[テンプレ]移行関連の監査・セキュリティ対策

関連テンプレ構成
テンプレート
# 移行関連の監査・セキュリティ対策

## セキュリティ・監査の目的

移行作業におけるセキュリティ・監査対策の目的は以下の通りである。

- 移行作業に伴う情報漏えい・誤操作・権限乱用を防止する
- 監査要件(内部統制・ISMS・顧客監査など)を満たすため
- 本番データ・個人情報を扱う作業に関して責任範囲を明確化する

---

## 適用されるセキュリティ・監査要件の整理

移行作業に適用すべき基準・ルールを以下に記載する。

**適用要件:**
- 情報セキュリティポリシー: [組織の情報セキュリティポリシー名]
- 双方の契約条件: 秘密保持契約、アクセス制御、データ取り扱い規定
- ISMSPマーク等のルール: [適用される認証規格]
- 顧客の内部統制: J-SOX、内部監査要件
- 監査ログ取得要件: [監査基準に基づくログ保管要件]

※すべて詳細に書く必要はなく「何が適用対象か」を明示するレベルでよい。

**記載例:**
```
本プロジェクトでは、以下のセキュリティ・監査要件を適用する。
- 情報セキュリティポリシー: 株式会社○○ 情報セキュリティポリシー v2.0
- 秘密保持契約: 2025年4月締結のNDA
- ISMS認証: ISO27001:2013(認証番号:ISMS-12345)
- 内部統制: J-SOX対応として、アクセスログ3年間保管
- 監査ログ: 全ての本番環境操作ログを記録・保管
```

---

## 移行作業に関するアクセス管理

### アクセス権限の管理方針

移行作業における本番環境・本番データへのアクセスは、以下の方針で管理する。

**アクセス許可対象者:**

| 役割 | アクセス範囲 | 権限レベル | 承認者 |
|------|------------|-----------|--------|
| プロジェクトマネージャー | 本番環境(参照のみ) | 読み取り | 事業責任者 |
| システム管理者 | 本番環境(全権限) | 読み書き・設定変更 | PM・顧客担当者 |
| データ移行担当者 | 本番DB(移行作業時のみ) | データ投入・更新 | PM・システム管理者 |
| 開発者 | 本番環境アクセス不可 | - | - |

**アクセス権限の付与・削除:**
- 権限付与: 作業開始7営業日前までに申請、承認プロセスを経て付与
- 一時権限: 移行作業当日のみ有効、作業終了後24時間以内に削除
- 権限削除: 移行作業完了後、速やかに(原則48時間以内)削除
- 記録: すべての権限変更履歴を監査ログとして保管

**作業中の権限エスカレーション:**
- 原則として、作業中の追加権限付与は禁止
- やむを得ない場合は、PM承認+顧客立会いの下でのみ実施
- エスカレーション理由と実施内容を記録

**立会者の要否:**
- 本番データの投入・変更作業: 顧客担当者の立会い必須
- システム設定変更作業: PM立会い必須
- 参照のみの作業: 立会い不要(ログ記録は必須)

---

## データ取り扱いルール

移行期間中に扱うデータ(本番データ・バックアップ・抽出データ)に関する取り扱いルールを以下に定める。

### データ持ち出しルール

**原則:**
- 本番データの持ち出しは原則禁止
- 作業は指定された作業環境内でのみ実施

**例外ケース:**
- リモート作業が必要な場合: VPN接続+暗号化通信のみ許可
- テストデータ作成: 個人情報をマスキング後、PM承認を得た場合のみ可

### データ保存・管理

**一時ファイルの取り扱い:**
- 保存場所: プロジェクト専用の暗号化ストレージ
- 暗号化: AES-256以上の暗号化を必須
- アクセス制御: 作業担当者のみアクセス可能
- 命名規則: `[日付]_[作業名]_[担当者]_[バージョン].ext`

**データコピー・抽出の制限:**
- データ抽出: PM承認が必要、抽出理由・範囲を記録
- コピー回数: 必要最小限に制限、コピー先・用途を台帳管理
- 二次利用禁止: 移行作業以外の目的での使用を禁止
- 個人端末禁止: 作業者個人のPC・スマートフォンでの取り扱い厳禁

