# 移行関連の監査・セキュリティ対策

## セキュリティ・監査の目的

移行作業におけるセキュリティ・監査対策の目的は以下の通りである。

- 移行作業に伴う情報漏えい・誤操作・権限乱用を防止する
- 監査要件（内部統制・ISMS・顧客監査など）を満たすため
- 本番データ・個人情報を扱う作業に関して責任範囲を明確化する

---

## 適用されるセキュリティ・監査要件の整理

移行作業に適用すべき基準・ルールを以下に記載する。

**適用要件:**
- 情報セキュリティポリシー: [組織の情報セキュリティポリシー名]
- 双方の契約条件: 秘密保持契約、アクセス制御、データ取り扱い規定
- ISMS・Pマーク等のルール: [適用される認証規格]
- 顧客の内部統制: J-SOX、内部監査要件
- 監査ログ取得要件: [監査基準に基づくログ保管要件]

※すべて詳細に書く必要はなく「何が適用対象か」を明示するレベルでよい。

**記載例:**
```
本プロジェクトでは、以下のセキュリティ・監査要件を適用する。
- 情報セキュリティポリシー: 株式会社○○ 情報セキュリティポリシー v2.0
- 秘密保持契約: 2025年4月締結のNDA
- ISMS認証: ISO27001:2013（認証番号：ISMS-12345）
- 内部統制: J-SOX対応として、アクセスログ3年間保管
- 監査ログ: 全ての本番環境操作ログを記録・保管
```

---

## 移行作業に関するアクセス管理

### アクセス権限の管理方針

移行作業における本番環境・本番データへのアクセスは、以下の方針で管理する。

**アクセス許可対象者:**

| 役割 | アクセス範囲 | 権限レベル | 承認者 |
|------|------------|-----------|--------|
| プロジェクトマネージャー | 本番環境（参照のみ） | 読み取り | 事業責任者 |
| システム管理者 | 本番環境（全権限） | 読み書き・設定変更 | PM・顧客担当者 |
| データ移行担当者 | 本番DB（移行作業時のみ） | データ投入・更新 | PM・システム管理者 |
| 開発者 | 本番環境アクセス不可 | - | - |

**アクセス権限の付与・削除:**
- 権限付与: 作業開始7営業日前までに申請、承認プロセスを経て付与
- 一時権限: 移行作業当日のみ有効、作業終了後24時間以内に削除
- 権限削除: 移行作業完了後、速やかに（原則48時間以内）削除
- 記録: すべての権限変更履歴を監査ログとして保管

**作業中の権限エスカレーション:**
- 原則として、作業中の追加権限付与は禁止
- やむを得ない場合は、PM承認＋顧客立会いの下でのみ実施
- エスカレーション理由と実施内容を記録

**立会者の要否:**
- 本番データの投入・変更作業: 顧客担当者の立会い必須
- システム設定変更作業: PM立会い必須
- 参照のみの作業: 立会い不要（ログ記録は必須）

---

## データ取り扱いルール

移行期間中に扱うデータ（本番データ・バックアップ・抽出データ）に関する取り扱いルールを以下に定める。

### データ持ち出しルール

**原則:**
- 本番データの持ち出しは原則禁止
- 作業は指定された作業環境内でのみ実施

**例外ケース:**
- リモート作業が必要な場合: VPN接続＋暗号化通信のみ許可
- テストデータ作成: 個人情報をマスキング後、PM承認を得た場合のみ可

### データ保存・管理

**一時ファイルの取り扱い:**
- 保存場所: プロジェクト専用の暗号化ストレージ
- 暗号化: AES-256以上の暗号化を必須
- アクセス制御: 作業担当者のみアクセス可能
- 命名規則: `[日付]_[作業名]_[担当者]_[バージョン].ext`

**データコピー・抽出の制限:**
- データ抽出: PM承認が必要、抽出理由・範囲を記録
- コピー回数: 必要最小限に制限、コピー先・用途を台帳管理
- 二次利用禁止: 移行作業以外の目的での使用を禁止
- 個人端末禁止: 作業者個人のPC・スマートフォンでの取り扱い厳禁

