メインフレーム監査

メインフレームコンピュータの包括的な検査

メインフレーム監査は、コンピューターのプロセス、セキュリティ、および手順を包括的に検査し、改善のための推奨事項を提示するものです。

メインフレームの定義

メインフレームコンピュータの定義は容易ではありません。多くの人はメインフレームというと大型コンピュータを思い浮かべますが、メインフレームはますます小型化しています。メインフレームエンタープライズサーバーという用語は、現在では融合しつつあります。スーパーコンピュータは一般的にその速度と複雑さから使用され、メインフレームは大量の機密データの保存に使用されます。メインフレームは、大規模なエンタープライズレベルのトランザクションを扱う組織にとって、最も安全で効率的、そして費用対効果の高いコンピューティングオプションです。

考慮事項

業界によって監査とセキュリティに関する要件は異なります。組織の要件に影響を与える要因としては、規制要件やその他の外部要因、経営、目標、ビジネス慣行、そして業界と比較した組織のパフォーマンスなどが挙げられます。こうした情報は、外部調査の実施、従業員へのインタビュー、データセンターの見学と活動の観察、技術専門家への相談、社内マニュアルや事業計画書の閲覧などを通じて入手できます。

もう一つの考慮事項は、従業員のメインフレームへのアクセスレベルと、パスワードポリシーが整備され、遵守されているかどうかです。導入の証拠は、従業員マニュアルの要求、ソフトウェアとユーザー履歴の評価、そして環境の物理的な観察によって得られます。(Gallegos, 2004)

物理的なアクセスも重要な検討事項です。ネットワークとデータセンター間のケーブルは、損傷や盗聴から適切に保護されていますか?これは、ケーブルの適切な配線、暗号化、そして適切なネットワークトポロジによって実現できます。ケーブルの配線場所を物理的に観察し、セキュリティ手順を確認する必要があります。また、追加の弱点を特定するために、管理策のテストを実施する必要があります。

メインフレームは適切な無停電電源装置(UPS )にアクセスできますか?データセンター(および内部のメインフレーム)を盗難、改ざん、損傷から保護するために、アクセス用の電源バッジ、消火装置、施錠などの物理的な管理措置が講じられていますか?これらの要件を確実に満たすには、物理​​的な監視が必要です。

オペレーティングシステム

  • システムが継続的に更新されるようにするために、どのような制御が実施されていますか?
  • ソフトウェアは更新を行うように設定されていますか、それともシステム技術者が更新を行っていますか?
  • データの不正な操作や盗難を阻止するための制御を実施する必要があります。
  • 職務の適切な分離も検証する必要があります。企業の内部統制が効果的かどうかを判断するために、テストを行う必要があります。
  • システムへの入力サンプルを検査し、管理が有効であることを確認するとともに、不正な取引や疑わしい無効な取引を調査する必要がある。(Gallegos, 2004)
  • システム上に、他のコンポーネントを不必要に危険にさらす可能性のあるプロセスはありますか?
  • プログラム プロパティ テーブル (PPT) などのシステム内のバックドアを介した不正アクセスのリスクを最小限に抑えるための手順と対策を講じる必要があります。
  • 正確な監査証跡が追跡可能であるべきである。(ヘンダーソン・グループ、2001年10月)

セキュリティサーバー

  • 職務の分離は適切に実施および実施されており、継続的かつ正確な監査証跡を確保するためのテクノロジーと手順が整っていますか?
  • システムへの不必要な不正な侵入のリスクを最小限に抑え、パスワードを保護するための制御を導入する必要があります。
  • システムをスキャンするにはコンピュータ支援監査技術を使用する必要があります (継続的な監視が理想的です)。また、職務の分離などのプロトコルが遵守されていることを確認するなど、手順を検証するために人間による観察を実施する必要があります。
  • RACF、ACF2、Top Secretなどのセキュリティソフトウェアは、必要なセキュリティを提供しているか、また新しいファイアウォールなどの追加保護が必要かどうかを常に検証する必要があります。(The Henderson Group、2002年8月) これらの製品はメインフレームの主要なアクセス制御メカニズムであるため、分析には特別な注意が必要です。適切なユーザータイプが使用されていること、および認証情報の共有が一切許可されていないことを確認してください。

アプリケーションシステム

  • システムのパフォーマンスと制御に関係します。
  • 不正アクセスやデータ改ざんを制限できますか?

十分な証拠が得られたかどうかを評価する

必要なテストと手順を実行した後、得られた証拠が結論と推奨を導き出すのに十分かどうかを判断します。

メインフレームのセキュリティはどのように維持されていますか?

メインフレームは信頼性が高いにもかかわらず、膨大な量のデータを保持するため、保持する情報とシステムの整合性を保護するための予防措置を講じる必要があります。セキュリティは、以下の技術によって維持されています。

  • メインフレームとそのコンポーネントに対する物理的な制御。
  • 暗号化技術。
  • システムへの不要な不正な入力を防止し、入力、出力、または処理内容を記録し、監査人がアクセスできるようにする手順を整備します。これは、高い権限を持つ人にとって特に重要です。
  • RACF、ACF2、Top Secret などのセキュリティ ソフトウェア。
  • 潜在的な弱点を特定するためにセキュリティ システムを継続的にテストします。
  • バックドアアクセスを適切に保護します。
  • 技術の有効性を判断するための継続的な検査。

これらの内部統制の有効性を評価するために、監査人は外部調査を実施し、必要に応じて統制を物理的に観察し、統制をテストし、実質的なテストを実行し、必要に応じてコンピューター支援監査手法を採用する必要があります。

参考文献

  • Gallegos, F., Senft, S., Manson, D., Gonzales, C. (2004). 『情報技術管理と監査』(第2版)フロリダ州ボカラトン:Auerbach Publications.
  • Messier jr.、W.、F. (2003)『監査および保証サービス:体系的アプローチ』(第3版)ニューヨーク:McGraw-Hill/Irwin。
  • Licker, M., D. (2003). 『コンピューティングとコミュニケーションの辞書』 ニューヨーク: マグロウヒル
  • フィリップ、G. (2000). 『シカゴ大学出版局:科学技術百科事典』シカゴ、イリノイ州:シカゴ大学出版局.
  • O'Brien, J., A., (2002). 『経営情報システム:電子ビジネス企業における情報技術の管理』第5版. ニューヨーク: McGraw-Hill/Irwin.
  • コンピューティングの歴史プロジェクト(2006年1月15日更新)。メインフレーム。2006年1月27日閲覧。
  • Mainframes.com (日付なし). 2006年1月27日閲覧。
  • ヘンダーソン・グループ(2001年10月)メインフレーム監査ニュース:第1号。第2号、第3号、第4号も同じ情報源から発行されています。2006年1月27日閲覧。
「https://en.wikipedia.org/w/index.php?title=メインフレーム監査&oldid=1305163984」から取得