応用情報技術者 2016年 秋期 午後 問11
ID管理の監査に関する次の記述を読んで、設問1~6に答えよ。
T社は、関東を中心に、住宅の販売、施工及びリフォームを手掛けている住宅販売会社である。T社の基幹システムである住宅販売システムは、重要な情報を管理していることから、T社ではアクセス管理を強化することにした。その一環として、T社の監査室は、住宅販売システムを利用するためのID(以下、利用者IDという)の管理状況について、システム監査を実施することにした。
〔住宅販売システムの予備調査〕
住宅販売システムは自社で開発し、本社の営業管理部と20か所の支店で利用されている。監査室では、これらの利用者IDの管理状況について予備調査を行い、次の情報を入手した。
(1) 利用者IDの概要
利用者IDは、住宅販売システムの権限マスタで管理されている。権限マスタには、利用者ID、利用者名、所属、役職、利用権限及び最終更新日が記録されている。利用権限には、メニュー別に利用の可否を設定できる。
① メニューのうち、管理者メニューでは、権限マスタの更新及びアクセスログの参照ができる。管理者メニューの利用権限が与えられているのは、各支店及び営業管理部のそれぞれ1名(以下、システム管理者という)である。
② システム管理者以外の利用者IDには、管理者メニュー以外の各メニューの入力、承認、参照などの利用権限が設定されており、住宅販売システムの顧客情報などもダウンロードできる。
支店では、一部の従業員しか住宅販売システムを利用していないので、利用者IDの付与は当該従業員に限定されている。一方、営業管理部に所属している従業員の場合、全員に利用者IDが付与されている。
(2) 利用者IDの更新(登録・変更・削除)
利用者IDの更新は、各支店及び営業管理部のシステム管理者が実施している。
① 支店の利用者IDの更新については、ID申請書に利用者本人が必要事項を記入し、支店長の承認を受けた後、当該支店のシステム管理者に渡している。システム管理者は、承認済みID申請書に基づいて、権限マスタデータを更新している。
② 営業管理部の利用者IDの更新については、ID申請書に利用者本人が必要事項を記入し、本人が所属する課の課長の承認を受けた後、営業管理部のシステム管理者に渡している。システム管理者は、ID管理台帳に利用者ID情報を記載した後に、権限マスタデータを更新している。ID管理台帳には、利用者ID、利用者名、所属、役職、利用権限及び更新日が記載されている。
③ 利用者IDは、“部門番号+連番”で構成されており、人事システムの情報を更新しても権限マスタの情報は自動更新されない。したがって、部門間の異動の場合には、異動元での削除申請と異動先での登録申請を行う必要がある。
(3) 利用者IDの定期的な確認(以下、利用者ID棚卸という)
利用者ID棚卸は、権限マスタの登録内容が適切かどうかを定期的に確認するために、年に2回、各支店及び営業管理部で実施されている。
① 支店では、利用者ID数が少ないので、各支店のシステム管理者が住宅販売システムの権限マスター一覧画面で、利用者ID、利用者名、所属及び役職を照会し、画面上で直接確認作業を行っている。このとき、支店に在籍していない従業員の利用者IDが発見された場合は、支店長の承認を得て画面上で権限マスタデータを更新している。
② 営業管理部では、システム管理者がID管理台帳のコピーを利用者ID棚卸リストとして各課に配布する。各課の課長は、利用権限などの各項目にチェックマークを付けながら訂正事項があれば記載し、承認印を押してシステム管理者に返している。システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し、営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。
(4) 利用者IDの監視
情報漏えい防止の観点から、情報をダウンロードできるメニューの利用を記録しており、各支店及び営業管理部のシステム管理者が利用結果を監視している。情報のダウンロード用のメニューは、利用しやすいように情報の種類別に提供されている。
① ダウンロードの理由を記録に残すために、当該メニューの利用者は必ずシステム管理者にダウンロードの対象範囲及び理由を電子メールで報告する。ダウンロード操作は、システム管理者が実施する場合もある。その場合にはシステム管理者自身宛ての電子メールで記録に残す。
②システム管理者は、住宅販売システムのアクセスログから情報のダウンロード用メニューの利用ログを選択して“月次ログリスト”として出力し、内容のレビューを行い、確認印を押している。不正アクセスが発見された場合は、支店長又は営業管理部長に報告している。
