eSalesプロセス・システムにおけるセキュリティ監査

クライアントは、遺伝子操作した生物や発病した生物などの特殊な研究・実験材料をオンライン販売・提供するビジネスを行っています。

これらが反社会的な組織に流れたり、購買履歴から購買者の研究内容が露見すると由々しい事態になるため、当社に対してセキュリティ監査・アドバイザリーを要求してきました。

なお、当該オンラインシステムのユーザーは、研究機関などの購買者側と、クライアント側にあります。購買者ではなりすましや実験材料の横流し、クライアント側では所属部門外への不正アクセスによるデータ改ざん・盗作などがリスクとして認識されていました。

クライアントの依頼はITのみであったが、ITの前提となっている業務フローも併せて調査すべきと主張し、納得いただいたうえで業務から調査を開始しました。

また、オンラインシステムがダウンしたり、書き換えられたりするリスクは別途存在します。このモニタリングや復旧等のプロセスチェックも別途実施しました。

なお、通信の秘匿性については初期レビュー段階で十分と判断したため、調査対象から除外しました。

本調査は、情報安全確保支援士（登録情報セキュリティスペシャリスト＝登録セキスぺ）の資格を持つコンサルタントが実施しました。

オンラインシステムのIT基盤には問題は見られませんでした。

一方、業務フローには問題がありました。オンラインシステム上のデジタル情報は保護されていたものの、アナログ情報の閲覧制限には不備があり、これを機密情報管理の改善点として指摘し、業務手続きを定め、適正化しました。

この調査過程で、部門によって業務フローが微妙に異なっていることを発見し報告したところ、システムの使い勝手向上と合わせた業務改革の依頼につながりました。