基本情報技術者試験「可監査性」の問題
情報システムの『可監査性』を高める設計上の配慮として、最も適切なものはどれか。
ア処理の途中経過やアクセス履歴を一切残さず、性能を最優先する
イ処理の追跡が可能となるよう、操作ログや監査証跡を取得・保全できる仕組みを組み込む
ウ監査が実施される期間だけ一時的にログ取得機能を後から付け足し、平時は処理の記録を一切行わないようにする
エ監査対象を限定するため、重要な取引ほどログ取得を抑制する
正解
イ.処理の追跡が可能となるよう、操作ログや監査証跡を取得・保全できる仕組みを組み込む
可監査性とは、システムの処理や統制が後から検証・追跡できる度合いを指す。これを高めるには、いつ誰が何をしたかを示す操作ログや監査証跡(オーディットトレイル)を平時から確実に取得し、改ざんされないよう保全する仕組みを設計段階で組み込むことが要点である。設問の配慮として最も適切なためイが正しい。
?選択肢ごとの解説
ア ×履歴を一切残さなければ処理を追跡できず、可監査性は著しく損なわれるため逆効果である。
イ ○可監査性とは、システムの処理や統制が後から検証・追跡できる度合いを指す。これを高めるには、いつ誰が何をしたかを示す操作ログや監査証跡(オーディットトレイル)を平時から確実に取得し、改ざんされないよう保全する仕組みを設計段階で組み込むことが要点である。設問の配慮として最も適切なためイが正しい。
ウ ×監査時のみ後付けでは平時の事象を遡って追跡できず、継続的な証跡が残らないため可監査性を確保できない。
エ ×重要な取引ほど追跡可能であるべきで、そのログ取得を抑制するのは可監査性を下げる不適切な対応である。
✎くわしく
可監査性は『監査できるように作り込まれているか』という設計品質であり、監査証跡の取得・保全・検索可能性が中核となる。証跡は事後検証だけでなく不正の抑止にも働く。重要なのは平時から継続的・網羅的に記録し、ログ自体の改ざん防止(完全性)を担保すること。性能や容量とのトレードオフはあるが、特に重要取引ほど証跡を厚くするのが基本方針である。
✓本番での押さえどころ
試験のコツ
『追跡可能』『監査証跡・操作ログを残し保全する』とあれば可監査性を高める対応と判断する。
覚え方
可監査性=『後から監査できる足跡(証跡)を残しておく』性質、と足跡のイメージで覚える。
よくある誤り
可監査性を性能や容量の制約と単純に対立させ、ログを削る方向で考える誤りが多い。可監査性は設計品質として最初から作り込むべきものである。
システム監査の他の問題
システム監査人に求められる要件として、監査の客観性を確保するために最も重視されるものはどれか。内部統制の整備において、不正やミスを防ぐ目的で、一人の担当者が業務の開始から承認・記録までを単独で完結できないように、互いに…システム監査を一般的な進め方の順序で並べたとき、本調査(本監査)の直前に位置し、監査対象の概要や統制状況を事前に把握して本調…システム監査において、監査人が実施した監査手続の内容、収集した監査証拠、及びそれらに基づく判断の過程を記録し、監査の結論を裏…システム監査基準とシステム管理基準の関係について、最も適切なものはどれか。コンピュータ支援監査技法(CAAT)を採用する主な狙いとして、最も適切なものはどれか。
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-a2-0162