解答は以下の通りとなります。(IPA解答例より)
設問3 | (ア) | 否:SQL 文の全文字列が出力されないので、特定できない。 | |
(イ) | 否:複数の従業員から更新することが可能なので、特定できない。 | ||
(ウ) | 可:SQLSTATE から権限がないユーザIDによる更新の失敗を特定できる。 | ||
本問では、「監査証跡として何が含まれているか」がポイントとなります。本文に、監査証跡の内容にSQLSTATEが含まれている旨の記述がありますがSQLSTATEの内容がわからなければ解答できません。SQLSTATEとは、RDBMS が出力するログのことであり、以下のような「SQLの実行結果」と「エラーに付随するデータ」が含まれています。
SQLSTATE | RDBMS から返される一般的なログメッセージ | |
---|---|---|
42500 | ユーザ「XXX」は表「YYY」.列「ZZZ」に対するUPDATE 許可を与えられていません。 | |
(ア)では、監査証跡として、「実行したSQLの全文」が保存されていないため、漏洩した従業員データを出力したSQL文がわかりません。従ってそれを実行したユーザも特定できません。
(イ)では、更新されたデータから「どの処理(SQL)で更新したか」がわかったとしても、実行者が特定できません。
(ウ)では更新処理がエラーとなります。エラー情報と、その処理を実行したユーザについてはSQLSTATEに出力されるため、処理を実行したユーザIDを特定することができます。
平成19年度午後I問3では、システム監査とデータベースの複合問題が出題されました。今後の出題に備え、簡単にシステム監査の概念について説明します。これを期に理解しておきましょう。
<1>そもそもシステム監査って何のためにあるの?
「情報システムの目的適合性(経営戦略に沿って構築されているか?)」「安全性」「効率性」「信頼性」や、コンプライアンスを確認するためです。
<2>システム監査人の仕事は?
情報システムが目的に沿って構築・運用されるような、あるいは社員が組織の目標に沿って業務を遂行するような仕組みやチェック機能をコントロール(統制)と呼びます。システム監査人は、組織運営に必要なコントロールが整備されているか、そしてそれが正しく機能しているかを確認します。
<3>正しく機能していることを、何をもって確認するの?
監査証跡をもって確認します。監査証跡とは、下表のような、ある出来事が起きた原因から発生状況まで追跡できる記録のことです。
信頼性に関するコントロール | ハードウェアの障害ログ、テスト結果報告書、プログラム更新履歴簿、その他システムのログなど |
---|---|
効率性に関するコントロール | 開発費用・運用費用の見積書、費用対効果分析表、ユーザ部門のニーズ調査報告書など |
安全性に関するコントロール | OSやミドルウェアのアクセスログ、オペレーションログ、コンピュータルームの監視カメラ映像など |
<4>結局、データベーススペシャリストと何の関係が...?
「安全性に関するコントロール」に関係があります。不必要なユーザがアクセスできないようビューで制御すること、監査証跡に使えるログを出力するようDBMSを設定すること、それによるパフォーマンス低下を抑えることなどは、全てデータベーススペシャリストの業務です。
ポケットスタディ データベーススペシャリスト [第2版]
具志堅融、河科湊著
秀和システム 1,500円
データベーススペシャリスト試験は同じパターンの出題が多いため、過去問をたくさん解くことが合格の早道です。しかし、難易度の高い過去問を解くには、勉強が必要であり、多くの時間と労力を必要とします。本書は、プロの講師が推奨する、テキストを少し読み→該当する過去問を解き→理解を深めるというアジャイル的学習法で、驚くほど短時間で合格するツボとコツを解説します。"すき間時間"を活用して効果的な学習ができます!
Copyright © ITmedia, Inc. All Rights Reserved.