データベースの直接修正に関して、監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで、直接修正とは、アプリケーションソフトウェアの機能を経由せずに、特権 ID を使用してデータを追加、変更又は削除することをいう。
  1. 更新ログを加工して、アプリケーションソフトウェアの機能を経由した正常な処理によるログとして残していた。
  2. 事前のデータ変更申請の承認、及び事後のデータ変更結果の承認を行っていた。
  3. 直接修正の作業時以外は、使用する直接修正用の特権 ID を無効にしていた。
  4. 利用部門からのデータ変更依頼票に基づいて、 システム部門が直接修正を実施 していた。

出典:令和2年度 システム監査技術者試験 午前2 問9




正解:ア
データベースの直接修正についてはシステムと介した修正と違い、手違いによるミスや実行権限の制御などが効かないケースがあるため、適切な手順で行われていたかは監査対象となります。

回答ア:
正しい記述です。 ※指摘事項です
ログの改ざんは実態を偽ることであり、不正操作の温床となります。
指摘事項として挙げられる事項です。

回答イ:
誤りです。
データ変更前後で適切な承認を得られているため、問題ない手続きです。

回答ウ:
誤りです。
必要のない場合、特権IDを用いないことが推奨されます。

回答エ:
誤りです。
必要な以来の手続きを受け、担当部門が対応したという流れは問題の無い手続きです。
休日プログラマー