システム監査技術者試験 試験センターの解答例が理解できない

先日、平成29年度午後1問3制御システムのセキュリティ監査をテーマとした問題を解きました。

この問題はネットワーク構成図、セキュリティパッチおよびマルウェア等が書かれており、情報処理安全確保支援士試験の問題とよく似ています。

しかし、情報処理安全確保支援士試験の合格者からすると、それほど難しい内容ではありません。そのため、システム監査技術者の立場を意識して問題を解きました。

すなわち、コントロールが問われる設問において、1次コントロールではなく2次コントロールを解答しました。

システム監査には1次コントロールと2次コントロールという概念があります。

1次コントロールはリスクに対する直接的なコントロール、2次コントロールは1次コントロールを有効に機能させるためのコントロールです。

例えば、プログラムのバグというリスクに関して、1次コントロールはチェックツールで確認するルール、2次コントロールはルールが適切に整備・運用されていることです。

そして、システム監査では2次コントロールを確認します。なぜなら、1次コントロールは個別案件のシステムや技術に依存するからです。

このため、試験において1次コントロールはスペシャリスト試験など他区分、2次コントロールはシステム監査技術者試験で問われるべきだと思います。

でなければ、解答する前提となる立場が決まらないからです

しかし、試験センターの解答例を見て唖然としました・・

なぜなら、情報処理安全確保支援士試験で問われる1次コントロールが書かれていたためです。

とはいえ、設問1,2,3(1)は問題文にヒントが書かれていることから、この程度のセキュリティ知識はシステム監査人として知っておかなければならないと理解しました。

一方、設問3(2)と設問4はかなり突っ込んだセキュリティに関する技術的な内容であり、システム監査人の立場で確認すべきかというとかなり疑問です。

特に問3(2)の設問は、

システム監査人が想定した”OSの脆弱性を突いたセキュリティインシデント発生に備えた補完的コントロール”を20文字以内で答えなさい

というものです。

制御システムはOSのパッチ適用の間隔が長いため、その間にOSの脆弱性を突かれないようにするための補完的コントロールが問われています。

情報処理安全確保支援士試験であれば、侵入防御システム、侵入検知システムおよびホスト要塞化などが解答になるといえます。

解答例では侵入防御システムとありますが、個人的には補完的コントロールとあるので攻撃の検知にとどまる侵入検知システムの方が適切と考えますが・・

この問題について試験センターの講評では「技術的対策に該当しない対策についての解答も散見された」と書かれています。

しかし、この問題で1次コントロールである技術的対策の解答を求めるのであれば、情報処理安全確保支援士試験と何が違うのか?システム監査技術者試験の解答の立場をどう捉えれば良いのか?

理解できません・・

平成29年度は午後2論文について問1と問2ともにセキュリティがテーマでした。そんなことを考えると、試験センターの出題がセキュリティに偏りすぎではないか思います。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Copy Protected by Chetan's WP-Copyprotect.