応用情報技術者 2023年 秋期 午後 問11
情報システムに係るコンティンジェンシー計画の実効性の監査に関する次の記述を読んで、設問に答えよ。
Z社は、中堅の通信販売事業者である。ここ数年は、通信販売需要の増加を追い風に顧客数及び売上が増え、順調に業績が拡大しているが、その一方で、システム障害発生時の影響の拡大、サイバー攻撃の脅威の増大など、事業継続に関わる新たなリスクが増加してきている。そこで、Z社内部監査室では今年度、主要な業務システムである通信販売管理システム(以下、通販システムという)に係るコンティンジェンシー計画(以下、CPという)の実効性について監査を行うことにした。Z社内部監査室のリーダーX氏は、監査担当者のY氏と予備調査を実施した。予備調査の結果、把握した事項は次のとおりである。
〔通販システムの概要〕
通販システムは、Z社情報システム部が自社開発し、5年前に稼働したシステムであり、受注管理、出荷・配送管理、商品管理の各サブシステムから構成されている。稼働後、通販システムの機能には大きな変更はないが、近年の取引量の増加に伴い、昨年通販システムサーバの処理能力を増強している。
情報システム部は、通販システムの構築に際して可用性を確保するために、サーバの冗長構成については、費用対効果を考慮してウォームスタンバイ方式を採用した。Z社には東西2か所に配送センターがあり、通販システムサーバは、東センターに設置されている。東・西センターの現状のサーバ構成を図1に示す。
通販システムのデータバックアップは日次の夜間バッチ処理で行われており、取得したバックアップデータは東センターのファイルサーバに保管される。また、バックアップデータは西センターに日次でデータ伝送され、副バックアップデータとして、西センターのバックオフィス系サーバに保管されている。
バックオフィス系サーバは、通販システムの構築と同時に導入されたものである。緊急時の通販システムの待機系サーバであるとともに、通常時は人事給与システムと会計システムを稼働させるように設計された。Z社が社内の業務とコミュニケーションを円滑化するために、ここ2、3年の間に新しく導入したワークフローシステムやグループウェアなどの社内業務支援システムもバックオフィス系サーバで稼働させている。なお、Z社ではバックオフィス系サーバで稼働している人事給与システム、会計システム、社内業務支援システムを総称して社内システムと呼んでいる。
〔CPの概要〕
CPは、5年前に通販システムを構築した際に、情報システム部が策定したものである。CPのリスクシナリオとしては、大規模自然災害、システム障害、サイバー攻撃(併せて以下、危機事象という)によって東センターが使用できなくなった事態を想定している。その場合の代替策として、西センターのバックオフィス系サーバを利用して通販システムを暫定復旧することを計画している。
東センターで危機事象が発生し、通販システムの早期復旧が困難と判断された場合には、CPを発動し、西センターのバックオフィス系サーバ上のシステム負荷の高い社内システムを停止する。その後、通販システムの業務アプリケーションやデータベースなどの必要なソフトウェアをセットアップし、副バックアップデータからデータベースを復元する。さらに、ネットワークの切替えを含む必要な環境設定を行い、通販システムを暫定復旧する計画になっている。5年前の通販システム稼働後、CPを発動した実績はない。
〔CPの訓練状況〕
5年前の通販システム稼働直前に、西センターのバックオフィス系サーバにおいて、復旧テストを実施した。復旧テストでは、副バックアップデータからデータベースが正常に復元できること、バックオフィス系サーバで実際に通販システムを稼働させるのに必要最低限の処理能力が確保できていることを確認している。
通販システム稼働後のCPの訓練は、訓練計画に従いあらかじめ作成された訓練シナリオを基に、毎年実機訓練を実施している。具体的には、西センターで稼働中の社内システムが保守のために停止するタイミングで、バックオフィス系サーバに必要なソフトウェアをセットアップし、副バックアップデータを使用したデータベースの復元訓練まで行っている。CP策定以降の訓練結果では、大きな問題は見つかっておらず、CPの見直しは行われていない。
内部監査室は、予備調査の結果を基に本調査に向けた準備を開始した。
