応用情報技術者 2022年 秋期 午後 問11
テレワーク環境の監査に関する次の記述を読んで、設問に答えよ。
大手のマンション管理会社であるY社は、業務改革の推進、感染症拡大への対応などを背景として、X年4月からテレワーク環境を導入し、全従業員の約半数が業務内容に応じて利用している。このような状況の下、テレワーク環境の不適切な利用に起因して、情報漏えいなども発生するおそれがあり、情報セキュリティ管理の重要性は増大している。
Y社の内部監査部長は、このような状況を踏まえて、システム監査チームに対して、テレワーク環境の情報セキュリティ管理をテーマとして、監査を行うよう指示した。システム監査チームは、X年9月に予備調査を行い、次の事項を把握した。
〔テレワーク環境の利用状況〕
(1) テレワーク環境で利用するPCの管理
Y社の従業員は、貸与されたPC(以下、貸与PCという)を、Y社の社内及びテレワーク環境で利用する。
システム部は、全従業員分の貸与PCについて、貸与PC管理台帳に、PC管理番号、利用する従業員名、テレワーク環境の利用有無などを登録する。貸与PC管理台帳は、貸与PCを利用する従業員が所属する各部に配置されているシステム管理者も閲覧可能である。
(2) テレワーク環境の利用者の管理
従業員は、テレワーク環境の利用を申請する場合に、テレワーク環境利用開始届(以下、利用届という)を作成し、所属する部のシステム管理者の確認、及び部長の承認を得て、システム部に提出する。利用届には、申請する従業員の氏名、利用開始希望日、Y社の情報セキュリティ管理基準の遵守についての誓約などを記載する。システム部は、利用届に基づき、貸与PCをテレワーク環境でも利用できるように、VPN接続ソフトのインストールなどを行う。
各部のシステム管理者は、従業員が異動、退職などに伴い、テレワーク環境の利用を終了する場合に、テレワーク環境利用終了届(以下、終了届という)を作成し、システム部に提出する。終了届には、テレワーク環境の利用を終了する従業員の氏名、事由などを記載する。システム部は、終了届に基づき、貸与PCを
テレワーク環境で利用できないようにし、終了届の写しをシステム管理者に返却する。
(3) テレワーク環境のアプリケーションシステム
テレワーク環境では、従業員の利用権限に応じて、基幹業務システム、社内ポータルサイト、Web会議システムなど、様々なアプリケーションシステムを利用することができる。これらのアプリケーションシステムのうち、Web会議システムは、X 年 6 月から社内及びテレワーク環境で利用可能となっている。また、従業員は、基幹業務システムなどを利用して、顧客の個人情報、営業情報などにアクセスし、貸与 PC のハードディスクに一時的にダウンロードして、加工・編集する場合がある。
〔テレワーク環境に関して発生した問題〕
(1) 顧客の個人情報の漏えい
Y社の情報セキュリティ管理基準では、テレワーク環境への接続に利用する Wi-Fi について、パスワードの入力を必須とすることなど、セキュリティ要件を定めている。
X 年 5 月 20 日に、業務管理部の従業員が、セキュリティ要件を満たさない Wi-Fi を利用してテレワーク環境に接続したことによって、貸与 PC のハードディスクにダウンロードされた顧客の個人情報が漏えいする事案が発生した。
(2) 貸与 PC の紛失・盗難
テレワーク環境の導入後、貸与 PC を社外で利用する機会が増えたことから、貸与 PC の紛失・盗難の事案が発生していた。
各部のシステム管理者は、従業員が貸与 PC を紛失した場合、貸与 PC の PC 管理番号、紛失日、紛失状況、最終利用日、システム部への届出日などを紛失届に記載し、遅くとも紛失日の翌日までに、システム部に提出する。システム部は、提出された紛失届の記載内容を確認し、受付日を記載した後に、紛失届の写しをシステム管理者に返却する。
営業部の Z 氏は、X 年 8 月 9 日に営業先から自宅に戻る途中で貸与 PC を紛失したまま、紛失日の翌日から 1 週間の休暇を取得した。同部のシステム管理者は、Z 氏から X 年 8 月 17 日に報告を受け、同日中に当該 PC の紛失届をシステム部に提出した。
〔情報セキュリティ管理状況の点検〕
(1) 点検の体制及び時期
システム部は毎年1月に、各部における情報セキュリティ管理状況の点検(以下、セキュリティ点検という)について、年間計画を策定する。各部のシステム管理者は、年間計画に基づき、セキュリティ点検を実施し、点検結果、及び不備事項の是正状況をシステム部に報告する。システム部は、点検結果を確認し、また、不備事項の是正状況をモニタリングする。X年の年間計画では、2月、5月、8月、11月の最終営業日にセキュリティ点検を実施することになっている。
(2) 点検の項目、内容及び対象
システム部は、毎年1月に、利用されるアプリケーションシステムなどのリスク評価結果に基づき、セキュリティ点検の項目及び内容を決定する。また、新規システムの導入、システム環境の変化などに応じて、リスク評価を随時行い、その評価結果に基づき、セキュリティ点検の項目及び内容を見直すことになっている。各部のシステム管理者は、前回点検日以降3か月間を対象にして、セキュリティ点検を実施する。X年のセキュリティ点検の項目及び内容の一部を表1に示す。
(3) 点検の結果
業務管理部及び営業部のシステム管理者は、テレワーク環境導入後のセキュリティ点検の結果、表1の項番2及び項番3について、不備事項を報告していなかった。
〔内部監査部長の指示〕
内部監査部長は、システム監査チームから予備調査で把握した事項について報告を受け、X年11月に実施予定の本調査で、テレワーク環境に関するセキュリティ点検について重点的に確認する方針を決定し、次のとおり指示した。
(1) 表1項番1について、aとbを照合した結果と、セキュリティ点検の結果との整合性を確認すること。
(2) 表1項番2について、業務管理部におけるセキュリティ点検の結果を考慮して、システム管理者がcしているかどうか、確認すること。
(3) 表1項番3について、紛失届に記載されているdとeを照合した結果と、セキュリティ点検の結果との整合性を確認すること。
(4) 表1項番4について、システム部がfの結果に基づいて、X年8月のセキュリティ点検対象のアプリケーションシステムとして、gの追加を検討したかどうか、確認すること。
(5) セキュリティ点検で不備事項が発見された場合、システム管理者が不備事項の是正状況を報告しているかどうか確認するだけでは、監査手続として不十分である。システム部がhしているかどうかについても確認すること。
設問1:
〔内部監査部長の指示〕(1)のa、bに入れる適切な字句を、それぞれ15字以内で答えよ(aとbは順不同)。
模範解答
a:従業員の異動、退職などの状況
b:終了届の記載内容
解説
解答の論理構成
-
監査指示の確認
【問題文】「(1) 表1項番1について、aとbを照合した結果と、セキュリティ点検の結果との整合性を確認すること。」とあり、照合すべき二つの情報を問うています。 -
点検項目の意図
表1「項番1 テレワーク環境の利用者の管理状況」の点検内容は、【問題文】「テレワーク環境を利用する必要がなくなった従業員について、終了届をシステム部に提出しているか。」です。
つまり、テレワーク利用をやめるべき従業員が確実に終了届を出しているかを確認する仕組みになっています。 -
終了届が作成される条件
【問題文】「従業員が異動、退職などに伴い、テレワーク環境の利用を終了する場合に、テレワーク環境利用終了届(以下、終了届という)を作成し、システム部に提出する。」とあるため、異動・退職などの人事情報が出発点になります。 -
照合対象の特定
・a は「従業員が異動、退職などに伴い…」という人事上の事実。
・b は「終了届」に記載される内容。 -
結論
よって照合すべき情報は
a:従業員の異動、退職などの状況
b:終了届の記載内容
誤りやすいポイント
- 「利用届」と取り違える
終了届ではなく利用届の記載内容を選んでしまうケースが多いです。 - 「貸与PC管理台帳」を選択
PCの台帳情報は機器管理用であり、人事異動とは直接リンクしないため不適切です。 - 「VPN接続ソフトのインストール履歴」を選ぶ
これは開始時の設定確認であり、終了時の管理状況を示す材料ではありません。
FAQ
Q: 利用届に記載されている情報は照合対象にならないのですか?
A: 利用届はテレワーク開始時の申請書類であり、テレワークを終了すべきかどうかの判断材料には直接つながりません。終了届との対照が必要です。
A: 利用届はテレワーク開始時の申請書類であり、テレワークを終了すべきかどうかの判断材料には直接つながりません。終了届との対照が必要です。
Q: 「貸与PC管理台帳」を監査証拠として使わなくても問題ないのでしょうか?
A: 貸与PC管理台帳は機器の所在や利用状況を確認する補助証拠にはなりますが、テレワーク終了の判断基準である「異動・退職」と「終了届」の整合性確認には直接関与しません。
A: 貸与PC管理台帳は機器の所在や利用状況を確認する補助証拠にはなりますが、テレワーク終了の判断基準である「異動・退職」と「終了届」の整合性確認には直接関与しません。
Q: 人事異動情報はどの部門から取得すべきでしょうか?
A: 一般に人事部門が公式に保管する「異動・退職」記録を参照します。内部監査ではその正式情報と終了届を突合し、漏れをチェックします。
A: 一般に人事部門が公式に保管する「異動・退職」記録を参照します。内部監査ではその正式情報と終了届を突合し、漏れをチェックします。
関連キーワード: 終了届、人事異動、内部監査、照合、セキュリティ点検
設問2:
〔内部監査部長の指示〕(2)のcに入れる適切な字句を15字以内で答えよ。
模範解答
c:セキュリティ点検を適切に実施
解説
解答の論理構成
-
内部監査部長の指示(2)
引用: 「表1項番2について、業務管理部におけるセキュリティ点検の結果を考慮して、システム管理者がcしているかどうか、確認すること。」
──「システム管理者が何をしているか」を問うている。 -
セキュリティ点検に関する規定
引用: 「各部のシステム管理者は、年間計画に基づき、セキュリティ点検を実施し、点検結果、及び不備事項の是正状況をシステム部に報告する。」
──システム管理者の主要な役割は「セキュリティ点検を実施」すること。 -
表1項番2の点検項目
引用: 「テレワーク環境に関するセキュリティ要件の周知状況」
──周知が十分かどうかを点検するのもシステム管理者の責務。 -
不備報告が無かった事実
引用: 「業務管理部及び営業部のシステム管理者は…項番2及び項番3について、不備事項を報告していなかった。」
──本来あるべき不備が報告されていない可能性がある。
──だからこそ監査では「点検自体を適切に実施しているか」を確認する必要がある。 -
以上より、c には
「セキュリティ点検を適切に実施」
が入るのが妥当である。
誤りやすいポイント
- 「周知しているか」「報告しているか」など報告面を答えてしまいがちだが、指示文は“点検の結果を考慮して”とあるため、まず点検行為そのものの妥当性が焦点。
- 「実施」だけでは監査観点が弱く、周知状況の確認まで含む「適切に実施」としないと趣旨を満たさない。
- 表1項番2が「周知状況」を問うため、単に「周知しているか」と混同するミスが起きやすい。
FAQ
Q: 「適切に」を付けないと不正解になりますか?
A: 監査では点検の妥当性・十分性が要求されるため、「適切に実施」まで表現することで意図を完全に満たします。
A: 監査では点検の妥当性・十分性が要求されるため、「適切に実施」まで表現することで意図を完全に満たします。
Q: 「点検を実施しているか」と「点検を適切に実施しているか」の違いは?
A: 前者は“行ったか否か”だけ、後者は“方法・範囲・結果の妥当性”まで含み、監査で重視されるのは後者です。
A: 前者は“行ったか否か”だけ、後者は“方法・範囲・結果の妥当性”まで含み、監査で重視されるのは後者です。
Q: なぜ「報告しているか」ではだめなのですか?
A: 報告は点検後の手続きであり、指示文は「点検結果を考慮して」いるため、まず点検行為自体の適切性を確認する必要があります。
A: 報告は点検後の手続きであり、指示文は「点検結果を考慮して」いるため、まず点検行為自体の適切性を確認する必要があります。
関連キーワード: セキュリティ点検、内部監査、テレワーク、リスク評価、不備是正
設問3:
〔内部監査部長の指示〕(3)のd、eに入れる適切な字句を、それぞれ10字以内で答えよ(dとeは順不同)。
模範解答
d:貸与PCの紛失日
e:システム部への届出日
解説
解答の論理構成
-
監査方針の確認
内部監査部長の指示(3)では、 “表1項番3について、紛失届に記載されているdとeを照合した結果と、セキュリティ点検の結果との整合性を確認すること。”
とあります。ここで求められているのは、紛失届に記載される2つの“日付”を特定することです。 -
紛失届に記載される項目の抽出
問題文の“貸与 PC の紛失・盗難”の段落には、紛失届について次の記載があります。
“貸与 PC の PC 管理番号、紛失日、紛失状況、最終利用日、システム部への届出日などを紛失届に記載し、遅くとも紛失日の翌日までに、システム部に提出する。”
ここから、紛失届に必ず含まれる日付情報は
・“紛失日”
・“システム部への届出日”
であることが分かります。 -
監査で照合する目的
監査で両日付を照合するのは、“遅くとも紛失日の翌日までに提出”という運用ルールが守られているか確認するためです。したがって、dとeに入る字句は以下が妥当です。d:貸与PCの紛失日
e:システム部への届出日
誤りやすいポイント
- “受付日”と混同する
紛失届の“受付日”はシステム部が後で記載する項目であり、紛失届作成時点の必須項目ではありません。監査指示は“紛失届に記載されている”日付に限定しているため、“受付日”を選ぶと失点します。 - “最終利用日”を選んでしまう
“最終利用日”も紛失届に記載されますが、提出期限の妥当性判断には直接関係しません。 - 日付の正式名称を簡略化しすぎる
原文の語句を改変すると減点対象です。“貸与PCの紛失日”“システム部への届出日”と原文どおりに書く必要があります。
FAQ
Q: “遅くとも紛失日の翌日まで”が守られているかどうかを監査する理由は?
A: 早期の報告がインシデント対応を迅速化し、被害拡大を防止するためです。提出遅延はインシデント対応プロセスの弱点を示します。
A: 早期の報告がインシデント対応を迅速化し、被害拡大を防止するためです。提出遅延はインシデント対応プロセスの弱点を示します。
Q: “受付日”は監査対象外なのか?
A: 監査指示では“紛失届に記載されているdとe”と明示されており、受付日はシステム部が追記するため対象外です。
A: 監査指示では“紛失届に記載されているdとe”と明示されており、受付日はシステム部が追記するため対象外です。
Q: 提出遅延が発覚した場合、監査人は何を追加で確認すべき?
A: 運用ルールそのものの実効性(教育状況・再発防止策)や、遅延が発生した業務フロー上のボトルネックを確認するとよいでしょう。
A: 運用ルールそのものの実効性(教育状況・再発防止策)や、遅延が発生した業務フロー上のボトルネックを確認するとよいでしょう。
関連キーワード: 紛失届、インシデント管理、内部監査、提出期限、監査証拠
設問4:
〔内部監査部長の指示〕(4)のf、gに入れる適切な字句を、それぞれ10字以内で答えよ。
模範解答
f:リスク評価
g:Web会議システム
解説
解答の論理構成
-
内部監査部長の指示(4)には
“システム部がfの結果に基づいて、X年8月のセキュリティ点検対象のアプリケーションシステムとして、gの追加を検討したかどうか、確認すること。”
とあります。ここで f は「結果」、g は「追加を検討したアプリケーションシステム」を指すことが分かります。 -
f を導く根拠
情報セキュリティ管理状況の点検(2)より
“システム部は、毎年1月に、利用されるアプリケーションシステムなどの リスク評価結果 に基づき、セキュリティ点検の項目及び内容を決定する。また、新規システムの導入、システム環境の変化などに応じて、リスク評価 を随時行い、その評価結果に基づき、セキュリティ点検の項目及び内容を見直すことになっている。”
と明示されています。セキュリティ点検対象の見直しは「リスク評価」の結果が起点です。よって f は
リスク評価 -
g を導く根拠
テレワーク環境のアプリケーションシステムの記述に
“Web会議システムは、X 年 6 月から社内及びテレワーク環境で利用可能となっている。”
とあります。X年8月の点検は「X年6月」に新規導入されたシステムを含める必要があるため、追加候補は “Web会議システム” となります。よって g は
Web会議システム
以上より
f:リスク評価
g:Web会議システム
f:リスク評価
g:Web会議システム
誤りやすいポイント
- f を「年間計画」や「セキュリティ点検計画」と読み違える。見直しの根拠は “リスク評価を随時行い…見直す” という文にある。
- g を「基幹業務システム」や「社内ポータルサイト」と誤答。これらは既存システムであり “X 年 6 月から利用可能” という条件に合致しない。
- 「追加を検討」とあるため削除や変更と読み違えてしまう。設問は新規システムの追加可否を問うている。
FAQ
Q: リスク評価は必ず毎年1月にしか行わないのですか?
