基本情報技術者試験「内部不正対策」の問題
R社の経理部では、一人の担当者が支払データの登録から承認、振込実行までをすべて単独で行えるため、不正な振込が行われても誰にも気づかれない懸念がある。この懸念を根本的に減らす運用上の対策として、最も適切なものはどれか。
ア支払業務を任せる社員を、勤続年数が長く特に信頼できると判断した一部の者だけに限定する。
イ支払処理の操作ログを毎月集計し、件数の異常がないかを事後にまとめて分析する。
ウ登録する役割と承認する役割を別々の担当者に割り当て、単独完結をできなくする。
エ支払金額が一定の閾値を超えた場合に限り、システムから管理者へ自動で通知させる。
正解
ウ.登録する役割と承認する役割を別々の担当者に割り当て、単独完結をできなくする。
懸念の核心は『一人で登録から実行まで完結でき、相互牽制が働かない』点である。登録と承認を別々の担当者に分ける職務分掌により、不正な支払には必ず複数人の関与が必要となり、単独での不正完結が構造的に不可能になる。原因である権限集中を解消する根本対策である。
?選択肢ごとの解説
ア ×担当者を信頼できる者に限定しても一人で全工程を完結できる構造は変わらず、相互牽制が働かないため不正の余地は残る。
イ ×操作ログの事後分析は不正の発見を助けるが事後検知であり、一人で完結できる構造自体を是正せず未然防止にならない。
ウ ○懸念の核心は『一人で登録から実行まで完結でき、相互牽制が働かない』点である。登録と承認を別々の担当者に分ける職務分掌により、不正な支払には必ず複数人の関与が必要となり、単独での不正完結が構造的に不可能になる。原因である権限集中を解消する根本対策である。
エ ×高額時の管理者通知は閾値以下の不正を見逃すうえ、登録と承認を一人が握る構造は変わらず根本解決にならない。
✎くわしく
内部不正対策の基本原則は『職務分掌(職務の分離)』と『相互牽制』である。一連の重要業務を分割し、不正の実行に複数人の共謀を要する状態を作ることで、単独犯による不正を構造的に防ぐ。検知や属人的信頼に頼るのではなく、権限の集中そのものを解消するのが要点である。
✓本番での押さえどころ
試験のコツ
『一人で重要業務を完結できる/相互牽制がない』が論点なら、職務分掌(登録と承認の分離)による相互牽制が正解。
覚え方
内部不正は『一人に全部握らせない』。鍵を二人で持てば一人では金庫を開けられない。
よくある誤り
信頼できる人に任せる(ア)やログ監視(イ)で対処しようとするが、論点は『一人で完結できる構造』であり、人の信頼性や事後検知ではなく権限分離が根本対策である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0030