HOME»応用情報技術者試験掲示板»第1問 平成28年秋期問11(システム監査)設問4
投稿する
確認したいのですが、質問者は No.4 の指摘を受けてどう考えましたか?
第1問 平成28年秋期問11(システム監査)設問4 [5852]
こんさん(No.1)
お世話になっております。
掲題の件、ID申請書と権限マスタデータを回答へ記述しました。
ID申請書にした理由として問題文が「システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し,営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。」
営業管理部長の承認得ているのはあくまで、ID申請書でありそれを用いてID管理台帳へ誤植なく書き込めているか?の確認がない気がします。よって、確認すべきは、承認を得た時点の「ID申請書」であり実物である「権限マスタ」だと思いますが、、、
台帳への登録が誤植なくできる保証がない気がします。。
なぜ、回答はID管理台帳なのでしょうか?
掲題の件、ID申請書と権限マスタデータを回答へ記述しました。
ID申請書にした理由として問題文が「システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し,営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。」
営業管理部長の承認得ているのはあくまで、ID申請書でありそれを用いてID管理台帳へ誤植なく書き込めているか?の確認がない気がします。よって、確認すべきは、承認を得た時点の「ID申請書」であり実物である「権限マスタ」だと思いますが、、、
台帳への登録が誤植なくできる保証がない気がします。。
なぜ、回答はID管理台帳なのでしょうか?
2025.07.02 23:07
犬。さん(No.2)
★AP ブロンズマイスター
〉こんさん
おはようございます。
問題文を見る限り、こんさんのご指摘のとおりな気がしてきました。
強いて言うと、支店と違い、営業管理部に所属している全員が対象だから、ID管理台帳を使用してるところがポイントでしょうか。
作問者は「1件1件照合できないよね」「データで照合すれば間違いないよね」と考えたのかも知れません。
ただし、ID管理台帳、権限マスタ、ともにシステム管理者(同一人物)が更新しているので、悪意の有無に関わらず、誤った内容で更新される可能性は大ですね。
恐らく作問者の中では、ID管理台帳が修正されたID申請書どおりに更新されていることを前提としていたのかも。
もやもやは残りますが、私の見解は上記のとおりです。
如何でしょうか?
おはようございます。
問題文を見る限り、こんさんのご指摘のとおりな気がしてきました。
強いて言うと、支店と違い、営業管理部に所属している全員が対象だから、ID管理台帳を使用してるところがポイントでしょうか。
作問者は「1件1件照合できないよね」「データで照合すれば間違いないよね」と考えたのかも知れません。
ただし、ID管理台帳、権限マスタ、ともにシステム管理者(同一人物)が更新しているので、悪意の有無に関わらず、誤った内容で更新される可能性は大ですね。
恐らく作問者の中では、ID管理台帳が修正されたID申請書どおりに更新されていることを前提としていたのかも。
もやもやは残りますが、私の見解は上記のとおりです。
如何でしょうか?
2025.07.03 08:02
こんさん(No.3)
早々のご回答、ありがとうございます。ipa回答監査としての着眼点が、、、やはり、性善説という私の理解であっていると、お思いになられている方がおられて、心強かったです。Ipaは、このようなことが起きないような問題を作ってほしいと思いました。
2025.07.03 08:24
ストップビットさん(No.4)
「ID申請書」が「権限マスタデータ」に正しく反映されていることは、表1の項番(1)で既に確かめていませんか?
2025.07.03 12:48
犬。さん(No.5)
★AP ブロンズマイスター
〉ストップビットさん
こんにちは。
コメントありがとうございます。
ご指摘のとおりですね(^_^;)
こんにちは。
コメントありがとうございます。
ご指摘のとおりですね(^_^;)
2025.07.03 12:52
jjon-comさん(No.6)
★AP プラチナマイスター
前提として。
情報処理技術者試験では共謀による犯行は対象外としています。
(そうでない過去の出題をご存知なら指摘していただきたいです)
利用者ID棚卸リスト(各課の課長の承認)→ID申請書(営業管理部長の承認)→ID管理台帳(システム管理者の管理)→権限マスタデータ
のような状況に対して、いきなり「上記に関係する3者が共謀すれば何でもできる」と言い出す輩に出会ったことがありますが、これは試験問題を正しく読んでいないだけです。
でも、(故意か過失かを問わず)一人だけが関与することで間違いが発生する件については情報処理技術者試験の対象であり、よく出題される要点でもあります。この件への対策は、ダブルチェック(他の人による確認)をすること、になります。
ID申請書(営業管理部長の承認)と 権限マスタデータ の内容については、
No.4の指摘どおり、監査手続 表1 (1) ① で確認しています。
営業管理部長が関与する問題行動があればここで見つかります。
利用者ID棚卸リスト(各課の課長の承認)の内容については、
監査手続 表1 (2) ② で確認しています。
どこかの課長が関与する問題行動があればここで見つかります。
残ったのは、
ID管理台帳(システム管理者の管理)の内容についてです。
これが監査手続 表1 (2) ③ に対応し、
システム管理者が関与する問題行動を対象にしています。
(棚卸リスト=ID申請書)≠(権限マスタ=ID管理台帳)
であるなら、表1(2)③ は◯ですが、表1(1)① で×になります。
(棚卸リスト=ID申請書=権限マスタ)≠ ID管理台帳
であるなら、表1(1)① は◯ですが、表1(2)③ で×になります。
いずれも、
承認された内容でID管理できていないシステム管理者の問題が監査手続によって露呈したことになります。
