応用情報技術者 2018年 春期 午前2 問58
問題文
システム利用者に対して付与されるアクセス権の管理状況の監査で判明した状況のうち、監査人がシステム監査報告書で報告すべき指摘事項はどれか。
選択肢
ア:アクセス権を付与された利用者 ID・パスワードに関して、システム利用者が遵守すべき事項が規程として定められ、システム利用者に周知されていた。
イ:業務部門長によって、所属するシステム利用者に対するアクセス権の付与状況のレビューが定期的に行われていた。
ウ:システム利用者に対するアクセス権の付与・変更・削除に関する管理手続が、規程として定められていた。
エ:退職・異動したシステム利用者に付与されていたアクセス権の削除・変更は、定期人事異動がある年度初めに全てまとめて行われていた。(正解)
システム利用者のアクセス権管理監査における指摘事項【午前2 解説】
要点まとめ
- 結論:退職・異動者のアクセス権削除が年度初めの一括対応では、タイムリーな権限管理ができず指摘対象となる。
- 根拠:アクセス権は利用者の異動や退職に応じて速やかに変更・削除し、不正アクセスリスクを低減する必要がある。
- 差がつくポイント:定期的なレビューや規程の整備だけでなく、実務での即時対応が求められる点を理解すること。
正解の理由
選択肢エは、退職・異動者のアクセス権削除を年度初めの一括処理に限定しているため、実際の異動・退職時に即時対応がなされていません。これにより、不要なアクセス権が残存し、不正アクセスや情報漏洩のリスクが高まるため、監査報告書で指摘すべき重要な問題です。
よくある誤解
アクセス権管理は規程や定期レビューがあれば十分と考えがちですが、実際には異動・退職時の即時対応が最も重要です。まとめて処理する方法はリスクを見落とします。
解法ステップ
- 問題文で「監査報告書で報告すべき指摘事項」を問われていることを確認。
- 各選択肢の内容がアクセス権管理のどの側面に関するかを把握。
- 規程の有無やレビューの実施は問題ないかを判断。
- 退職・異動者のアクセス権削除のタイミングに注目し、即時対応か一括対応かを比較。
- リスクが高い一括対応を指摘事項として選択。
選択肢別の誤答解説
- ア:利用者ID・パスワードの遵守事項が規程化・周知されており問題なし。
- イ:業務部門長による定期的なアクセス権レビューが実施されており適切。
- ウ:アクセス権の付与・変更・削除に関する管理手続が規程化されているため問題なし。
- エ:退職・異動者のアクセス権削除が年度初めの一括処理で遅延し、リスクが高いため指摘対象。
補足コラム
アクセス権管理は情報セキュリティの基本であり、特に退職・異動時の権限変更は「即時性」が求められます。遅延すると内部不正や情報漏洩の温床となるため、監査ではこの点が重点的にチェックされます。
FAQ
Q: なぜアクセス権の一括削除が問題になるのですか?
A: 一括削除は異動・退職後も不要な権限が残る期間が長くなり、不正利用のリスクが増すためです。
A: 一括削除は異動・退職後も不要な権限が残る期間が長くなり、不正利用のリスクが増すためです。
Q: 定期レビューがあればアクセス権管理は十分ですか?
A: 定期レビューは重要ですが、異動・退職時の即時対応がなければリスクを完全に防げません。
A: 定期レビューは重要ですが、異動・退職時の即時対応がなければリスクを完全に防げません。
関連キーワード: アクセス権管理、退職者対応、情報セキュリティ監査、権限管理、内部統制
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!