情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問25: データベースの直接修正に関して,監査人が,システム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションソフトウェアの機能を経由せずに,
←情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
データベースの直接修正に関して,監査人が,システム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションソフトウェアの機能を経由せずに,特権 ID を使用してデータを追加,変更又は削除することをいう。
問題本文
データベースの直接修正に関して,監査人が,システム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションソフトウェアの機能を経由せずに,特権 ID を使用してデータを追加,変更又は削除することをいう。
選択肢
- ア.更新ログ上は,アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。
- イ.事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
- ウ.直接修正の作業終了時には,直接修正用の特権 ID を無効にしていた。
- エ.利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
正解
ア. 更新ログ上は,アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。
解説
特権IDによるDB直接修正は、アプリの機能を経由しない例外的操作であり、申請承認や事後確認、痕跡の正確な記録が統制上重要。更新ログ上で直接修正を「アプリ経由の更新」と偽って記録していたのは、監査証跡の改ざん・隠蔽にあたり指摘すべき重大事項。よってアが正解。実務では直接修正の事実を正しく記録・追跡できることが内部統制の前提となる。
選択肢ごとの解説
- ア.直接修正をアプリ経由更新と偽って記録しており、監査証跡を歪める指摘すべき事項。
- イ.事前承認と事後確認を行っており、適切な統制が機能しているため指摘事項ではない。
- ウ.作業終了時に特権IDを無効化しており、適切な運用で指摘事項ではない。
- エ.依頼票に基づき実施しており、根拠ある手続として問題ない。
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧へ戻る・問25