システム監査技術者

午前 II

午後 I

平成30年度 問1 (34/50点)

[1] 投資対効果を検証する責任部署がシステムオーナとして明確に登録されていること (37/40)
正解。8/8点。

[2] ユーザニーズを調査する費用 (15/15)
微妙。3/9点。模範解答は「ユーザ部門の教育費用」となっているが、本文に書かれているわけではなく一般論でそう答えている。

[3] 対象となるシステムの主管部署の責任において費用が見積もられていることを確認する (39/45)
微妙。2/9点。システムの仕様上、費用を入力しないと登録することができないという内容が模範解答になっている。

[4] 各ゲートでの審査の基準がシステムオーナに周知されていること (29/30)
まあ正解。7/8点。

[5] 各プロジェクトがプロジェクト計画時に設定した、投資による効果が得られるまでの期間 (40/40)
まあ正解。7/8点。ただし、「〜こと」で答えるのが望ましいように見えた。

[6] システムオーナとは無関係の投資委員会が審査を実施していること (30/30)
まあ正解。7/8。また一般論。多少特殊な一般論でも救ってくれたりするのだろうか。自己採点は68%で、感覚的にも及第点は取れている気がする。一般論で答える問題が多いから、各問題の「〜について」の部分を見に行って、これは一般論でわかりそうだというのが多い問いを選ぼう。

clue

1. 模範解答の句読法に従い、「点」「こと」で終わる解答には句点を付けない。

午後 II

templates

R	内部不正による情報漏えい
C	サーバルームに立ち入らせない。 立ち入らせる場合は何をしたかがログなどでわかるようにする。 規程でルールや罰則を定める。
A	アクセス権限の設定ファイル、設定ログを閲覧する。 怪しいログについて責任者や当事者にインタビューする。 規程に義務や対応手順、罰則などが網羅的に書かれていることを確認する。 規程に関する教育が行われていることを研修の記録で確認する。

quotations

1. A 社のファイアウォールの下にある DMZ 内の Web サーバで注文を受付して、その情報を社内 LAN 上のアプリケーションサーバに送って処理を行なっている。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 7.)
2. 会社全体の売上が10%ダウンするようなことになれば、利益が数十億円減少してしまうことも予想される。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 7.)
3. また、運用要員の操作ログはすべてログ分析ソフトで分析され、分析レポートが出力されている。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 8.)
4. さらにログ分析レポートに不審なオペレーションが記録されている場合には、そのオペレーションが不正な操作でないことを運用責任者が確認していることを、運用責任者と運用要員の両方にインタビューして確認する。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 9.)
5. このためには、個人情報保護法に基づいて個人情報保護規程を整備し、これらの行為が禁止されていること及びこれらの行為を行うと罰せられることを明確にする。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 10.)
6. また、外部のセキュリティコンサル会社が提供する定期診断サービスを定期的に受けることにしている。その診断報告で問題点が指摘された場合には、速やかに対策をとるように規定している。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 18.)
7. また、その裏付けをとるために、その改善が実施されたことを課題管理ログや運用ログで確認する。(落合和雄 (2025)『情報処理教科書 システム監査技術者』東京: 翔泳社, AU-H29-PM2, p. 19.)
8. 今回のシステム監査は、原価管理システムの構築プロジェクトにおいて、要件定義の終了後から外部設計の終了後までに改善勧告をするスケジュールである。A社のシステム監査部門のシステム監査人である私がチーフとなって、プロジェクトの特徴を踏まえたリスクマネジメントが実施されているか、プロジェクト管理の適切性についてシステム監査することになった。(岡山昌二 (監修) (2017)『システム監査技術者 合格論文の書き方・事例集 第5版』東京: アイテック, p. 160)

terms

1. 個人情報保護法: 法律の名前を出して、その法律に基づいて X 規程を作成しているみたいな流れにするとよい。
2. EVM: Earned Value Management の略。スケジュールの遅延と予算の超過を客観的に評価する。スケジュール効率指数 (SPI) によってプロジェクト状況を可視化できるが、入力がテキトーだと意味がない。指数の不自然な変動がないかを確かめる。

