情報処理安全確保支援士 2016年 秋期 午前2 問25
問題文
データベースに対する不正アクセスの防止・発見を目的としたアクセスコントロールについて、“システム管理基準”への準拠性を確認する監査手続として、適切なものはどれか。
選択肢
ア:利用者がデータベースにアクセスすることによって業務が効率的に実施できるかどうかを確認するためにシステム仕様書を閲覧する。
イ:利用者がデータベースにアクセスするための画面の操作手順が操作ミスを起こしにくい設計になっているかどうかを確認するために利用者にヒアリングする。
ウ:利用者が要求した応答時間が実現できているかどうかを確認するためにデータベースにアクセスしてから出力結果が表示されるまでの時間を測定する。
エ:利用者のデータベースに対するアクセス状況を確認するためにアクセス記録を出力し内容を調査する。(正解)
データベースのアクセスコントロール監査手続【午前2 解説】
要点まとめ
- 結論:アクセスコントロールの監査では、利用者のアクセス記録を調査し不正アクセスの有無を確認することが重要です。
- 根拠:システム管理基準は不正アクセス防止・発見を目的としており、アクセスログの監査が基本的な手続きとなります。
- 差がつくポイント:操作性や応答時間の確認は利用者利便性の評価であり、監査の目的であるセキュリティ確認とは異なります。
正解の理由
選択肢エは「利用者のデータベースに対するアクセス状況を確認するためにアクセス記録を出力し内容を調査する」とあります。
これは不正アクセスの防止・発見を目的としたアクセスコントロールの監査手続として最も適切です。アクセスログを調査することで、許可されていないアクセスや異常な操作を検出でき、システム管理基準の準拠性を確認できます。
これは不正アクセスの防止・発見を目的としたアクセスコントロールの監査手続として最も適切です。アクセスログを調査することで、許可されていないアクセスや異常な操作を検出でき、システム管理基準の準拠性を確認できます。
よくある誤解
操作性や応答時間の評価はユーザビリティの観点であり、アクセスコントロールの監査目的とは異なります。
監査では実際のアクセス記録を基に不正の有無を検証することが重要です。
監査では実際のアクセス記録を基に不正の有無を検証することが重要です。
解法ステップ
- 問題文の目的を確認し、「不正アクセスの防止・発見」と明示されていることを把握する。
- システム管理基準の監査手続きとして、アクセスコントロールの証拠となるものを考える。
- アクセスログやアクセス記録の調査が監査の基本手続きであることを理解する。
- 選択肢の内容を「監査手続き」として適切かどうかで比較検討する。
- アクセス記録の調査を行う選択肢エを正解と判断する。
選択肢別の誤答解説
- ア: システム仕様書の閲覧は設計内容の確認であり、実際のアクセス状況の監査には不十分です。
- イ: 操作手順のヒアリングはユーザビリティ評価であり、アクセスコントロールの監査目的とは異なります。
- ウ: 応答時間の測定は性能評価であり、不正アクセスの防止・発見には直接関係しません。
- エ: アクセス記録の出力と調査は不正アクセス検出に直結し、監査手続きとして最適です。
補足コラム
アクセスコントロールの監査では、アクセスログの完全性や改ざん防止も重要なポイントです。ログの保管期間やアクセス権限の適正化もシステム管理基準で求められます。
また、監査証跡を活用して異常検知システムを導入するケースも増えています。
また、監査証跡を活用して異常検知システムを導入するケースも増えています。
FAQ
Q: アクセスログの監査はどのような不正を発見できますか?
A: 不正なユーザIDの使用、権限外操作、異常なアクセス時間帯の利用などを検出できます。
A: 不正なユーザIDの使用、権限外操作、異常なアクセス時間帯の利用などを検出できます。
Q: 操作手順のヒアリングは監査に全く役立たないのでしょうか?
A: 監査の主目的ではありませんが、操作ミスによるセキュリティリスクの把握には役立つ場合があります。
A: 監査の主目的ではありませんが、操作ミスによるセキュリティリスクの把握には役立つ場合があります。
関連キーワード: アクセスコントロール、監査手続、システム管理基準、アクセスログ、不正アクセス防止
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!