〔監査計画〕
監査室は、予備調査で入手した情報に基づいて監査要点を検討し、これに対応する監査手続を策定して、表1に示す“監査手続一覧”にまとめた。
設問1:
表1中の項番(1)の監査手続①だけでは、利用者IDの不正な更新を検出できない場合がある。どのような場合に検出できないか、25字以内で述べよ。
模範解答
承認済みID申請書がなく更新される場合
解説
解答の論理構成
- 【問題文】の表1 “監査手続一覧” 項番(1) 監査手続①は
「“承認済みID申請書” に対応する “権限マスタデータ” が当該ID申請書の内容と一致しているかどうかを確かめる。」
と記載されています。 - つまり監査人は「既に存在する“承認済みID申請書”」を起点にして “権限マスタデータ” を突き合わせる手順しか実行しません。
- しかし【問題文】(2) 利用者IDの更新には、各システム管理者が直接 “権限マスタデータ” を更新できる運用が明示されています。
- 従って、もしシステム管理者が “承認済みID申請書” を作成・取得せずに “権限マスタデータ” を更新した場合、監査手続①の比較対象(申請書)が存在しません。
- 比較対象がないため突合できず、当該不正更新は検出不能となります。
- 以上より、模範解答は「承認済みID申請書がなく更新される場合」となります。
誤りやすいポイント
- 「申請書とマスタの内容不一致」を想定し、申請書自体の欠如を見落とす。
- “権限マスタデータ” の変更ログがあるから十分と早合点し、申請‐承認プロセスを軽視する。
- 「削除」「変更」「新規付与」の区別に気を取られ、共通の検出漏れ要因を整理できない。
FAQ
Q: 申請書がなくても変更ログを調べれば不正更新を検出できるのでは?
A: ログだけでは「業務手順を踏んだ正当な更新かどうか」を判断できません。監査では必ず “承認済みID申請書” という証憑と突合し、不備を検出します。
A: ログだけでは「業務手順を踏んだ正当な更新かどうか」を判断できません。監査では必ず “承認済みID申請書” という証憑と突合し、不備を検出します。
Q: 監査手続①を補完する追加手続には何が考えられる?
A: “権限マスタデータ” の更新ログを全件取得し、期間内の全レコード変化を “承認済みID申請書” の有無と突合することが有効です。
A: “権限マスタデータ” の更新ログを全件取得し、期間内の全レコード変化を “承認済みID申請書” の有無と突合することが有効です。
Q: システム管理者の作業を二重承認にすれば解決しますか?
A: 承認権限を別職務へ分離し、システム管理者は技術作業のみとすることで抑止力が高まります。監査でもチェックが容易になります。
A: 承認権限を別職務へ分離し、システム管理者は技術作業のみとすることで抑止力が高まります。監査でもチェックが容易になります。
関連キーワード: 権限管理、内部統制、監査証跡、職務分掌、アクセス権レビュー
設問2:
表中の項番(1)のaに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:権限マスタの最終更新日
イ:権限マスタの利用者ID
ウ:システム管理者の利用者IDのアクセスログ
エ:人事異動及び退職
模範解答
a:エ
解説
解答の論理構成
-
監査手続一覧の該当箇所
“② 削除申請については、ID申請書の網羅性を検証するために、aの情報に基づいてID申請書の有無を確かめる。”
― ここで監査人は「削除申請」が漏れていないかをチェックしたいと述べています。 -
予備調査で得られた削除申請が発生する契機
“権限マスタの情報は自動更新されない。したがって、部門間の異動の場合には、異動元での削除申請と異動先での登録申請を行う必要がある。”
― 利用者IDの削除は「異動」と「退職」で発生することが読み取れます。 -
監査人が照合すべき外部情報
削除申請の網羅性を調べるには、そもそも異動・退職者リストと突合し、削除申請書があるかを確認するのが最も確実です。
したがって a には “人事異動及び退職” を入れるのが妥当です。 -
解答
a:エ
誤りやすいポイント
- “権限マスタの最終更新日” を選ぶと、更新漏れの有無しか確認できず、削除申請がそもそも提出されたかどうかは判別できません。
- “権限マスタの利用者ID” は現状の登録情報であり、削除すべき人を網羅的に抽出できません。
- “システム管理者の利用者IDのアクセスログ” は不正操作の痕跡確認には有効でも、削除申請の網羅性検証とは目的が異なります。
FAQ
Q: 監査で“網羅性”を確認するときは必ず外部情報が必要ですか?
