【CIA試験講義】パート1 セクションB-6-d: 情報を保護するための適切な方法を適用する
テーマ:情報の「金庫」を守る技術 ~物理的・技術的な保護措置~
セクションB-6-dは、監査人が入手した情報のセキュリティ管理に関する実践的なルールです。
いくら口が堅い監査人でも、監査データが入ったノートPCを電車の網棚に置き忘れたり、パスワードのかかっていないファイルをメールで誤送信したりすれば、情報の保護義務を果たしたことにはなりません。
GIAS(グローバル内部監査基準)では、内部監査人は情報の管理者として、物理的および技術的な保護手段(コントロール)を自ら講じる必要があります。
1. 導入:精神論ではなく「物理・技術」の話
秘密保持には2つの側面があります。
- 意識(Mindset): 他人に話さない(セクションB-6-a, b, cで扱った内容)。
- 方法(Methods): 情報が盗まれたり、紛失したりしないように鍵をかける(本セクションの内容)。
試験では、「監査人はIT部門ではないからセキュリティは専門外でよい」という言い訳は通用しません。監査人は最も機微なデータを扱うため、組織内で最も高いセキュリティ意識とリテラシーが求められます。
2. 情報を保護する具体的な「方法」
監査人が適用すべき保護方法は、情報のライフサイクル(保管・移動・廃棄)ごとに分類できます。
A. 物理的セキュリティ(Physical Security)
- クリアデスク・クリアスクリーン: 離席時に機密書類を机に放置しない。PC画面をロックする。
- 覗き見防止: 公共の場所(空港、カフェ、電車)で作業する場合、プライバシーフィルターを使用するか、作業自体を控える。
- デバイス管理: ノートPCやUSBメモリなどの紛失・盗難防止措置をとる。
B. 技術的セキュリティ(Technical Security)
- 暗号化(Encryption): データを外部へ送信する際や、持ち出し用デバイスに保存する際は必ず暗号化する。
- アクセス制御: 監査チーム内でも「Need-to-Know(知る必要性)」に基づき、共有フォルダのアクセス権を制限する。
- 強固な認証: 多要素認証(MFA)や複雑なパスワードを使用する。
C. データの廃棄(Disposal)
- 監査終了後、不必要になったデータ(一時的なメモ、抽出データのコピーなど)は、復元不可能な方法で削除またはシュレッダーにかける。
- 注意: 「ゴミ箱に入れる」だけでは不十分な場合があります。
3. リモートワーク時代の注意点
近年の試験傾向として、リモート監査やクラウド利用に関するセキュリティが問われやすくなっています。
- 公共Wi-Fiの危険性: 暗号化されていないフリーWi-Fiで機密データを送受信してはいけません(VPNの使用が必須)。
- 私用デバイス(BYOD): 組織が許可していない個人のPCやスマホに監査データを保存することは、重大なコンプライアンス違反です。
4. 試験で問われる「監査人の責任範囲」
「セキュリティはIT部門の責任でしょ?」 半分正解で、半分間違いです。
- 組織の責任: 全社的なセキュリティインフラ(ファイアウォールなど)の構築。
- 監査人の責任: 自身の管理下にあるデータ(監査調書、預かった証拠資料)を守るための適切な手順の実行。
イメージ:
銀行(組織)は頑丈な建物を作りますが、貸金庫(監査データ)の鍵をかけ忘れたり、鍵を落としたりするのは利用者(監査人)の責任です。
5. 試験で狙われる「ひっかけ」ポイント
- ×「監査データは重要なので、バックアップのために個人のクラウドストレージ(Google Driveなど)にもコピーを保存した」
- 解説: アウトです。組織が管理・認可していないクラウドへの保存は「シャドーIT」であり、情報漏洩リスクとなります。
- ×「暗号化ソフトの使い方がわからなかったため、至急必要ということもあり、パスワードなしの添付ファイルで送信した」
- 解説: 「緊急性」や「無知」は、保護措置を怠る正当な理由にはなりません。
- ×「監査報告書が完成したため、参照したすべての元データとメモを直ちに削除した」
- 解説: これも微妙なひっかけです。不要なコピーは削除すべきですが、監査証拠として必要な記録は「文書保存規定」に従って一定期間保存しなければなりません。保護と廃棄のバランスが重要です。
まとめ
セクションB-6-dのポイントは、「不注意(Negligence)をなくす」ことです。
- 監査人は「歩く金庫」です。
- どこで作業し、どうデータを送り、どう保存するか。その一つ一つの動作に「適切な保護方法(セキュリティ対策)」を適用することが、専門職としての気質の一部です。
