メインコンテンツへ
システム監査監査証跡(ログ)

システム監査における監査証跡(audit trail)としてのログの役割に関する記述として、最も適切なものはどれか。

ア.監査証跡は監査人の作業効率向上のための補助資料に過ぎず、改ざんされても監査結果に与える影響は軽微である。
イ.監査証跡は「誰が」「いつ」「何を」「どうしたか」を時系列で追跡可能にする証拠であり、適切な保全(完全性・耐改ざん性)が監査の信頼性を支える。正解
ウ.監査証跡はシステム稼働率を計算するためのパフォーマンス指標であり、セキュリティ事象との関連性は低い。
エ.監査証跡は監査終了後にすべて削除する運用が原則であり、長期保管は容量負荷を招くため避けるべきである。

解説

監査証跡は「行動の足跡」。雪の上を歩いた誰かを後から追跡できるのと同じで、改ざんできる足跡は証拠になりません。完全性の保全が命です。

なぜ イ が正解か

イが正解。監査証跡(ログ)は監査対象の操作・処理・事象を時系列で追跡可能にする一次証拠。Who/When/What/Howを記録し、適切な完全性保護(WORMメディア、ハッシュチェーン、改ざん検知、適切な保存期間)を施すことで監査の信頼性を担保する。

なぜ ア は間違いか

監査証跡は「補助資料」ではなく一次証拠そのもの。改ざんされれば監査結論を覆す重大インパクトを持つため、保全(完全性・耐改ざん)は極めて重要。

なぜ ウ は間違いか

監査証跡はセキュリティ事象との関連性が極めて高い。稼働率計算はパフォーマンスログの用途であって監査証跡の主目的ではない。両者は目的も保管要件も異なる。

なぜ エ は間違いか

監査終了後に削除するのは誤り。法令(電子帳簿保存法、各種業法、SOX等)や内規で定められた保管期間がある。安易な削除は法令違反・証拠隠滅とみなされる。

出典: AI生成問題(学習用)