A: いいえ。引用文のとおり「新規システムの導入、システム環境の変化などに応じて、リスク評価を随時行い」ます。定例に加え、必要に応じて追加実施する点が重要です。
A: いいえ。引用文のとおり「新規システムの導入、システム環境の変化などに応じて、リスク評価を随時行い」ます。定例に加え、必要に応じて追加実施する点が重要です。
Q: Web会議システムが追加対象になる決定的な理由は?
A: “Web会議システムは、X 年 6 月から…利用可能” という導入時期がポイントです。X年8月点検時点では新規導入後 3 か月以内であり、リスク評価→点検対象追加の流れに合致します。
A: “Web会議システムは、X 年 6 月から…利用可能” という導入時期がポイントです。X年8月点検時点では新規導入後 3 か月以内であり、リスク評価→点検対象追加の流れに合致します。
Q: 表1項番4の「利用権限の設定状況」と今回の解答との関係は?
A: 利用権限の適切性を点検する対象アプリケーションを選ぶ際に「リスク評価結果」を使います。その結果、Web会議システムが対象に含まれていなければ追加検討が必要、という流れになります。
A: 利用権限の適切性を点検する対象アプリケーションを選ぶ際に「リスク評価結果」を使います。その結果、Web会議システムが対象に含まれていなければ追加検討が必要、という流れになります。
関連キーワード: リスク評価、アプリケーションシステム、セキュリティ点検、テレワーク、VPN
設問5:
〔内部監査部長の指示〕(5)のhに入れる適切な字句を20字以内で答えよ。
模範解答
h:不備事項の是正状況をモニタリング
解説
解答の論理構成
-
手掛かり①
【問題文】「システム部は、点検結果を確認し、また、不備事項の是正状況をモニタリングする。」
ここで“システム部が行うべき具体的行為”が明示されています。 -
手掛かり②
【問題文】〔内部監査部長の指示〕(5)
「システム部がhしているかどうかについても確認すること。」
指示文は “システム部が行っているか” をチェックせよと言っています。よって、h にはシステム部の具体的行為がそのまま入るはずです。 -
照合
手掛かり①で示された “システム部の具体的行為” は「不備事項の是正状況をモニタリングする」こと。これがそのまま h に対応します。 -
結論
h:不備事項の是正状況をモニタリング
誤りやすいポイント
- 「フォローアップ」や「是正を指示」など、抽象的または主体が異なる表現に置き換えてしまう。問題は “システム部が【問題文】で既に行っていると示された動作” をそのまま要求しています。
- “モニタリング”を「監視」や「確認」に置換してしまう。数字・固有名詞と同様、設問は原文表記を求めています。
- h の空欄位置だけを見て、「是正状況の報告を受領」などと推測し、行為者がシステム部である点を見落とす。
FAQ
Q: 「モニタリング」と「確認」の違いは何ですか?
A: 確認は単発のチェック、モニタリングは継続的な監視を意味します。本問では継続的な追跡が必要なので「モニタリング」を用います。
A: 確認は単発のチェック、モニタリングは継続的な監視を意味します。本問では継続的な追跡が必要なので「モニタリング」を用います。
Q: なぜシステム管理者ではなくシステム部がモニタリングするのですか?
A: 【問題文】で「システム部は、点検結果を確認し、また、不備事項の是正状況をモニタリングする。」と定められているためです。責任主体を取り違えると誤答になります。
A: 【問題文】で「システム部は、点検結果を確認し、また、不備事項の是正状況をモニタリングする。」と定められているためです。責任主体を取り違えると誤答になります。
Q: 監査手続の強化ポイントは?
A: 不備事項が判明した際に「報告があるか」だけでなく、「システム部がモニタリングして是正完了を確認しているか」まで追跡することです。
A: 不備事項が判明した際に「報告があるか」だけでなく、「システム部がモニタリングして是正完了を確認しているか」まで追跡することです。
関連キーワード: テレワーク、内部監査、モニタリング、是正措置、リスク評価
