基本情報技術者試験 ap-2018h30h-a 午前 問58: システム利用者に対して付与されるアクセス権の管理状況の監査で判明した状況のうち，監査人がシステム監査報告書で報告すべき指摘事項はどれか。

問題本文

システム利用者に対して付与されるアクセス権の管理状況の監査で判明した状況のうち，監査人がシステム監査報告書で報告すべき指摘事項はどれか。

選択肢

• ア.アクセス権を付与された利用者 ID・パスワードに関して，システム利用者が遵守すべき事項が規程として定められ，システム利用者に周知されていた。
• イ.業務部門長によって，所属するシステム利用者に対するアクセス権の付与状況のレビューが定期的に行われていた。
• ウ.システム利用者に対するアクセス権の付与・変更・削除に関する管理手続が，規程として定められていた。
• エ.退職・異動したシステム利用者に付与されていたアクセス権の削除・変更は，定期人事異動がある年度初めに全てまとめて行われていた。

正解

エ. 退職・異動したシステム利用者に付与されていたアクセス権の削除・変更は，定期人事異動がある年度初めに全てまとめて行われていた。

解説

指摘事項とは、監査の結果見つかった“問題のある状況”を指す。アクセス権は、退職や異動が起きたら速やかに削除・変更しないと、すでに権限が不要になった者がシステムを使い続けられ、不正アクセスや情報漏えいの危険が生じる。エは、その更新を年度初めにまとめて行っているため、それまでの期間は不要な権限が残り続けるという問題があり、これが指摘事項である。他の選択肢は適切に統制されている望ましい状態であり、指摘の対象ではない。

選択肢ごとの解説

• ア.利用者が遵守すべき事項が規程化され周知されているのは望ましい統制状態であり、指摘事項ではない。
• イ.業務部門長が定期的にアクセス権の付与状況をレビューしているのは適切な統制であり、指摘事項ではない。
• ウ.アクセス権の付与・変更・削除の管理手続が規程として定められているのは望ましい状態であり、指摘事項ではない。
• エ.正しい。退職・異動者の権限削除・変更を年度初めに一括して行うと、それまで不要な権限が残り不正利用の危険があるため、速やかな更新が必要と指摘すべき。