情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ 問21: インプットコントロールの監査で,エディットバリデーションチェックが正しく機能しているかどうかの検証方法として,適切なものはどれか。
←情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ
インプットコントロールの監査で,エディットバリデーションチェックが正しく機能しているかどうかの検証方法として,適切なものはどれか。
問題本文
インプットコントロールの監査で,エディットバリデーションチェックが正しく機能しているかどうかの検証方法として,適切なものはどれか。
選択肢
- ア.許可された担当者以外はログインできないことを試行する。
- イ.実際に例外データや異常データの入力を行う。
- ウ.入力原票の承認印を確認する。
- エ.入力対象データの件数とプルーフリスト上の合計件数を照合する。
正解
イ. 実際に例外データや異常データの入力を行う。
解説
エディットバリデーションチェックは、入力データの形式や値の妥当性を確認する仕組み。これが正しく機能するかを検証するには、例外データや異常データを実際に入力し、エラーとして弾かれるかを確かめるのが適切。イが正しい。アクセス制御や承認印の確認は別の統制を見るもの。チェック機能そのものの有効性を直接試す方法を選ぶ、システム監査の考え方を問う設問である。
選択肢ごとの解説
- ア.ログイン可否の試行はアクセスコントロールの検証で、入力値チェックの有効性確認ではなく誤り。
- イ.例外・異常データを実際に入力して弾かれるか確かめる、入力チェック機能の有効性を直接検証する方法で正しい。
- ウ.承認印の確認は手作業の承認統制を見るもので、システムの入力チェック検証ではなく誤り。
- エ.件数照合はトータルチェックなど別の入力統制の確認で、バリデーションチェック自体の検証ではなく誤り。
情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ の過去問一覧へ戻る・問21