戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2012年 秋期 35


問題文

システム監査の内容として、適切なものはどれか。

選択肢

開発されたシステムを、実際にシステムを使う利用者自身が、本番稼働してよいかどうかを判断するためにテストすること
システムを利用するための認証として、指紋、眼球の虹彩、声紋などの身体的特徴による本人確認を行うこと
組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを、独立的な立場で検証すること(正解)
ネットワークを通じて外部からシステムに侵入し、無断でデータやプログラムを盗み見たり、改ざん・破壊などを行ったりすること

🔒 解説は解答すると表示されます

システム監査の内容として、適切なものはどれか。【ITパスポート 解説】

正解の理由

ウは「組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを、独立的な立場で検証すること」です。
これが「システム監査(system audit:情報システムの運用や管理が適切かを第三者的に評価する活動)」の本質に合致します。監査は単にテストを行うだけでなく、リスク対策や手続きが整備され、運用されているかを客観的・独立的に確認することが目的です。

解法ステップ

  1. 問題文のキーワードを探す:「システム監査」「独立的」「リスク対策」「検証」など。
  2. 各選択肢を「監査の定義」と照らし合わせる。監査は「評価・検証(第三者的視点)」である点を重視。
  3. 「テスト」や「本人確認」「不正行為」を表す選択肢は監査の定義と異なるため除外。
  4. 最終的に「独立的に検証する」という要素を含むウを選ぶ。

選択肢別の誤答解説

  • ア: 開発されたシステムを、実際にシステムを使う利用者自身が、本番稼働してよいかどうかを判断するためにテストすること
    • これは「受入試験(Acceptance Test)」の説明です。受入試験は利用者(ユーザー)が機能や使い勝手を確認して本番(実運用)に移すか判断する活動で、監査とは目的と立場が違います。
    • 用語補足:本番稼働=実際の業務でシステムを使い始めること。
  • イ: システムを利用するための認証として、指紋、眼球の虹彩、声紋などの身体的特徴による本人確認を行うこと
    • これは「生体認証(biometric authentication:指紋や虹彩など身体特徴で本人確認する方法)」の説明です。認証はアクセス制御の手段であり、監査そのものではありません。
    • 用語補足:認証(authentication)は「誰がアクセスしているかを確認すること」。
  • ウ: 組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを、独立的な立場で検証すること
    • 監査の定義に合致します。監査は計画や手続き、運用実態が規定に沿っているかを第三者的に評価します。よって正解です。
  • エ: ネットワークを通じて外部からシステムに侵入し、無断でデータやプログラムを盗み見たり、改ざん・破壊などを行ったりすること
    • これは「不正アクセス」や「攻撃(ハッキング)」の説明です。攻撃は悪意ある行為であり、監査とは全く別です。なお、組織が防御力を調べるために攻撃手法を模倣する「侵入テスト(ペネトレーションテスト)」はあるが、それも監査全体の定義とは異なります。
    • 用語補足:ネットワーク=複数のコンピュータが情報をやり取りする仕組み。

よくある誤解

  1. 監査とテスト(受入試験)を混同する
    • 受入試験は「利用者が機能を確認する」目的、監査は「整備・運用が適切かを独立して評価する」目的で、立場と評価対象が違います。
  2. 「監査=悪いことを探すだけ」と考える誤解
    • 監査は改善点を見つけるための評価であり、必ずしも罰や処罰が目的ではありません。組織のリスク低減や信頼性向上が目的です。
  3. 侵入テスト(外部からの攻撃を模倣するテスト)をそのまま監査と考える誤解
    • 侵入テストは技術的な脆弱性を確認する手段の一つで、監査は手続き・運用・管理全般を評価するより広い活動です。

補足コラム

  • 内部監査と外部監査
    • 内部監査は組織の中にいる監査担当者が行い、日常的な運用の適合性を確認します。外部監査は第三者機関や外部の専門家が行い、客観性が高い評価を提供します。どちらも「独立性」と「客観性」が重要ですが、外部監査のほうが外部ステークホルダー(取引先や顧客)に対する説明責任が果たしやすいです。
  • 関連規格や枠組みの例
    • ISMS(Information Security Management System:情報セキュリティマネジメントシステム)や、監査の枠組みを示すガイドライン(例:COBIT)などが監査の基準として使われます。これらは監査で「何をどのように評価するか」を整理する助けになります。

FAQ

Q1: 監査はどれくらいの頻度で行うべきですか?
A1: 組織やリスクの程度によります。多くは年1回以上の定期監査と、重大な変更や事故後の随時監査を組み合わせます。
Q2: 監査人は必ず外部の人でなければいけませんか?
A2: 必ずではありません。内部監査人でも実施できますが、評価の信頼性を高めるために監査対象と独立した立場(利害関係のない人)が望ましいです。
Q3: ペネトレーションテスト(侵入テスト)は監査の一部ですか?
A3: 技術的評価として監査の一部に組み込まれることはありますが、単体では監査全体(運用手続きやリスク管理の評価)とは異なります。

関連キーワード: システム監査、監査人、内部監査、外部監査、受入試験、認証、生体認証、ペネトレーションテスト、リスク管理、ISMS、監査基準、不正アクセス
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について