応用情報技術者 2009年 春期 午後 問12
DB監査ツールを利用したシステム監査に関する次の記述を読んで、設問1~4に答えよ。
G社は、生活用品の製造・販売業を営んでいる中堅企業である。全国の百貨店、総合スーパーでの店頭販売を主としていたが、数年前にインターネット販売システム(以下、販売システムという)を構築した。G社の販売システム構成を図に示す。
〔販売システム概要〕
(1) 販売システムのサーバは、Webサーバ、業務サーバ、DB(データベース)サーバで構成される。
(2) インターネットを流れるデータは、暗号化されている。サーバ設置ゾーンだけを流れるデータは、暗号化されていない。
〔販売システム利用内容〕
(1) インターネットを介した顧客からの注文データなどは、まずWebサーバ経由で業務サーバにアクセスしてユーザ認証が行われる。認証できたデータは、業務サーバで処理され、必要に応じて DBサーバ上の業務 DBの参照・更新が行われる。
(2) 顧客管理業務を行っている業務部の担当者は、各自のアカウントID及びパスワードを用いて、業務 PCから業務サーバ、DBサーバにアクセスする。
(3) 販売システムへの上位アクセス権限をもつシステム部の DB 管理者は、管理 PCから業務 DBの保守ができる。
内部監査室のW室長は、販売システムの監査を実施するために、内部監査室のX君をリーダとする監査チームを作った。これまでのシステム監査は、内部監査室が主管部室となり、DBMSの機能を利用してログを収集し、監視していた。しかし、W室長は、昨今の“個人情報保護法”や“内部統制報告制度”(いわゆるJ-SOX)への対応を考慮すると、現在の監視機能だけでは不十分であると考えた。検討の結果、疑わしいアクセスに対する警告機能やレポート機能に優れているDB監査ツールを導入することにした。
DB監査ツール導入に際してシステムスキルが必要であるため、W室長はシステム部のY部長に応援を要請した。Y部長は、販売システムのDB管理者であるシステム部のZ君を、技術担当として監査チームメンバに任命した。W室長は、Z君にこれまでの経験を伝え、DB監査ツール導入検討を行うように依頼した。またZ君は、表に示す販売システム監査計画を立案し、これをW室長に報告し、承認を受けた。
Z君が採用したDB監査ツールの情報取得方式は、図中の破線で示すようにDB監査サーバを設置し、DBサーバに本番環境LAN経由で送られてくるパケットを監視してアクセス情報を記録するものである。この方式は、これまでのDBMSの機能を利用した方式と比較すると、ログ取得の際にaサーバへの負荷が発生せず、稼働中のaサーバに手を加える必要がないので短期間での導入が可能であるという特徴がある。
Z君は、監査に備えて特別な行動をされることを回避するために、業務部に事前に申し入れずにDB監査ツールを導入した。その後、監査チームは、表1(監査日程)に従って監査を開始した。まず、業務部における販売システムのアカウントID及びパスワードの取扱いに関して、業務部のアカウント管理者にヒアリングした。
〔業務部のアカウント管理者へのヒアリング結果(抜粋)〕
(a) 業務部のアカウント管理者は、業務部の担当者のアカウントIDに関する登録、変更及び削除の管理を適切に行っている。
(b) 業務部の担当者は、各自のパスワードを3か月ごとに変更するルールになっていて、それを遵守している。
(c) 顧客の個人特定情報へのアクセスは、業務部の中でも特別な権限を付与された担当者だけが行える。この権限の付与は、業務部長の承認を必要とする。
設問1:
本文中で、“監査の独立性”、及び“監査手続の正当性”のそれぞれの観点から見て不適切な行動がある。それぞれ、“だれ”が“何をした”(40字以内)かを述べよ。
模範解答
監査の独立性:
だれ:Y部長
何をした:システム部のZ君を技術担当として監査チームメンバに任命した。
監査手続の正当性
だれ:Z君
何をした:監査対象部署である業務部に事前に申し入れずにDB監査ツールを導入した。
解説
解答の論理構成
-
監査の独立性
- 監査人は、被監査部門から独立していなければなりません。
- 本文には「“システム部のY部長”は、販売システムのDB管理者である“システム部のZ君”を、技術担当として監査チームメンバに任命した。」とあります。
- “システム部”は【表 販売システム監査計画】の「[監査対象部署]・業務部、システム部」に示される被監査部門です。
- よって、被監査部門の長である“Y部長”が自部門の“Z君”を監査チームに入れた行為は、監査人の独立性を損ないます。
-
監査手続の正当性
- 正当な監査手続では、監査対象部署に対して必要な事前連絡・同意を得たうえで監査を実施します。
- 本文には「“Z君”は、監査に備えて特別な行動をされることを回避するために、業務部に事前に申し入れずにDB監査ツールを導入した。」と明記されています。
- “業務部”も【表 販売システム監査計画】の監査対象部署です。対象部署に無断で監査ツールを設置した行為は、手続の正当性を欠きます。
――以上より、模範解答は
監査の独立性:
だれ:Y部長
何をした:システム部のZ君を技術担当として監査チームメンバに任命した。
監査の独立性:
だれ:Y部長
何をした:システム部のZ君を技術担当として監査チームメンバに任命した。
監査手続の正当性:
だれ:Z君
何をした:監査対象部署である業務部に事前に申し入れずにDB監査ツールを導入した。
だれ:Z君
何をした:監査対象部署である業務部に事前に申し入れずにDB監査ツールを導入した。
誤りやすいポイント
- 「Z君が監査チームに入ったこと」そのものを独立性の欠如と判断し、行為者を“Z君”と書いてしまう。独立性を損ねたのは任命した“Y部長”です。
- DB監査ツールをひそかに導入した理由(証跡隠蔽の防止)に目を奪われて正当性を問題視しない。目的が正当でも手続が不適切ならアウトです。
- 個人情報保護法やJ-SOXと聞いてパスワード管理などの運用面に着目し過ぎ、設問が求める“行動”を具体的に書けない。
FAQ
Q: 監査チームに技術的助言を求める場合、被監査部門の技術者を使えないのですか?
A: 原則として外部専門家か、組織内でも被監査部門と利害関係をもたない部署の要員を起用します。被監査部門の要員は利害相反となり独立性を欠きます。
A: 原則として外部専門家か、組織内でも被監査部門と利害関係をもたない部署の要員を起用します。被監査部門の要員は利害相反となり独立性を欠きます。
Q: 無通告監査はすべて不適切なのですか?
A: 無通告監査自体は可能ですが、実施する権限を規程で定め、トップマネジメントの承認を得た上で行う必要があります。本問ではその手続きが踏まれていません。
A: 無通告監査自体は可能ですが、実施する権限を規程で定め、トップマネジメントの承認を得た上で行う必要があります。本問ではその手続きが踏まれていません。
Q: DB監査ツールの導入はシステムに変更を加えていますが、なぜ業務システムの負荷が増えないのですか?
