情報処理安全確保支援士試験 令和5年秋期午前Ⅱ システム監査報告書で報告すべき指摘事項
出典:令和5年秋期 午前Ⅱ 問25
分野:システム監査(中分類) / システム監査(小分類)
データベースの直接修正に関して,監査人が,システム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションソフトウェアの機能を経由せずに,特権IDを使用してデータを追加,変更又は削除することをいう。
- ア:更新ログ上は,アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。
- イ:事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
- ウ:直接修正の作業終了時には,直接修正用の特権IDを無効にしていた。
- エ:利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
TSUNAGARU-ADVICE
まず押さえたいこと
データベースの直接修正は、アプリケーションの通常機能を経由しないため、誰が、なぜ、何を変更したのかを正しく追跡できることが重要です。
迷ったときの判断軸
直接修正を行う場合でも、事前・事後の承認や特権IDの無効化は統制として有効です。一方で、直接修正したにもかかわらず、更新ログ上はアプリケーション経由の更新として記録されていると、実際の変更経路を監査証跡から確認できないため、指摘事項になります。
科目Bにつなげるために
科目Bでは、特権IDや直接修正の問題で、作業の正当性だけでなく、証跡が実態を正しく表しているかが問われます。承認があるか、作業後に権限を戻したか、ログから追跡できるかをセットで確認する視点を持ちましょう。※監査関連試験向け
データベースの直接修正は、アプリケーションソフトウェアを経由せず、特権IDでデータを追加、変更又は削除する作業です。
そのため、直接修正を行った場合は、誰が、いつ、どのような理由で、どのデータを直接修正したのかを追跡できるように記録する必要があります。
選択肢アのように、実際には直接修正であるにもかかわらず、更新ログ上はアプリケーションソフトウェアの機能を経由した更新として記録していると、修正経路や責任の追跡が困難になります。
したがって、監査人が報告すべき指摘事項は、アです。
❌他選択肢が誤りの理由イ:事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
⇒事前承認と事後確認を行っており、直接修正に対する統制として適切です。
ウ:直接修正の作業終了時には,直接修正用の特権IDを無効にしていた。
⇒特権IDの不正利用を防ぐための統制として適切です。
エ:利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
⇒依頼票に基づいて作業しているため、手続に従った直接修正として扱えます。指摘事項としては、アの方が明確に不適切です。