A: はい。内部表だけでは「そもそも含まれるべきもの」が欠落しているか判定できないため、人事台帳など外部の独立した情報源が必要です。
A: はい。内部表だけでは「そもそも含まれるべきもの」が欠落しているか判定できないため、人事台帳など外部の独立した情報源が必要です。
Q: “異動後に削除せず権限だけ変更”でも問題になるのですか?
A: 問題になります。削除せず残すと異動前の組織で不要な権限が残るため、権限肥大化や不正利用リスクが生じます。
A: 問題になります。削除せず残すと異動前の組織で不要な権限が残るため、権限肥大化や不正利用リスクが生じます。
Q: “退職者IDの自動失効”機能を追加すれば監査手続は不要になりますか?
A: 自動失効機能が整備されても、正しく動作しているかを確認する監査手続は必要です。プロセスを仕組みに置き換えても監査の視点は残ります。
A: 自動失効機能が整備されても、正しく動作しているかを確認する監査手続は必要です。プロセスを仕組みに置き換えても監査の視点は残ります。
関連キーワード: システム監査、ID管理、権限マスタ、人事異動、棚卸
設問3:
支店の現状の利用者ID棚卸の手続では、表1中の項番(2)の監査手続①を実施するのに支障を来す。その理由を25字以内で述べよ。
模範解答
利用者ID棚卸を実施した証跡が残らないから
解説
解答の論理構成
- 監査手続①では「支店において、利用者ID棚卸が適切に実施されているかどうかを確かめる。」と定義されています。
- 監査人が確かめるには、棚卸を行った事実を示す“証跡”が不可欠です。
- ところが【問題文】には、支店での棚卸方法として
- 「① 支店では、利用者ID数が少ないので、各支店のシステム管理者が住宅販売システムの権限マスター一覧画面で、利用者ID、利用者名、所属及び役職を照会し、画面上で直接確認作業を行っている。」
- 「このとき、支店に在籍していない従業員の利用者IDが発見された場合は、支店長の承認を得て画面上で権限マスタデータを更新している。」
とあるだけで、紙や電子ファイルの記録を残す記述がありません。
- よって監査人が画面確認の実施状況や結果を後から追跡・検証できず、手続①の実施に支障を来します。
- 以上より、模範解答「利用者ID棚卸を実施した証跡が残らないから」が導かれます。
誤りやすいポイント
- 「支店長の承認を得て画面上で権限マスタデータを更新している」=証跡ありと早合点する
(承認プロセスの存在と証跡の保存は別問題です)。 - 営業管理部の手続と混同し、支店にも「ID管理台帳」や「棚卸リスト」があると誤解する。
- “証跡”を単なるログと捉え、画面操作ログで代替できると判断してしまう
(問題文はログ出力について触れていません)。
FAQ
Q: 監査証跡とは具体的に何を指しますか?
A: 申請書・棚卸チェックリスト・承認印付き書類など、作業内容と結果を後から検証できる客観的な記録です。
A: 申請書・棚卸チェックリスト・承認印付き書類など、作業内容と結果を後から検証できる客観的な記録です。
Q: 画面上での直接確認でもスクリーンショットを残せば十分でしょうか?
A: スクリーンショットを保存し、作業者・日時・承認者を明示すれば証跡となり得ます。ただし問題文にはその運用が記載されていないため“不足”と判断します。
A: スクリーンショットを保存し、作業者・日時・承認者を明示すれば証跡となり得ます。ただし問題文にはその運用が記載されていないため“不足”と判断します。
Q: “月次ログリスト”は支店棚卸の証跡に使えますか?