〔本調査に向けた準備〕
X氏は、Y氏に予備調査結果から想定されるリスクと監査手続きを整理するように指示した。Y氏がまとめた想定されるリスクと監査手続きを表1に示す。
X氏は表1の内容についてレビューを実施した。レビュー結果を踏まえたX氏とY氏の主なやり取りは次のとおりである。
X氏:①今回の監査の背景を踏まえると、ここ数年の当社を取り巻く状況から、CPのリスクシナリオの想定範囲が十分でなくなっている可能性もある。これについても想定されるリスクとして追加し、監査手続きを検討すること。
Y氏:承知した。
X氏:CPの訓練に関連して、西センターでの復旧テストの実施時期がシステム稼働前であり、その後の変更状況を考慮すると、CP発動時に暫定復旧後の通販システムで問題が発生するリスクが考えられる。これについても監査手続を作成すること。
Y氏:承知した。監査手続で確認すべき具体的なポイントとしては、通販システムが稼働後にdしていることを考慮して、eについても同様に必要な対応ができているか、ということでよいか。
X氏:それでよい。また、現在のCPの訓練内容について、GP発動時に暫定復旧が円滑に実施できないリスクがあるので、それについても監査手続を作成すること。
Y氏:承知した。fについて、最低限机上での訓練を実施しなくて問題がないのかを確認する。
X氏:さらに、②通販システムの暫定復旧計画において、バックオフィス系サーバの社内システムを停止することによる影響が悪念されるので、それについても確認しておいた方がよい。
設問1:
表1中のa〜cに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:CP訓練
イ:CP発動基準
ウ:環境設定
エ:機能要件
オ:評価項目
カ:目標復旧時間
模範解答
a:カ
b:イ
c:オ
解説
解答の論理構成
-
a の判断根拠
- 【問題文引用】表1「ウォームスタンバイ方式なので、暫定復旧までに時間が掛かる。」
- 【問題文引用】表1「監査手続 aについて、業務部門と合意していることを確かめる。」
- ウォームスタンバイは切替えに手間が掛かり、事業側が許容できる復旧時間との整合が欠かせません。業務部門と合意すべき指標は “いつまでに復旧するか” を表す「目標復旧時間(RTO)」です。
- 解答群で該当するのは「カ:目標復旧時間」。
-
b の判断根拠
- 【問題文引用】表1「危機事象発生時にCP発動が遅れる。」
- 【問題文引用】表1「監査手続 bが明確に定められていることを確かめる。」
- 発動遅延は“いつ・誰が・どの状態でCPを開始するか”が曖昧な場合に発生します。従って明確に定めるべきは「CP発動基準」です。
- 解答群で該当するのは「イ:CP発動基準」。
-
c の判断根拠
- 【問題文引用】表1「CP訓練の結果が適切に評価されず、潜在的な問題が発見されない。」
- 【問題文引用】表1「監査手続 CP訓練結果のcがあらかじめ定められていることを確かめる。」
- 評価が形骸化する典型例は“判定観点”が事前に決まっていないケースです。訓練結果を客観的に判定するために必要なのは「評価項目」です。
- 解答群で該当するのは「オ:評価項目」。
以上より
a:カ
b:イ
c:オ
a:カ
b:イ
c:オ
誤りやすいポイント
- RTO と RPO を混同し、データ損失許容時間(RPO)を選んでしまう。設問は「暫定復旧までに時間が掛かる」と“時間軸”に着目している点がヒント。
- 「CP発動手順」と「CP発動基準」の取り違え。基準は発動するか否かの判定条件、手順は発動後の作業フロー。
- 訓練の「報告書様式」や「実施計画」と誤解してしまい、評価項目を外してしまう。設問は“結果が適切に評価されず”と評価の枠組みを問うている。
FAQ
Q: RTO としてどの程度の時間を設定すべきですか?
A: ビジネスインパクト分析で算出した許容停止時間以内であることが原則です。通販の場合、ピーク時の受注停止が売上直結ダメージになるため短めに設定される傾向があります。
A: ビジネスインパクト分析で算出した許容停止時間以内であることが原則です。通販の場合、ピーク時の受注停止が売上直結ダメージになるため短めに設定される傾向があります。
Q: CP発動基準はどのように文書化すればよいですか?
