基本情報技術者 2019年秋期午前（科目A）問60

問題文

アクセス制御を監査するシステム監査人の行為のうち、適切なものはどれか。

選択肢

ア：ソフトウェアに関するアクセス制御の管理台帳を作成し、保管した。

イ：データに関するアクセス制御の管理規程を閲覧した。（正解）

ウ：ネットワークに関するアクセス制御の管理方針を制定した。

エ：ハードウェアに関するアクセス制御の運用手続を実施した。

##: アクセス制御を監査するシステム監査人の行為のうち、適切なものはどれか。【午前2 解説】

要点まとめ

結論：監査人の適切な行為は、運用や作成・制定など「実行業務」を行わず、文書や記録を閲覧して独立に照査することです。
根拠：監査人は独立性と客観性を保持して証拠を収集・評価し、規程閲覧やログ確認、ヒアリングなどで適合性・有効性を判断します。
差がつくポイント：選択肢で「作る・制定する・実施する」は業務執行側、「閲覧・確認する」は監査側に該当する点を明確に区別できるかが鍵です。

正解の理由

正解はイです。監査人は組織内の手続きや規程を評価・照査する立場であり、データに関するアクセス制御の管理規程を閲覧して内容や運用との整合性を確認する行為は典型的な監査活動です。逆に、規程を「制定」したり、台帳を「作成・保管」したり、運用手続を「実施」することは経営・運用側の職務であり、監査人が行うと独立性を損ないます。したがって、閲覧して評価するイが適切です。

よくある誤解

「監査人が改善案を作る＝監査業務」：監査人は改善提案は可能ですが、実際の作成・実施は運用側の業務であり、監査人が手を動かすべきではありません。
「閲覧＝それだけで十分」：規程の閲覧は必要十分条件の一部であり、ログやインタビュー、現地観察などで裏取り（実効性の確認）を行う必要があります。
「方針と規程・手続の区別を無視」：方針（policy）は上位概念、規程（regulation/standard）は運用に落とすための文書、手続（procedure）は具体的実施方法です。監査の対象と役割を混同しやすい点に注意。

解法ステップ

問題文の主語と立場を確認：監査人（システム監査人、独立・客観的評価者）。
各選択肢の動詞に注目：「作成・保管」「閲覧」「制定」「実施」が示す行為を分類する。
監査人の職務（評価・照査）に合致する行為を選ぶ。監査人が行ってはならない実務（作成・制定・実施）は除外。
余力があれば「なぜ閲覧だけでは不十分か」「どの証拠が補強になるか」を短く確認して正答を確定。

選択肢別の誤答解説

ア: ソフトウェアに関するアクセス制御の管理台帳を作成し、保管した。
→ 誤り。台帳の作成・保管は運用側（管理者）の業務であり、監査人が実行すると独立性・客観性が失われます。
イ: データに関するアクセス制御の管理規程を閲覧した。
→ 正解。規程の閲覧・評価は監査人が行う典型的な証拠収集行為であり、独立した照査に該当します。
ウ: ネットワークに関するアクセス制御の管理方針を制定した。
→ 誤り。方針の制定は経営や情報セキュリティ管理責任者の役割で、監査人の職務ではありません。
エ: ハードウェアに関するアクセス制御の運用手続を実施した。
→ 誤り。運用手続の実施は運用担当者の職務であり、監査人が実施すると監査の独立性が損なわれます。

補足コラム

監査証拠は「文書（規程・台帳）」「ログ」「インタビュー」「現地観察」など多面的に収集して相互に裏付けることが重要です。例えば規程に適切な記載があっても、ログで実際のアクセスが規程通りに制御されているかを確認しなければ「有効に運用されている」とは言えません。監査基準としてはISO 19011や各社の内部監査基準が参考になりますが、基本原則は独立性・客観性・証拠に基づく評価です。

FAQ

Q1: 監査人が見つけた不備をすぐ修正してもよいか？
A1: 監査人自身が修正作業を行ってはいけません。修正は運用側の責任であり、監査人は改善を勧告し、対応状況を後日検証します。

Q2: 規程を「閲覧」するだけで合否が判断できるか？
A2: 規程閲覧は基本的な証拠ですが、それ単体では運用の有効性を判断しきれません。ログや実地確認、担当者ヒアリングで実行性を裏付ける必要があります。

Q3: 監査人が手順書を「作成」することは完全に禁止か？
A3: 原則として監査人は作成すべきではありません。ただし第三者レビューや助言は行えますが、作成・実施は運用側の職務です。

関連キーワード: アクセス制御, 監査人, 監査証拠, 独立性, 規程, ログ確認, 運用と統制, ガバナンス

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！