか、900文字程度で、3点にまとめた。

クラウド・リスク・マネジメント(新版)

クラウド・リスク・マネジメント(新版)

  • 同文舘出版
Amazon

想定されるリスクとそのコントロール

AベンダーのSaaSを使用した新規情報システム開発において、主に以下の3つのリスクが想定される。(文字数 : 882文字)

1. データセキュリティリスク
SaaSを利用する際、企業の機密情報や顧客データが外部のサーバーに保存されることになるため、データの漏洩や不正アクセスのリスクが高まる。特に、ベンダーのセキュリティ対策が不十分である場合や、サービス利用中の脆弱性が悪用された場合に、重大なデータ侵害が発生する可能性がある。このリスクをコントロールするために、ベンダーのセキュリティ対策を事前に十分に確認し、契約書において厳格なセキュリティ要件を定めることが重要である。また、データの暗号化やアクセス制御の強化など、企業内部でも追加のセキュリティ対策を講じるべきである。

2. サービス依存リスク
SaaSを使用することで、自社の情報システムが特定のベンダーに依存するリスクが生じる。ベンダーのサービス停止や品質低下、価格変更が発生した場合、自社のビジネス運営に直接的な影響を与える可能性がある。特に、ベンダーが経営困難に陥ったり、買収されたりする場合、サービスの継続性が脅かされることがある。このリスクをコントロールするためには、複数のベンダーを利用したリスク分散や、サービスレベルアグリーメント(SLA)においてサービス停止時の対応策を明確にしておくことが重要である。また、万が一のためにバックアッププランを用意しておくべきである。

3. 法的リスクと規制順守リスク
SaaSを利用する際、データが国外のサーバーに保存される場合や、ベンダーが異なる法的管轄に属する場合、規制順守やデータ保護に関する法的リスクが発生する可能性がある。特に、個人情報保護法GDPRなど、国際的な規制に対する適合性が求められる。このリスクをコントロールするためには、利用するSaaSが対象となるすべての法規制を順守していることを確認し、法務部門と連携して規制対応を徹底することが重要である。また、データの保存場所や移転に関するベンダーとの契約条件を明確にしておくべきである。

以上のように、データセキュリティ、サービス依存、法的リスクの3点を中心にリスクを管理し、適切な対策を講じることが求められる。

IT監査とIT統制(改訂版) ―基礎からネットワーク・クラウド・ビッグデータまで―

IT監査とIT統制(改訂版) ―基礎からネットワーク・クラウド・ビッグデータまで―

  • 同文舘出版
Amazon

監査手法

AベンダーのSaaSを使用した新規情報システム開発において、リスクコントロールが適切に実施されているかを監査するためには、以下の3つの手法が有効である。

1. セキュリティ監査
セキュリティ監査は、SaaSの利用に伴うデータセキュリティリスクに対する対策が十分かどうかを確認するために実施される。具体的には、ベンダーが提供するセキュリティ対策が契約時に定めた要件を満たしているか、脆弱性が存在しないか、データが適切に暗号化されているかを検証する。また、アクセス制御が適切に機能しているか、認証・認可プロセスが正確に運用されているかを確認するために、ログの監査やペネトレーションテストを実施することが推奨される。さらに、第三者によるセキュリティ認証や監査報告書(例: SOC 2レポート)を参照し、ベンダーのセキュリティ対策が業界標準に従っていることを確認することも重要である。

2. サービスレベル監査
サービス依存リスクに対処するためには、ベンダーとのサービスレベルアグリーメントSLA)が適切に履行されているかを監査する必要がある。具体的には、SLAで定められたサービスの可用性、応答時間、復旧時間が実際に守られているかを検証する。監査の際には、ベンダーが提供するサービスレベルの実績データを収集し、契約条件と照らし合わせて評価する。また、過去のサービス停止や障害発生時の対応についてもレビューし、ベンダーが適切に対応しているかを確認することが重要である。さらに、ベンダーの運用体制や災害対策(BCP/DR計画)が適切に実施されているかを評価し、サービスの継続性に関するリスクを最小化する。

3. 法令順守監査
SaaS利用に伴う法的リスクや規制順守リスクを管理するためには、法令順守監査が必要である。まず、ベンダーが提供するサービスが、自社が従うべき法令や規制(例: 個人情報保護法GDPRなど)に適合しているかを確認する。これには、データの保存場所や処理方法が規制に従っているかを検証することが含まれる。また、ベンダーがその法的義務を履行しているか、例えばデータ漏洩が発生した場合の報告義務や顧客通知義務を守っているかを確認するために、過去のインシデント対応履歴を監査することが重要である。さらに、契約条件に基づくコンプライアンス体制が維持されているか、定期的に法務部門と連携して監査を実施することが推奨される。

これらの監査手法を通じて、セキュリティ、サービスレベル、法令順守に関するリスクコントロールが適切に機能しているかを評価し、必要に応じて改善策を講じることが重要である。

改訂三版 情報セキュリティ内部監査の教科書 (NextPublishing)

改訂三版 情報セキュリティ内部監査の教科書 (NextPublishing)

Amazon