情報システムに関する内部不正対策の監査

平成29年度 春期 システム監査技術者試験 午後Ⅱ 問題 問1「情報システムに関する内部不正対策の監査」についてである。

問題文

近年，従業員などの内部不正による，情報システムを対象とした情報漏えいなどが増えている。内部不正による損害には，情報漏えいなどに伴う直接的な損害に加え，組織の管理態勢の不備や従業員などのモラルの低さが露呈するなど，組織の社会的信用の失墜がもたらす損害も無視できない。

内部不正の動機は，組織，上司，同僚などへの不満，金銭目的など，様々である。また，従業員などが不正を行える環境や不正を正当化できる状況を組織が放置することも，内部不正を誘発する大きな要因になる。

情報システムに関する内部不正では，従業員などが業務を行うために有するアクセス権限を悪用して情報の不正搾取，改ざんが行われる場合が多く，外部の者や権限を有しない内部の者による不正アクセスよりも，その防止や発見が難しい。したがって，内部不正対策では，技術的対策に加え，組織的対策を適切に組み合わせることが重要になる。組織的対策には，例えば，規程の整備，労働環境の整備，内部不正が発生した際の対応手順の整備，規程・手順が遵守されるための各種施策の実施などがある。

システム監査では，内部不正を予防し，その被害を最小限にとどめるための技術的対策だけでなく，組織的対策が適切に行われているかどうかを確かめる必要がある。また，監査を行うに当たっては，当該対策が法令などに準拠して行われているかどうかという観点も重要になる。

あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

設問ア

あなたが携わった組織において，内部不正が発生した場合に重大な影響を及ぼす情報システムの概要と，その情報システムにおいて内部不正が発生した場合の影響について，800 字以内で述べよ。

設問イ

設問アに関連して，内部不正の技術的対策の実施状況を確認するための監査手続について，内部不正の特徴を踏まえた留意点を含めて，700 字以上 1,400 字以内で具体的に述べよ。

設問ウ

設問アに関連して，内部不正の組織的対策の実施状況を確認するための監査手続について，内部不正の特徴を踏まえた留意点を含めて，700 字以上 1,400 字以内で具体的に述べよ。