### 作業後のデータ削除ルール

**削除対象:**
- 一時的に作成したデータファイル
- 作業用のバックアップデータ
- テスト用に抽出したデータ

**削除タイミング:**
- 移行完了後1週間以内に削除(承認が得られ次第)
- 監査証跡として必要なログは保管(削除対象外)

**削除方法:**
- 物理削除: 上書き削除ツールを使用
- 削除証明: 削除完了報告書を作成、PM承認

**記載例:**
```
移行作業で使用した以下のデータは、2025年7月15日までに削除する。
- 旧システムから抽出したCSVファイル(顧客マスタ)
- 移行用の中間データ(staging環境)
- テストデータ(個人情報マスキング済み)

削除は、SecureDelete v3.2 を使用し、3回上書き方式で実施。
削除完了後、システム管理者が削除完了報告書を作成し、PMが確認する。
```

---

## 作業手順に対するセキュリティ確保策

### 操作ログ取得

**ログ取得対象:**
- 本番環境へのすべてのアクセス(ログイン・ログアウト)
- データベース操作(SELECT/INSERT/UPDATE/DELETE- システム設定変更
- ファイル操作(アップロード・ダウンロード・削除)

**ログ取得方法:**
- サーバーログ: syslog、アプリケーションログ
- コマンドログ: bash履歴、PowerShellログ
- 画面録画: 重要作業時はセッション録画を実施

### 権限分離による内部不正防止

```mermaid
graph LR
    A[作業者] -->|作業実施| B[作業内容]
    C[承認者] -->|事前承認| B
    D[監視者] -->|ログ確認| B
    E[PM] -->|最終承認| B
    
    style A fill:#e1f5ff
    style C fill:#fff4e1
    style D fill:#ffe1e1
    style E fill:#e1ffe1
```

**権限分離の原則:**
- 作業者と承認者を分離: 同一人物が実施・承認を兼ねない
- 二者確認: 重要な作業は必ず2名以上で実施
- 職務分掌: データ投入者とデータ検証者を分離

### 手順書の事前レビュー

**レビュープロセス:**
1. 作業担当者が手順書を作成
2. セキュリティ担当者がセキュリティ観点でレビュー
3. PMが全体承認
4. 顧客担当者が最終確認

**セキュリティレビュー観点:**
- 不要な権限を要求していないか
- データ持ち出しが発生していないか
- ロールバック手順が明確か
- エラー時の対応が適切か

### 重大作業のダブルチェック体制

**ダブルチェック対象作業:**
- 本番データの削除
- 本番データベースのスキーマ変更
- 本番システムの設定変更
- バックアップからのリストア

**ダブルチェック方法:**
- 作業者: 手順に従い作業を実施
- チェッカー: 作業内容を確認、結果を検証
- 両者が作業記録にサイン(電子署名)

---

## 監査証跡(Evidence)の取得・保管

### 証跡として残すべき項目

何を証跡として残すか、あらかじめ整理する。

**取得する証跡:**

| 証跡種別 | 内容 | 保管形式 | 保管期間 |
|---------|------|---------|---------|
| 移行作業ログ | サーバー操作ログ、DBクエリログ | テキスト/CSV | 3|
| データ移行結果 | 移行前後のレコード件数、整合性チェック結果 | Excel/PDF | 3|
| スクリーンショット | 主要作業の実施画面キャプチャ | PNG/PDF | 1|
| 承認記録 | メール、ワークフロー承認履歴 | PDF | 3|
| ロールバック記録 | 切り戻し手順の実行ログ | テキスト/PDF | 3|
| セキュリティチェック | 脆弱性スキャン結果、権限監査結果 | PDF | 3|

**記載例:**
```
【証跡取得例】
■ 移行作業ログ
- ファイル名: migration_log_20250630_01.txt
- 内容: 2025年6月30日実施の顧客マスタ移行作業のサーバーログ
- 保管場所: /audit/2025/migration/
- アクセス制限: PM、監査担当者のみ

■ データ移行結果
- ファイル名: migration_result_customer_20250630.xlsx
- 内容: 移行前10,523件 → 移行後10,523件(一致確認済み)
- 保管場所: SharePoint > 監査証跡フォルダ
- アクセス制限: プロジェクトメンバー全員

■ 承認記録
- 件名: 【承認依頼】本番移行実施承認(顧客マスタ)
- 承認者: 事業責任者 山田太郎
- 承認日時: 2025年6月29日 15:30
- 保管場所: ワークフローシステム(承認ID: WF-2025-0629-001)
```

