E.構成管理

　監査目標
　　　 (2)　ソフトウェア、ハードウェア及びネットワークの構成、購入先、サポート条件等を明確にしているか。
　 着眼点
　 　a)　ソフトウェアの管理台帳が整備されており、ソフトウェアの利用に必要な項目が網羅されているかを確認する。
　　　　 特に、購入ソフトウェアについては、ライセンス条件が正確に 把握できる体制が整っているかを確認する。*1
　　 b)　ハードウェアの管理台帳が整備されており、ハードウェアの利用、障害対応に必要な連絡先、保守条件、保守状況等の項目が網羅されているかを確認する。*1
　　 c)　ネットワーク管理台帳が整備されており、ネットワークの利用、障害対応、ネットワークの監視等に必要な項目が網羅されているかを確認する。*1
　　 d)　ネットワーク管理者が、システム資産管理台帳やネットワーク構成図を整備して、ネットワークシステムを運用し更新するための手続規定を策定ているか確認する。*2
　　 e)　各管理台帳は、最新の状況に更新されているかを確認する。*1
　 留意事項
　 　　　ネットワークを構成するソフトウェア、ハードウェアは、複数のしかも多数のベンダーから提供されることがめずらしくないので､それぞれのサポート条件等を明確にしておくことが不 可欠である｡
　　 　　 また、構成するソフトウェア間、ハードウェア間で、サポート範囲が限定されている場合､境界領域のサポートは、どこが行うのか、出来るのかを、あらかじめ確認しておく必要がある｡　
　 　　 　構成管理の観点から、ネットワークは階層的に構築すべきである。
　　 　ワークステーションＩＤ等は、部門名と機種などの属性がわかる略称にしておくと分かりやすい。
　　　 管理台帳には、ＩＰアドレス、ＭＡＣアドレスも記入しておく。
　　　 　　ＥＵＣではソフトウェアやハードウェアの追加導入や変更が少なくないため、部門内で管理担当者を決めていることとあわせて、着眼点でいう「管理台帳は最新の状態を保っていること」 の点検が特に重要である。
　 関連項目 H.ハードウェア管理(4) I.ドキュメント管理 2.管理(2) K.外部委託 1.委託計画(2) K.外部委託 2.委託先選択(1)

　監査目標
　　　 (3)　ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、影響を受ける範囲を検討して決定しているか。
　着眼点
　　 a)　影響を受ける範囲を把握しているかを確認する。*1　
　　 b)　影響を受ける範囲の特定は、妥当な内容になっているかを確認する。*1
　　 c)　ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、他のリソース管理者と調整の上なされているかを確認する。*1　　
d)　ソフトウェア、ハードウェア及びネットワークの導入並びに変更を運用の責任者が承認しているか確認する。*1
　 留意事項
　　　　 ネットワーク構築の基本的な方針を策定し､その思想に沿った構築をしないと、トポロジーが崩れるおそれがある。
　 　 様々なＬＡＮ環境で利用されるアプリケーションとＯＳ及びネットワークＯＳのバージョンが、全体のＬＡＮ上で、相互互換かつ一貫性を保っていることを保証する手続が必要である。
　　 　　 ＥＵＣにあってはともすれば安易にソフトウェアやハードウェアを導入・変更しがちなことから、どのように影響範囲を検討しているかは重視すべき監査ポイントになる。
　 関連項目 G.ソフトウェア管理(6)

