ホーム > 情報処理安全確保支援士試験 > 2018年 春期
情報処理安全確保支援士試験 2018年 春期 午前2 問25
データベースの直接修正に関して,監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに,特権IDを使用してデータを追加,変更又は削除することをいう。
ア:更新ログを加工して, アプリケーションの機能を経由した正常な処理によるログとして残していた。(正解)
イ:事前のデータ変更申請の承認, 及び事後のデータ変更結果の承認を行っていた。
ウ:直接修正の作業時以外は, 使用する直接修正用の特権ID を無効にしていた。
エ:利用部門からのデータ変更依頼票に基づいて, システム部門が直接修正を実施していた。
解説
データベースの直接修正に関する監査指摘事項【午前2 解説】
要点まとめ
- 結論:直接修正の更新ログを加工し、正常な処理のログとして偽装する行為は重大な監査指摘事項です。
- 根拠:監査では、ログの改ざんは証跡の信頼性を損ない、不正や誤操作の追跡が困難になるため問題視されます。
- 差がつくポイント:直接修正自体は管理策で許容される場合もありますが、ログの改ざんは監査上絶対に許されません。
正解の理由
ア: 更新ログを加工して、アプリケーションの機能を経由した正常な処理によるログとして残していた。
これはログの改ざんに該当し、監査人が必ず指摘すべき重大な問題です。ログは不正検知や原因追及の根拠となるため、改ざんされていると監査証跡としての信頼性が失われます。
他の選択肢は直接修正の管理策として適切な対応であり、監査指摘の対象とはなりにくいです。
これはログの改ざんに該当し、監査人が必ず指摘すべき重大な問題です。ログは不正検知や原因追及の根拠となるため、改ざんされていると監査証跡としての信頼性が失われます。
他の選択肢は直接修正の管理策として適切な対応であり、監査指摘の対象とはなりにくいです。
よくある誤解
直接修正自体が必ず問題とは限らず、適切な承認や管理があれば許容されます。ログの改ざんだけは絶対に許されない点を誤解しやすいです。
解法ステップ
- 問題文の「直接修正」の定義を確認し、特権IDを使ったアプリケーション非経由の操作と理解する。
- 監査人が報告すべき指摘事項は何かを考える。監査の目的は不正防止と証跡の信頼性確保である。
- 各選択肢を「監査上問題かどうか」の観点で評価する。
- ログの改ざんは証跡の信頼性を損なうため、最も重大な指摘事項と判断する。
- 正解はアと確定する。
選択肢別の誤答解説
- ア: ログを加工し正常処理のログに偽装するのは重大な監査指摘事項であり正解。
- イ: 事前承認や事後承認は適切な管理策であり、監査指摘にはならない。
- ウ: 直接修正用特権IDを使用時以外は無効にするのは適切なアクセス管理で問題ない。
- エ: 利用部門の依頼に基づきシステム部門が直接修正するのは運用上の管理策として妥当。
補足コラム
直接修正はアプリケーションの制御をバイパスするため、通常は避けるべきですが、緊急対応や例外的な場合に限定して許容されることがあります。重要なのは、操作の記録が改ざんされずに正確に残されていることです。ログの改ざんは不正の隠蔽につながり、監査上最も重視される問題です。
FAQ
Q: 直接修正はなぜ問題になるのですか?
A: アプリケーションの制御を経由しないため、誤操作や不正のリスクが高まり、監査証跡の信頼性が低下します。
A: アプリケーションの制御を経由しないため、誤操作や不正のリスクが高まり、監査証跡の信頼性が低下します。
Q: ログの改ざんがなければ直接修正は許されますか?
A: 適切な承認や管理があれば、直接修正自体は例外的に許容される場合があります。
A: 適切な承認や管理があれば、直接修正自体は例外的に許容される場合があります。
Q: 監査人はどのような点を重点的に確認しますか?
A: 直接修正の承認プロセス、特権IDの管理、ログの完全性と改ざんの有無を重点的に確認します。
A: 直接修正の承認プロセス、特権IDの管理、ログの完全性と改ざんの有無を重点的に確認します。
関連キーワード: データベース監査, 直接修正, ログ改ざん, 特権ID管理, システム監査