情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問25: データベースに対する不正アクセスの防止・発見を目的としたアクセスコントロールについて,“システム管理基準”への準拠性を確認する監査手続として,適切なものはどれか
←情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ
データベースに対する不正アクセスの防止・発見を目的としたアクセスコントロールについて,“システム管理基準”への準拠性を確認する監査手続として,適切なものはどれか。
問題本文
データベースに対する不正アクセスの防止・発見を目的としたアクセスコントロールについて,“システム管理基準”への準拠性を確認する監査手続として,適切なものはどれか。
選択肢
- ア.利用者がデータベースにアクセスすることによって業務が効率的に実施できるかどうかを確認するために,システム仕様書を閲覧する。
- イ.利用者がデータベースにアクセスするための画面の操作手順が操作ミスを起こしにくい設計になっているかどうかを確認するために,利用者にヒアリングする。
- ウ.利用者が要求した応答時間が実現できているかどうかを確認するために,データベースにアクセスしてから出力結果が表示されるまでの時間を測定する。
- エ.利用者のデータベースに対するアクセス状況を確認するために,アクセス記録を出力し内容を調査する。
正解
エ. 利用者のデータベースに対するアクセス状況を確認するために,アクセス記録を出力し内容を調査する。
解説
不正アクセスの防止・発見を目的とするアクセスコントロールの監査では、実際のアクセス状況を客観的な証跡で確かめることが重要。アクセス記録(ログ)を出力し内容を調査する手続が準拠性確認に適する。よってエが正解。実務ではアクセスログのレビューが不正検知と説明責任の中核となる。
選択肢ごとの解説
- ア.業務効率の確認は監査目的(不正防止・発見)と異なり手続として不適切。
- イ.操作手順の使いやすさ確認はユーザビリティの観点でアクセス統制の監査ではない。
- ウ.応答時間の測定は性能評価でありアクセスコントロールの監査ではない。
- エ.アクセス記録を出力し内容を調査する点が不正検知の監査手続で正解。
情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ の過去問一覧へ戻る・問25