設問1
△
2台以上の端末を使用して、同じ管理者IDとパスワードで2人以上が使用できないことを確認する。
○
ミドルウェア上で多重ログインが禁止されていることを、設定画面を目視して確認する。
設問2
△(×?)
アクセスログによりDB用IDの使用ログが記録され、確認可能であること。
○
DB用IDのバスワードは、必要最小限の担当者しか知らないように管理すること。
設問3
リスク、コントロールとも○
設問4
△(×?)
外部の週次バックアップと日次バックアップを用いてどの程度までリカバリ可能かテストを実施する。
○
販売管理システムから受け渡される売上実施データのバックアップを日次で外部保管すること
設問1は、出口としての画面で2つ同時に使用できるかどうかを確認するか、入口の部分の設定が正しくなされているか確認するかの違いである。
この前に解いた問題で、運用状況を確認する方法に(実端末で確認)引きずられてしまった感じだが、私の回答でも完全な間違いではないと思う。
設問2は、DB用IDはほぼ使われる可能性が無いことから、不正利用についてアクセスログでの確認が容易であると思った。DB用IDの管理の適切性を答える必要があった。
この問題での「コントロール」とは、リスクを軽減するために監査対象が実施することであるが、問題文でのコントロールで記述されていることは、コントロールを確認するための監査手続きそのものである。そのため、この問題をややこしくしていると感じる。
設問4は、現状をチェックするための監査手続きを答えてしまった。「追加すべきコントロール」は監査対象が追加ですべきこと(週次でなく日次で外部に送付する)である。
ほとんどの人は、そもそも週次で送っているため、日次では送付できない制約があると考えてしまうと思う。その発想の転換が必要である。