情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ 問25: アクセス管理に関する内部統制のうち,金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和 5 年)”における IT に係る業務処理統制に該当するも
←情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ
に関するのうち,金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和 5 年)”における IT に係る業務処理統制に該当するものはどれか。
問題本文
アクセス管理に関する内部統制のうち,金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和 5 年)”における IT に係る業務処理統制に該当するものはどれか。
選択肢
- ア.組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。
- イ.組織としてアクセス権限の設定方針を定め,周知徹底を図る。
- ウ.組織内のアプリケーションシステムに,利用者 ID とパスワードによって利用者を認証する機能を設ける。
- エ.組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。
正解
ウ. 組織内のアプリケーションシステムに,利用者 ID とパスワードによって利用者を認証する機能を設ける。
解説
IT業務処理統制は、個々の業務処理(アプリケーション)が正確・網羅・正当に行われるよう組み込まれた統制。アプリケーションに利用者ID・パスワード認証機能を設けることは、まさに業務処理レベルのアクセス制御に当たり、ウが正解。規程策定・教育・全社方針などは複数システムを支える全般統制(ITGC)に分類される点と区別して理解する。
選択肢ごとの解説
- ア.全社的なアクセス管理規程の策定は組織横断の「IT全般統制」に当たり、業務処理統制ではなく誤り。
- イ.アクセス権限の設定方針の策定・周知も全般統制レベルの管理であり、業務処理統制ではないので誤り。
- ウ.アプリに利用者ID・パスワード認証機能を設けるのは業務処理に組み込んだ統制で、正しい。
- エ.利用者への教育は全社的な統制環境の整備に当たり、個別業務に組み込む業務処理統制ではなく誤り。
情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ の過去問一覧へ戻る・問25