システム監査とは？ITパスポート試験 2014年 (平成26年 秋期) 問41を解説

問題文

この問題の出題ポイント

• システム監査の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
• マネジメント系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
• 関連タグ: システム監査、アクセス管理、ログ。

選択肢

1. アシステムの障害情報を記録していることを確認する。
2. イシステムの利用者に対する利便性を確認する。
3. ウシステム利用権限の運用の適切性を確認する。正解
4. エ品質マネジメントシステムの要求事項への適合性を確認する。

解説

なぜ他の選択肢が違うのか

• ア

  誤り. アクセス記録(ユーザID・日時・照合結果)はシステムの障害情報ではなく,認証成功・失敗の履歴. システム障害情報の記録を扱うのは別途の障害管理ログ(エラーログ・syslog等)であり,アクセスログを使ってシステム障害情報の蓄積を確認するのは目的の取り違えとなる. ログ種別と目的を区別する.

• イ

  誤り. アクセス記録はあくまで認証イベントを残すものであり,利用者の利便性(使いやすさ・応答時間等)を直接評価する情報ではない. 利便性確認はユーザビリティテストやアンケート,応答時間計測等で行うのが通常であり,本問のアクセス記録蓄積の目的とは合致しない. ログの性質と目的を整理する.

• ウ（正解）

  正解. ユーザID・照合日時・照合結果のアクセス記録は,認証の成功・失敗履歴であり,これを蓄積することでシステム利用権限の運用の適切性(誰が正当に利用しているか,不正試行はないか)を後から確認できる. 監査の観点として権限管理運用の有効性評価に直結する典型的なログ活用となる.

• エ

  誤り. 品質マネジメントシステム(QMS,JIS Q 9001)への適合性確認は,プロセス文書や品質記録を用いた品質監査の領域で,アクセスログの目的とは異なる. アクセス記録は権限運用の確認のためのもので,品質マネジメント要求事項への適合性評価とは観点が違うため本問の正解にはならない.

解き方の整理

システム監査の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連用語

• アクセス管理セキュリティ

関連問題

前後の問題

2014年 (平成26年 秋期) の関連する問題

2014年 (平成26年 秋期)の問題一覧 ITパスポート試験の解説一覧