HOME»応用情報技術者試験掲示板»平成28年秋期午後問11 設問1
投稿する
»[5946] 令和6年春期午後問1 投稿数:2
»[5945] 平成18年春期 問45、2段階エディット法の解説 投稿数:4
平成28年秋期午後問11 設問1 [5948]
匿名さん(No.1)
https://www.ap-siken.com/kakomon/28_aki/pm11.html
設問1
表1中の項番(1)の監査手続①だけでは,利用者IDの不正な更新を検出できない場合がある。どのような場合に検出できないか,25字以内で述べよ。
解答例:承認済みID申請書がなく更新される場合
私の回答:承認者とシステム管理者が同一人物である場合
私の回答では、〇にならないでしょうか?
解答例の内容についても理解できたのですが、解答例にしろ、私の回答にしろ
問題の穴をつついているような内容であるため、私の回答の内容でも問題ないのではないかと思っています。(問題文中に、承認者とシステム管理者が同一人物ではない旨が記載されていないため。)
そもそも、このような記述問題で解答になる記載例が複数存在する場合は、模範解答に全パターン記載されるものなのでしょうか?
設問1
表1中の項番(1)の監査手続①だけでは,利用者IDの不正な更新を検出できない場合がある。どのような場合に検出できないか,25字以内で述べよ。
解答例:承認済みID申請書がなく更新される場合
私の回答:承認者とシステム管理者が同一人物である場合
私の回答では、〇にならないでしょうか?
解答例の内容についても理解できたのですが、解答例にしろ、私の回答にしろ
問題の穴をつついているような内容であるため、私の回答の内容でも問題ないのではないかと思っています。(問題文中に、承認者とシステム管理者が同一人物ではない旨が記載されていないため。)
そもそも、このような記述問題で解答になる記載例が複数存在する場合は、模範解答に全パターン記載されるものなのでしょうか?
2025.08.31 15:44
jjon-comさん(No.2)
★AP プラチナマイスター
応用情報 平成28年 秋期 午後 問11
https://www.ap-siken.com/kakomon/28_aki/pm11.html
問題文中で「承認を受けた後,システム管理者に *渡している*」と表現しているのに
と主張するのは曲解だと、私は考えます。
上記のような特殊な例を持ち出さなくとも、
予備調査をおこなった現状では、ID申請書・承認済みID申請書に基づかない不正な更新をシステム管理者がおこなってもそれは表1中の項番(1)の監査手続①で検出されない、という基本を素直に指摘すればいいと思います。
私は2週間ほど前に次のように発言しました。
https://www.ap-siken.com/bbs/5920.html
https://www.ap-siken.com/kakomon/28_aki/pm11.html
問題文中で「承認を受けた後,システム管理者に *渡している*」と表現しているのに
> 問題文中に、承認者とシステム管理者が同一人物ではない旨が記載されていない
と主張するのは曲解だと、私は考えます。
(2) 利用者IDの更新(登録・変更・削除)
利用者IDの更新は,各支店及び営業管理部のシステム管理者が実施している。
①支店の利用者IDの更新については,ID申請書に利用者本人が必要事項を記入し,支店長の承認を受けた後,当該支店のシステム管理者に渡している。(略)
②営業管理部の利用者IDの更新については,ID申請書に利用者本人が必要事項を記入し,本人が所属する課の課長の承認を受けた後,営業管理部のシステム管理者に渡している。(略)
ちなみに、システム管理者について次のように説明されており、利用者IDの更新は,各支店及び営業管理部のシステム管理者が実施している。
①支店の利用者IDの更新については,ID申請書に利用者本人が必要事項を記入し,支店長の承認を受けた後,当該支店のシステム管理者に渡している。(略)
②営業管理部の利用者IDの更新については,ID申請書に利用者本人が必要事項を記入し,本人が所属する課の課長の承認を受けた後,営業管理部のシステム管理者に渡している。(略)
管理者メニューの利用権限が与えられているのは,各支店及び営業管理部のそれぞれ1名(以下,システム管理者という)である。
支店長も「各支店の1名」であり、本人が所属する課の課長も「営業管理部の1名」であることは理解しています。上記のような特殊な例を持ち出さなくとも、
予備調査をおこなった現状では、ID申請書・承認済みID申請書に基づかない不正な更新をシステム管理者がおこなってもそれは表1中の項番(1)の監査手続①で検出されない、という基本を素直に指摘すればいいと思います。
> このような記述問題で解答になる記載例が複数存在する場合は、
> 模範解答に全パターン記載されるものなのでしょうか?