### 保管場所・アクセス制限

**保管場所:**
- プロジェクト専用の監査証跡フォルダ(暗号化ストレージ)
- バックアップは別ロケーションに自動保存

**アクセス制限:**
- 参照権限: PM、監査担当者、顧客担当者
- 編集権限: なし(読み取り専用)
- 削除権限: システム管理者のみ(PM承認必要)

---

## 監査対応の体制

### 監査窓口

**顧客側窓口:**
- 担当部署: [部署名]
- 担当者: [氏名]
- 連絡先: [メールアドレス・電話番号]

**ベンダー側窓口:**
- 担当部署: [部署名]
- 担当者: PM [氏名]
- 連絡先: [メールアドレス・電話番号]

### 監査時に提示できる資料

- 移行計画書
- 移行手順書
- 作業実施記録(ログ、スクリーンショット)
- 承認記録
- セキュリティチェック結果
- インシデント報告書(発生時)

### 本番作業後の報告書作成

**報告書作成責任者:**
- 作成: 移行作業リーダー
- レビュー: PM
- 承認: 事業責任者

**報告書に含める内容:**
- 作業実施日時・担当者
- 作業内容・結果
- 発生した問題と対処
- セキュリティインシデントの有無
- 監査証跡の保管場所

### 外部監査対応

**想定される監査:**
- 顧客監査:1回程度
- 内部監査: 半期ごと
- 外部監査法人: 年次決算時

**監査対応方法:**
1. 監査通知を受領(監査実施の2週間前)
2. 必要資料を準備(監査窓口が一元管理)
3. 監査当日: 監査窓口が対応、必要に応じてPM・担当者が同席
4. 監査指摘事項への対応計画を作成(1週間以内)
5. 改善実施・完了報告

---

## 監査・セキュリティ上のリスクと対策方針

基本設計段階では、詳細までは不要で、以下のレベルで十分。

### リスクと対策の整理

| リスク | 対策方針 | 実施内容 |
|--------|---------|---------|
| 本番データの漏えい | 暗号化/操作ログ取得 | データ暗号化(AES-256)、全操作ログ記録 |
| 権限乱用 | 一時権限付与+立会 | 作業時のみ権限付与、顧客立会い必須 |
| 手順の逸脱 | 事前レビュー+当日のログ監視 | 手順書の多段階レビュー、リアルタイムログ監視 |
| 作業証跡不足 | 作業ログ・承認記録を必須化 | すべての作業で証跡取得を義務化 |
| 不正アクセス | 多要素認証・IP制限 | MFA必須、アクセス元IPをホワイトリスト化 |
| データ破損・削除 | バックアップ+ロールバック手順 | 作業前バックアップ必須、切り戻し手順の準備 |

### セキュリティインシデント発生時の対応

```mermaid
graph TD
    A[インシデント発生] --> B{重大度判定}
    B -->|高| C[即時作業停止]
    B -->|中| D[影響範囲確認]
    B -->|低| E[記録して作業継続]
    
    C --> F[PM・顧客へ緊急連絡]
    D --> F
    
    F --> G[原因調査]
    G --> H[対策実施]
    H --> I[再発防止策]
    I --> J[インシデント報告書作成]
```

**インシデント対応フロー:**
1. インシデント検知・発生報告
2. 重大度判定(高//低)
3. 必要に応じて作業停止
4. PM・顧客担当者へ連絡
5. 原因調査・影響範囲特定
6. 対策実施
7. インシデント報告書作成
8. 再発防止策の検討・実施

---

## 移行作業におけるセキュリティチェックリスト

移行作業前・作業中・作業後に実施するセキュリティチェック項目を以下に示す。

### 作業前チェック

- [ ] 作業担当者の本人確認完了
- [ ] 必要な権限が正しく付与されている
- [ ] 作業手順書がレビュー・承認済み
- [ ] バックアップが取得されている
- [ ] ロールバック手順が準備されている
- [ ] 監査証跡の取得方法が確認されている
- [ ] 立会者が配置されている(必要な場合)

