平成28年秋期午後問11

spaceさん  
(No.1)
https://www.ap-siken.com/kakomon/28_aki/pm11.html
設問1
表1中の項番(1)の監査手続①だけでは,利用者IDの不正な更新を検出できない場合がある。どのような場合に検出できないか,25字以内で述べよ。

A.承認済みID申請書がなく更新される場合 (19文字)

この監査手続①には、承認済みID申請書に対すると書いてあり、システム管理者は,承認済みID申請書に基づいて,権限マスタデータを更新している。
と記載されています。
承認済みID申請書に基づいているのに、承認済みID申請書がなく更新される場合なんてあり得るんでしょうか?
引っ掛け問題以前に「承認済みID申請書に対する」と書いてある以上承認済み以外の可能性は考えられなくないですか?
2021.09.17 14:50
AgentTakaさん 
AP シルバーマイスター
(No.2)
spaceさん
こんにちは

まずシステム監査の問題に取り組む場合、登場人物は皆不正をしようとしていると思って読む!ことをお勧めいたします。
この問題では例えシステム管理者であろうと、です。
システム管理者は住宅販売システムの管理者メニューで権限マスタの更新権限が与えられていますから、この権限を持った悪人が不正をしようと思えば承認済みID申請書などなくても権限マスタを更新できてしまうのですねえ。
だから「承認済みID申請書に対応する権限マスタデータが該当ID申請書の内容と一致しているかどうかを確かめる」だけでは悪人システム管理者が不正して、承認済みID申請書など無視して更新した利用者IDを検出できない、という訳です。
こういった不正を防止するコントロールはシステム管理者が入力した更新情報を別人が承認して権限マスタを更新する仕組み作りです。
で、承認権限を持った者は入力できない、お約束の「職務の分離」ですね。

システム監査を解く場合のコツですが、上記の登場人物は皆不正をしようとしていると思って読む!こと以外にも「不正出来る仕組みや業務プロセスは無いか!」という目線で読んでいくといいと思います。
ちなみにわたしはこの設問「システム管理者が承認を受けずにIDを更新する場合」と解答しました。言いたいことは承認済みID申請書など無視して更新するケースを言いたかったのですが、文字数制限で上手く表現できていないこととちょっと日本語がおかしいのでバツとしました。
いかがでしょうか。
2021.09.17 15:41
spaceさん  
(No.3)
なるほど・・・。
基本的に不正をしてると思って読みすすめるのですね。
詳しい解説ありがとうございます!AgentTakaの解答で正解だと思いましたが、難しいですね・・・。
2021.09.18 17:20

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop