情報処理安全確保支援士試験 令和6年秋期午前Ⅱ アクセス管理に関する内部統制
出典:令和6年秋期 午前Ⅱ 問25
分野:システム監査(中分類) / 内部統制
アクセス管理に関する内部統制のうち,金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)"におけるITに係る業務処理統制に該当するものはどれか。
- ア:組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。
- イ:組織としてアクセス権限の設定方針を定め,周知徹底を図る。
- ウ:組織内のアプリケーションシステムに,利用者IDとパスワードによって利用者を認証する機能を設ける。
- エ:組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。
TSUNAGARU-ADVICE
まず押さえたいこと
ITに係る業務処理統制は、個々の業務処理を正しく行うために、アプリケーションシステムに組み込まれる具体的な統制機能です。
迷ったときの判断軸
アクセス管理規程の整備・設定方針の周知・教育は組織全体のルールや体制に関する統制です。一方で、アプリケーションシステムに利用者IDとパスワードによる認証機能を設けることは、業務処理の中で不正利用を防ぐための具体的なシステム機能と整理できます。
科目Bにつなげるために
科目Bでは、内部統制を名称で覚えるだけでなく、全社的な方針・教育なのか、システムに組み込まれた処理上の統制なのかを切り分ける力が問われます。ITに係る業務処理統制は、業務アプリケーション上で入力・処理・認証・承認などを正しく制御する仕組みとして理解しておきましょう。※監査関連試験向け
ITに係る業務処理統制は、個々の業務処理に組み込まれたIT統制であり、アプリケーションシステム上での入力・処理・出力・アクセス制御などに関する統制を指します。
利用者IDとパスワードによって利用者を認証する機能をアプリケーションシステムに設けることは、業務処理に組み込まれたアクセス管理の統制に該当します。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。
⇒組織全体の方針・規程に関する統制です。個別の業務処理に組み込まれたITに係る業務処理統制ではなく、IT全般統制に近い内容です。
イ:組織としてアクセス権限の設定方針を定め,周知徹底を図る。
⇒アクセス権限の方針を定める点で、組織全体の統制です。個別アプリケーションの処理に組み込まれた業務処理統制ではありません。
エ:組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。
⇒教育・啓発に関する統制です。アプリケーションシステムの業務処理に組み込まれた統制ではありません。