eSalesプロセス・システムにおけるセキュリティ監査

クライアントが抱えていた課題

クライアントは、遺伝子操作した生物や発病した生物などの特殊な研究・実験材料をオンライン販売・提供するビジネスを行っている。

これらが反社会的な組織に流れたり、購買履歴から購買者の研究内容が露見するとゆゆしい事態になるため、当社に対してセキュリティ監査・アドバイザリを要求してきた。

なお、当該オンラインシステムのユーザは、研究機関などの購買者側と、クライアント側にある。購買者ではなりすましや実験材料の横流し、クライアント側では所属部門外への不正アクセスによるデータ改ざん・剽窃などがリスクとして認識されていた。

レイヤーズのアプローチ

クライアントの依頼はITのみであったが、ITの前提となっている業務フローも併せて調査すべきと主張し、納得いただいたうえで業務から調査を開始した。

また、オンラインシステムがダウンしたり、書き換えられたりするリスクは別途存在する。このモニタリングや復旧等のプロセスチェックも別途実施した。

なお、通信の秘匿性については初期レビュー段階で十分と判断したため、調査対象から除外した。

本調査は、情報安全確保支援士(登録情報セキュリティスペシャリスト=登録セキスぺ)の資格を持つコンサルタントが実施した。

成果

オンラインシステムのIT基盤には問題は見られなかった。

一方、業務フローには問題があった。オンラインシステム上のデジタル情報は保護されていたものの、アナログ情報の閲覧制限には不備があり、これを機密情報管理の改善点として指摘し、業務手続をさだめ適正化した。

この調査過程で、部門によって業務フローが微妙に異なっていることを発見し報告したところ、システムの使い勝手向上と合わせた業務改革の依頼につながった。