　監査目標
　　 (4)　ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、計画的に実施しているか。
　 着眼点
　　　a)　ネットワーク管理者が、システムの有効活用・システム資源のチェック・トラブル発見のために、レスポンスタイム、ディスクストレージのスペース、ネットワークの利用度等について、定期的かつ必要に応じてチェックしているか確認する。*2
　 　 b)　ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、計画に基づいて行われているかを確認する。*1
　 　 c)　導入及び変更計画は、運用責任者により承認されているかを確認する。*1
　 　 d)　ソフトウェア、ハードウェア及びネットワークの導入並びに変更履歴を記録しているかを確認する。*1
　留意事項
　　　　ネットワーク監視は、定期的に、かつ必要に応じて性能検査を行うことが重要である。
　 　具体的には、トラフィック量とコリジョン数、電圧／抵抗チェック、トラフィック数(リトライの回数、データストームの有無、文字化け数）等を調査する。
　 　　 また、サーバーやファイアウォールの利用状況を把握することによって、権限の無いデータへのアクセスやハッカー進入の発見等のセキュリティ対策やシステム資源の拡張計画が検討で きるようにしなければならない。　　　　　　　　　　　　　　　　　　　　　　　　　 パソコン関連機器は製品寿命が短く、サポート切れになるケースが多く発生する。また、ソフトウェアのバージョンアップが早いため、ネットワーク環境内のソフトウェアのバージョン管理が重要である。
　 　　 また、パソコンは、ユーザが勝手に変更を変えたり、ソフトウェアをインストールできるので、ユーザが、パソコン等のハードウェア及びネットワークの設定変更を出来なくするのも一つの方法である。
　 　　 ＥＵＣであっても、運用の統括責任者はを任命することが望ましいが、企業によっては、部門の責任者が承認の当事者になる。
　　 しかし、部門の責任者が情報システムの知識を有さない ケース多いので何らかの改善策を講じる必要がある。
　 関連項目 G.ソフトウェア管理(6)
　
　監査目標
　　 (5)　ネットワークの論理的構成は、セキュリティの観点から適切に設計されているか。*2
　 着眼点　
　　 a)　バーチャルＬＡＮを導入する場合、標準化の動向、および技術調査しているか確認する。*2
　　 b)　バーチャルＬＡＮを導入する場合、企業の全社的なセキュリティポリシーを見直しているか確認する。*2
　　 c)　バーチャルＬＡＮを導入した場合、設計通りにグループ化がなされていることを評価しているか確認する。*2
　　 d)　ＤＨＣＰを利用している場合、セキュリティに十分考慮しているか確認する。*2
　 留意事項
　 　　 バーチャルＬＡＮ（Ｖ-ＬＡＮ）とは、ネットワーク機器であるスイッチング・ハブに接続した 端末をグループ化する機能。あるいは、そのグループのことである。物理的な接続にとらわれる ことなく、仮想的にＬＡＮ（グループ）を作成できる。具体的には、各階ごとに物理的にＬＡＮ を分けており、複数階にまたがって複数の部課が混在している場合でも、同一部課内では、あたかも同一の物理的なＬＡＮ上にあるようにグループ化され、実際に同一の物理的なＬＡＮ上にある他部課からは、アクセスできなくすることが可能になる。
　 　 バーチャルＬＡＮ導入のメリットとしては、�@ブロードキャスト・パケットをグループ内に閉じ込めて不要なトラヒックを減らす�Aセキュリティを確保する�B端末をグループ内で移動しても、 ネットワークアドレスを変更しないで済むことである。デメリットとしては、標準化の遅れから、 マルチベンダーでの構築が難しいことが挙げられる。いずれにせよ、このような新しい技術を導入する場合は、技術調査、企業の全社的なセキュリティポリシーの見直し、既設ネットワークの現状把握等が重要になる。
　 　 ＤＨＣＰ（Dynamic Host Configuration Protocol)は、端末の起動時に動的にＩＰアドレスを割り当てることができる。これにより、ＩＰアドレスの設定に伴う作業が軽減される。
　 しかし、 ネットワークのポートに差し込むだけでＩＰアドレスが割り当てられ、ＬＡＮを利用できるので、 セキュリティ上問題である。 そのため、ポートの管理や、ＤＨＣＰ利用エリアを制限する等の対策が必要になる。
　　　　　　　　　　　　　　　　　

ガイドラインの目次に戻る。