情報セキュリティ

基本情報技術者試験内部不正対策」の問題

情報セキュリティ情報セキュリティ難易度:normal
R社の経理部では、一人の担当者が支払データの登録から承認、振込実行までをすべて単独で行えるため、不正な振込が行われても誰にも気づかれない懸念がある。この懸念を根本的に減らす運用上の対策として、最も適切なものはどれか。
支払業務を任せる社員を、勤続年数が長く特に信頼できると判断した一部の者だけに限定する。
支払処理の操作ログを毎月集計し、件数の異常がないかを事後にまとめて分析する。
登録する役割と承認する役割を別々の担当者に割り当て、単独完結をできなくする。
支払金額が一定の閾値を超えた場合に限り、システムから管理者へ自動で通知させる。
正解
登録する役割と承認する役割を別々の担当者に割り当て、単独完結をできなくする。

懸念の核心は『一人で登録から実行まで完結でき、相互牽制が働かない』点である。登録と承認を別々の担当者に分ける職務分掌により、不正な支払には必ず複数人の関与が必要となり、単独での不正完結が構造的に不可能になる。原因である権限集中を解消する根本対策である。

?選択肢ごとの解説

ア ×担当者を信頼できる者に限定しても一人で全工程を完結できる構造は変わらず、相互牽制が働かないため不正の余地は残る。
イ ×操作ログの事後分析は不正の発見を助けるが事後検知であり、一人で完結できる構造自体を是正せず未然防止にならない。
ウ ○懸念の核心は『一人で登録から実行まで完結でき、相互牽制が働かない』点である。登録と承認を別々の担当者に分ける職務分掌により、不正な支払には必ず複数人の関与が必要となり、単独での不正完結が構造的に不可能になる。原因である権限集中を解消する根本対策である。
エ ×高額時の管理者通知は閾値以下の不正を見逃すうえ、登録と承認を一人が握る構造は変わらず根本解決にならない。

くわしく

内部不正対策の基本原則は『職務分掌(職務の分離)』と『相互牽制』である。一連の重要業務を分割し、不正の実行に複数人の共謀を要する状態を作ることで、単独犯による不正を構造的に防ぐ。検知や属人的信頼に頼るのではなく、権限の集中そのものを解消するのが要点である。

本番での押さえどころ

試験のコツ

『一人で重要業務を完結できる/相互牽制がない』が論点なら、職務分掌(登録と承認の分離)による相互牽制が正解。

覚え方

内部不正は『一人に全部握らせない』。鍵を二人で持てば一人では金庫を開けられない。

よくある誤り

信頼できる人に任せる(ア)やログ監視(イ)で対処しようとするが、論点は『一人で完結できる構造』であり、人の信頼性や事後検知ではなく権限分離が根本対策である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0030

【基本情報技術者試験】内部不正対策の問題 — 解答・解説|ukamiru 過去問