HOME»情報処理安全確保支援士平成30年春期»午前Ⅱ 問25
情報処理安全確保支援士平成30年春期 午前Ⅱ 問25
問25
データベースの直接修正に関して,監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションの機能を経由せずに,特権IDを使用してデータを追加,変更又は削除することをいう。
- 更新ログを加工して,アプリケーションの機能を経由した正常な処理によるログとして残していた。
- 事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
- 直接修正の作業時以外は,使用する直接修正用の特権IDを無効にしていた。
- 利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
- [出題歴]
- 安全確保支援士 R5秋期 問25
分類
マネジメント系 » システム監査 » システム監査
正解
ア
解説
特権IDとは、システム上のあらゆる作業を可能にする、最高レベルの操作権限を有するアカウントです。主にシステム管理者が、システムの管理や設定変更を行うために使用されます。特権IDは、システムに対するどんな行動も許されるので、不正アクセスや内部不正を防止する観点から特に厳格に運用管理する必要があります。
- 正しい。操作ログの改ざんに当たり、特権IDの乱用として指摘事項に該当します。特権IDのアクセスログは、その重要度から特に多頻度で厳密なログ分析の対象となりますが、ログの加工により事後の調査を行うことが困難となってしまいます。ログには事実とは異なる情報が残ることになり、また、誰がいつ操作したかが不明になってしまうため、完全性、真正性、責任追跡性、否認防止性を損なう行為と言えます。
- 特権IDが乱用されないように、承認プロセスを整備しているので適切な運用管理と言えます。
- 作業ごとに特権IDのアクセス権を払出し、使用後に無効化すれば、特権IDが乱用・誤用されるリスクを低減できるので適切な運用管理と言えます。
- システム部門はシステムを管理すべき者なので、組織の正当な変更プロセスに基づき、必要な範囲で特権IDを使用することは問題ありません。