問題本文
会計システムに次のようなアクセスの記録を蓄積する機能があるとき,この蓄積された情報を利用して実施するシステム監査の目的として,適切なものはどれか。 入力されたユーザIDとパスワードの組合せを,あらかじめ登録された内容と照合し,一致する場合は会計業務メニュー画面へ遷移し,一致しない場合はログインエラー画面へ遷移する。このとき,ユーザID,照合日時及び照合結果をアクセス記録として蓄積する。
選択肢
- ア.システムの障害情報を記録していることを確認する。
- イ.システムの利用者に対する利便性を確認する。
- ウ.システム利用権限の運用の適切性を確認する。
- エ.品質マネジメントシステムの要求事項への適合性を確認する。
正解
ウ. システム利用権限の運用の適切性を確認する。
解説
ユーザIDとパスワードの照合結果や日時を記録するアクセスログを蓄積するのは,「正しい権限者だけがシステムを利用できているか」を後で確認するためである. すなわちシステム監査の観点としては,システム利用権限の運用の適切性を確認することが目的となる. 障害情報の記録はインシデント管理の領域,利用者の利便性確認はユーザビリティ評価の領域,品質マネジメントへの適合性確認は品質監査の領域となるため,アクセス記録の蓄積目的とは異なる. 「誰が・いつ・成功/失敗」を残す情報が何の評価に資するかを正確に読み取る.
選択肢ごとの解説
- ア.誤り. アクセス記録(ユーザID・日時・照合結果)はシステムの障害情報ではなく,認証成功・失敗の履歴. システム障害情報の記録を扱うのは別途の障害管理ログ(エラーログ・syslog等)であり,アクセスログを使ってシステム障害情報の蓄積を確認するのは目的の取り違えとなる. ログ種別と目的を区別する.
- イ.誤り. アクセス記録はあくまで認証イベントを残すものであり,利用者の利便性(使いやすさ・応答時間等)を直接評価する情報ではない. 利便性確認はユーザビリティテストやアンケート,応答時間計測等で行うのが通常であり,本問のアクセス記録蓄積の目的とは合致しない. ログの性質と目的を整理する.
- ウ.正解. ユーザID・照合日時・照合結果のアクセス記録は,認証の成功・失敗履歴であり,これを蓄積することでシステム利用権限の運用の適切性(誰が正当に利用しているか,不正試行はないか)を後から確認できる. 監査の観点として権限管理運用の有効性評価に直結する典型的なログ活用となる.
- エ.誤り. 品質マネジメントシステム(QMS,JIS Q 9001)への適合性確認は,プロセス文書や品質記録を用いた品質監査の領域で,アクセスログの目的とは異なる. アクセス記録は権限運用の確認のためのもので,品質マネジメント要求事項への適合性評価とは観点が違うため本問の正解にはならない.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問41