A: 「発生事象」「判定責任者」「判断タイムリミット」の3要素を明文化すると実運用で迷いが生じにくくなります。
A: 「発生事象」「判定責任者」「判断タイムリミット」の3要素を明文化すると実運用で迷いが生じにくくなります。
Q: 訓練の評価項目は誰が決めるべきですか?
A: 情報システム部だけでなく、業務部門・リスク管理部門・内部監査など関係者で合意形成し、訓練計画書に盛り込むのが望ましいです。
A: 情報システム部だけでなく、業務部門・リスク管理部門・内部監査など関係者で合意形成し、訓練計画書に盛り込むのが望ましいです。
関連キーワード: RTO, ウォームスタンバイ、発動基準、訓練評価、事業継続
設問2:
本文中の下線部①について、監査手続の検討時に考慮すべきリスクを二つ挙げ、それぞれ25字以内で答えよ。
模範解答
①:システム障害発生時の影響が拡大するリスク
②:サイバー攻撃の脅威が増大するリスク
解説
解答の論理構成
-
背景確認
【問題文】には、ここ数年の状況として
「システム障害発生時の影響の拡大、サイバー攻撃の脅威の増大など、事業継続に関わる新たなリスクが増加してきている。」
と明記されています。
これが“想定範囲が十分でなくなっている可能性”の根拠です。 -
現行 CP の想定範囲
同じく【問題文】には
「CPのリスクシナリオとしては、大規模自然災害、システム障害、サイバー攻撃…」
が挙げられており、カテゴリー自体は網羅しています。 -
追加で着目すべきポイント
下線部①では“想定範囲の不足”とありますが、現行 CP が5年前の前提で作られているため、 ・取引量増大に伴い「システム障害発生時の影響」が従来より大きくなる
・攻撃手口の高度化に伴い「サイバー攻撃の脅威」が従来より大きくなる
という“深刻度の変化”が監査の重点になります。 -
したがって、監査手続の検討時に挙げるべきリスクは
・「システム障害発生時の影響が拡大するリスク」
・「サイバー攻撃の脅威が増大するリスク」
となります。
誤りやすいポイント
- “想定外のリスク”と考え、まったく新しいカテゴリ(例:パンデミック)を書いてしまう。問題文は“影響が拡大”“脅威が増大”という“深刻度”の変化を示唆しています。
- 「大規模自然災害」も含め3つ列挙してしまう。設問は“二つ”のみ要求しています。
- “システム障害そのもの”と“影響の拡大”を混同して記述し、意図がぼやける。
FAQ
Q: なぜ「大規模自然災害」を挙げなくて良いのですか?
A: 問題文で増大していると明示されたのは「システム障害発生時の影響」と「サイバー攻撃の脅威」です。自然災害に関する深刻度の変化は示されていません。
A: 問題文で増大していると明示されたのは「システム障害発生時の影響」と「サイバー攻撃の脅威」です。自然災害に関する深刻度の変化は示されていません。
Q: 既に CP に「システム障害」「サイバー攻撃」が含まれているのに、なぜ再度挙げるのですか?
A: カテゴリは存在しても、5年前の想定なので規模や頻度が変化しています。監査では“最新リスク水準”とのギャップを確認する必要があります。
A: カテゴリは存在しても、5年前の想定なので規模や頻度が変化しています。監査では“最新リスク水準”とのギャップを確認する必要があります。
Q: “拡大”と“増大”の違いは何ですか?
