情報セキュリティマネジメント平成28年春期 午前問37

問37

スプレッドシートの利用に係るコントロールの監査において把握した,利用者による行為のうち,指摘事項に該当するものはどれか。
  • スプレッドシートに組み込まれたロジックの正確性を,検算によって確認していた。
  • スプレッドシートに組み込まれたロジックを,業務上の必要に応じて,随時,変更し上書き保存していた。
  • スプレッドシートにパスワードを付した上で,アクセスコントロールが施されたサーバに保管していた。
  • スプレッドシートを所定のルールに従ってバックアップしていた。

分類

マネジメント系 » システム監査 » システム監査

正解

解説

スプレッドシートとは、"Microsoft Excel"に代表される、縦横に並んだマス目(セル)に文字や数値を入力し、表計算を行うことができるソフトの総称です。
37.png/image-size:72×84
スプレッドシートは、手軽かつ高機能であるため広く業務に使用されていますが、ソフトウェア等のような開発の手順を踏まずに個々の裁量によって使用されていることが多いため、以下に挙げるような問題が生じる可能性があります。
  • スプレッドシート等で作成した表や数式の作成者と利用者が同一である場合、第三者の検証を経ずに作成されたシートやマクロを使用している。
  • マクロ等のプログラムの手順が文書化されていない。
  • バックアップの手続きが定められていない。
  • アクセス制御が不十分なため、改ざんや消失の恐れがある。
  • スプレッドシート上の計算結果が、適切に検証されないまま各種報告書に使用されることで誤りや虚偽に繋がる。
これらのリスクを防ぐためには、スプレッドシートに対して、計算式やマクロの検証および承認、バックアップ手順の策定、アクセス制御などの管理策を導入することが必要となります。

以上より、スプレッドシートの変更時に検証や承認が行われていない「イ」が指摘事項に該当することがわかります。
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop