システム監査

基本情報技術者試験可監査性」の問題

マネジメント系システム監査難易度:normal
情報システムの『可監査性』を高める設計上の配慮として、最も適切なものはどれか。
処理の途中経過やアクセス履歴を一切残さず、性能を最優先する
処理の追跡が可能となるよう、操作ログや監査証跡を取得・保全できる仕組みを組み込む
監査が実施される期間だけ一時的にログ取得機能を後から付け足し、平時は処理の記録を一切行わないようにする
監査対象を限定するため、重要な取引ほどログ取得を抑制する
正解
処理の追跡が可能となるよう、操作ログや監査証跡を取得・保全できる仕組みを組み込む

可監査性とは、システムの処理や統制が後から検証・追跡できる度合いを指す。これを高めるには、いつ誰が何をしたかを示す操作ログや監査証跡(オーディットトレイル)を平時から確実に取得し、改ざんされないよう保全する仕組みを設計段階で組み込むことが要点である。設問の配慮として最も適切なためイが正しい。

?選択肢ごとの解説

ア ×履歴を一切残さなければ処理を追跡できず、可監査性は著しく損なわれるため逆効果である。
イ ○可監査性とは、システムの処理や統制が後から検証・追跡できる度合いを指す。これを高めるには、いつ誰が何をしたかを示す操作ログや監査証跡(オーディットトレイル)を平時から確実に取得し、改ざんされないよう保全する仕組みを設計段階で組み込むことが要点である。設問の配慮として最も適切なためイが正しい。
ウ ×監査時のみ後付けでは平時の事象を遡って追跡できず、継続的な証跡が残らないため可監査性を確保できない。
エ ×重要な取引ほど追跡可能であるべきで、そのログ取得を抑制するのは可監査性を下げる不適切な対応である。

くわしく

可監査性は『監査できるように作り込まれているか』という設計品質であり、監査証跡の取得・保全・検索可能性が中核となる。証跡は事後検証だけでなく不正の抑止にも働く。重要なのは平時から継続的・網羅的に記録し、ログ自体の改ざん防止(完全性)を担保すること。性能や容量とのトレードオフはあるが、特に重要取引ほど証跡を厚くするのが基本方針である。

本番での押さえどころ

試験のコツ

『追跡可能』『監査証跡・操作ログを残し保全する』とあれば可監査性を高める対応と判断する。

覚え方

可監査性=『後から監査できる足跡(証跡)を残しておく』性質、と足跡のイメージで覚える。

よくある誤り

可監査性を性能や容量の制約と単純に対立させ、ログを削る方向で考える誤りが多い。可監査性は設計品質として最初から作り込むべきものである。

システム監査の他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-a2-0162

【基本情報技術者試験】可監査性の問題 — 解答・解説|ukamiru 過去問