A: 前者は障害が発生した場合の“影響範囲”が広がること、後者は攻撃そのものの“発生確率や手口の高度化”が増えることを指しています。
A: 前者は障害が発生した場合の“影響範囲”が広がること、後者は攻撃そのものの“発生確率や手口の高度化”が増えることを指しています。
関連キーワード: 事業継続計画、リスクアセスメント、ウォームスタンバイ、影響度分析、サイバー攻撃
設問3:
本文中のd、eに入れる適切な字句を、それぞれ15字以内で答えよ。
模範解答
d:サーバの処理能力を増強
e:バックオフィス系サーバ
解説
解答の論理構成
-
監査手続を追加する理由
- X氏は「CPの訓練に関連して、西センターでの復旧テストの実施時期がシステム稼働前であり、その後の変更状況を考慮すると…監査手続を作成すること」と指示しています。
- したがって、通販システム稼働後に生じた“変更状況”を具体的に捉え、その影響を受ける対象を監査手続に反映させる必要があります。
-
変更内容(d)の特定
- 予備調査の「〔通販システムの概要〕」には「近年の取引量の増加に伴い、昨年通販システムサーバの処理能力を増強している。」と明記されています。
- この“処理能力を増強”した事実こそが、稼働後に発生した代表的な変更です。
- よって d には「サーバの処理能力を増強」が入ります。
-
影響対象(e)の特定
- Y氏は「通販システムが稼働後にdしていることを考慮して、eについても同様に必要な対応ができているか」と発言しています。
- CPでは「西センターのバックオフィス系サーバを利用して通販システムを暫定復旧する」計画になっています。
- つまり、処理能力を増強した“本番側”の変更に合わせて、“待機側”である「バックオフィス系サーバ」でも必要な対応(能力確保)ができているかを確認する文脈です。
- よって e には「バックオフィス系サーバ」が入ります。
誤りやすいポイント
- “増強”ではなく“増設”や“増台”と書いてしまう
- 影響対象を「通販システムサーバ」と誤って書き、待機系である点を見落とす
- X氏の指示とY氏の返答を別々に読んで文脈をつなげられない
FAQ
Q: なぜ“処理能力を増強”が監査上の着眼点になるのですか?
A: 本番環境で性能改善を行った場合、待機系が同等の性能を確保できなければ、災害時に処理能力不足で業務が停滞するリスクがあるためです。
A: 本番環境で性能改善を行った場合、待機系が同等の性能を確保できなければ、災害時に処理能力不足で業務が停滞するリスクがあるためです。
Q: “バックオフィス系サーバ”の性能確認はどのように行いますか?
A: CPに沿って実機訓練または性能テストを行い、ピーク負荷やレスポンスタイムが業務要件を満たすか測定します。
A: CPに沿って実機訓練または性能テストを行い、ピーク負荷やレスポンスタイムが業務要件を満たすか測定します。
Q: CP訓練が机上だけでは不十分なのはなぜですか?
A: 実機を使わないとハードウェア性能・ネットワーク切替・データ復元時間など物理的な要素を検証できず、想定外のボトルネックを見逃す恐れがあるからです。
A: 実機を使わないとハードウェア性能・ネットワーク切替・データ復元時間など物理的な要素を検証できず、想定外のボトルネックを見逃す恐れがあるからです。
関連キーワード: 災害復旧、ウォームスタンバイ、性能要件、事業継続、内部監査
設問4:
本文中のfに入れる適切な字句を、25字以内で答えよ。
模範解答
f:ネットワークの切替えを含む必要な環境設定
解説
解答の論理構成
- CPが想定する暫定復旧の手順には「さらに、ネットワークの切替えを含む必要な環境設定を行い、通販システムを暫定復旧する計画」と明記されている。
- 一方、実際の訓練内容は「バックオフィス系サーバに必要なソフトウェアをセットアップし、副バックアップデータを使用したデータベースの復元訓練まで行っている」とされ、ネットワーク切替えや環境設定は対象外である。
- このギャップを踏まえてY氏は「fについて、最低限机上での訓練を実施しなくて問題がないのかを確認する」と発言している。
- よって、fには復旧時に未訓練となっている作業内容、すなわち「ネットワークの切替えを含む必要な環境設定」が入る。
誤りやすいポイント
- 訓練で実施している作業(ソフトウェアセットアップ・データベース復元)と、計画に記載されているが訓練対象外の作業(ネットワーク切替え・環境設定)を混同しやすい。
- X氏の指示「暫定復旧が円滑に実施できないリスク」から、訓練不足部分がどこかを読み落とすと別の工程を選びがち。
- f直前のY氏の発言が「机上での訓練」となっている点を見逃し、実機訓練済みの内容を書いてしまうケース。
FAQ
Q: なぜデータベース復元ではなくネットワーク切替えが空欄になるのですか?