A: 本文のとおり「DBサーバに本番環境LAN経由で送られてくるパケットを監視」する方式であり、「稼働中のaサーバに手を加える必要がない」からです。
A: 本文のとおり「DBサーバに本番環境LAN経由で送られてくるパケットを監視」する方式であり、「稼働中のaサーバに手を加える必要がない」からです。
関連キーワード: システム監査, 独立性, 監査手続, アクセスコントロール, 個人情報保護, 監査証拠
設問2:
監査チームは表の〔監査日程〕に従って監査を実行した。監査チームが実施した作業のうち、〔監査日程〕①~③に該当するものを、解答群の中から一つずつ選び、記号で答えよ。
解答群
ア:DB監査ツールで取得したアクセスログやレポートから、アクセスコントロールの存在を確認し、証跡を採取した。
イ:監査実行中に問題ありと判断した事項を、指摘事項として監査報告書に記載し、報告した。
ウ:監査対象部署での改善活動状況において、改善計画どおりに行われているかどうかを定期的に確認した。
エ:監査手続の内容、時期、範囲などについて、計画を立案した。
オ:販売システム設計書を読み、アクセスコントロール機能の内容を把握した。
模範解答
①:オ
②:ア
③:イ
解説
解答の論理構成
-
フェーズの定義を確認
- 【問題文】では〔監査日程〕として
① 予備調査、② 本調査、③ 評価・結論 が明示されています。 - この流れに沿い、各フェーズで実施すべき作業を整理します。
- 【問題文】では〔監査日程〕として
-
予備調査(①)に該当する作業を選定
- 予備調査では、監査対象や手続を把握・計画することが中心です。
- 解答群「エ:監査手続の内容、時期、範囲などについて、計画を立案した」は計画策定そのものですが、さらに詳細に対象システムの仕様を読み込む作業が含まれるのが通常です。
- 解答群「オ:販売システム設計書を読み、アクセスコントロール機能の内容を把握した」は、設計書レビューを通じた事前把握であり、予備調査の典型的な手続に合致します。
→ ①は「オ」。
-
本調査(②)に該当する作業を選定
- 本調査では、実データの取得・検証・証跡の採取を行います。
- 解答群「ア:DB監査ツールで取得したアクセスログやレポートから、アクセスコントロールの存在を確認し、証跡を採取した」はログ解析という実査そのものです。
→ ②は「ア」。
-
評価・結論(③)に該当する作業を選定
- 評価・結論フェーズでは、収集した証跡を基に問題点を整理し、報告書にまとめます。
- 解答群「イ:監査実行中に問題ありと判断した事項を、指摘事項として監査報告書に記載し、報告した」がこれに該当します。
→ ③は「イ」。
-
残りの解答群との整合
- 「エ」は①に近いが設計書を読んでいないため除外。
- 「ウ:改善計画どおりに行われているかどうかを定期的に確認した」はフォローアップ監査であり、今回の日程外フェーズです。
以上により、【模範解答】
①:オ ②:ア ③:イ が導出できます。
①:オ ②:ア ③:イ が導出できます。
誤りやすいポイント
・「エ」を①に選ぶと、計画立案だけで設計書レビューを含まない点が弱く、本調査以降の根拠が不足します。
・「ウ」は評価・結論フェーズと誤認しがちですが、実際には改善後のフォローアップであり別工程です。
・本調査=現場ヒアリングと短絡し、ログ分析を後工程と考えるミスに注意が必要です。
・「ウ」は評価・結論フェーズと誤認しがちですが、実際には改善後のフォローアップであり別工程です。
・本調査=現場ヒアリングと短絡し、ログ分析を後工程と考えるミスに注意が必要です。
FAQ
Q: 予備調査では必ず現場ヒアリングを行うのですか?
A: 必須ではありません。文書レビューやリスク分析のみで終えるケースもあります。現場ヒアリングは本調査で深堀りするほうが一般的です。
A: 必須ではありません。文書レビューやリスク分析のみで終えるケースもあります。現場ヒアリングは本調査で深堀りするほうが一般的です。
Q: 評価・結論フェーズで内部統制文書の更新まで実施するのですか?
A: 更新は監査人の業務外です。監査人は問題点を指摘し、経営に報告するまでで、文書修正は被監査部門が行います。
A: 更新は監査人の業務外です。監査人は問題点を指摘し、経営に報告するまでで、文書修正は被監査部門が行います。
Q: フォローアップ監査はいつ行われますか?
A: 通常は指摘事項の是正期限後に実施します。本問題の日程(③ 評価・結論)には含まれません。
A: 通常は指摘事項の是正期限後に実施します。本問題の日程(③ 評価・結論)には含まれません。
関連キーワード: 監査計画, 予備調査, 本調査, 監査証跡
設問3:DB監査ツールの情報取得方式について、(1)、(2)に答えよ。
(1)本文中のaに入れる適切な字句を、図中の名称で答えよ。
模範解答
a:DB
解説
解答の論理構成
- 【問題文】には「DB監査ツールの情報取得方式は、…DBサーバに本番環境LAN経由で送られてくるパケットを監視してアクセス情報を記録する」とあります。この方式で監視対象になっているのは「DBサーバ」です。
- さらに「この方式は、これまでのDBMSの機能を利用した方式と比較すると、ログ取得の際にaサーバへの負荷が発生せず、稼働中のaサーバに手を加える必要がない」と続きます。
- ログ取得の処理負荷が掛からないサーバとは、従来 DBMS の標準ログを動かしていた「DBサーバ」を指します。
- 以上より、a に入るのは図中・本文で一貫して用いられている名称「DB」です。
誤りやすいポイント
- パケット監視=ネットワーク装置と誤解し、「Webサーバ」や「業務サーバ」と記入してしまう。
- 本文に「DBサーバ」とあるため「DBサーバ」と解答してしまうが、空欄には“サーバ”が既に付いているので「DB」が正しい。
- 「ファイアウォール」や「本番環境LAN」を空欄候補に考えてしまい、負荷が掛かる対象を取り違える。
FAQ
Q: 「DBサーバ」と書いたら減点対象になりますか?
