令和5年秋期試験問題 午前Ⅱ 問25

データベースの直接修正に関して,監査人が,システム監査報告書で報告すべき指摘事項はどれか。ここで,直接修正とは,アプリケーションソフトウェアの機能を経由せずに,特権IDを使用してデータを追加,変更又は削除することをいう。

  • 更新ログ上は,アプリケーションソフトウェアの機能を経由したデータ更新として記録していた。
  • 事前のデータ変更申請の承認,及び事後のデータ変更結果の承認を行っていた。
  • 直接修正の作業終了時には,直接修正用の特権IDを無効にしていた。
  • 利用部門からのデータ変更依頼票に基づいて,システム部門が直接修正を実施していた。
正解 問題へ
分野 :マネジメント系
中分類:システム監査
小分類:システム監査
解説
特権IDとは、システム上のあらゆる作業を可能にする、最高レベルの操作権限を有するアカウントです。主にシステム管理者等がシステムの管理や設定変更を行うために使用されます。特権IDは、システムに対するあらゆる行為が許されるので、不正アクセスや内部不正を防止する観点から厳格に運用管理する必要があります。
  • 正しい。操作ログの改ざんに当たり、特権IDの乱用として指摘事項に該当します。ログに事実とは異なる情報が残ることになり、また、誰がいつ操作したかが不明になってしまうため、完全性、真正性、責任追跡性、否認防止性を損なう行為と言えます。
  • 特権IDが乱用されないように、承認プロセスを整備しているので適切な運用管理と言えます。
  • 作業ごとに特権IDのアクセス権を払出し、使用後に無効化すれば、特権IDが乱用・誤用されるリスクを低減できるので適切な運用管理と言えます。
  • 特権IDを使って勝手に変更しているのであれば問題となりますが、他部門からの申請に基づく変更であり、組織の正当な変更プロセスに基づいて変更しているものなので問題ありません。

この問題の出題歴


Pagetop