A: データベース復元は「訓練で実施済み」と本文に記載があります。未訓練でリスクが残るのはネットワーク切替えと環境設定だからです。
A: データベース復元は「訓練で実施済み」と本文に記載があります。未訓練でリスクが残るのはネットワーク切替えと環境設定だからです。
Q: 「必要な環境設定」だけでも誤りになりますか?
A: はい。本文が「ネットワークの切替えを含む必要な環境設定」と並列表現しているため、両者をまとめて記載する必要があります。
A: はい。本文が「ネットワークの切替えを含む必要な環境設定」と並列表現しているため、両者をまとめて記載する必要があります。
Q: 机上訓練だけでも十分と判断される場合はありますか?
A: 手順確認や担当者の役割分担を整理するうえで机上訓練は有効ですが、本番同様の接続変更が伴うネットワーク切替えは実機訓練による検証が望ましいとされます。
A: 手順確認や担当者の役割分担を整理するうえで机上訓練は有効ですが、本番同様の接続変更が伴うネットワーク切替えは実機訓練による検証が望ましいとされます。
関連キーワード: コンティンジェンシープラン、ウォームスタンバイ、ネットワーク切替え、データバックアップ、復旧テスト
設問5:
本文中の下線部②について、どのような影響が懸念されるか。25字以内で答えよ。
模範解答
社内の業務とコミュニケーションに支障をきたす。
解説
解答の論理構成
- 【問題文】では、CP発動時に「西センターのバックオフィス系サーバ上のシステム負荷の高い社内システムを停止する」と記載されています。
- 同じく【問題文】で、社内システムには「ワークフローシステムやグループウェアなどの社内業務支援システム」が含まれ、「Z社が社内の業務とコミュニケーションを円滑化するため」に導入されたと説明されています。
- したがって停止すると、社内で行っている各種業務処理や部門間・社員間の情報共有が滞るリスクが生じます。
- 下線部②は「バックオフィス系サーバの社内システムを停止することによる影響が懸念される」点を問うているため、影響の本質は「社内業務とコミュニケーションの停滞」です。
- よって解答は「社内の業務とコミュニケーションに支障をきたす」となります。
誤りやすいポイント
- 影響対象を“通販システムの顧客向けサービス”と誤解しやすい。実際に停止するのは社内システムなので外部顧客ではなく社内が影響を受けます。
- 「処理能力不足」や「データ損失」など技術面だけに着目し、業務プロセスや社員間連携の停止というビジネス面の影響を見落とす。
- 「バックオフィス系サーバには人事給与や会計もある」点ばかり強調してしまい、“コミュニケーション”への影響を回答に含め忘れる。
FAQ
Q: 社内システムを停止すると売上に直接影響しますか?
A: 通販サイト自体は西センターで暫定復旧させる計画なので直接の売上減は避けられますが、社内の承認や連絡が滞ることで間接的に業務効率が落ち、結果として売上回復の遅延につながる可能性があります。
A: 通販サイト自体は西センターで暫定復旧させる計画なので直接の売上減は避けられますが、社内の承認や連絡が滞ることで間接的に業務効率が落ち、結果として売上回復の遅延につながる可能性があります。
Q: ワークフローやグループウェアは重要系ではないのでは?
A: BC/CPでは「業務継続に不可欠な社内コミュニケーション」も重要資源です。承認フローや情報共有が止まれば復旧作業自体が遅れ、全社的な影響が拡大します。
A: BC/CPでは「業務継続に不可欠な社内コミュニケーション」も重要資源です。承認フローや情報共有が止まれば復旧作業自体が遅れ、全社的な影響が拡大します。
Q: 停止させずに動かし続ける方法はないのですか?
A: 追加のサーバを用意して負荷を分散する、高負荷システムのみクラウドへ逃がすなどの手段がありますが、費用対効果と優先度を考慮して決定する必要があります。
A: 追加のサーバを用意して負荷を分散する、高負荷システムのみクラウドへ逃がすなどの手段がありますが、費用対効果と優先度を考慮して決定する必要があります。
関連キーワード: BCP, ウォームスタンバイ、グループウェア、ワークフロー、可用性