### 作業後のデータ削除ルール

**削除対象:**
- 一時的に作成したデータファイル
- 作業用のバックアップデータ
- テスト用に抽出したデータ

**削除タイミング:**
- 移行完了後1週間以内に削除（承認が得られ次第）
- 監査証跡として必要なログは保管（削除対象外）

**削除方法:**
- 物理削除: 上書き削除ツールを使用
- 削除証明: 削除完了報告書を作成、PM承認

**記載例:**
```
移行作業で使用した以下のデータは、2025年7月15日までに削除する。
- 旧システムから抽出したCSVファイル（顧客マスタ）
- 移行用の中間データ（staging環境）
- テストデータ（個人情報マスキング済み）

削除は、SecureDelete v3.2 を使用し、3回上書き方式で実施。
削除完了後、システム管理者が削除完了報告書を作成し、PMが確認する。
```

---

## 作業手順に対するセキュリティ確保策

### 操作ログ取得

**ログ取得対象:**
- 本番環境へのすべてのアクセス（ログイン・ログアウト）
- データベース操作（SELECT/INSERT/UPDATE/DELETE）
- システム設定変更
- ファイル操作（アップロード・ダウンロード・削除）

**ログ取得方法:**
- サーバーログ: syslog、アプリケーションログ
- コマンドログ: bash履歴、PowerShellログ
- 画面録画: 重要作業時はセッション録画を実施

### 権限分離による内部不正防止

```mermaid
graph LR
    A[作業者] -->|作業実施| B[作業内容]
    C[承認者] -->|事前承認| B
    D[監視者] -->|ログ確認| B
    E[PM] -->|最終承認| B
    
    style A fill:#e1f5ff
    style C fill:#fff4e1
    style D fill:#ffe1e1
    style E fill:#e1ffe1
```

**権限分離の原則:**
- 作業者と承認者を分離: 同一人物が実施・承認を兼ねない
- 二者確認: 重要な作業は必ず2名以上で実施
- 職務分掌: データ投入者とデータ検証者を分離

### 手順書の事前レビュー

**レビュープロセス:**
1. 作業担当者が手順書を作成
2. セキュリティ担当者がセキュリティ観点でレビュー
3. PMが全体承認
4. 顧客担当者が最終確認

**セキュリティレビュー観点:**
- 不要な権限を要求していないか
- データ持ち出しが発生していないか
- ロールバック手順が明確か
- エラー時の対応が適切か

### 重大作業のダブルチェック体制

**ダブルチェック対象作業:**
- 本番データの削除
- 本番データベースのスキーマ変更
- 本番システムの設定変更
- バックアップからのリストア

**ダブルチェック方法:**
- 作業者: 手順に従い作業を実施
- チェッカー: 作業内容を確認、結果を検証
- 両者が作業記録にサイン（電子署名）

---

## 監査証跡（Evidence）の取得・保管

### 証跡として残すべき項目

何を証跡として残すか、あらかじめ整理する。

**取得する証跡:**

| 証跡種別 | 内容 | 保管形式 | 保管期間 |
|---------|------|---------|---------|
| 移行作業ログ | サーバー操作ログ、DBクエリログ | テキスト/CSV | 3年 |
| データ移行結果 | 移行前後のレコード件数、整合性チェック結果 | Excel/PDF | 3年 |
| スクリーンショット | 主要作業の実施画面キャプチャ | PNG/PDF | 1年 |
| 承認記録 | メール、ワークフロー承認履歴 | PDF | 3年 |
| ロールバック記録 | 切り戻し手順の実行ログ | テキスト/PDF | 3年 |
| セキュリティチェック | 脆弱性スキャン結果、権限監査結果 | PDF | 3年 |

**記載例:**
```
【証跡取得例】
■ 移行作業ログ
- ファイル名: migration_log_20250630_01.txt
- 内容: 2025年6月30日実施の顧客マスタ移行作業のサーバーログ
- 保管場所: /audit/2025/migration/
- アクセス制限: PM、監査担当者のみ

■ データ移行結果
- ファイル名: migration_result_customer_20250630.xlsx
- 内容: 移行前10,523件 → 移行後10,523件（一致確認済み）
- 保管場所: SharePoint > 監査証跡フォルダ
- アクセス制限: プロジェクトメンバー全員

■ 承認記録
- 件名: 【承認依頼】本番移行実施承認（顧客マスタ）
- 承認者: 事業責任者 山田太郎
- 承認日時: 2025年6月29日 15:30
- 保管場所: ワークフローシステム（承認ID: WF-2025-0629-001）
```