A: 設問が「図中の名称で答えよ」としており、図・本文で用いられる最小単位の名称は「DB」です。「DBサーバ」は余分な語が付くため誤答扱いになります。
A: 設問が「図中の名称で答えよ」としており、図・本文で用いられる最小単位の名称は「DB」です。「DBサーバ」は余分な語が付くため誤答扱いになります。
Q: なぜログ取得で「DBサーバ」への負荷が問題になるのですか?
A: DBMS の標準監査ログは SQL 実行ごとに I/O を発生させるため、高負荷状態ではトランザクション性能に影響します。パケット監視型なら処理を分離でき、性能低下を回避できます。
A: DBMS の標準監査ログは SQL 実行ごとに I/O を発生させるため、高負荷状態ではトランザクション性能に影響します。パケット監視型なら処理を分離でき、性能低下を回避できます。
Q: パケット監視型のデメリットはありますか?
A: ネットワーク上で暗号化されていると内容解析ができない点と、アプリケーションサーバ経由の内部処理(ストアドなど)の一部が見えにくい点が挙げられます。
A: ネットワーク上で暗号化されていると内容解析ができない点と、アプリケーションサーバ経由の内部処理(ストアドなど)の一部が見えにくい点が挙げられます。
関連キーワード: パケットキャプチャ, サーバ負荷, アクセスログ, アカウント管理, 暗号化
設問3:DB監査ツールの情報取得方式について、(1)、(2)に答えよ。
(2)販売システムにおいて、Z君が採用したDB監査ツールの情報取得方式では取得することができない業務DBへのアクセス情報は何か。20字以内で述べよ。
模範解答
管理PCから業務DBへのアクセス情報
解説
解答の論理構成
- 監査ツールの取得対象は「DBサーバに本番環境LAN経由で送られてくるパケット」だけ
─ 【問題文】「DB監査サーバを設置し、DBサーバに本番環境LAN経由で送られてくるパケットを監視してアクセス情報を記録する」と明記されています。 - したがって、本番環境LANを通らない通信はログに残らない
─ ツールはパケットを“盗み見る”方式なので、監視ポイントを通過しない経路のデータは取得できません。 - DB管理者は「管理 PCから業務 DB の保守ができる」
─ 【問題文】「システム部の DB 管理者は、管理 PCから業務 DB の保守ができる」とあります。 - 図より、管理 PC は運用管理LAN側に接続されており、本番環境LANとは別ネットワーク
─ つまり管理 PC → 業務 DB への通信は監査ツールの監視ポイントを経由しません。 - よって、ツールでは「管理PCから業務DBへのアクセス情報」を取得できない、という結論になります。
誤りやすいポイント
- Webサーバや業務サーバ経由のアクセスはすべて監視できると誤認し、LANの分割構成を見落とす。
- 「DBMSの機能を利用した方式」=アプリケーションログと混同し、物理的パケット監視の制約を忘れる。
- 管理 PC も“DBサーバに接続するのだから本番環境LANを使う”と早合点し、図上の運用管理LANを読み飛ばす。
FAQ
Q: 監査ツールを運用管理LAN側にも設置すれば解決しますか?