clue

1. 会社紹介は一文で済ませる: 私が携わったのは人材派遣サービスを営む A 社における経費精算システムである。
2. 情報システムの特徴やリスクは番号付けして示す: ①経費精算システムと連携する情報システムが多い。具体的には……
3. 第1章から第3章までの対応付けを明示する。多くの場合、情報システムの特徴 (第1章) → リスク (第2章) → コントロール (第3章) → 監査手続 (第3章) という流れになるが、情報システムの特徴として A と B の二つを挙げ、A を踏まえたリスクと B を踏まえたリスクを問題にし、A を踏まえたリスクに対するコントロールと B を踏まえたリスクに対するコントロールを述べ、A を踏まえたリスクに対するコントロールが適切に機能しているかどうかを確認するための監査手続と B を踏まえたリスクに対するコントロールが適切に機能しているかどうかを確認するための監査手続を示すのがよい。要するに、文章全体を通して、特徴 A の話と特徴 B の話が並行して進むということだ。そのことは「〜という特徴を踏まえると、〜というリスクが想定される」とか「〜というリスクに対しては、〜が機能しているかを確認する必要がある」というふうに書いて、諄いくらい明示的に「前章ないし前節の内容を踏まえている」ことがわかるようにする。
4. 第2章の冒頭で監査の流れを書くとよいかもしれない: 今回のシステム監査は、原価管理システムの構築プロジェクトにおいて、要件定義の終了後から外部設計の終了後までに改善勧告をするスケジュールである。A 社のシステム監査部門のシステム監査人である私がチーフとなって、プロジェクトの特徴を踏まえたリスクマネジメントが実施されているか、プロジェクト管理の適切性についてシステム監査することになった。(岡山昌二 (監修) (2017)『システム監査技術者 合格論文の書き方・事例集 第5版』東京: アイテック, p. 160)
5. 監査手続は「監査証拠 → 確認内容」の順番で書くのが無難。まずは特定の文書を提出してもらったり、ヒアリングの内容をまとめたりして監査証拠を得る。それから、その監査証拠で何を確認するか、監査証拠では足りない部分をどう補完するかについて書く。この二段落構成が汎用性も高く良さそう。(岡山昌二 (監修) (2017)『システム監査技術者 合格論文の書き方・事例集 第5版』東京: アイテック, p. 160)
6. 第3章 (場合によっては第2章も) は各節を「X リスクに関する監査手続」というタイトルで統一したい。章のタイトルは「〜を確認するための監査手続」と丁寧に書こうか。
7. 理想的な時間配分は次のとおり。
• 14:30-14:35. 問1と問2のどちらを解くかを決め、丸をつける。設計書のフレームワークを適用しやすい問題構成であり、事例やテーマ的に取り組みやすいほうを選択する。
• 14:35-14:55. 設計書を作成する。矢印を書き込むまでが設計。
• 14:55-15:00. 概要シートを埋めて、各章のタイトルまで書き込む。
• 15:00-15:25. 第1章を書く。
• 15:25-15:55. 第2章を書く。
• 15:55-16:30. 第3章を書く。第3章がメインパートであるという意識で、多めの時間を残しておく。だいたい15時前に第1章スタート、15時半前に第2章スタート、16時前に第3章スタートというふうに頭に入れておこう。
8. 「踏まえる展開」(岡山昌二 (監修) (2017)『システム監査技術者 合格論文の書き方・事例集 第5版』東京: アイテック, p. 88) を取り込むことが大切。私の場合、設計書における矢印の出発点と到着点を各節の冒頭で述べるのがよいだろう。1.2で述べた「管理対象デバイスの種類が多い」という特徴を踏まえると、「特定の種類のデバイスが管理対象から漏れる」というリスクが想定される。たとえば……。あるリスクから次のリスクが連鎖的に思いつくが、「」で括るのは最初のリスクでよいと思う。連鎖的に発生するリスクは必要に応じて補足するかたちで述べていく。
9. 「踏まえる展開」の表現:
• 1.2 で述べた A を踏まえると、B が想定される。
• 1.2 で述べた A から想定されるのは B である。
10. 第3章各節の第ニ段落では、監査証拠の種別について述べることにしよう。「〜を口頭的な監査証拠として得た。加えて、〜して、それを文書的証拠とした。」「文書的証拠と口頭的証拠を比較・分析することで各証拠の信頼性を検証し、その検証結果を分析的証拠とした。」
11. 「なぜならば」を1回くらい使おう。
12. 第3章各節の第一段落で監査技法について明示的に述べる: 〜であるから現地調査法による監査は難しいと判断し、〜するインタビュー法を監査技法として採用した。

平成29年度 問1

第1章 情報システムの概要、並びに内部不正が発生した場合の影響

1-1 情報システムの概要

私が携わった組織は衣料品の通信販売サイトを運営するA社であり、A社の顧客管理システムに関する内部不正対策の監査を行った。A社は運営するサイトで顧客の氏名や住所を含む個人情報を扱っており、その情報を顧客管理システムに登録することで、商品の発送や販売戦略の立案などに役立てている。

顧客管理システムの特徴としては、まず「大量の個人情報が登録されている」という点が挙げられる。加えて、顧客管理システムでは顧客が購入した商品の履歴をも管理しており、売れ筋の商品の把握や顧客ごとのお気に入り商品なども確認できる。このように「顧客別の購買情報が登録されている」という点も顧客管理システムの特徴といえる。

