情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
D社の購買システムでは、一人の担当者が取引先の登録・発注・支払承認のすべての権限を持っている。内部監査から、不正な取引先への架空発注と支払が一人で完結できる状態を是正するよう指摘された。是正策として、最も適切なものはどれか。
担当者の操作ログを毎日上長が読み、不審な発注の兆候がないか継続して監視する。
担当者から高額発注は行わない旨の誓約書へ署名を取り、その順守を本人に求め続ける。
発注金額に上限を設け、その上限の範囲内であれば一人で一連の処理を完結できるようにする。
登録・発注・支払承認の工程を別々の担当者へ割り当て、単独では一連の取引が成立しないようにする。
正解
登録・発注・支払承認の工程を別々の担当者へ割り当て、単独では一連の取引が成立しないようにする。

架空発注が一人で完結できるのは、相互に牽制すべき工程の権限が一人に集中しているためである。取引先登録・発注・支払承認を別々の担当者へ分離する職務分掌を行えば、単独では不正な取引を成立させられず、複数人の共謀が必要となるため不正の難度が大幅に上がる。

?選択肢ごとの解説

ア ×ログの事後確認は検知の補助にはなるが、一人で完結できる構造自体を変えず、不正の実行を未然に防ぐ根本対策にならない。
イ ×誓約書は本人の意思に依存する精神論であり、権限が集中したままでは不正を技術的・構造的に防げない。
ウ ×金額上限の設定は被害規模を抑えるだけで、上限内なら依然一人で架空発注を完結でき、相互牽制が働かない。
エ ○架空発注が一人で完結できるのは、相互に牽制すべき工程の権限が一人に集中しているためである。取引先登録・発注・支払承認を別々の担当者へ分離する職務分掌を行えば、単独では不正な取引を成立させられず、複数人の共謀が必要となるため不正の難度が大幅に上がる。

くわしく

職務分掌(Segregation of Duties)は、相互に検証関係にある業務を分離して単独不正を不能にする内部統制の基本である。発注と支払承認のように利益相反が生じる工程を同一人物に持たせないことが要諦である。

本番での押さえどころ

試験のコツ

『一人で一連の業務が完結し不正が可能』とあれば職務分掌(権限の分離)による相互牽制が正解である。

覚え方

職務分掌は『鍵と金庫を別の人に』。一人に揃わなければ単独では開けられない。

よくある誤り

監視や誓約、金額制限で抑止できると考えるが、いずれも一人完結の構造を残しており、構造そのものの分離が本質的解決である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0076

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問