ITパスポート 2017年 秋期 問44
問題文
システム監査に関する説明として、適切なものはどれか。
選択肢
ア:ITサービスマネジメントを実現するためのフレームワークのこと
イ:情報システムに関わるリスクに対するコントロールが適切に整備・運用されているかどうかを検証すること(正解)
ウ:品質の良いソフトウェアを、効率よく開発するための技術や技法のこと
エ:プロジェクトの要求事項を満足させるために、知識、スキル、ツール及び技法をプロジェクト活動に適用させること
🔒 解説は解答すると表示されます
システム監査に関する説明として、適切なものはどれか。【ITパスポート 解説】
正解の理由
正しい選択肢は イ です。
システム監査とは、情報システム(企業が使うコンピュータやシステム)に関わる「リスクに対するコントロール(対策)が適切に整備・運用されているか」を第三者的な立場で検証する活動です。ここでのポイントは「検証すること」「コントロール(制御・対策)」という語句です。監査は設計や構築そのものではなく、既にある仕組みが意図どおりに効果を発揮しているかをチェックします。したがって「検証すること」を述べた イ が当てはまります。
システム監査とは、情報システム(企業が使うコンピュータやシステム)に関わる「リスクに対するコントロール(対策)が適切に整備・運用されているか」を第三者的な立場で検証する活動です。ここでのポイントは「検証すること」「コントロール(制御・対策)」という語句です。監査は設計や構築そのものではなく、既にある仕組みが意図どおりに効果を発揮しているかをチェックします。したがって「検証すること」を述べた イ が当てはまります。
(用語メモ)
- コントロール:リスクを低減するための仕組みや対策。例:アクセス制御、バックアップ、職務分掌(分離)など。
- 監査:第三者的な立場で「適切か」を検証する活動。
解法ステップ
- 各選択肢のキーワードを拾う。例:「検証」「フレームワーク」「技術や技法」「知識・スキル」など。
- 「監査=検証・チェックすること」であると認識する。監査は「作る」より「評価する」行為。
- 選択肢を当てはめる:
- 「検証すること」を述べる選択肢があれば最有力。
- 他はそれぞれ別の分野(フレームワーク/開発技術/プロジェクト管理)なので除外する。
- 結論:検証を明示した イ を選ぶ。
試験での短いコツ:設問に「監査」とあるときは「チェック・検証」の表現を探す。
選択肢別の誤答解説
-
ア: ITサービスマネジメントを実現するためのフレームワークのこと
- 誤り。ITサービスマネジメント(ITSM:IT Service Management)は、ITサービスを安定的に提供するための仕組みや運用プロセスの集合を指します。代表的なフレームワークにITIL(IT Infrastructure Library)があります。これは「監査」ではなく「運用や管理の枠組み」です。
-
イ: 情報システムに関わるリスクに対するコントロールが適切に整備・運用されているかどうかを検証すること
- 正解。監査は「検証・評価」が本質です。コントロールの有効性を文書やログ、運用実績などで確認します。
-
ウ: 品質の良いソフトウェアを、効率よく開発するための技術や技法のこと
- 誤り。これはソフトウェア工学(ソフトウェアエンジニアリング)の説明に近いです。設計・コーディング・テストなどの開発技法を指します。監査とは目的が異なります。
-
エ: プロジェクトの要求事項を満足させるために、知識、スキル、ツール及び技法をプロジェクト活動に適用させること
- 誤り。これはプロジェクトマネジメント(Project Management)の定義に近く、計画や管理で要求を満たすための活動です。監査はプロジェクトを評価する場合もありますが、選択肢の文面は「適用させる(実施する)」であり、監査の定義とは合いません。
よくある誤解
-
「監査=問題を直す作業」と思う
- 監査は問題を見つける(評価・検証)行為であり、直接的に修正するのは運用側や改善担当者です。監査報告は改善のための指摘を出しますが、監査人自らが実装するわけではありません。
-
「監査は必ず外部の人がやる」と思う
- 外部監査もありますが、内部監査(社内の監査部門など)が行うこともあります。重要なのは監査が独立性と客観性を保っていることです。
-
「コントロール=操作方法(ユーザーの操作)」と捉える
- コントロールは操作手順だけでなく、アクセス制御、ログ管理、バックアップ、業務の分離など広い意味の対策を含みます。
補足コラム
- 監査で使われる代表的な基準や考え方:
- COBIT(Control Objectives for Information and Related Technologies):ITガバナンスと管理のフレームワーク。監査でのチェック項目の整理に使われることが多いです。
- ISO/IEC 27001:情報セキュリティマネジメントシステム(ISMS:情報セキュリティを管理する国際規格)の一つで、監査(適合性評価)の対象になることがあります。
- 監査の具体的なチェック例:アクセス権限が業務に応じて適切に与えられているか、重要データのバックアップが定期的に行われているか、変更管理(システム変更の記録)があるか等。証拠としてログや手順書、設定画面のスクリーンショットを確認します。
FAQ
Q. システム監査と情報セキュリティ監査は同じですか?
A. 完全に同じではありません。情報セキュリティ監査は「機密性・完全性・可用性」などセキュリティ面に重点を置く監査です。システム監査はもっと広く、運用管理・業務継続・内部統制なども含む場合があります。
A. 完全に同じではありません。情報セキュリティ監査は「機密性・完全性・可用性」などセキュリティ面に重点を置く監査です。システム監査はもっと広く、運用管理・業務継続・内部統制なども含む場合があります。
Q. 監査の結果は誰が使うのですか?
A. 経営層、システム管理者、業務責任者などが使います。弱点の是正、リスク低減策の優先順位付け、コンプライアンス対応などに活かされます。
A. 経営層、システム管理者、業務責任者などが使います。弱点の是正、リスク低減策の優先順位付け、コンプライアンス対応などに活かされます。
Q. 監査の証拠(エビデンス)には何がある?
A. ログ、設定一覧、手順書、操作記録、会議議事録、バックアップ記録などです。
A. ログ、設定一覧、手順書、操作記録、会議議事録、バックアップ記録などです。
Q. 試験での覚え方は?
A. 「監査=検証(Check)」で覚える。作る(Do)/設計(Plan)とは違う行為と意識すると選びやすいです。
A. 「監査=検証(Check)」で覚える。作る(Do)/設計(Plan)とは違う行為と意識すると選びやすいです。
関連キーワード: システム監査、監査、コントロール、リスクマネジメント、ITサービスマネジメント、ITIL、プロジェクトマネジメント、ソフトウェア工学、COBIT、ISO27001、内部監査、監査証拠

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