A: いいえ。月次ログリストはダウンロード監視用であり、棚卸(ID適正性確認)の記録とは目的が異なります。
A: いいえ。月次ログリストはダウンロード監視用であり、棚卸(ID適正性確認)の記録とは目的が異なります。
関連キーワード: 証跡、内部統制、棚卸、アクセス管理、システム監査
設問4:
表1中の項番(2)の監査手続③において照合すべきbとcに入れる適切な字句を、それぞれ10字以内で答えよ(bとcは順不同)。
模範解答
b:権限マスタ
c:ID管理台帳
解説
解答の論理構成
- 監査手続③には「監査人が自らbとcを照合し、一致しているかどうかを確かめる。」とあります。ここで求められているのは、営業管理部における利用者ID棚卸の正確性を裏づける二つの独立した情報源です。
- 【問題文】「(2) 利用者IDの更新(登録・変更・削除)」②に、
「営業管理部のシステム管理者は、ID管理台帳に利用者ID情報を記載した後に、権限マスタデータを更新している。」
とあるように、営業管理部では
・“ID管理台帳” … 登録・変更の原票
・“権限マスタ” … 住宅販売システムが実際に参照するデータベース
の二段構えでID情報を保持しています。 - 同じ項目②には「ID管理台帳には、利用者ID、利用者名、所属、役職、利用権限及び更新日が記載されている。」と記載され、権限マスタにも同内容の項目があると(1)①で示されています。双方は一致していなければなりません。
- しかし、監査室は「営業管理部の利用者ID棚卸の手続が不十分」と判断しています。すなわち、棚卸リスト(ID管理台帳のコピー)でのチェックだけでは権限マスタとの同期が担保されていない可能性があるため、監査人自身が直接突き合わせる必要があります。
- 以上より、照合すべき二つの帳票は「権限マスタ」と「ID管理台帳」であると導けます。
誤りやすいポイント
- 「利用者ID棚卸リスト」を含めて三つの書類が登場するため、どれとどれを突き合わせるのか混同しやすいです。監査人が照合するのはコピーではなく元データ同士です。
- 支店ではID申請書だけで直接マスタを更新する運用なので、営業管理部の流れをそのまま支店に当てはめて考えてしまうミスが起こりがちです。
- 「ID申請書を照合」と連想してしまう受験者も多いですが、監査手続③は棚卸の不備補完が目的であり、申請書との付合せは手続①で既に実施済みです。
FAQ
Q: なぜ棚卸リストではなく「ID管理台帳」を使うのですか?
A: 棚卸リストは台帳のコピーであり、誤写やコピー忘れのリスクがあります。元データである「ID管理台帳」と「権限マスタ」を直接比較する方が信頼性が高いからです。
A: 棚卸リストは台帳のコピーであり、誤写やコピー忘れのリスクがあります。元データである「ID管理台帳」と「権限マスタ」を直接比較する方が信頼性が高いからです。
Q: 「ID申請書」は照合対象に入らないのですか?
A: ID申請書は登録・削除の証跡を確認する資料で、監査手続(1)①②で活用します。棚卸の適切性確認(手続(2)③)では最新状態の一致確認が目的なので、マスタと台帳を使います。
A: ID申請書は登録・削除の証跡を確認する資料で、監査手続(1)①②で活用します。棚卸の適切性確認(手続(2)③)では最新状態の一致確認が目的なので、マスタと台帳を使います。
Q: 監査人が自ら突き合わせる理由は何ですか?
A: 営業管理部の棚卸プロセスに不備があり、内部者によるレビューだけでは十分な抑止力が働かないと判断されたため、監査人が独立した立場で突合せチェックを行います。
A: 営業管理部の棚卸プロセスに不備があり、内部者によるレビューだけでは十分な抑止力が働かないと判断されたため、監査人が独立した立場で突合せチェックを行います。
関連キーワード: アクセス管理、ID棚卸、権限マスタ、内部統制、ログ監査
設問5:
表1中の項番(3)のdに入れる最も適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:可用性
イ:機密性
ウ:効率性
エ:網羅性
模範解答
d:エ
解説
解答の論理構成
- 月次ログリストとは
【問題文】の「② システム管理者は、住宅販売システムのアクセスログから情報のダウンロード用メニューの利用ログを選択して“月次ログリスト”として出力し、内容のレビューを行い、確認印を押している。」とあるように、ダウンロード用メニューの全利用ログが対象です。 - 監査人が確認したいこと
表1「(3) 利用者IDの監視が有効に実施されているか。」の監査要点は、ログ監視が“有効”かどうかです。有効であるためには、不正アクセスの痕跡を漏れなく検知できるよう、出力対象が完全でなければなりません。 - 完全性=網羅性
ログが漏れていない状態を監査用語では「網羅性」と呼びます。したがって、監査手続「① 月次ログリストの出力対象が、dを満たしているかどうかを確かめる。」に当てはめると、「網羅性」を満たしているかを確認する、という記述が最も適切です。 - 他の選択肢との比較
・「ア:可用性」はシステムやデータが利用可能であるかの属性で、ログ収集範囲の議論ではありません。
・「イ:機密性」は情報が漏えいしない仕組みを指し、ログ出力対象の範囲とは無関係です。
・「ウ:効率性」は処理コストや作業時間の観点であり、これも監査趣旨と一致しません。
以上から d は「エ:網羅性」となります。
誤りやすいポイント
- 「機密性」が目に付くので選んでしまう
ダウンロードは情報漏えいリスクと直結するため「イ:機密性」に飛びつきがちですが、ここで問われているのは“リストの対象範囲”です。 - 「可用性」と混同する
ログの取得漏れ=ログが“存在しない”状況を可用性と誤解するケースがありますが、監査では取得範囲の完全性を「網羅性」という用語で区別します。 - “効率”を重視しすぎる
システム管理者の作業負荷に注目して「ウ:効率性」を選ぶと失点します。監査要点は負荷ではなく不正検知能力です。
FAQ
Q: 「網羅性」と「完全性」は同じ意味ですか?
