情報セキュリティマネジメント試験 過去問解説

それらの権限の設定が可能なID)の不正使用を発見するコントロールとは?情報セキュリティマネジメント試験 平成29年度春期 午前 問36を解説

情報セキュリティマネジメント試験 平成29年度春期 午前 問36は、それらの権限の設定が可能なID)の不正使用を発見するコントロールに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。

アプリ形式でこの問題を解く 弱点分析・復習リマインダーを見る

問題文

特権ID(システムの設定,データの操作,それらの権限の設定が可能なID)の不正使用を発見するコントロールとして,最も有効なものはどれか。

この問題の出題ポイント

  • それらの権限の設定が可能なID)の不正使用を発見するコントロールの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。

選択肢

  1. 特権IDの貸出し及び返却の管理簿と,特権IDの利用ログを照合する。正解
  2. 特権IDの使用を許可された者も,通常の操作では一般利用者IDを使用する。
  3. 特権IDの使用を必要とする者は,使用の都度,特権IDの貸出しを受ける。
  4. 特権IDの設定内容や使用範囲を,用途に応じて細分化する。

正解

: 特権IDの貸出し及び返却の管理簿と,特権IDの利用ログを照合する。

解説

本問は特権IDの不正使用を「発見」するコントロールを問う問題である。不正使用を発見する発見的統制には事後的な突合せが有効であり、貸出・返却の管理簿と実際の利用ログを照合すれば、許可されていない使用を検出できるため、正解はアである。

なぜ他の選択肢が違うのか

  • ア(正解)

    正しい。管理簿(許可された貸出記録)と利用ログ(実際の使用記録)を照合することで、許可外の不正使用を発見できる発見的統制である。

  • 通常操作で一般IDを使う運用は特権ID使用を減らす予防的統制であり、不正使用そのものの発見には直接つながらない。

  • 使用の都度貸出しを受ける運用は不正使用を抑止する予防的統制であり、発見するコントロールではない。

  • 権限を用途別に細分化するのは被害範囲を限定する予防的統制であり、不正使用を発見するものではない。

解き方の整理

それらの権限の設定が可能なID)の不正使用を発見するコントロールの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

問35時間外労働に関する記述のうち,労働基準法に照らして適切なものはどれか。問37システムテストの監査におけるチェックポイントのうち,最も適切なものはどれか。

平成29年度春期 午前の問題一覧 情報セキュリティマネジメント試験の解説一覧

復習を続ける

間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。

Pro機能を見る 情報セキュリティマネジメントアプリを開く