情報セキュリティマネジメント試験 過去問解説
アクセス管理とは?情報セキュリティマネジメント試験 平成30年度秋期 午前 問38を解説
情報セキュリティマネジメント試験 平成30年度秋期 午前 問38は、アクセス管理に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
外部委託管理の監査に関する記述のうち,最も適切なものはどれか。
この問題の出題ポイント
- アクセス管理の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア請負契約においては,委託側の事務所で作業を行っている受託側要員のシステムへのアクセスについて,アクセス管理が妥当かどうかを,委託側が監査できるように定める。正解
- イ請負契約においては,受託側要員に対する委託側責任者の指揮命令が行われていることを,委託側で監査する。
- ウ外部委託で開発した業務システムの品質管理状況は,委託側で監査せず,受託側で監査する。
- エ機密性が高い業務システムの開発を外部に委託している場合は,自社開発に切り替えるよう,監査結果の報告において改善勧告する。
正解
ア: 請負契約においては,委託側の事務所で作業を行っている受託側要員のシステムへのアクセスについて,アクセス管理が妥当かどうかを,委託側が監査できるように定める。
解説
外部委託(請負契約)における監査の在り方を問う問題で、正解はアである。委託側の事務所で作業する受託側要員がシステムにアクセスする場合、不正アクセスや情報漏えいを防ぐため、委託側がそのアクセス管理の妥当性を監査できるよう契約で定めておくことが適切である。請負契約では委託側が受託側要員を直接指揮命令してはならず(イは偽装請負)、品質管理は委託側も監査すべきで、委託形態の是非を一律に自社開発へ切り替えよと勧告するのも不適切である。
なぜ他の選択肢が違うのか
ア(正解)
委託側事務所で作業する受託側要員のアクセス管理が妥当かを委託側が監査できるよう定めるのは、情報セキュリティ上適切であり正しい。
イ
請負契約では委託側が受託側要員を直接指揮命令することはできず、それが行われていれば偽装請負となるため不適切。
ウ
外部委託で開発したシステムの品質管理状況は委託側も自らの責任で確認・監査すべきであり、受託側だけに任せるのは不適切。
エ
機密性が高いという理由だけで一律に自社開発への切替えを勧告するのは合理性を欠き、監査として最も適切とはいえない。
解き方の整理
アクセス管理の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
平成30年度秋期 午前 の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。