戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2016年 秋期

情報処理安全確保支援士試験 2016年 秋期 午前225

データベースに対する不正アクセスの防止・発見を目的としたアクセスコントロールについて、“システム管理基準”への準拠性を確認する監査手続として、適切なものはどれか。
利用者がデータベースにアクセスすることによって業務が効率的に実施できるかどうかを確認するためにシステム仕様書を閲覧する。
利用者がデータベースにアクセスするための画面の操作手順が操作ミスを起こしにくい設計になっているかどうかを確認するために利用者にヒアリングする。
利用者が要求した応答時間が実現できているかどうかを確認するためにデータベースにアクセスしてから出力結果が表示されるまでの時間を測定する。
利用者のデータベースに対するアクセス状況を確認するためにアクセス記録を出力し内容を調査する。(正解)

解説

情報処理技術者試験「午前2」のこの問題は、データベースへの不正アクセスを防止・発見するための監査手続きに関する理解を問うものです。

問題のポイント

  • アクセスコントロールは、データベースの不正アクセスを防止する仕組みです。
  • 監査とは、実際にアクセスがどのように行われているかを確認し、ルールに沿っているかどうかを評価する作業です。
  • 監査手続きとして「システム管理基準」への準拠性を確認する必要があります。

各選択肢の評価

  • ア:システム仕様書の閲覧
    仕様書を見るだけでは、実際のアクセス状況や不正の有無はわかりません。業務の効率性確認であり、アクセスコントロールの監査手続きではありません。
  • イ:利用者の操作手順のヒアリング
    操作ミス防止のための設計確認はユーザビリティに関する評価であり、アクセス制御や不正アクセス検出に直結しません。
  • ウ:応答時間の測定
    応答時間測定は性能の評価で、セキュリティ監査とは異なります。不正アクセスの防止・発見には無関係です。
  • エ:アクセス記録の確認
    アクセスコントロールの実効性を監査するためには、「アクセス記録(ログ)」の出力・調査が非常に重要です。これにより利用者がどのようなアクセスを行ったか把握でき、不正アクセスの監査に直結します。

正解の理由

不正アクセスの防止・発見のためには、誰がいつどのような操作を行ったかを記録したアクセスログを調べることが基本かつ最も効果的な監査手続きです。ログを確認することにより、不正なアクセスや権限の逸脱が判明しやすくなります。

補足

アクセスコントロールには複数の段階がありますが、監査では「実際のアクセスが規定どおりに行われているか」をチェックすることが重要です。単に仕様書や設計を確認するだけでは不十分で、実際の利用状況を記録したログを基に調査する必要があります。

まとめ

  • アクセス記録を調査することが、システム管理基準に準拠しているかを監査する上で最も適切。
  • 他の選択肢は利便性や性能評価であり、監査手続きとしては不適切。
したがって、正解はとなります。
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