平成26年度 秋期 ITパスポート試験 公開問題 問41 解説 システム監査の目的

この問題の判断根拠は、アクセス記録（ログ）に何が残るかという点と、システム監査の目的を関連付けることにあります。

今回記録されているのは「誰（ユーザID）が、いつ（照合日時）、どうなったか（照合結果）」というデータです。この記録を分析すれば、誰がシステムにログインしようとしたのか、あるいは誰が不正なアクセスを試みてログインに失敗したのかを特定できます。したがって、権限を持つ人が適切にアクセスしているか、許可されていないアクセスが行われていないかを検証する目的に合致する選択肢を選びます。

ログによる証跡管理とアクセス制御

アクセス記録（ログ）の最大の目的は、事後的に「何が起きたか」を追跡可能にする「アカウンタビリティ（説明責任）」の担保です。

システム監査において、アクセスログを活用する主な理由は以下の通りです。

・正当なアクセス確認：業務に必要な権限を持つ社員だけがシステムを利用しているかを確認します。 ・不正アクセスの検知：連続したログイン失敗などが記録されていれば、パスワードを推測しようとする攻撃（ブルートフォース攻撃など）の痕跡を掴むことができます。 ・事後追跡の担保：万が一不正操作があった場合、誰がいつ操作したのかを特定するための根拠となります。

今回の問題のように、ログイン時の「成功・失敗」を記録することは、情報セキュリティにおけるアクセス制御の仕組みが正しく機能しているかを監査するための基本的な手段です。

権限管理が重要な理由

ITパスポートの試験範囲において、権限管理は「情報セキュリティマネジメント」の要です。システムを利用する権利（利用権限）は、組織の人事異動や退職に合わせて適切に更新・削除される必要があります。

例えば、退職したはずの社員のIDでログイン成功の記録が残っていたり、アクセス権がないはずの部門のIDでログイン試行が繰り返されていたりする場合、それはシステム利用権限の運用が不適切であるという「監査上の指摘事項」となります。ログという客観的な事実に照らし合わせて、運用のルールが守られているかをチェックすることがシステム監査の重要なプロセスです。

他の選択肢が誤りである理由についても確認しておきましょう。 ・障害情報は、主にシステムログ（エラーコードや動作状態）から確認するものであり、ユーザIDとの紐付けが主目的ではありません。 ・利用者の利便性は、操作画面の分かりやすさや応答速度などを評価するものであり、ログ分析の主目的とは異なります。 ・品質マネジメントシステム（ISO 9001など）への適合性は、プロセスや成果物の品質管理に関するものであり、特定のアクセスログの確認だけで判断できる範囲を超えています。

参考リンク

• ITパスポート試験ドットコム：システム監査
• 【セキュリティ技術】ログ分析で不正ログインを検知する仕組み（Qiita）
• JIS Q 27000:2019 情報セキュリティマネジメントシステム（日本産業標準調査会）