情報処理技術者試験では共謀による犯行は対象外としています。
(そうでない過去の出題をご存知なら指摘していただきたいです)
利用者ID棚卸リスト(各課の課長の承認)→ID申請書(営業管理部長の承認)→ID管理台帳(システム管理者の管理)→権限マスタデータ
のような状況に対して、いきなり「上記に関係する3者が共謀すれば何でもできる」と言い出す輩に出会ったことがありますが、これは試験問題を正しく読んでいないだけです。
でも、(故意か過失かを問わず)一人だけが関与することで間違いが発生する件については情報処理技術者試験の対象であり、よく出題される要点でもあります。この件への対策は、ダブルチェック(他の人による確認)をすること、になります。
ID申請書(営業管理部長の承認)と 権限マスタデータ の内容については、
No.4の指摘どおり、監査手続 表1 (1) ① で確認しています。
営業管理部長が関与する問題行動があればここで見つかります。
利用者ID棚卸リスト(各課の課長の承認)の内容については、
監査手続 表1 (2) ② で確認しています。
どこかの課長が関与する問題行動があればここで見つかります。
残ったのは、
ID管理台帳(システム管理者の管理)の内容についてです。
これが監査手続 表1 (2) ③ に対応し、
システム管理者が関与する問題行動を対象にしています。
> ID申請書を用いてID管理台帳へ誤植なく書き込めているか?の確認がない気がします。
(棚卸リスト=ID申請書)≠(権限マスタ=ID管理台帳)
であるなら、表1(2)③ は◯ですが、表1(1)① で×になります。
(棚卸リスト=ID申請書=権限マスタ)≠ ID管理台帳
であるなら、表1(1)① は◯ですが、表1(2)③ で×になります。
いずれも、
承認された内容でID管理できていないシステム管理者の問題が監査手続によって露呈したことになります。
2025.07.03 14:44
jjon-comさん(No.7)
★AP プラチナマイスター
こんさん(No.8)
申し訳ありません。ありがとうございました。
しかしながら、よくわからないのです。
営業管理部の利用者IDの棚卸手続きが不十分なので、監査人自らでbとcを照合
とあります。
申請内容については、申請書へ承認をしているので、ここまでは起票者・承認者で複数名いますが、以降の台帳登録やデータ更新は一人です。よって、確認すべきは、承認済み申請書と、データなのでは?ないんでしょうか?
しかしながら、よくわからないのです。
営業管理部の利用者IDの棚卸手続きが不十分なので、監査人自らでbとcを照合
とあります。
申請内容については、申請書へ承認をしているので、ここまでは起票者・承認者で複数名いますが、以降の台帳登録やデータ更新は一人です。よって、確認すべきは、承認済み申請書と、データなのでは?ないんでしょうか?
2025.07.05 13:08
jjon-comさん(No.9)
★AP プラチナマイスター
> 確認すべきは、承認済み申請書と、データなのでは?ないんでしょうか?
確認したいのですが、質問者は No.4 の指摘を受けてどう考えましたか?
> ID申請書(営業管理部長の承認)と 権限マスタデータ の内容については、
> No.4の指摘どおり、監査手続 表1 (1) ① で確認しています。
> 営業管理部長が関与する問題行動があればここで見つかります。(No.5)
2025.07.06 09:34
jjon-comさん(No.10)
★AP プラチナマイスター
応用情報のシステム監査の問題は、ネットでは文系ハッピーセットなどと揶揄されることもあるようですが、「文系」とは次のような日本語文章の構成を読解できる力を指しています。
問題文の次の記述に対応して、
(1) 利用者IDが適切に更新されているか。
とは別に、
(2) 利用者ID棚卸(利用者IDの定期的な確認)が適切に実施されているか。
という観点がある。
というのは (1) の観点です。
ID管理台帳の更新者自身が、ID管理台帳の棚卸の実施者である。
これが(2)の観点からの監査指摘事項であり、対応の原則は No.6で述べたダブルチェック(他の人による確認)です。
問題文の次の記述に対応して、
〔住宅販売システムの予備調査〕
(2) 利用者IDの更新(登録・変更・削除)
……
(3) 利用者IDの定期的な確認(以下,利用者ID棚卸という)
利用者ID棚卸は,権限マスタの登録内容が適切かどうかを定期的に確認するために,年に2回,各支店及び営業管理部で実施されている。
……
(4) 利用者IDの監視
……
表1の次の項番の監査要点が書かれています。(2) 利用者IDの更新(登録・変更・削除)
……
(3) 利用者IDの定期的な確認(以下,利用者ID棚卸という)
利用者ID棚卸は,権限マスタの登録内容が適切かどうかを定期的に確認するために,年に2回,各支店及び営業管理部で実施されている。
……
(4) 利用者IDの監視
……
(1) 利用者IDが適切に更新されているか。
(2) 利用者ID棚卸が適切に実施されているか。
(3) 利用者IDの監視が有効に実施されているか。
(2) 利用者ID棚卸が適切に実施されているか。
(3) 利用者IDの監視が有効に実施されているか。
(1) 利用者IDが適切に更新されているか。
とは別に、
(2) 利用者ID棚卸(利用者IDの定期的な確認)が適切に実施されているか。
という観点がある。
> 以降の台帳登録やデータ更新は(システム管理者)一人 (No.8)
というのは (1) の観点です。
ID管理台帳の更新者自身が、ID管理台帳の棚卸の実施者である。
これが(2)の観点からの監査指摘事項であり、対応の原則は No.6で述べたダブルチェック(他の人による確認)です。
2025.07.06 09:35
こんさん(No.11)
すみません。
→ありがとうございます。理解しました。
上にかかってきているのですね!以後は、そのように解釈いたします。
>表1 (1) ① で確認しています。
→ありがとうございます。理解しました。
上にかかってきているのですね!以後は、そのように解釈いたします。
2025.07.06 15:05