CISA（公認情報システム監査）試験対策　　4.リスクコントロール

本Noteでは以下のトピックについて説明します。

・コントロールとは

・コントロール目標

・コントロールの種類

・ケーススタディ（コントロールの分類）

あなたは「Webアプリケーションに対する許可されていないアクセスを制限する」という内容の監査を実施することになりました。

事前のインタビューや調査から以下のコントロールポリシーが存在することが確認できました。

・アクセスコントロールが定義されている。

・サーバールームは24時間施錠し、CCTVで室内を監視し、不正侵入を発見したら警報を鳴らすこと。

・業務別の手順書が用意されていること。

・ファイアウォールによるフィルタリングとログ管理がされていること。

・ウィルス対策ソフトが自動アップデートされていること。

・パスワード誤入力によるアカウントロック機能が実装されていること。

監査を実施する前に上記のコントロールを分類しましょう。

（答えは本文で確認できます）