ホーム > 情報処理安全確保支援士試験 > 2023年 秋期
情報処理安全確保支援士試験 2023年 秋期 午前2 問25
データベースの直接修正に関して、監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで、直接修正とは、アプリケーションソフトウェアの機能を経由せずに特権IDを使用してデータを追加、変更又は削除することをいう。
ア:更新ログ上は,アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。(正解)
イ:事前のデータ変更申請の承認及び事後のデータ変更結果の承認を行っていた。
ウ:直接修正の作業終了時には,直接修正用の特権IDを無効にしていた。
エ:利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
解説
データベースの直接修正に関して、監査人がシステム監査報告書で報告すべき指摘事項はどれか【午前2 解説】
要点まとめ
- 結論:更新ログ上で直接修正がアプリケーション経由の更新として記録されている場合は重大な指摘事項となる。
- 根拠:直接修正は特権IDを使いアプリケーションを経由しないため、正確な操作履歴が残らず不正や誤操作の検出が困難になる。
- 差がつくポイント:監査では操作の透明性と証跡の正確性が重要であり、ログの改ざんや偽装は重大なリスクと判断される。
正解の理由
選択肢アは「更新ログ上はアプリケーションソフトウェアの機能を経由したデータ更新として記録していた」とあります。これは直接修正の実態を隠し、ログを偽装していることを意味します。監査の観点からは、操作履歴の信頼性が損なわれているため、重大な指摘事項となります。
一方、他の選択肢は直接修正の管理や承認、特権IDの無効化など適切な管理策を示しており、監査上の指摘事項とはなりにくいです。
一方、他の選択肢は直接修正の管理や承認、特権IDの無効化など適切な管理策を示しており、監査上の指摘事項とはなりにくいです。
よくある誤解
直接修正自体が必ず指摘事項になるわけではなく、適切な管理・承認・ログ管理がされていれば問題ありません。
ログの偽装や操作履歴の不整合が最大の問題点です。
ログの偽装や操作履歴の不整合が最大の問題点です。
解法ステップ
- 問題文で「直接修正」の定義を確認し、アプリケーションを経由しない操作であることを理解する。
- 各選択肢が直接修正の管理状況やログの扱いをどう示しているかを比較する。
- 監査人が指摘すべき事項は「操作の透明性や証跡の信頼性が損なわれているケース」であることを判断する。
- ログの偽装や不正確な記録がある選択肢を正解とする。
選択肢別の誤答解説
- ア: 更新ログを偽装し直接修正を隠しているため、監査上重大な指摘事項となる。
- イ: 事前承認と事後承認を行っており、管理が適切なので指摘事項とはならない。
- ウ: 作業終了時に特権IDを無効化しており、権限管理が適切であるため問題ない。
- エ: 利用部門の依頼に基づきシステム部門が直接修正を実施しているが、管理が明確であれば指摘事項とはならない。
補足コラム
直接修正は緊急対応や例外的な場合に用いられますが、常態化すると不正リスクが高まります。
監査では直接修正の記録が正確かつ透明であること、特権IDの管理が厳格であることが重要視されます。
ログの改ざん防止にはWORM(Write Once Read Many)技術や監査証跡の二重管理が有効です。
監査では直接修正の記録が正確かつ透明であること、特権IDの管理が厳格であることが重要視されます。
ログの改ざん防止にはWORM(Write Once Read Many)技術や監査証跡の二重管理が有効です。
FAQ
Q: 直接修正はなぜ問題視されるのですか?
A: アプリケーションを経由しないため、操作履歴が不完全になり不正や誤操作の検出が困難になるからです。
A: アプリケーションを経由しないため、操作履歴が不完全になり不正や誤操作の検出が困難になるからです。
Q: 直接修正を行う場合、監査上どのような管理が必要ですか?
A: 事前・事後の承認、特権IDの厳格管理、正確なログ記録と改ざん防止が必要です。
A: 事前・事後の承認、特権IDの厳格管理、正確なログ記録と改ざん防止が必要です。
Q: ログの偽装が発覚した場合の影響は?
A: 操作の信頼性が失われ、重大な監査指摘や法令違反のリスクが高まります。
A: 操作の信頼性が失われ、重大な監査指摘や法令違反のリスクが高まります。
関連キーワード: 直接修正, 特権ID, 更新ログ, システム監査, 操作履歴, ログ偽装, 権限管理, 監査証跡