完全性に関する監査ポイントについて

システム監査技術者試験H12AM59に次の問題が出題されました。

データベース更新にかかわるインテグリティコントロールの監査ポイントとして、適切なものはどれか。

ア　データの更新時にユーザ要求に応じたレスポンスタイムが確保できているかどうか。
　　
イ　データベース資源へのアクセスをモニタリングする機能が組み込まれているかどうか。
　　
ウ　データベースの障害回復手段が組み込まれているかどうか。
　
エ　データベースの利用効率が適切であるかどうか。

正解は「イ」なのですが、「ウ」はなぜ不正解なのでしょうか？
障害からの回復は、「完全性」ではないのでしょうか？
「完全性」ではないとすると、何に当たりますか？信頼性でしょうか？

もしご存知でしたら、ご教示いただけませんか。
ぜひよろしくお願い致します。

No.3 ベストアンサー 回答者： ymmasayan 回答日時： 2011/01/05 20:09

No.1です。

若干補足します。

>　データベース更新にかかわるインテグリティコントロール
「更新にかかわる」は確かに重要なキーワードだと思います。
私はロールバック(分散ＤＢの障害によるものを含む)や一般のＤＢ障害回復も
更新にかかわると解釈します。
これなくして、インテグリティコントロールが出来ているとは言えないでしょう。

>　イ　データベース資源へのアクセスをモニタリング
モニタリングは監視ですので、ロギングがこの中に含まれると
考えるのは無理があると思います。
また、仮にロギングが含まれるとしても、
障害回復(バックアップとログ、チェックポイントを使った
ロールフォワード、ロールバック)を
手動で行うと言うのも現実的ではないと思います。

>　ウ　データベースの障害回復手段が組み込まれているか
上記の通り、更新に障害回復を含むと考えるとこれがインテグリティ
コントロールの一部と思います。

蛇足ですが、問題自体が非常にあいまいであることが
色んな解釈を呼ぶ一因になっているようです。

なお、このサイトでは議論が禁止されていますので、この補足で
私の最終書き込みにしたいと思います。

この回答へのお礼

No.1の回答も含めて、ご回答ありがとうございました。
やはりウが完全性と考えて良いですよね。

どうしても納得いかなかったのですが、
ご回答いただき、すっきり致しました。

ありがとうございます。

お礼日時：2011/01/08 19:27

No.4 回答者： jjon-com 回答日時： 2011/01/06 01:53

>問題自体が非常にあいまいであることが

>色んな解釈を呼ぶ一因になっているようです。

私も賛成。情報処理技術者試験において，適切な出題といえる午前の問題は，それ以降に実施された試験（システム監査に限らず）で往々にして再登場してくるものです。もしもこの問題が平成12年以降いちども出題されていないのなら，あまり適切とは言えないのでしょう。

この回答へのお礼

No.2の回答も含めて、ご回答ありがとうございました。
確かに再登場していないことも、良問ではなかったと
考えて良さそうですね。

ありがとうございます。

お礼日時：2011/01/08 19:29

No.2 回答者： jjon-com 回答日時： 2011/01/05 10:48

私はシステム監査技術者試験は取得していませんが，IT教育を職業としていますので，質問者と他の回答者にお聞きしたいです。

ウが完全性のコントロールであることはそのとおりでしょうが，
正常なデータベース更新というのは障害じゃないですから，
障害回復手段の有無が「（正常な）DB更新にかかわる」完全性コントロールだという読みはちょっと変ではないでしょうか。

逆に言うと，ウが無くても，イが存在して更新前・更新後の状態がモニタリングされて残っていれば，更新にかかわるデータ改変は事後的に手作業で元に戻すことも可能だと思います。

この問題は単に，インテグリティ（完全性）に対応する選択肢はどれか，ではなく「DB更新にかかわる」に力点が置かれているように思います。

No.1 回答者： ymmasayan 回答日時： 2011/01/05 03:44

システム監査持ってます。

元専門学校教官。

自信１００％で解答の間違いですね。
どう考えても
イ．セキュリティ
ウ．インテグリティ
以外考えられません。