ITパスポート 2014年 (平成26年 秋期) 問41「会計システムに次のようなアクセスの記録を蓄積する機能があるとき,この蓄積された情…」の正解と解説です。ITパスポート試験の「マネジメント系」分野の過去問で、これまでの受験者の正答率は約78%です。
正解
ウ. システム利用権限の運用の適切性を確認する。
正答率 77.7%(1,532人中 1,191人が正解)
問題の解説
ユーザIDとパスワードの照合結果や日時を記録するアクセスログを蓄積するのは,「正しい権限者だけがシステムを利用できているか」を後で確認するためである. すなわちシステム監査の観点としては,システム利用権限の運用の適切性を確認することが目的となる. 障害情報の記録はインシデント管理の領域,利用者の利便性確認はユーザビリティ評価の領域,品質マネジメントへの適合性確認は品質監査の領域となるため,アクセス記録の蓄積目的とは異なる. 「誰が・いつ・成功/失敗」を残す情報が何の評価に資するかを正確に読み取る.
選択肢ごとの解説
- 誤り. アクセス記録(ユーザID・日時・照合結果)はシステムの障害情報ではなく,認証成功・失敗の履歴. システム障害情報の記録を扱うのは別途の障害管理ログ(エラーログ・syslog等)であり,アクセスログを使ってシステム障害情報の蓄積を確認するのは目的の取り違えとなる. ログ種別と目的を区別する.
- 誤り. アクセス記録はあくまで認証イベントを残すものであり,利用者の利便性(使いやすさ・応答時間等)を直接評価する情報ではない. 利便性確認はユーザビリティテストやアンケート,応答時間計測等で行うのが通常であり,本問のアクセス記録蓄積の目的とは合致しない. ログの性質と目的を整理する.
- 正解. ユーザID・照合日時・照合結果のアクセス記録は,認証の成功・失敗履歴であり,これを蓄積することでシステム利用権限の運用の適切性(誰が正当に利用しているか,不正試行はないか)を後から確認できる. 監査の観点として権限管理運用の有効性評価に直結する典型的なログ活用となる.
- 誤り. 品質マネジメントシステム(QMS,JIS Q 9001)への適合性確認は,プロセス文書や品質記録を用いた品質監査の領域で,アクセスログの目的とは異なる. アクセス記録は権限運用の確認のためのもので,品質マネジメント要求事項への適合性評価とは観点が違うため本問の正解にはならない.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧に戻る・問41