基本情報技術者 2013年秋期午前（科目A）問59

問題文

アクセス制御を監査するシステム監査人がとった行動のうち、適切なものはどれか。

選択肢

ア：ソフトウェアに関するアクセス制御の管理表の作成と保管

イ：データに関するアクセス制御の管理状況の確認（正解）

ウ：ネットワークに関するアクセス制御の管理方針の制定

エ：ハードウェアに関するアクセス制御の運用管理の実施

##: アクセス制御を監査するシステム監査人がとった行動のうち、適切なものはどれか。【午前2 解説】

要点まとめ

結論：監査人はアクセス制御の「作成・運用」を行う者ではなく、管理状況や適合性を独立して確認し報告する役割を担います。
根拠：監査の本質は独立性に基づく証拠収集と評価であり、方針策定や運用は経営・管理側の職務です。
差がつくポイント：選択肢が「確認（検証）」か「作成・運用（実行）」かを明確に見極め、職務範囲に合う行為を選ぶこと。

正解の理由

正解はイです。監査人の適切な行動は「データに関するアクセス制御の管理状況の確認」です。監査人はシステムやデータのアクセス制御が定められた方針に沿って実施されているか、アクセス権限付与／変更／削除の手続きやログ記録が適切に行われているかなどの管理状況を独立して検証し、証拠に基づいて評価・報告します。作成や方針制定、日常運用は管理側の業務であり、監査人がそれらを行うべきではありません。

よくある誤解

監査人が改善策を「実行」してもよい：提言や助言は可能でも、実際の設定変更や運用実施は管理側が行い、監査人は独立性を失わないようにします。
文書確認＝監査完結と考える：文書は重要だが、実際の運用状況（ログやアクセス履歴、承認記録など）との突合も必要です。
方針の制定は監査の仕事だと誤解する：方針は管理側が策定するものであり、監査はその適合性を評価する立場です。

解法ステップ

問題文から役割を確認：システム監査人＝監査人（独立して検証・評価する人）であると認識する。
各選択肢を「検証（監査）」か「実施／作成（管理）」かに分類する。
監査人の職務範囲に合う「確認／評価」に該当する選択肢を選ぶ。
選択肢が複数該当しそうなら「独立性を損なう行為」かを基準に除外する。

選択肢別の誤答解説

ア: ソフトウェアに関するアクセス制御の管理表の作成と保管
- 誤り。管理表の作成や保管は運用・管理の実務であり、監査人が実行すべきではありません。監査人はその管理表の存在・正確性・運用を確認する立場です。
イ: データに関するアクセス制御の管理状況の確認
- 正解。これは監査人が行うべき検証・評価活動であり、独立して証拠を収集して適合性を判断します。
ウ: ネットワークに関するアクセス制御の管理方針の制定
- 誤り。方針の策定は経営・管理層の責務であり、監査人はその方針の妥当性や実施状況を評価する役割です。
エ: ハードウェアに関するアクセス制御の運用管理の実施
- 誤り。運用管理の実施は実務担当者の仕事で、監査人が直接実行すると独立性が損なわれます。

補足コラム

監査人の基本原則は「独立性」と「客観的証拠」に基づく評価です。アクセス制御の監査で集める代表的な証拠は、アクセス権限一覧、承認フロー記録、アクセスログ、変更履歴、ポリシー文書、運用手順書、関係者へのインタビューなどです。監査報告には発見事項、影響度、再発防止策の提言を含めますが、提言を実行するのは管理側です。内部監査であっても、監査実施中に管理作業に手を出すと監査の信頼性が低下します。

FAQ

Q1: 監査人が設定の誤りを発見したら自分で直してよいですか？
A1: いいえ。発見は報告し、管理側に修正を実施させ、その後の是正措置の確認を行います。監査人が直接修正すると独立性が失われます。

Q2: 「管理状況の確認」とは具体的に何をするのですか？
A2: 方針・手順の存在確認、権限付与プロセスの検証、ログや承認記録の照合、アクセス異常の確認など、証拠に基づく検証を行います。

Q3: 監査人は方針の改善提案をしてよいですか？
A3: はい。改善提案や助言は可能ですが、実装は管理側が行い、監査人は実施後に評価します。

Q4: 内部監査と外部監査で役割は違いますか？
A4: 基本的な役割（検証・評価）は同じですが、外部監査はさらに独立性が求められ、利害関係の有無が厳しく問われます。

関連キーワード: アクセス制御、システム監査人、監査手続、独立性、証拠収集、内部統制、ログ監査

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！