ホーム > 情報処理安全確保支援士試験 > 2024年秋期

情報処理安全確保支援士試験 2024年秋期午前2 問25

アクセス管理に関する内部統制のうち、金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)”におけるITに係る業務処理統制に該当するものはどれか。

ア：組織としてアクセス管理規程を定め統一的なアクセス管理を行う。

イ：組織としてアクセス権限の設定方針を定め周知徹底を図る。

ウ：組織内のアプリケーションシステムに利用者IDとパスワードによって利用者を認証する機能を設ける。（正解）

エ：組織内の全ての利用者に対してアクセス管理の重要性についての教育を行う。

解説

アクセス管理に関する内部統制のうち、金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)”におけるITに係る業務処理統制に該当するものはどれか【午前2 解説】

要点まとめ

結論：利用者IDとパスワードによる認証機能の設置がIT業務処理統制に該当します。
根拠：金融庁の実施基準では、ITシステムの業務処理統制として、利用者認証などの具体的なシステム制御が求められています。
差がつくポイント：規程や方針の策定は管理統制に該当し、IT業務処理統制はシステム上の具体的な制御機能に着目する点が重要です。

正解の理由

金融庁の実施基準におけるITに係る業務処理統制は、システムの運用や処理の正確性を確保するための具体的な技術的制御を指します。
選択肢ウの「利用者IDとパスワードによる認証機能」は、システム利用者の本人確認を行い不正アクセスを防止するための直接的な制御であり、IT業務処理統制の典型例です。
一方、規程や方針の策定（ア・イ）や教育（エ）は、組織的な管理統制に該当し、IT業務処理統制とは区別されます。

よくある誤解

アクセス管理規程や方針の策定をIT業務処理統制と混同しやすいですが、これらは管理統制の一部です。
また、教育活動も重要ですが、IT業務処理統制の直接的な技術制御とは異なります。

解法ステップ

問題文の「ITに係る業務処理統制」の定義を確認する。
IT業務処理統制はシステム上の具体的な制御機能であることを理解する。
選択肢を「管理統制（規程・方針・教育）」と「業務処理統制（技術的制御）」に分類する。
技術的制御に該当する選択肢を選ぶ。
「利用者IDとパスワードによる認証機能」が該当するため、選択肢ウを選ぶ。

選択肢別の誤答解説

ア: アクセス管理規程の策定は管理統制の一環であり、IT業務処理統制ではありません。
イ: アクセス権限設定方針の周知も管理統制に該当し、技術的制御ではありません。
ウ: 利用者IDとパスワードによる認証機能はシステム上の技術的制御であり、IT業務処理統制に該当します。
エ: アクセス管理の重要性教育は組織的な管理統制であり、IT業務処理統制とは異なります。

補足コラム

金融庁の「財務報告に係る内部統制の評価及び監査に関する実施基準」では、内部統制を「管理統制」「業務処理統制」「IT業務処理統制」などに分類しています。
IT業務処理統制は、システムの信頼性や安全性を確保するための技術的な仕組みを指し、認証機能やアクセス制御、ログ管理などが含まれます。
これに対し、管理統制は規程や方針の策定、教育訓練など組織的な枠組みを指します。

FAQ

Q: IT業務処理統制と管理統制の違いは何ですか？
A: IT業務処理統制はシステム上の技術的な制御機能、管理統制は規程や方針の策定、教育など組織的な管理活動を指します。

Q: なぜ利用者IDとパスワードによる認証が重要なのですか？
A: 不正アクセスを防止し、システムの利用者を正確に識別することで、業務処理の正確性と安全性を確保するためです。

関連キーワード: 内部統制, IT業務処理統制, アクセス管理, 認証機能, 金融庁実施基準

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2024年 秋期 午前2 問25

解説