### 保管場所・アクセス制限

**保管場所:**
- プロジェクト専用の監査証跡フォルダ（暗号化ストレージ）
- バックアップは別ロケーションに自動保存

**アクセス制限:**
- 参照権限: PM、監査担当者、顧客担当者
- 編集権限: なし（読み取り専用）
- 削除権限: システム管理者のみ（PM承認必要）

---

## 監査対応の体制

### 監査窓口

**顧客側窓口:**
- 担当部署: [部署名]
- 担当者: [氏名]
- 連絡先: [メールアドレス・電話番号]

**ベンダー側窓口:**
- 担当部署: [部署名]
- 担当者: PM [氏名]
- 連絡先: [メールアドレス・電話番号]

### 監査時に提示できる資料

- 移行計画書
- 移行手順書
- 作業実施記録（ログ、スクリーンショット）
- 承認記録
- セキュリティチェック結果
- インシデント報告書（発生時）

### 本番作業後の報告書作成

**報告書作成責任者:**
- 作成: 移行作業リーダー
- レビュー: PM
- 承認: 事業責任者

**報告書に含める内容:**
- 作業実施日時・担当者
- 作業内容・結果
- 発生した問題と対処
- セキュリティインシデントの有無
- 監査証跡の保管場所

### 外部監査対応

**想定される監査:**
- 顧客監査: 年1回程度
- 内部監査: 半期ごと
- 外部監査法人: 年次決算時

**監査対応方法:**
1. 監査通知を受領（監査実施の2週間前）
2. 必要資料を準備（監査窓口が一元管理）
3. 監査当日: 監査窓口が対応、必要に応じてPM・担当者が同席
4. 監査指摘事項への対応計画を作成（1週間以内）
5. 改善実施・完了報告

---

## 監査・セキュリティ上のリスクと対策方針

基本設計段階では、詳細までは不要で、以下のレベルで十分。

### リスクと対策の整理

| リスク | 対策方針 | 実施内容 |
|--------|---------|---------|
| 本番データの漏えい | 暗号化／操作ログ取得 | データ暗号化（AES-256）、全操作ログ記録 |
| 権限乱用 | 一時権限付与＋立会 | 作業時のみ権限付与、顧客立会い必須 |
| 手順の逸脱 | 事前レビュー＋当日のログ監視 | 手順書の多段階レビュー、リアルタイムログ監視 |
| 作業証跡不足 | 作業ログ・承認記録を必須化 | すべての作業で証跡取得を義務化 |
| 不正アクセス | 多要素認証・IP制限 | MFA必須、アクセス元IPをホワイトリスト化 |
| データ破損・削除 | バックアップ＋ロールバック手順 | 作業前バックアップ必須、切り戻し手順の準備 |

### セキュリティインシデント発生時の対応

```mermaid
graph TD
    A[インシデント発生] --> B{重大度判定}
    B -->|高| C[即時作業停止]
    B -->|中| D[影響範囲確認]
    B -->|低| E[記録して作業継続]
    
    C --> F[PM・顧客へ緊急連絡]
    D --> F
    
    F --> G[原因調査]
    G --> H[対策実施]
    H --> I[再発防止策]
    I --> J[インシデント報告書作成]
```

**インシデント対応フロー:**
1. インシデント検知・発生報告
2. 重大度判定（高/中/低）
3. 必要に応じて作業停止
4. PM・顧客担当者へ連絡
5. 原因調査・影響範囲特定
6. 対策実施
7. インシデント報告書作成
8. 再発防止策の検討・実施

---

## 移行作業におけるセキュリティチェックリスト

移行作業前・作業中・作業後に実施するセキュリティチェック項目を以下に示す。

### 作業前チェック

- [ ] 作業担当者の本人確認完了
- [ ] 必要な権限が正しく付与されている
- [ ] 作業手順書がレビュー・承認済み
- [ ] バックアップが取得されている
- [ ] ロールバック手順が準備されている
- [ ] 監査証跡の取得方法が確認されている
- [ ] 立会者が配置されている（必要な場合）

### 作業中チェック

- [ ] 操作ログが正しく記録されている
- [ ] 手順書通りに作業が進行している
- [ ] 異常が発生していない
- [ ] データの整合性が保たれている
- [ ] 不要な権限使用が発生していない

### 作業後チェック

- [ ] すべての作業が完了している
- [ ] データ移行結果が検証されている
- [ ] 一時権限が削除されている
- [ ] 作業ログが保管されている
- [ ] 作業報告書が作成されている
- [ ] 一時ファイルが削除されている
- [ ] セキュリティインシデントが発生していない

---