サンプル問題 [科目B]問59
問59解説へ
A社は従業員200名の通信販売業者である。一般消費者向けに生活雑貨,ギフト商品などの販売を手掛けている。取扱商品の一つである商品Zは,Z販売課が担当している。
〔Z販売課の業務〕
現在,Z販売課の要員は,商品Zについての受注管理業務及び問合せ対応業務を行っている。商品Zについての受注管理業務の手順を図1に示す。
注2) Z販売課の課長1名だけである。〔Jシステムの操作権限〕
Z販売課では,Jシステムについて,次の利用方針を定めている。
[方針1] ある利用者が入力した情報は,別の利用者が承認する。
[方針2] 販売責任者は,Z販売課の全業務の情報を閲覧できる。
Jシステムでは,業務上必要な操作権限を利用者に与える機能が実装されている。
この度,商品Zの受注管理業務が受注増によって増えていることから,B社に一部を委託することにした(以下,商品Zの受注管理業務の入力作業を行うB社従業員を商品ZのB社販売担当者といい,商品ZのB社販売担当者の入力結果をチェックするB社従業員を商品ZのB社販売責任者という)。
委託に当たって,Z販売課は情報システム部にJシステムに関する次の要求事項を伝えた。
[要求1] B社が入力した場合は,A社が承認する。
[要求2] A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する。
上記を踏まえ,情報システム部は今後の各利用者に付与される操作権限を表1にまとめた。
設問 表1中のaに入れる適切な字句を解答群の中から選べ。
〔Z販売課の業務〕
現在,Z販売課の要員は,商品Zについての受注管理業務及び問合せ対応業務を行っている。商品Zについての受注管理業務の手順を図1に示す。
商品Zの顧客からの注文は電子メールで届く。
注1) A社情報システム部が運用している。利用者は,販売責任者,販売担当者などである。- 入力
販売担当者は,届いた注文(変更,キャンセルを含む)の内容を受注管理システム1)(以下,Jシステムという)に入力し,販売責任者2)に承認を依頼する。 - 承認
販売責任者は,注文の内容とJシステムへの入力結果を突き合わせて確認し,問題がなければ承認する。問題があれば差し戻す。
注2) Z販売課の課長1名だけである。
Z販売課では,Jシステムについて,次の利用方針を定めている。
[方針1] ある利用者が入力した情報は,別の利用者が承認する。
[方針2] 販売責任者は,Z販売課の全業務の情報を閲覧できる。
Jシステムでは,業務上必要な操作権限を利用者に与える機能が実装されている。
この度,商品Zの受注管理業務が受注増によって増えていることから,B社に一部を委託することにした(以下,商品Zの受注管理業務の入力作業を行うB社従業員を商品ZのB社販売担当者といい,商品ZのB社販売担当者の入力結果をチェックするB社従業員を商品ZのB社販売責任者という)。
委託に当たって,Z販売課は情報システム部にJシステムに関する次の要求事項を伝えた。
[要求1] B社が入力した場合は,A社が承認する。
[要求2] A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する。
上記を踏まえ,情報システム部は今後の各利用者に付与される操作権限を表1にまとめた。
設問 表1中のaに入れる適切な字句を解答群の中から選べ。
- Z販売課の販売責任者
- Z販売課の販売担当者
- Z販売課の要員
- 商品ZのB社販売責任者
- 商品ZのB社販売担当者
正解 ア問題へ
分野:情報セキュリティマネジメントの計画・要求事項
カテゴリ:情報資産に関する要求事項
カテゴリ:情報資産に関する要求事項
広告
解説
業務のロール(役割)に応じて適切な権限設定が問われています。ポイントは[方針1]ある利用者が入力した情報は別の利用者が承認する「職務の分離」と、業務上必要な操作権限を利用者に与える「最小権限の原則」を考慮することです。
職務の分離とは、入力と承認を別の人が行うことによってけん制関係を作り、不正を行いにくい業務フローを整備することです。複数の権限を一人に与えると監視や管理をかいくぐり不正が起こりやすくなるので、これを防止します。
最小権限の原則とは、ユーザやプログラムに必要最低限のアクセス権限のみ与えることをいい、内部不正やマルウェア感染などの被害を少なくすることを目的として行われます。
職務の分離とは、入力と承認を別の人が行うことによってけん制関係を作り、不正を行いにくい業務フローを整備することです。複数の権限を一人に与えると監視や管理をかいくぐり不正が起こりやすくなるので、これを防止します。
最小権限の原則とは、ユーザやプログラムに必要最低限のアクセス権限のみ与えることをいい、内部不正やマルウェア感染などの被害を少なくすることを目的として行われます。
- 正しい。「B社が入力した場合は,A社が承認する」および「A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する」とありますから、唯一承認権限を持つaのロールは「A社の販売責任者」であると判断できます。
A社の販売責任者は、入力した情報を承認する権限と全業務の情報を閲覧する権限を与える一方、職務の分離の観点から入力の権限を与えません。 - 誤り。図1の説明より、販売担当者は入力作業のみを行います。承認権限はないので誤りです。
- 誤り。Z販売課の販売責任者とZ販売課の販売担当者をひとまとめにしたZ販売課の要員というロールでは、入力と承認の権限が適切に分離できません。よって誤りです。
- 誤り。B社販売責任者は、B社販売担当者の入力結果をチェックする役割がありますが、「B社が入力した場合は,A社が承認する」ので承認権限まではありません(必要な権限は閲覧のみです)。よって誤りです。
- 誤り。B社販売担当者は、受注管理業務の入力作業のみを行います。承認権限はないので誤りです。
広告