### 作業中チェック

- [ ] 操作ログが正しく記録されている
- [ ] 手順書通りに作業が進行している
- [ ] 異常が発生していない
- [ ] データの整合性が保たれている
- [ ] 不要な権限使用が発生していない

### 作業後チェック

- [ ] すべての作業が完了している
- [ ] データ移行結果が検証されている
- [ ] 一時権限が削除されている
- [ ] 作業ログが保管されている
- [ ] 作業報告書が作成されている
- [ ] 一時ファイルが削除されている
- [ ] セキュリティインシデントが発生していない

---
プレビュー

移行関連の監査・セキュリティ対策

セキュリティ・監査の目的

移行作業におけるセキュリティ・監査対策の目的は以下の通りである。

  • 移行作業に伴う情報漏えい・誤操作・権限乱用を防止する
  • 監査要件(内部統制・ISMS・顧客監査など)を満たすため
  • 本番データ・個人情報を扱う作業に関して責任範囲を明確化する

適用されるセキュリティ・監査要件の整理

移行作業に適用すべき基準・ルールを以下に記載する。

適用要件:

  • 情報セキュリティポリシー: [組織の情報セキュリティポリシー名]
  • 双方の契約条件: 秘密保持契約、アクセス制御、データ取り扱い規定
  • ISMS・Pマーク等のルール: [適用される認証規格]
  • 顧客の内部統制: J-SOX、内部監査要件
  • 監査ログ取得要件: [監査基準に基づくログ保管要件]

※すべて詳細に書く必要はなく「何が適用対象か」を明示するレベルでよい。

記載例: 

本プロジェクトでは、以下のセキュリティ・監査要件を適用する。
- 情報セキュリティポリシー: 株式会社○○ 情報セキュリティポリシー v2.0
- 秘密保持契約: 20254月締結のNDA
- ISMS認証: ISO27001:2013(認証番号:ISMS-12345- 内部統制: J-SOX対応として、アクセスログ3年間保管
- 監査ログ: 全ての本番環境操作ログを記録・保管

移行作業に関するアクセス管理

アクセス権限の管理方針

移行作業における本番環境・本番データへのアクセスは、以下の方針で管理する。

アクセス許可対象者:

役割 アクセス範囲 権限レベル 承認者
プロジェクトマネージャー 本番環境(参照のみ) 読み取り 事業責任者
システム管理者 本番環境(全権限) 読み書き・設定変更 PM・顧客担当者
データ移行担当者 本番DB(移行作業時のみ) データ投入・更新 PM・システム管理者
開発者 本番環境アクセス不可 - -

アクセス権限の付与・削除:

  • 権限付与: 作業開始7営業日前までに申請、承認プロセスを経て付与
  • 一時権限: 移行作業当日のみ有効、作業終了後24時間以内に削除
  • 権限削除: 移行作業完了後、速やかに(原則48時間以内)削除
  • 記録: すべての権限変更履歴を監査ログとして保管

作業中の権限エスカレーション:

  • 原則として、作業中の追加権限付与は禁止
  • やむを得ない場合は、PM承認+顧客立会いの下でのみ実施
  • エスカレーション理由と実施内容を記録

立会者の要否:

  • 本番データの投入・変更作業: 顧客担当者の立会い必須
  • システム設定変更作業: PM立会い必須
  • 参照のみの作業: 立会い不要(ログ記録は必須)

データ取り扱いルール

移行期間中に扱うデータ(本番データ・バックアップ・抽出データ)に関する取り扱いルールを以下に定める。

データ持ち出しルール

原則:

  • 本番データの持ち出しは原則禁止
  • 作業は指定された作業環境内でのみ実施

例外ケース:

  • リモート作業が必要な場合: VPN接続+暗号化通信のみ許可
  • テストデータ作成: 個人情報をマスキング後、PM承認を得た場合のみ可
データ保存・管理

一時ファイルの取り扱い:

  • 保存場所: プロジェクト専用の暗号化ストレージ
  • 暗号化: AES-256以上の暗号化を必須
  • アクセス制御: 作業担当者のみアクセス可能
  • 命名規則: [日付]_[作業名]_[担当者]_[バージョン].ext

データコピー・抽出の制限:

  • データ抽出: PM承認が必要、抽出理由・範囲を記録
  • コピー回数: 必要最小限に制限、コピー先・用途を台帳管理
  • 二次利用禁止: 移行作業以外の目的での使用を禁止
  • 個人端末禁止: 作業者個人のPC・スマートフォンでの取り扱い厳禁
作業後のデータ削除ルール

