問題本文
内部統制の一環として,業務分掌と整合のとれたアクセス管理を実現することになった。情報システムの開発において,アクセス管理の検討を開始するプロセスとして,適切なものはどれか。
選択肢
- ア.要件定義
- イ.プログラミング
- ウ.テスト
- エ.運用開始後
解説
内部統制におけるアクセス管理の検討開始プロセスを問う問題. 内部統制の整備では,業務分掌(業務の権限と責任の分掌)に整合したアクセス管理を実現することが求められる. このアクセス管理は誰がどのデータ・機能にアクセスできるかという要件であり,システム開発のライフサイクル(企画→要件定義→開発→運用)の中では「要件定義」段階で検討を開始すべき. 後工程のプログラミングやテスト段階で初めて検討したのでは,アーキテクチャや権限モデルの根本見直しが必要となり手戻り・コスト超過を招く. 「セキュリティを設計に組み込むセキュリティ・バイ・デザイン」の発想からも要件定義での組み込みが正解となる.
選択肢ごとの解説
- ア.正解. 業務分掌と整合したアクセス管理は誰がどの機能・データにアクセスできるかという業務要件であり,要件定義段階で検討を開始するのが適切. 要件としてアクセス制御方針を固めれば後工程の設計・実装で確実に組み込め,セキュリティ・バイ・デザインの原則にも合致する.
- イ.誤り. プログラミング段階でアクセス管理の検討を始めるのは遅すぎる. 既に設計が進んでいるため,アクセス制御を後付けで組み込もうとすると設計変更が広範に発生し,大幅な手戻りやコスト超過を招く. セキュリティは早期工程で要件化するのが鉄則となる.
- ウ.誤り. テスト工程でアクセス管理の検討を開始するのはさらに遅い段階で,設計・実装が完了した後にアクセス制御を追加することになる. アーキテクチャ全体の見直しが必要となるため非現実的で,内部統制の観点からも不適切な順序となる. 上流での検討が必須.
- エ.誤り. 運用開始後のアクセス管理検討は本末転倒で,稼働中システムに対する設計変更・移行作業を伴うため大規模な追加コスト・リスクが発生する. 内部統制上もアクセス管理を伴わない期間が生じてしまい,業務分掌との整合という本来の目的が達成できない.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問30