1-2 内部不正が発生した場合の影響

内部不正により顧客管理システムの情報が漏えいした場合、A社は重大な損害を被ることになる。「大量の個人情報が蓄積されている」という観点からは、顧客の氏名や住所、クレジットカードの番号が流出し、顧客の個人情報が第三者によって不正に利用されると同時に、A社の社会的信用が失墜するといった事態が発生することが考えられる。

「顧客別の購買情報が登録されている」という観点からは、どの商品がよく売られているかといった売上に関する情報が流出し、個人情報の流出と同様に組織の社会的信用が失墜するだけでなく、競合他社にA社の営業機密が知られ、A社の競争力低下にもつながりかねない。

第2章 内部不正の特徴を踏まえた留意点、並びに内部不正の技術的対策の実施状況を確認するための監査手続

2-1 内部不正の特徴を踏まえた留意点

個人情報が流出することによってクレジットカード情報の不正利用からA社の社会的信用の失墜まで様々なリスクが想定されることを踏まえると、A社は個人情報を可能な限り限定された範囲にしか利用させないようにすべきだと考えられる。しかし「個人情報は各種業務の遂行に必要である」ため、利用可能な範囲を限定しすぎると、在庫不足や発送ミスなどのトラブルが発生することに留意しなければならない。

顧客の購買情報が流出することによって社会的信用の失墜に加えて競争力の低下というリスクも懸念されることから、A社は顧客の購買情報を外部に持ち出しさせないための取り組みをより強化すべきだと考えられる。ここで留意すべき点は、顧客の購買情報は売上分析や在庫管理に必要であり、個人情報の場合と比べて「幅広い範囲の従業員が閲覧する」ということである。

2-2 内部不正の技術的対策の実施状況を確認するための監査手続

「個人情報は各種作業の遂行に必要である」という留意点を踏まえ、個人情報のどの項目がどの従業員に対して利用可能な状態になっているかを確認する。このとき実際に顧客管理システムにおけるアクセス権の設定画面を見て権限の付与状況をまとめた文書を監査証拠として残す。さらに実際に個人情報を業務に利用する従業員に対してヒアリングを行い、その結果を監査証拠とし、業務上必要な個人情報が過不足なく公開されていることも確認する。

顧客別の購買情報は「幅広い範囲の従業員が閲覧する」という留意点に関しては、アクセス権では情報漏えいの対策として不十分であるから、購買情報を含むデータに対してパスワードロックがかけられていること、及びそのデータの閲覧に利用するPCのディスクが暗号化されていることを確認する。監査証拠としては実際にデータの閲覧に利用するPCでパスワードロックやディスクの暗号化の措置が講じられていることを確かめ、その結果を文書にまとめる。

第3章 内部不正の特徴を踏まえた留意点、並びに内部不正の組織的対策の実施状況を確認するための監査手続

3-1 内部不正の特徴を踏まえた留意点

技術的対策だけでは内部不正を完全には防止できないと考えられる。なぜならば、大量の個人情報が蓄積されているという観点で考えると、必要最限の個人情報は特定の従業員に公開されているため、その「従業員の意志によっては報漏えいが発生する」可能性がある。

同様に「顧客別の購買情報が登録されている」という観点でも従業員の意志次第で情報を流出させることは可能である。さらに、より幅広い従業員が利用することから、「従業員がA社の規程を詳しく知らない」ことが原因で、結果的に情報の不正な持ち出しにつながりかねないことに留意する必要がある。

3-2 内部不正の組織的対策の実施状況を確認するための監査手続

「従業員の意志によっては情報漏えいが発生する」という留意点を踏まえると、A社は情報の扱い方に関するルールを社内規程のなかで明確に定め、その規程の内容を従業員に周知する必要があるといえる。そこで、社内規程それ自体と規程に関する研修の実施記録を監査証拠として、規程で個人情報の扱いに関するルールや注意事項が定められていること、並びにその内容が研修によって教育されていることを確認する。なお、規程の内容を確認するに当たっては、情報セキュリティに関する法令が改定される度に規程が更新され、法令に準拠した内容になっていることも確かめる。

「従業員がA社の規程を詳しく知らない」ことを踏まえると、A社は研修を通じて規程の内容を周知することも重要であるが、加えて従業員が情報を不正に持ち出そうとしない環境を整備することも同様に重要である。たとえば顧客別の購買情報を閲覧する際は特定のIDとを利用させることとし、そのPCが設置されている部屋のようすは常時監視カメラで記録するといった対策が考えられる。監査では、A社がどのように情報の不正な持ち出しを防止しているかをヒアリングのうえ、その防止を証明するデータなどを監査証拠として対策の実施状況を確認する。たとえば監視カメラを設置している場合、その監視カメラの録画記録がひとつの監査証拠になるといえる。

編集履歴

• 2025年04月24日22時47分12秒。プロジェクトマネージャ、IT ストラテジストと来たので、次はシステム監査技術者です。さっそく勉強記録用のページを作りました。