A: 監査分野ではほぼ同義ですが、表1の空欄を埋めるには【解答群】にある正確な語「網羅性」を選ぶ必要があります。
A: 監査分野ではほぼ同義ですが、表1の空欄を埋めるには【解答群】にある正確な語「網羅性」を選ぶ必要があります。
Q: ログの機密性は監査対象にならないのですか?
A: もちろん重要ですが、本問の空欄は“出力対象が漏れなく含まれているか”という観点なので、機密性は別の制御項目になります。
A: もちろん重要ですが、本問の空欄は“出力対象が漏れなく含まれているか”という観点なので、機密性は別の制御項目になります。
Q: 月次ではなくリアルタイム監視にすべきでは?
A: ビジネス要件やコストとの兼ね合いで月次とされています。監査では、設定された運用手順が目的(不正検知)を果たしているかを評価します。
A: ビジネス要件やコストとの兼ね合いで月次とされています。監査では、設定された運用手順が目的(不正検知)を果たしているかを評価します。
関連キーワード: ログ監査、監査証跡、完全性管理、内部統制
設問6:
表1中の項番(3)の監査手続①及び②の結果に問題がなかったとしても現状のシステム管理者による利用ログのレビューでは不正が適切に報告されない可能性がある。考えられる可能性を25字以内で述べよ。
模範解答
システム管理者の不正なアクセスが報告されない。
解説
解答の論理構成
- 監査手続①②は、“月次ログリスト”の網羅性とシステム管理者の確認印をチェックするだけです。
引用:「月次ログリストの出力対象が、dを満たしているかどうかを確かめる。」「リストにシステム管理者の確認印があるかどうかを確かめる。」 - 監視主体は“各支店及び営業管理部のシステム管理者”自身です。
引用:「各支店及び営業管理部のシステム管理者が利用結果を監視している。」 - さらに、ダウンロード操作を行うのも同一人物の場合があります。
引用:「ダウンロード操作は、システム管理者が実施する場合もある。」 - よって、不正行為の主体と監視者が同一であるため、自己の不正を自ら報告しない事態が想定されます。
⇒ 「システム管理者の不正なアクセスが報告されない。」
誤りやすいポイント
- 「確認印がある=不正検出」と短絡し、監視主体の適切性を見落とす。
- 監査手続①②が十分と思い込み、“監視者と実行者の分離”という基本統制を忘れる。
- 外部侵入ばかりに注目し、内部不正のリスクを軽視する。
FAQ
Q: システム管理者以外にレビューを委任すれば問題は解消しますか?
A: はい。業務部門長や監査部門など、利害の異なる第三者がレビューすれば牽制が働きます。
A: はい。業務部門長や監査部門など、利害の異なる第三者がレビューすれば牽制が働きます。
Q: ログの改ざん防止策は不要ですか?
A: 改ざん防止も重要ですが、本設問は「報告プロセスの独立性」欠如が主眼です。
A: 改ざん防止も重要ですが、本設問は「報告プロセスの独立性」欠如が主眼です。
Q: 自動アラート機能を導入すれば解決しますか?
A: アラート設定は有効ですが、最終レビュー者が同じ権限を持つ限り完全解決にはなりません。
A: アラート設定は有効ですが、最終レビュー者が同じ権限を持つ限り完全解決にはなりません。
関連キーワード: 職務分掌、内部不正、ログレビュー、権限分離、牽制統制
