|
| システム管理基準追補版より | GS/PF上での問題点(例) | GS/PFでの統制の例 メンバー登録 |
更新 | |
| リスクの例 | ||||
| (1)情報システムのソフトウェアの開発・調達 @システムの開発・調達 |
||||
| 3-(1)-@-イ | ITの開発の際に意図的な不正なプログラムが埋め込まれたり、処理に誤りが顕在化する。 | ・開発のルールが決められていない。 ・開発品質計画書が作られていない。 |
(メンバー専用) | 12/25 |
| 3-(1)-@-ロ | ITの開発プロセスにおいて、意図的な不正や、処理に誤りの起きる可能性がある。 | ・レビューやテストの方法、品質指標値が設定されていない。 | (メンバー専用) | 12/25 |
| 3-(1)-@-ハ | 誤りや不正防止機能が確実に動作しないと、誤りが起きる可能性がある。 | ・各開発工程での障害管理、品質管理がされていない。 | (メンバー専用) | 12/25 |
| (3)内外からのアクセス管理等のシステムの安全性の確保 Aアクセス管理等のセキュリティ対策 |
||||
| 3-(3)-A-リ 3-(3)-A-ヌ |
適切な認証がないと、データへの改ざんや不正な参照が起きる。 | ・一つのID(TSS/AIF)を数名で共用して使っている。 ・ID(〃)にパスワードがない。 ・パスワードが他のユーザから簡単に参照できる。 |
(メンバー専用) | 12/25 |
| 3-(3)-A-ロ | 担当者のアカウントの発行、停止等の管理がなされていないと不正使用されて、データへの改ざんや漏えいが起きる。 | ・ID(TSS/AIF)の管理をする習慣がないし、ルールもない。 | (メンバー専用) | 12/25 |
| 3-(3)-A-イ 3-(3)-A-ハ |
適切なアクセス制御機能がなく、データへの改ざんや不正な参照が起きる。 | ・全てのID(TSS/AIF)が特権ユーザであり、やろうと思えば何でもできる。 | (メンバー専用) | 12/25 |
| 3-(3)-A-ト | インターネットを利用する場合は不正侵入対策が実施されている。 | ・GS/PF上ではインターネット経由だからといって基本的に意識していない。 | (メンバー専用) | 12/27 |
| 3-(3)-A-イ | 職務権限が決められていないと、不正なアクセスが起きて、データが改ざんされる危険性がある。 | ・OSの基本機能では、全ての資源にアクセス可能である。 | (メンバー専用) | 12/27 |
| 3-(3)-A-ホ | 特権ユーザは情報システムの変更や担当者の追加・削除等ができるため、統制されないと改ざん等の不正が発生する。 | ・OSの基本機能では、ID(TSS/AIF)の追加・削除は基本的に可能である。 | (メンバー専用) | 12/27 |
| 3-(3)-A-イ | 施設へのアクセスに権限がなければ、関係者でない人物によって重要な財務情報にアクセスされたり、改ざんされたりする。 | ・マシン室はセキュリティが厳しいが、室外にある端末やコンソールにはアクセスしやすいことがある。 | (メンバー専用) | 12/27 |
| B情報セキュリティインシデントの管理 | ||||
| 3-(3)-B-イ | 情報セキュリティインシデントへの対応が適切に行われていないと、被害が拡大する。 | ・マシン室への物理的セキュリティは高いシステムもあるが、人的セキュリティは多くが弱い。 ・情報セキュリティインシデントが起きると思っていない。 |
(メンバー専用) | 2/4 |
| 3-(3)-B-ハ | ログ取得がされず、インシデントの原因究明ができない。 | ・ソフト的なログはほとんど活用されていない。 | (メンバー専用) | 2/4 |
| 2007年12月作成 株式会社アイビスインターナショナル 代表取締役 有賀 光浩 |
 株式会社 アイビスインターナショナル 134-0003 東京都江戸川区春江町4-17-12 |
| All rights reserved, Copyright (c) IBIS International Inc. 2005-2015 |