基本情報技術者試験「アクセス制御」の問題
D社の購買システムでは、一人の担当者が取引先の登録・発注・支払承認のすべての権限を持っている。内部監査から、不正な取引先への架空発注と支払が一人で完結できる状態を是正するよう指摘された。是正策として、最も適切なものはどれか。
ア担当者の操作ログを毎日上長が読み、不審な発注の兆候がないか継続して監視する。
イ担当者から高額発注は行わない旨の誓約書へ署名を取り、その順守を本人に求め続ける。
ウ発注金額に上限を設け、その上限の範囲内であれば一人で一連の処理を完結できるようにする。
エ登録・発注・支払承認の工程を別々の担当者へ割り当て、単独では一連の取引が成立しないようにする。
正解
エ.登録・発注・支払承認の工程を別々の担当者へ割り当て、単独では一連の取引が成立しないようにする。
架空発注が一人で完結できるのは、相互に牽制すべき工程の権限が一人に集中しているためである。取引先登録・発注・支払承認を別々の担当者へ分離する職務分掌を行えば、単独では不正な取引を成立させられず、複数人の共謀が必要となるため不正の難度が大幅に上がる。
?選択肢ごとの解説
ア ×ログの事後確認は検知の補助にはなるが、一人で完結できる構造自体を変えず、不正の実行を未然に防ぐ根本対策にならない。
イ ×誓約書は本人の意思に依存する精神論であり、権限が集中したままでは不正を技術的・構造的に防げない。
ウ ×金額上限の設定は被害規模を抑えるだけで、上限内なら依然一人で架空発注を完結でき、相互牽制が働かない。
エ ○架空発注が一人で完結できるのは、相互に牽制すべき工程の権限が一人に集中しているためである。取引先登録・発注・支払承認を別々の担当者へ分離する職務分掌を行えば、単独では不正な取引を成立させられず、複数人の共謀が必要となるため不正の難度が大幅に上がる。
✎くわしく
職務分掌(Segregation of Duties)は、相互に検証関係にある業務を分離して単独不正を不能にする内部統制の基本である。発注と支払承認のように利益相反が生じる工程を同一人物に持たせないことが要諦である。
✓本番での押さえどころ
試験のコツ
『一人で一連の業務が完結し不正が可能』とあれば職務分掌(権限の分離)による相互牽制が正解である。
覚え方
職務分掌は『鍵と金庫を別の人に』。一人に揃わなければ単独では開けられない。
よくある誤り
監視や誓約、金額制限で抑止できると考えるが、いずれも一人完結の構造を残しており、構造そのものの分離が本質的解決である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0076