【練習問題】パート1 セクションB-6-d
Q1. 内部監査人が出張中の空港のラウンジで、機密性の高い監査報告書のドラフトを作成している。フライトまでの待ち時間を有効活用するために作業を行う際、情報を保護する方法として、最も不適切な行動はどれか。
A. 画面の覗き見を防止するため、プライバシーフィルターを装着して作業を行う。
B. 空港が提供している無料の公衆Wi-Fiに直接接続し、VPN(仮想プライベートネットワーク)を使用せずに社内サーバーへデータを送信する。
C. 離席して飲み物を取りに行く際は、短時間であってもPCを持参するか、セキュリティケーブルでロックし画面を閉じる。
D. 周囲に人が多い場合、機密データの具体的な数値や個人名が表示される画面での作業を避け、一般的な記述の修正のみに留める。
【解答・解説】
正解と解説を表示
正解(B): 公衆Wi-Fi(特に暗号化されていないもの)は盗聴のリスクが非常に高いため、VPNを使用せずに機密データを送信することは、情報を保護するための適切な方法とは言えません。
不正解(A): プライバシーフィルターの使用は、ショルダーハッキング(覗き見)対策として適切です。
不正解(C): 物理的な盗難や、離席中の不正操作を防ぐための適切な措置です。
不正解(D): 環境に応じて作業内容を制限することは、情報漏洩リスクを低減する賢明な判断です。
Q2. 内部監査人は、被監査部門から入手した顧客リスト(個人情報を含む)のデータ分析を完了した。監査報告書はすでに承認され発行済みである。組織のデータ保持ポリシーおよび監査マニュアルでは、監査調書に含まれない一時的な作業用データは、監査終了後に破棄することになっている。この場合の対応として最も適切なものはどれか。
A. 将来の監査で再利用できる可能性があるため、データを暗号化して個人のUSBメモリに保存し、自宅で保管する。
B. PCの「ごみ箱」にファイルを移動し、ごみ箱を空にすることで削除を完了とする。
C. 組織が推奨するデータ消去ソフトを使用するか、IT部門の手順に従って復元不可能な状態でデータを完全に消去する。
D. データはすでに古くなっているため、特段の措置は講じず、PCのハードディスク内にそのまま放置しておく。
【解答・解説】
正解と解説を表示
正解(C): 情報を保護する義務には、不要になった情報を適切に廃棄することも含まれます。単なる削除操作ではデータが復元可能な場合があるため、機密情報は組織の規定に従って完全に消去(ワイプ)する必要があります。
不正解(A): 私物USBへの保存や自宅持ち出しは、情報保護の観点から不適切であり、セキュリティ違反です。
不正解(B): 通常の削除操作だけでは、専門的なツールを使えば復元できる可能性があり、機密情報の廃棄方法としては不十分な場合があります。
不正解(D): 不要な機密データを保持し続けることは、漏洩リスクを不必要に残存させることであり、適切な保護方法とは言えません(データ・ミニマイゼーションの原則)。
Q3. 内部監査人が、外部の法律顧問に機密性の高い調査資料を電子メールで送信する必要が生じた。送信データのファイルサイズが大きく、通常のメール添付では送れない。組織には大容量ファイル転送のための指定されたセキュアなシステムがあるが、操作が複雑である。監査人は急いでいたため、個人的に使用している民間の無料ファイル転送サービス(セキュリティ保証なし)を使用してデータを送信した。この行動に関する評価として正しいものはどれか。
A. 業務遂行のスピード(効率性)を優先したため、正当な判断である。
B. 情報を保護するための適切な方法を適用しておらず、専門職としての正当な注意(Due Professional Care)に欠ける行為である。
C. 送信先が弁護士であり、弁護士には守秘義務があるため、転送経路の安全性は問われない。
D. 無料サービスであっても、パスワードさえかけておけば、組織の指定システムを使用しなくても問題はない。
【解答・解説】
正解と解説を表示
正解(B): 監査人は、情報の機密性に応じた適切な転送方法を選択する義務があります。組織が認可していない、セキュリティが保証されない経路(シャドーIT)を使用することは、情報保護の要件を満たしていません。
不正解(A): 効率性は重要ですが、セキュリティやコンプライアンスを犠牲にしてよい理由にはなりません。
不正解(C): 受信者の守秘義務と、通信経路の安全性は別の問題です。転送中に第三者に傍受されるリスクがあります。
不正解(D): 組織の方針(Policy)に従うことが前提です。組織が指定したシステムがある場合、それを使用すべきであり、認可されていない外部サービスの利用は避けるべきです。
