平成21年 春期 システム監査技術者 午前II 問1

アクセス権限を管理しているシステムの利用者IDリストから、退職による権限喪失者が削除されていることを検証する手続として、最も適切なものはどれか。

 ア  アクセス権限削除申請書の全件について、利用者IDリストから削除されていることを確認する。
 イ  最新の利用者IDリストの全件について、対応するアクセス権限削除申請書が存在しないことを確認する。
 ウ  人事発令簿の退職者の全件について、利用者IDリストから削除されていることを確認する。
 エ  利用者IDリストの更新履歴の全件について、対応するアクセス権限削除申請書の存在を確認する。


答え ウ


解説

 ア  退職した者のすべてについてアクセス権限削除申請書を提出しているか不明なので適切ではありません。
 イ  退職した者のすべてについてアクセス権限削除申請書を提出しているか不明なので適切ではありません。
 ウ  退職した者の情報は人事発令簿に必ず記載されているので、人事発令簿と照合する方法は適当です。
 エ  退職した者のすべてについてアクセス権限削除申請書を提出しているか不明なので適切ではありません。
 ルールとして『退職者はアクセス権限削除申請書を提出すること』となっていても、実際に提出されているかを確認できなければいけません。
 なお、人事発令(退職辞令)と連動してアクセス権限削除申請書が発行されるようなシステムであれば、アクセス権限削除申請書との照合も適当な検証方法になります。


キーワード
・アクセス管理

キーワードの解説
  • アクセス管理
    アクセス管理とは「誰がどこにアクセスできるか。」(Who has access to what?)の文脈の“アクセス”を管理することです。
    すなわち、誰がどのシステムやデータに対しアクセスする権限を持っているかを管理することです。(アクセス権限の管理。)
    アクセス管理でやってはいけないこととして、
    • 過剰なアクセス権限の付与
    • 休眠利用者IDの放置
    • 責任所在が不明確な管理
    などがあります。

もっと、「アクセス管理」について調べてみよう。

戻る 一覧へ 次へ