情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ 問25: データベースの直接修正に関して,監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに,特権 ID を
←情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ
データベースの直接修正に関して,監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに,特権 ID を使用してデータを追加,変更又は削除することをいう。
問題本文
データベースの直接修正に関して,監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに,特権 ID を使用してデータを追加,変更又は削除することをいう。
選択肢
- ア.更新ログを加工して,アプリケーションの機能を経由した正常な処理によるログとして残していた。
- イ.事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
- ウ.直接修正の作業時以外は,使用する直接修正用の特権 ID を無効にしていた。
- エ.利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
正解
ア. 更新ログを加工して,アプリケーションの機能を経由した正常な処理によるログとして残していた。
解説
監査人が指摘すべきは、統制を逸脱しリスクや不正の隠蔽につながる事象である。更新ログを加工して直接修正を正常処理によるログのように偽装する行為は、証跡の改ざんで追跡を不能にし、最も重大な問題のため指摘事項に該当する。よって正解はア。他の選択肢は申請承認・特権ID無効化・依頼票に基づく実施など、むしろ適切な統制である。
選択肢ごとの解説
- ア.更新ログを加工し正常処理のログに偽装する証跡改ざんで、追跡を妨げる重大な問題のため指摘事項で正解。
- イ.事前申請の承認と事後結果の承認を行うのは適切な統制で、指摘すべき問題には当たらない。
- ウ.作業時以外は直接修正用の特権IDを無効化するのは望ましい管理で、指摘事項ではない。
- エ.依頼票に基づきシステム部門が修正を行うのは手続を踏んだ運用で、指摘すべき事項ではない。
情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ の過去問一覧へ戻る・問25