削除対象:

  • 一時的に作成したデータファイル
  • 作業用のバックアップデータ
  • テスト用に抽出したデータ

削除タイミング:

  • 移行完了後1週間以内に削除(承認が得られ次第)
  • 監査証跡として必要なログは保管(削除対象外)

削除方法:

  • 物理削除: 上書き削除ツールを使用
  • 削除証明: 削除完了報告書を作成、PM承認

記載例: 

移行作業で使用した以下のデータは、2025715日までに削除する。
- 旧システムから抽出したCSVファイル(顧客マスタ)
- 移行用の中間データ(staging環境)
- テストデータ(個人情報マスキング済み)

削除は、SecureDelete v3.2 を使用し、3回上書き方式で実施。
削除完了後、システム管理者が削除完了報告書を作成し、PMが確認する。

作業手順に対するセキュリティ確保策

操作ログ取得

ログ取得対象:

  • 本番環境へのすべてのアクセス(ログイン・ログアウト)
  • データベース操作(SELECT/INSERT/UPDATE/DELETE)
  • システム設定変更
  • ファイル操作(アップロード・ダウンロード・削除)

ログ取得方法:

  • サーバーログ: syslog、アプリケーションログ
  • コマンドログ: bash履歴、PowerShellログ
  • 画面録画: 重要作業時はセッション録画を実施
権限分離による内部不正防止
graph LR
    A[作業者] -->|作業実施| B[作業内容]
    C[承認者] -->|事前承認| B
    D[監視者] -->|ログ確認| B
    E[PM] -->|最終承認| B

    style A fill:#e1f5ff
    style C fill:#fff4e1
    style D fill:#ffe1e1
    style E fill:#e1ffe1

権限分離の原則:

  • 作業者と承認者を分離: 同一人物が実施・承認を兼ねない
  • 二者確認: 重要な作業は必ず2名以上で実施
  • 職務分掌: データ投入者とデータ検証者を分離
手順書の事前レビュー

レビュープロセス:

  1. 作業担当者が手順書を作成
  2. セキュリティ担当者がセキュリティ観点でレビュー
  3. PMが全体承認
  4. 顧客担当者が最終確認

セキュリティレビュー観点:

  • 不要な権限を要求していないか
  • データ持ち出しが発生していないか
  • ロールバック手順が明確か
  • エラー時の対応が適切か
重大作業のダブルチェック体制

ダブルチェック対象作業:

  • 本番データの削除
  • 本番データベースのスキーマ変更
  • 本番システムの設定変更
  • バックアップからのリストア

ダブルチェック方法:

  • 作業者: 手順に従い作業を実施
  • チェッカー: 作業内容を確認、結果を検証
  • 両者が作業記録にサイン(電子署名)

監査証跡(Evidence)の取得・保管

証跡として残すべき項目

何を証跡として残すか、あらかじめ整理する。

取得する証跡:

証跡種別 内容 保管形式 保管期間
移行作業ログ サーバー操作ログ、DBクエリログ テキスト/CSV 3年
データ移行結果 移行前後のレコード件数、整合性チェック結果 Excel/PDF 3年
スクリーンショット 主要作業の実施画面キャプチャ PNG/PDF 1年
承認記録 メール、ワークフロー承認履歴 PDF 3年
ロールバック記録 切り戻し手順の実行ログ テキスト/PDF 3年
セキュリティチェック 脆弱性スキャン結果、権限監査結果 PDF 3年

記載例: 

【証跡取得例】
■ 移行作業ログ
- ファイル名: migration_log_20250630_01.txt
- 内容: 2025630日実施の顧客マスタ移行作業のサーバーログ
- 保管場所: /audit/2025/migration/
- アクセス制限: PM、監査担当者のみ

■ データ移行結果
- ファイル名: migration_result_customer_20250630.xlsx
- 内容: 移行前10,523件 → 移行後10,523件(一致確認済み)
- 保管場所: SharePoint > 監査証跡フォルダ
- アクセス制限: プロジェクトメンバー全員

