メインコンテンツへ
システム監査

内部統制における「予防的統制」の具体例として、最も適切なものはどれか。

ア.アクセスログを週次で分析し、不正アクセスの痕跡を発見する。
イ.入力フォームに文字数制限・形式チェックを設けて、不正なデータが登録されないようにする。正解
ウ.セキュリティインシデント発生後に速やかにシステムを復旧させる手順を整備する。
エ.月次の財務報告書を照合して差異を検出する。

解説

内部統制の三兄弟:予防・発見・是正。予防は「事故が起きないようにする」(シートベルト)、発見は「事故に気づく」(カーブミラー)、是正は「事故後に回復する」(救急車)。入力チェックはまさに「変なデータが入ってこないよう門番を立てる」予防策だ。

なぜ イ が正解か

イが正解。入力フォームのバリデーション(文字数制限・形式チェック・必須項目チェック)は、問題が発生する前に防ぐ「予防的統制」の典型例。パスワードポリシーやアクセス権限設定も同様に予防的統制に分類される。

なぜ ア は間違いか

ログ分析で不正アクセスの痕跡を発見するのは「発見的統制」。問題が起きた後にそれを検知する仕組みで、予防ではない。

なぜ ウ は間違いか

インシデント後の復旧手順整備は「是正的統制」。問題が起きた後に被害を最小化・回復させる仕組み。

なぜ エ は間違いか

月次報告書の差異検出も「発見的統制」。定期的にチェックして問題を後から発見するアプローチ。

出典: AI生成問題(学習用)