私は2週間ほど前に次のように発言しました。
> 問題点は容易にイメージでき複数挙げられるのだけれど,
> 問題点なんだからどれを指摘してもいい,ではなく,
> 「システム上の」問題,「運用上の」問題を的確に指摘することができなかった。(回答No.14)
https://www.ap-siken.com/bbs/5920.html
2025.08.31 23:16
momochanさん(No.3)
★AP ブロンズマイスター
利用者ID棚卸(3)①
これが項番(1)の監査手続①「承認済みID申請書に対応する権限マスタデータが当該ID申請書の内容と一致しているかどうかを確かめる」だけでは不正な更新が行われても検出できなく「承認済みID申請書がなく更新される場合」に当たるのではないかと思います。
違いますでしょうか。
支店では,利用者ID数が少ないので,各支店のシステム管理者が住宅販売システムの権限マスタ一覧画面で,利用者ID,利用者名,所属及び役職を照会し,画面上で,直接確認作業を行っている。このとき,支店に在籍していない従業員の利用者IDが発見された場合は,支店長の承認を得て画面上で権限マスタデータを更新している。
ここの部分、利用者ID棚卸について、支店では通常のID申請書による手続きが省略され、支店長の承認だけで権限マスタデータが更新可能になっています。これが項番(1)の監査手続①「承認済みID申請書に対応する権限マスタデータが当該ID申請書の内容と一致しているかどうかを確かめる」だけでは不正な更新が行われても検出できなく「承認済みID申請書がなく更新される場合」に当たるのではないかと思います。
違いますでしょうか。
2025.09.01 17:29
momochanさん(No.4)
★AP ブロンズマイスター
設問1の解説では、「承認済みID申請書がない更新は監査手続①では検出できない」という趣旨が中心に据えられています。
しかし、そのような更新が実際にどこで起きているかという具体例として、支店での利用者ID棚卸時の更新が本文に明記されているにもかかわらず、解説ではそれに触れていません。
この運用は、ID申請書を経由しない例外的な更新であり、まさに設問1の「監査手続①では検出できない更新」の具体例です。
したがって、解説に棚卸の記述がないのは不十分であり、より実務的・教育的な解説を目指すなら、棚卸の運用を明示すべきだと思います。
「支店では棚卸時に支店長の承認のみで権限マスタが更新される運用があるため、ID申請書を伴わない更新が存在します。このような更新は監査手続①では検出できません。」
しかし、そのような更新が実際にどこで起きているかという具体例として、支店での利用者ID棚卸時の更新が本文に明記されているにもかかわらず、解説ではそれに触れていません。
この運用は、ID申請書を経由しない例外的な更新であり、まさに設問1の「監査手続①では検出できない更新」の具体例です。
したがって、解説に棚卸の記述がないのは不十分であり、より実務的・教育的な解説を目指すなら、棚卸の運用を明示すべきだと思います。
「支店では棚卸時に支店長の承認のみで権限マスタが更新される運用があるため、ID申請書を伴わない更新が存在します。このような更新は監査手続①では検出できません。」
2025.09.01 19:58
jjon-comさん(No.5)
★AP プラチナマイスター
No.3, No.4 納得しました、ご指摘のとおりです。
これまで私はその点に気づけませんでした。
これまで私はその点に気づけませんでした。
2025.09.06 21:51
momochanさん(No.6)
★AP ブロンズマイスター
No.3、No.4は、過去問と過去問解説を読み比べたときに、過去問解説の内容が違うのではないかと思ったので投稿いたしました。
