令和元年度 秋期 ITパスポート試験 問61 解説 内部不正防止

この問題は、内部不正防止における「権限管理の原則」と「組織的対策の基本」を見抜くことで正解を導き出せます。

各選択肢の判断基準は以下の通りです。

aは誤りです。「権限を一人に集中させる」ことは内部不正の温床となります。システム管理者などの重要な権限は複数人で分担させたり、相互に監視できる体制（職務分掌）を構築したりするのが鉄則です。一人の人間が全ての操作を行える状態は、不正を容易にし、発覚を遅らせる原因となります。

bは適切です。不正が起きた際、組織として毅然とした対応をとることは、他の従業員に対する抑止力として非常に重要です。また、再発防止策を講じることで、脆弱だった運用ルールやシステム上の欠陥を修正し、健全な組織環境を取り戻すことができます。

cは適切です。内部不正対策は単なる現場の作業ルールではなく、経営課題です。経営者自らが方針を明確にし、全社に向けて周知することで、組織全体のコンプライアンス意識を高める効果があります。

この問題の背景にあるのは、情報セキュリティにおける「職務分掌」と「組織的なマネジメント」という概念です。

職務分掌とは、業務を適切に分割し、権限を分散させることを指します。これにより、特定の個人が不正を行おうとしても、他の人の承認が必要だったり、ログが別の人によって確認されたりすることで、抑止や早期発見が機能するようになります。逆に言えば、権限を集中させればさせるほど、その一人が裏切ったときのリスクは最大化されます。

ITパスポート試験では、こうした組織的なルールに関する問題が頻出です。「性善説に頼らず、仕組みで不正を防ぐ」というセキュリティの考え方を理解しておくと、今回のような選択肢の正誤判断が非常にスムーズになります。経営者が主導し、ルールを明確にし、運用をチェックし、問題があれば厳正に対処するというサイクルが、ガイドラインにおける内部不正対策の要点です。

• 政府CIOポータル：情報セキュリティ対策（内部不正対策）