ITパスポート 令和4年度 問37：システム監査・内部統制に関する問題

答えは b です。

この問題は『IDとパスワードが合っていたら中に入れて、間違っていたら入れない』という仕組みですよね。これはまさに『入っていい人かどうかを見て、ドアを開けたり閉めたりする』こと。これをアクセス制御といいます。

マンションのオートロックで、暗証番号が合えばドアが開く、のと同じイメージです。

👉 覚え方：ログイン画面＝『入場ゲート』＝アクセス制御。

ほかの選択肢：a 故障を見つける機能（今回は故障の話ではない）／c 誰にどの権限を与えるか『事前に決める』作業／d パスワードが安全か（長さなど）をチェックする話。

なぜこれが正解か

正解は b。利用者IDとパスワードで本人を確認（認証）し、一致した場合だけ業務メニューへ進ませ、不一致なら拒否する処理は、システムが利用者の入口を制御している＝『システムによるアクセス制御』そのもの。

各選択肢の解説

• a システム障害の検知：機器やソフトの異常を見つける機能で、ログインとは無関係。
• c アクセス権の付与：『この人にこの権限を与える』という設定作業。ログイン時の判定ではない。
• d パスワード設定の妥当性確認：文字数や複雑さなどパスワード自体の強度をチェックする話。

覚え方・ひっかけ注意

『認証して通す／通さない』＝アクセス制御。cの『権限を付与（与える）』とdの『パスワードの妥当性チェック』は似た言葉で迷わせるが、本問は『一致したら遷移』という入口の可否判定なのでbが正解。

理論的背景

本問の処理はITシステムによる内部統制の実現例であり、正解はb「システムによるアクセス制御」である。情報セキュリティ管理の文脈では、アクセス制御を「認証（Authentication）→認可（Authorization）→監査（Accounting/Audit）」の三要素からなるAAA（トリプルA）フレームワークで整理するのが標準的である。

認証（Authentication）とは「主張されたアイデンティティが本物かどうかを検証するプロセス」であり、本問のID・パスワード照合がこれに該当する。認可（Authorization）とは「認証済みの主体がどのリソースにアクセスできるかを決定するプロセス」で、業務メニュー画面への遷移許可がこれに相当する。両者は別概念だが、本問の処理は「認証を経てアクセス可否を制御する」という一連のシステム動作を「システムによるアクセス制御」という上位概念で捉えているため、bが正解となる。

NIST SP800-53やISO/IEC 27001（ISMS）の管理策でも、論理的アクセス制御（Logical Access Control）は情報システムの最基本的なセキュリティ統制として必須要件に分類される。会計不正防止の観点では「職務分掌（Segregation of Duties）」を強制するためのアクセス制御が重要であり、特定の操作を同一人物が単独で実行できないよう権限を分割して設定することが内部統制の要となる。

実務での使われ方

企業システムにおけるアクセス制御の実装として最も普及しているのがRBAC（Role-Based Access Control：ロールベースアクセス制御）である。ユーザーに直接権限を付与するのではなく、「一般スタッフ」「部長承認者」「システム管理者」等のロールに権限を定義し、ユーザーをロールに割り当てる。退職時や異動時にロールを外すだけで権限を一括剥奪できるため管理コストが低い。

より精密な制御が必要な場合はABAC（Attribute-Based Access Control：属性ベースアクセス制御）が用いられ、ユーザーの部署・役職・IP アドレス・時刻帯などの組み合わせで動的にアクセス可否を判断する。クラウド環境ではAWS IAMやAzure Active Directory（Microsoft Entra ID）がこれを実装している。

多要素認証（MFA：Multi-Factor Authentication）は知識情報（パスワード）・所持情報（スマートフォン・ICカード）・生体情報（指紋・顔）のうち2つ以上を組み合わせて本人確認を強化する手法で、パスワードの流出だけでは不正アクセスを許さないよう設計されている。現代のゼロトラスト・アーキテクチャでは、社内ネットワークにいても常に認証・認可を求めるという思想が採用されている。

試験での位置づけ

ITパスポートのシステム監査・内部統制分野で「アクセス制御・認証・認可・権限管理」は頻出テーマである。本問の構造として「ログイン画面の認証処理」を「アクセス制御」と捉えるか「権限付与（選択肢c）」と取り違えるかが最大の誤答ポイントである。権限付与（c）は「誰に何の権限を与えるかを事前に設定する管理行為」であり、ログイン時の判定とは別プロセスである点を明確に区別しておく必要がある。

情報セキュリティマネジメント試験（SG）や基本情報技術者（FE）では、アクセス制御リスト（ACL）、最小権限の原則（Principle of Least Privilege）、Need-to-Know原則、シングルサインオン（SSO）との違いまで問われる。応用情報・情報処理安全確保支援士（SC）では、ゼロトラスト・ネットワーク、IAM（Identity and Access Management）、CASB（Cloud Access Security Broker）など現代的な実装が出題範囲に含まれる。

選択肢の発展補足

選択肢aの「システム障害の検知」はITサービスマネジメントにおける可用性管理・インシデント管理の領域であり、SNMP監視ツール（Zabbix、Nagios等）や死活監視システムが担う機能である。アクセス制御とは目的が根本的に異なる。

選択肢cの「アクセス権の付与」は前述のとおり事前設定の管理行為であり、具体的には「Aさんに経理システムの閲覧権限を付与する」という台帳管理・申請承認プロセスを指す。ISO/IEC 27001ではA.9.2「ユーザーアクセスの管理」として標準化され、入社・異動・退職のライフサイクル全体で権限の棚卸しが求められる。

選択肢dの「パスワードの妥当性確認」はパスワードポリシーの適用であり、最低文字数・複雑性要件・有効期限・使い回し禁止を自動チェックする機能である。NIST SP800-63B（2017年改定）では従来の「定期的パスワード変更」から「漏洩検知時のみ変更」への転換が推奨されており、現代的なパスワードポリシー設計の方向性が変化している点も上位資格では問われる。