A: はい。監視ポイントを増設すれば取得可能ですが、ネットワーク負荷や機器コスト、二重取得によるログ整合性の課題が発生します。
A: はい。監視ポイントを増設すれば取得可能ですが、ネットワーク負荷や機器コスト、二重取得によるログ整合性の課題が発生します。
Q: DBMS 付属の監査機能との併用は必要ですか?
A: 物理監視では取得できない管理コマンドや内部処理ログを補完できるため、併用することで監査網羅性が高まります。
A: 物理監視では取得できない管理コマンドや内部処理ログを補完できるため、併用することで監査網羅性が高まります。
Q: パケットが暗号化されていても内容を読めますか?
A: 取得できるのはパケット情報(ヘッダ・経路・サイズなど)で、暗号化ペイロードは解読できません。内容解析が必要ならDBMS側の平文ログが不可欠です。
A: 取得できるのはパケット情報(ヘッダ・経路・サイズなど)で、暗号化ペイロードは解読できません。内容解析が必要ならDBMS側の平文ログが不可欠です。
関連キーワード: パケット監視, LAN分離, アクセスログ, 権限管理, 監査ツール
設問4:
監査チームは、業務部のアカウント管理者に業務部の担当者のアカウントIDなどの管理状況をヒアリングした。本文中のヒアリング結果(a)~(c)のそれぞれに関する証跡を採取するために、DB監査ツールで取得すべき記録はどれか。解答群の中から一つずつ選び、記号で答えよ。
解答群
ア:DB管理者による業務DB保守作業の記録
イ:業務部の担当者の販売システムアクセス累計時間の記録
ウ:業務部の担当者のパスワードが変更された記録
エ:顧客の個人特定情報にアクセスを行った業務部の担当者の記録
オ:顧客のパスワードが変更された記録
カ:退職した業務部の担当者のアカウントIDが削除された記録
模範解答
(a):カ
(b):ウ
(c):エ
解説
解答の論理構成
補足 – 他の選択肢が不適切な理由
・ア:DB管理者の作業はヒアリング(a)~(c)の対象外
・イ:累計時間だけでは“変更・削除”“定期変更”“特別権限”の証跡にならない
・オ:顧客パスワードはヒアリング内容に含まれていない
・ア:DB管理者の作業はヒアリング(a)~(c)の対象外
・イ:累計時間だけでは“変更・削除”“定期変更”“特別権限”の証跡にならない
・オ:顧客パスワードはヒアリング内容に含まれていない
誤りやすいポイント
- 「登録、変更及び削除」を網羅するために“登録”や“変更”の記録だけを選んでしまう
→ 削除漏れが内部統制上もっとも重大。必ず“削除”ログを押さえる。 - パスワードポリシを“有効期限設定”と混同し、累計アクセス時間(イ)を選ぶ誤答
- 「特別な権限=管理者」と早合点し、DB管理者作業(ア)を選んでしまう
FAQ
Q: パスワード変更履歴は OS の認証ログでも取得できますか?
A: 取得可能ですが、本問は「DB監査ツールで取得すべき記録」を問うているため、DBレベルのログで立証する必要があります。
A: 取得可能ですが、本問は「DB監査ツールで取得すべき記録」を問うているため、DBレベルのログで立証する必要があります。
Q: 監査ログにはアクセスの内容(SELECT の列名など)も残すべきですか?
A: 個人特定情報を対象とする場合、どのテーブル・列にアクセスしたかまで記録しないと特別権限の範囲を検証できません。列レベル監査が推奨されます。
A: 個人特定情報を対象とする場合、どのテーブル・列にアクセスしたかまで記録しないと特別権限の範囲を検証できません。列レベル監査が推奨されます。
Q: 「累計時間」のような集計情報は監査証跡として使われないのでしょうか?
A: 集計情報は傾向分析には有用ですが、個別事象の有無(削除されたか/変更したか)を示す直接的証跡にはなりません。本問のような統制テストでは個別ログが必須です。
A: 集計情報は傾向分析には有用ですが、個別事象の有無(削除されたか/変更したか)を示す直接的証跡にはなりません。本問のような統制テストでは個別ログが必須です。
関連キーワード: 監査証跡, アクセス制御, パスワード管理, 個人情報保護, ログモニタリング
