戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2014年 秋期 41


問題文

会計システムに次のようなアクセスの記録を蓄積する機能があるとき、この蓄積された情報を利用して実施するシステム監査の目的として、適切なものはどれか。
入力されたユーザIDとパスワードの組合せを、あらかじめ登録された内容と照合し、一致する場合は会計業務メニュー画面へ遷移し、一致しない場合はログインエラー画面へ遷移する。このとき、ユーザID、照合日時及び照合結果をアクセス記録として蓄積する。

選択肢

システムの障害情報を記録していることを確認する。
システムの利用者に対する利便性を確認する。
システム利用権限の運用の適切性を確認する。(正解)
品質マネジメントシステムの要求事項への適合性を確認する。

🔒 解説は解答すると表示されます

アクセス記録の蓄積とシステム監査の目的【ITパスポート 解説】

正解の理由

会計システムが「ユーザID、照合日時及び照合結果」をアクセス記録として蓄積している目的は、誰がいつどのようにシステムへアクセスしたかを追跡できるようにすることです。これは利用者ごとの権限運用が適切に守られているか(例えば、権限のない者がログインしていないか、正しい手順で認証・認可が行われているか)を確認するための証跡(ログ)になります。したがってシステム監査の目的として最も適切なのは の「システム利用権限の運用の適切性を確認する」です。
  • ログに記録される「ユーザID」「照合日時」「照合結果(成功・失敗)」は、誰がいつ認証(Authentication:本人確認)を試み、成功したかを示します。
  • これにより、不正利用や権限逸脱(権限を持たないユーザが利用していないか)、運用ルール(パスワード共有禁止、アカウントの凍結手続き等)の順守状況を検証できます。

解法ステップ

  1. 問題文で蓄積している情報を確認する
    • 記録内容:ユーザID、照合日時、照合結果(成功/失敗)
  2. その情報が何を示すかを考える
    • 誰が(ユーザID)・いつ(照合日時)・認証が成功したか(照合結果)を示す → アクセスの「証跡(ログ)」
  3. 監査の目的候補と照らし合わせる
    • 障害情報の記録確認(ア)→ 障害ログ(エラー、例外)なら該当だが、今回の記録は「認証ログ」なので違う
    • 利便性確認(イ)→ 利便性は利用状況や操作の簡便さを見る指標で、認証ログ単独では不十分
    • 利用権限運用適性(ウ)→ 認証ログは誰が使っているか・アクセス成功/失敗を示すため該当
    • 品質マネジメント適合(エ)→ ISO等の品質マネジメントは別の仕組みであり、今回の記録の主目的ではない
  4. 最も合致するものを選ぶ →

選択肢別の誤答解説

  • ア: システムの障害情報を記録していることを確認する。
    誤り。障害情報とは、システムのエラーや例外、停止などの情報を指します。今回のログは認証(ログイン)の記録であり、障害そのものを記録するものではありません。障害監査ではエラーログや障害時刻、復旧手順の記録を確認します。
  • イ: システムの利用者に対する利便性を確認する。
    誤り。利便性(ユーザビリティ)は画面の分かりやすさや操作のしやすさ、ユーザ満足度などで評価します。認証の成否ログだけでは、操作のしやすさや使い勝手を測ることはできません。利便性は別の指標(操作時間、エラーメッセージの発生頻度、ユーザアンケート等)で見る必要があります。
  • : システム利用権限の運用の適切性を確認する。
    正解。認証の記録は、誰がいつアクセスできたか(できなかったか)を示すため、権限の運用(適切なユーザ管理、不要な権限の付与がないか、ログイン失敗が多発していないか等)を監査するのに最適です。
  • エ: 品質マネジメントシステムの要求事項への適合性を確認する。
    誤り。品質マネジメント(例:ISO 9001)は品質に関する組織的な管理体制の要求事項への適合性を確認するものです。今回のログはセキュリティ・アクセス管理に関する記録であり、品質マネジメント全体の適合性確認が主目的ではありません。

よくある誤解

  1. 「ログがあれば障害監査にも使える」と考える誤解
    • 障害監査ではエラー内容や稼働状態、復旧手順などが重要です。認証ログだけでは障害の原因特定は難しいです。
  2. 「ログ = 利便性の評価材料になる」と混同する誤解
    • ログは事実(誰がいつ何をした)を示しますが、操作のしやすさやユーザ満足度は別の視点で評価します。ログは補助情報にはなりますが、直接的な利便性評価には不十分です。
  3. 「認証(Authentication)と認可(Authorization)を同じと考える」誤解
    • 認証は「本人確認(例:IDとパスワードで本人か確認すること)」、認可は「認証後にその人が何をできるか(権限)を決めること」です。今回のログは認証結果を示しますが、監査では認可(権限設定)が適切かどうかに照らして評価します。

補足コラム

  • ログ(記録)とは
    ログはシステムで起きた出来事を時系列で記録したものです。英語では「log」。証跡(Audit trail)とも呼ばれ、監査や不正追跡、障害解析に使われます。
  • 監査で見るべきポイント(認証ログに対して)
    • 完全性:必要な項目(ユーザID・日時・結果)が欠けずに記録されているか
    • 正確性:時刻が正しいか(タイムゾーン、NTPによる時刻合わせがされているか)
    • 保全性:ログが改ざんされないように保護されているか(アクセス制御、書き込み専用保存等)
    • 保管期間:法令や社内規定に従った保存期間が設定されているか
    • アクセス権限:ログに誰がアクセスできるかが制御されているか(監査証跡自体の管理)
  • 監査での具体例
    • ログイン失敗が短期間に多数ある→ブルートフォース攻撃の疑い
    • 退職者アカウントで成功ログがある→権限削除が運用されていない可能性

FAQ

Q1. 「照合結果が成功/失敗だけでも十分ですか?」
A1. 初歩的な監査では成功/失敗でも有用です。しかし詳細監査では、接続元IPアドレス、端末情報、処理した業務項目などがあればより精度の高い検証ができます。
Q2. ログはどれくらい保存すべきですか?
A2. 保存期間は法令や業界規範、社内ポリシーによります。一般には数か月〜数年が多く、重要な取引や不正調査が想定される場合は長期間保存するケースもあります。保存期間はリスクとコストで決めます。
Q3. ログを監査する際の注意点は?
A3. ログ自体の改ざんを防ぐこと(アクセス制御、チェックサム、WORMストレージ等)と、ログを解析するための適切な権限付与(監査担当者のみが閲覧可能)です。

関連キーワード: アクセスログ、監査証跡、認証(Authentication)、認可(Authorization)、権限管理、ログ管理、改ざん防止、保管期間、インシデント対応
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について