この問題については、本番の試験でも解いたが、悩んだ問題である。

設問2

誰でも、オペレーションログの記述が問題文中にあって、オペレータが不正をした場合にその記録が残ることに気づく。

しかし、設問で、オペレータの作業上の問題とあると、これを指摘するべきかどうかを迷うと思う。

2人で作業しているからお互いが不正をしないように監視するとか、不正コマンドを受け付けないような機能を追加するとか、作業上のミスや不正をどう防止するかのコントロールを問われていると思うだろう。

よく問題文中にアクセスログが登場するが、アクセスログのチェックは事前防止のコントロールにはなり得なく、これを指摘するのには勇気がいる。ミスや不正は、事前防止のほうが、当然ながら大事だからである。管理者が毎日アクセスログをチェックするなんて、大変だし運用も難しいものである。

設問3

この問題も、監査の手続きそのものが、解答のように実施したとしても、常識として考えて満足できるものでない。

そもそも、メッセージが内容が異なるものがあるだけでなく、メッセージそのものが出ないものもある。それなのに、サンプリングで有効と言えるのだろうか。講評では有効と書いてあるが、かなり言い訳がましいように思える。ただ、問題文に正確性の確認とあるので、一応は網羅性ではなく誤ったメッセージのほうを指摘しないといけないとわかる。

今まで解いた問題の中では一番の「悪問」のように思う。実際、次の年の平成21年の問題は、異常に易しく、しかも解答が一意に定まる問題が2問出ている。