「IPA "組織における内部不正防止のガイドライン"」とは
従業員や関係者による情報漏えいや不正行為を防ぐために、日本の「内閣サイバーセキュリティセンター(NISC)」が策定したガイドライン。
組織内部からの不正を未然に防ぎ、発生した場合には迅速に対応するための基本的な考え方や対策が示されています。
①犯行を難しくする:やりにくくする
②捕まるリスクを高める:やると見つかる
③犯行の見返りを減らす:割に合わない
④犯行の誘因を減らす:その気にさせない
⑤犯罪の弁明をさせない:言い訳させない
「事業継続計画(BCP)」とは
緊急時の対応計画のこと。
・災害などの発生時に業務の継続を可能とするための計画
・従業員を招集できるように緊急連絡先リストを作成・計画的に更新
「情報セキュリティ監査制度」とは
経済産業省が推進。
企業や政府などの情報セキュリティ対策が適切に実行され、情報セキュリティに係るリスクマネジメントが効果的に実施されているかどうかを、
情報セキュリティ監査によって確認するための制度のこと。
「情報セキュリティ監査基準」とは
経済産業省公表の、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範のこと。
・一般基準
・実施基準
・報告基準
からなる。
また、監査人独立性も明記してある。
「財務報告に係る内部統制の評価及び監査に関する実施基準」とは
金融庁が作成した内部統制に関する基準の基本的要素には以下の
①統制環境
②リスク評価と対応
③統制活動
④情報と伝達
⑤モニタリング
⑥ITへの対応
がある。
「IT統制」とは
情報システムを利用する業務における内部統制のことで、その中の信頼性は
「情報が、組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること」
をいう。
「IPA "組織における内部不正防止のガイドライン"にも記載されている、組織の適切な情報セキュリティ対策はどれか?」
答え:
「インターネット上のWebサイトへのアクセスに関しては、コンテンツフィルタを導入して、SNS、オンラインストレージ、掲示板などへのアクセスを制限する。」
【解説】
IPA(情報処理推進機構)の「組織における内部不正防止のガイドライン」では、不正行為の抑止や情報漏えい防止のために、インターネットアクセスを適切に管理することが推奨 されています。
SNSやオンラインストレージ、掲示板などは、機密情報の持ち出しや不正なデータ共有に悪用される可能性があるため、コンテンツフィルタを利用してアクセスを制限する ことが有効です。
<誤り>
「業務の電子メールを、システム障害に備えて、私用のメールアドレスに転送するよう設定させる。」
【解説】
業務の電子メールを私用メールに転送する行為は、情報漏えいのリスクを高めるため、内部不正防止の観点から推奨されていません。
「組織が使用を許可していないソフトウェアに関しては、業務効率が向上するものに限定して、従業員の判断でインストールさせる。」(誤り)
【解説】
組織のセキュリティ管理を強化するためには、業務で使用するソフトウェアを適切に管理し、許可されていないものの使用を制限することが重要です。
従業員が自由にソフトウェアをインストールできる環境では、マルウェア感染や脆弱性のあるソフトウェアの導入リスクが高まり、内部不正や情報漏えいの原因になる可能性があります。
「金融庁の”財務報告に係る内部統制の評価及び監査に関する実施基準”における”ITへの対応”に関する記述のうち適切なものはどれか?」
答え:
「ITの統制は、ITに係る全般統制及びITに係る業務処理統制からなる。」
ITの統制は、大きく以下の2種類に分けられる。
①ITに係る全般統制(IT全般統制、ITGC:IT General Controls)
システム開発、運用、アクセス管理など、ITシステム全体の信頼性を確保するための統制。
例)アクセス制御の強化、変更管理のルール策定、データバックアップの実施 など。
②ITに係る業務処理統制(Application Controls)
企業の業務プロセスにおいて、ITシステムを活用して適切な処理を保証する統制。
例)データ入力の自動チェック、二重承認システム など。
金融庁の実施基準でも、これらの2つの統制の両方を考慮することが求められているため、正しい記述である。
<誤り>
「IT環境とは、企業内部に限られた範囲でのITの利用状況である。」(誤り)
IT環境 とは、企業内部に限定されず、外部のIT環境(クラウドサービス、外部委託先のシステムなど)も含めた広範囲のITの利用状況を指す。
金融庁の実施基準では、IT環境が財務報告に与える影響を考慮する必要がある とされており、企業の内部だけでなく外部のシステム利用も評価対象になる。
「ITの利用によって統制活動を自動化している場合、当該統制活動は有効であると評価される。」
ITを利用して統制活動を自動化している場合でも、統制が適切に機能しているかどうかを評価しなければならない。
自動化された統制活動が正しく機能するためには、システムの設計が適切であること、設定ミスがないこと、定期的なテストや監査が行われていることが重要。
単に自動化されているからといって、有効であるとは限らない。
「ITを利用せず手作業だけで内部統制を運用している場合、直ちに内部統制の不備となる。」
手作業による内部統制が必ずしも不備とは限らない。
例えば、適切なチェック体制やダブルチェックが機能していれば、手作業の内部統制でも有効と評価される場合がある。
ただし、ITを活用したほうがより効果的で効率的な統制が実現できる場合が多いため、ITを利用することが推奨される。