サンプル問題 [科目B]問19
問19
A社は従業員200名の通信販売業者である。一般消費者向けに生活雑貨,ギフト商品などの販売を手掛けている。取扱商品の一つである商品Zは,Z販売課が担当している。
〔Z販売課の業務〕
現在,Z販売課の要員は,商品Zについての受注管理業務及び問合せ対応業務を行っている。商品Zについての受注管理業務の手順を図1に示す。
注2) Z販売課の課長1名だけである。〔Jシステムの操作権限〕
Z販売課では,Jシステムについて,次の利用方針を定めている。
[方針1] ある利用者が入力した情報は,別の利用者が承認する。
[方針2] 販売責任者は,Z販売課の全業務の情報を閲覧できる。
Jシステムでは,業務上必要な操作権限を利用者に与える機能が実装されている。
この度,商品Zの受注管理業務が受注増によって増えていることから,B社に一部を委託することにした(以下,商品Zの受注管理業務の入力作業を行うB社従業員を商品ZのB社販売担当者といい,商品ZのB社販売担当者の入力結果を閲覧して,不備があればA社に口頭で差戻しを依頼するB社従業員を商品ZのB社販売責任者という)。
委託に当たって,Z販売課は情報システム部にJシステムに関する次の要求事項を伝えた。
[要求1] B社が入力した場合は,A社が承認する。
[要求2] A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する。
上記を踏まえ,情報システム部は今後の各利用者に付与される操作権限を表1にまとめ,Z販売課の情報セキュリティリーダーであるCさんに確認をしてもらった。
設問 表1中のa1,a2に入れる字句の適切な組合せを,aに関する解答群の中から選べ。
〔Z販売課の業務〕
現在,Z販売課の要員は,商品Zについての受注管理業務及び問合せ対応業務を行っている。商品Zについての受注管理業務の手順を図1に示す。
商品Zの顧客からの注文は電子メールで届く。
注1) A社情報システム部が運用している。利用者は,販売責任者,販売担当者などである。- 入力
販売担当者は,届いた注文(変更,キャンセルを含む)の内容を受注管理システム1)(以下,Jシステムという)に入力し,販売責任者2)に承認を依頼する。 - 承認
販売責任者は,注文の内容とJシステムへの入力結果を突き合わせて確認し,問題がなければ承認する。問題があれば差し戻す。
注2) Z販売課の課長1名だけである。
Z販売課では,Jシステムについて,次の利用方針を定めている。
[方針1] ある利用者が入力した情報は,別の利用者が承認する。
[方針2] 販売責任者は,Z販売課の全業務の情報を閲覧できる。
Jシステムでは,業務上必要な操作権限を利用者に与える機能が実装されている。
この度,商品Zの受注管理業務が受注増によって増えていることから,B社に一部を委託することにした(以下,商品Zの受注管理業務の入力作業を行うB社従業員を商品ZのB社販売担当者といい,商品ZのB社販売担当者の入力結果を閲覧して,不備があればA社に口頭で差戻しを依頼するB社従業員を商品ZのB社販売責任者という)。
委託に当たって,Z販売課は情報システム部にJシステムに関する次の要求事項を伝えた。
[要求1] B社が入力した場合は,A社が承認する。
[要求2] A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する。
上記を踏まえ,情報システム部は今後の各利用者に付与される操作権限を表1にまとめ,Z販売課の情報セキュリティリーダーであるCさんに確認をしてもらった。
設問 表1中のa1,a2に入れる字句の適切な組合せを,aに関する解答群の中から選べ。
分類
情報セキュリティ » 情報セキュリティ
正解
エ
解説
業務のロール(役割)に応じて適切な権限設定が問われています。ポイントは[方針1]ある利用者が入力した情報は別の利用者が承認する「職務の分離」と、業務上必要な操作権限を利用者に与える「最小権限の原則」を考慮することです。
[要求1]の「B社が入力した場合は,A社が承認する」、[要求2]の「A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する」より、承認権限が付与される(省略)のロールはZ販売課の販売責任者であることがわかります。そうなると空欄に入るのは、B社販売責任者とB社販売担当者のいずれかになります。
B社販売担当者は入力作業を行うので、Jシステムに対する入力権限と閲覧権限が必要です。一方、B社販売責任者の役割は、B社販売担当者の入力結果を閲覧することなので、最小権限の原則より閲覧権限のみ与えるのが適切です。
したがって「エ」の組合せが適切です。
[要求1]の「B社が入力した場合は,A社が承認する」、[要求2]の「A社の販売担当者が入力した場合は,現状どおりにA社の販売責任者が承認する」より、承認権限が付与される(省略)のロールはZ販売課の販売責任者であることがわかります。そうなると空欄に入るのは、B社販売責任者とB社販売担当者のいずれかになります。
B社販売担当者は入力作業を行うので、Jシステムに対する入力権限と閲覧権限が必要です。一方、B社販売責任者の役割は、B社販売担当者の入力結果を閲覧することなので、最小権限の原則より閲覧権限のみ与えるのが適切です。
したがって「エ」の組合せが適切です。