応用情報技術者試験 平成30年春 午前問58 解説付き過去問
問題
システム利用者に対して付与されるアクセス権の管理状況の監査で判明した状況のうち、監査人がシステム監査報告書で報告すべき指摘事項はどれか。
正解
解説
この問題は、システム利用者のアクセス権管理の監査において、監査人が報告書で指摘すべき事項を見極めることに焦点を当てています。
- アクセス権の日常的な管理
システムのセキュリティを保持するため、アクセス権の付与、変更、および削除は迅速かつ正確に行われる必要があります。これには、利用者が退職または異動した際のアクセス権の削除や変更が含まれます。退職や異動の情報は通常、直ちに管理部門に伝えられ、それに基づくアクセス権の調整が必要となります。 - 年度初めまでの待機リスク
退職や異動した利用者のアクセス権を、年度初めに一括で更新する手法は、その間に不正アクセスやデータ漏洩のリスクが発生する可能性があります。特に、機密情報を扱うシステムでは、この遅延は重大なセキュリティ違反につながる可能性があります。利用者の状態変更があった際には、可能な限り速やかにアクセス権を調整することが推奨されます。
したがって、退職または異動したシステム利用者のアクセス権を年度初めに一括で更新するという管理方法は、セキュリティ違反のリスクを増大させるため、監査報告書での重要な指摘事項となります。