匿名さん(No.1)への回答でもなく、jjon-comさん(No.2)への意見でもなかったのですが、No.5でjjon-comさんに答えていただき、お墨付きをいただけたことで安心いたしました。
返信いただきありがとうございました。
匿名さん(No.1)への回答でもなく、jjon-comさん(No.2)への意見でもなかったのですが、No.5でjjon-comさんに答えていただき、お墨付きをいただけたことで安心いたしました。
返信いただきありがとうございました。
2025.09.06 23:17
管理人(No.7)
議論の内容を拝見しております。
設問1の解説について、momochanさんに有力な本文根拠を提示していただき、私も納得いたしました。議論を踏まえて解説を以下のように改善してみました。
設問1の解説について、momochanさんに有力な本文根拠を提示していただき、私も納得いたしました。議論を踏まえて解説を以下のように改善してみました。
支店では限られた従業員だけに利用者IDが与えられており、ID申請書があるのもその従業員分だけです。監査手続①では、承認済みのID申請書と権限マスタデータを照合するため、確認範囲はID申請書に基づく更新(登録・変更・削除)に限られます。
ここで、T社の利用者ID棚卸しに着目すると、「支店では,…,各支店のシステム管理者が…,画面上で,直接確認作業を行っている。このとき,支店に在籍していない従業員の利用者IDが発見された場合は,支店長の承認を得て画面上で権限マスタデータを更新している」とあります。ここでは、ID申請書を経由しない例外的な運用が認められています。画面を見ながら1件ずつその場で支店長に確認する手続きだと考えられ、申請書がないため、支店長の承認の記録も残りません。このような運用では次のようなリスクがあります。
・システム管理者が勝手に不正な更新を行う
・支店長が嘘をつき、不正な更新を行わせる
このような不正な更新のリスクが現実化しても、承認済みのID申請書との照合だけでは検出することができません。これが設問の求める答えとなります。
ここで、T社の利用者ID棚卸しに着目すると、「支店では,…,各支店のシステム管理者が…,画面上で,直接確認作業を行っている。このとき,支店に在籍していない従業員の利用者IDが発見された場合は,支店長の承認を得て画面上で権限マスタデータを更新している」とあります。ここでは、ID申請書を経由しない例外的な運用が認められています。画面を見ながら1件ずつその場で支店長に確認する手続きだと考えられ、申請書がないため、支店長の承認の記録も残りません。このような運用では次のようなリスクがあります。
・システム管理者が勝手に不正な更新を行う
・支店長が嘘をつき、不正な更新を行わせる
このような不正な更新のリスクが現実化しても、承認済みのID申請書との照合だけでは検出することができません。これが設問の求める答えとなります。
2025.09.07 18:42
momochanさん(No.8)
★AP ブロンズマイスター
管理人様
ご対応いただきありがとうございます。
リスクも追加されて分かりやすい解説となりました。
匿名さん
そのような極端な例を示さなくても、問題文中に承認済みのID申請書がないにもかかわらず登録が行われている場面がありますので、そこから解答を導き出したらよいかと思います。
ご対応いただきありがとうございます。
リスクも追加されて分かりやすい解説となりました。
匿名さん
>承認者とシステム管理者が同一人物である場合
そのような極端な例を示さなくても、問題文中に承認済みのID申請書がないにもかかわらず登録が行われている場面がありますので、そこから解答を導き出したらよいかと思います。
2025.09.08 07:40
その他のスレッド
»[5947] 平成30年秋期 午後問2(経営戦略) 投稿数:2»[5946] 令和6年春期午後問1 投稿数:2
»[5945] 平成18年春期 問45、2段階エディット法の解説 投稿数:4