■ 承認記録
- 件名: 【承認依頼】本番移行実施承認(顧客マスタ)
- 承認者: 事業責任者 山田太郎
- 承認日時: 202562915:30
- 保管場所: ワークフローシステム(承認ID: WF-2025-0629-001
保管場所・アクセス制限

保管場所:

  • プロジェクト専用の監査証跡フォルダ(暗号化ストレージ)
  • バックアップは別ロケーションに自動保存

アクセス制限:

  • 参照権限: PM、監査担当者、顧客担当者
  • 編集権限: なし(読み取り専用)
  • 削除権限: システム管理者のみ(PM承認必要)

監査対応の体制

監査窓口

顧客側窓口:

  • 担当部署: [部署名]
  • 担当者: [氏名]
  • 連絡先: [メールアドレス・電話番号]

ベンダー側窓口:

  • 担当部署: [部署名]
  • 担当者: PM [氏名]
  • 連絡先: [メールアドレス・電話番号]
監査時に提示できる資料
  • 移行計画書
  • 移行手順書
  • 作業実施記録(ログ、スクリーンショット)
  • 承認記録
  • セキュリティチェック結果
  • インシデント報告書(発生時)
本番作業後の報告書作成

報告書作成責任者:

  • 作成: 移行作業リーダー
  • レビュー: PM
  • 承認: 事業責任者

報告書に含める内容:

  • 作業実施日時・担当者
  • 作業内容・結果
  • 発生した問題と対処
  • セキュリティインシデントの有無
  • 監査証跡の保管場所
外部監査対応

想定される監査:

  • 顧客監査: 年1回程度
  • 内部監査: 半期ごと
  • 外部監査法人: 年次決算時

監査対応方法:

  1. 監査通知を受領(監査実施の2週間前)
  2. 必要資料を準備(監査窓口が一元管理)
  3. 監査当日: 監査窓口が対応、必要に応じてPM・担当者が同席
  4. 監査指摘事項への対応計画を作成(1週間以内)
  5. 改善実施・完了報告

監査・セキュリティ上のリスクと対策方針

基本設計段階では、詳細までは不要で、以下のレベルで十分。

リスクと対策の整理
リスク 対策方針 実施内容
本番データの漏えい 暗号化/操作ログ取得 データ暗号化(AES-256)、全操作ログ記録
権限乱用 一時権限付与+立会 作業時のみ権限付与、顧客立会い必須
手順の逸脱 事前レビュー+当日のログ監視 手順書の多段階レビュー、リアルタイムログ監視
作業証跡不足 作業ログ・承認記録を必須化 すべての作業で証跡取得を義務化
不正アクセス 多要素認証・IP制限 MFA必須、アクセス元IPをホワイトリスト化
データ破損・削除 バックアップ+ロールバック手順 作業前バックアップ必須、切り戻し手順の準備
セキュリティインシデント発生時の対応
graph TD
    A[インシデント発生] --> B{重大度判定}
    B -->|高| C[即時作業停止]
    B -->|中| D[影響範囲確認]
    B -->|低| E[記録して作業継続]

    C --> F[PM・顧客へ緊急連絡]
    D --> F

    F --> G[原因調査]
    G --> H[対策実施]
    H --> I[再発防止策]
    I --> J[インシデント報告書作成]

インシデント対応フロー:

  1. インシデント検知・発生報告
  2. 重大度判定(高/中/低)
  3. 必要に応じて作業停止
  4. PM・顧客担当者へ連絡
  5. 原因調査・影響範囲特定
  6. 対策実施
  7. インシデント報告書作成
  8. 再発防止策の検討・実施

移行作業におけるセキュリティチェックリスト

移行作業前・作業中・作業後に実施するセキュリティチェック項目を以下に示す。

作業前チェック
作業担当者の本人確認完了
必要な権限が正しく付与されている
作業手順書がレビュー・承認済み
バックアップが取得されている
ロールバック手順が準備されている
監査証跡の取得方法が確認されている
立会者が配置されている(必要な場合)
作業中チェック
操作ログが正しく記録されている
手順書通りに作業が進行している
異常が発生していない
データの整合性が保たれている
不要な権限使用が発生していない
作業後チェック
すべての作業が完了している
データ移行結果が検証されている
一時権限が削除されている
作業ログが保管されている
作業報告書が作成されている
一時ファイルが削除されている
セキュリティインシデントが発生していない