基本情報技術者 2014年 秋期 午前（科目A） 問60

要点まとめ

• 結論：監査ではソフトウェアのライセンス証書や購入履歴といったエビデンスが適切に保管され、提示できるかを最優先で確認します。
• 根拠：ライセンス権限が不明確だと法的リスクや追加費用が発生するため、監査は所有権や利用許諾を裏付ける証憑の有無を重視します。
• 差がつくポイント：単に「インストール状況」だけでなく契約条件との突合、サブスクリプション管理、保管場所と改ざん防止の仕組みも問われます。

正解の理由

よくある誤解

• 誤解1：監査はソフトウェアの動作や開発体制を検査するものだと考える。→ 開発体制は品質評価の対象であり、SAM監査の直接のチェックポイントではありません。
• 誤解2：技術的な整合性（既存システムとの適合やDB分割）が資産管理監査の主要項目だと思う。→ それらは運用・設計の観点であり、資産管理の証憑確認とは目的が異なります。

解法ステップ

1. 問題文のキーワード「ソフトウェア資産管理」「監査」を確認する。
2. 監査の目的を「所有権・使用許可の確認」「法令・契約遵守の確認」と定義する。
3. 各選択肢がその目的に合致するかを照らし合わせる。
4. 「証拠（エビデンス）の有無」を問う選択肢を正答とする（今回なら ウ）。

選択肢別の誤答解説

• ア: ソフトウェアの提供元の開発体制について考慮しているか。
  → 誤り。提供元の開発体制はソフトウェアの信頼性や品質評価に関する観点であり、SAM監査が直接確認する主要項目ではありません。監査対象は主に契約・ライセンス関係です。
• イ: ソフトウェアの導入時に既存システムとの整合性を評価しているか。
  → 誤り。導入評価は導入・設計時の適合性チェックであり、資産管理監査の焦点（ライセンス・所有権の証拠）とは目的が異なります。
• ウ: ソフトウェアのライセンス証書などのエビデンスが保管されているか。
  → 正解。監査は許諾の裏付けとなる証憑の保管・提示可能性を確認し、不足があれば違反の可能性を指摘します。
• エ: データベースの分割などによって障害の局所化が図られているか。
  → 誤り。障害対策は可用性・設計の観点であり、ソフトウェア資産管理監査の主要チェックポイントではありません。

補足コラム

FAQ