地方自治体部局 情報セキュリティ監査

　地方自治体部局の情報システムに関する、総合的な情報セキュリティ監査を実施しました。
　2008年10月から始まったものとはまた別件で、こちらはサーバに対する技術監査（脆弱性診断／ペネトレーションテスト）を含んでいます。タイトルのように固有名称を伏せてしまうとこの辺りはみんな同じになってしまうので、少々紛らわしいところです。
　本件は全体として比較的ボリュームの少ない監査業務なのですが、それでも民間データセンタのサーバルームにお邪魔してのペネトレーションテストがあり、その場でWebアプリケーションに対する手動での擬似攻撃まで行う必要があるなど、少々難しい要素を含んでいます。Webアプリケーションに対する擬似攻撃は自動化が難しいので、何をどこまで実施するべきか、毎回悩むところです。

　ともあれ、監査プロジェクトそのものは概ね順調に進み、報告書の提出と委員会でのご説明を終えて、どうやら無事にクローズすることができました。依頼主にも効果を感じていただけたようで、幸いでした。