応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。
カテゴリ:

17.システム監査(高度用)

医者1(医師)
このサイトでは、システム監査について詳しく説明します。

システム監査は、システムの健康診断と言われていますよ。

 

214801e2
(看護婦)
先生、よろしくお願いします。
システム監査っていうのがよく分かっていないのですが。
詳しく教えてくれませんか?

医者1



(医師)
では、健康診断と照らし合わせて説明します。
システム監査では、システムの健康診断を行います。健康な人であっても、何か病気を持っているかもしれません。そこで、Doctorに病気が無いかをみてもらうのです。
企業の情報システムも同様に、何か問題があるかもしれません。それをシステム監査人に見てもらうのです。

30c7ee19
(看護婦)
先生、ちょっと分かりました。
まだ、いまいち、、、
なぜ、健康診断なんですか?通常の治療とは違うのですか?

医者1

(医師)
そうですね。治療とはちょっと違います。
たとえば、健康診断では、治療をしませんよね。病気がないかだけをチェックし、治療をする場合には、再度病院に行きますね。システム監査もこれと同じで、治療はしません。助言または保証をします。これが助言型監査と保証型監査になります。

詳しく説明しますね。

助言型監査:病気を発見し、食生活の改善や病院への通院を勧めます。システムでいうと、たとえばシステムのセキュリティが弱い場合には、セキュリティ改善の助言をするのです。

保証型監査:会社に入社するときに、健康診断にて健康であることの証明が必要な場合がありますよね。システムにおいても、システムの状態を保証する目的の監査がこれです。

午後試験では、「監査ポイント」という言葉がでてきます。「ポイント」という意味が理解しにくいと思います。「勉強のポイントは」と言われたら、「注力すべき点」「コツ」みたいな意味を想像するでしょうが、監査ポイントのポイントは、少し意味が異なります。「監査ポイント」という言葉は、「監査項目」に近いかもしれません。具体例でイメージして下さい。以下はH22午後1問1の引用です。

表2 監査手続書の内容(抜粋)
項番監査ポイント監査手続
1システム化効果を測定するための、適切な“効果測定指標”(KPI)が設定されていること経営情報システムの開発目的が実現されているかどうかを測定するKPIが、関連するドキュメントに記載されているかどうかを確認する。
2システムの企画段階では、オーナ部門がドキュメントの内容を確認し、責任者が承認していること開発りん議書、プロジェクト計画書、要件定義書及び基本設計書について、オーナ部門の責任者の承認印があるかどうかを確認する。
3経営環境の変化が激しい状況において、開発したシステムが有効に活用されるような機能を有していること要件定義書をレビューして、次のような事項が記載されているかどうかを確認する。 
a

コントロールとは文字通り「統制」である。
30c7ee19
コントロールって何か分かりにくいですよね。
そうですね。言葉の意味に加え、過去問に多くふれることで、理解を深めて下さい。

H17問44より
 信頼性のコントロールに関する監査証跡

 安全性のコントロールに関する監査証跡
  アクセスログやオペレーションログ

 効率性のコントロールに関する監査証跡
  利用者のニーズ調査結果や費用対効果分析表
 
システム監査基準より
「システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。」

システム管理基準(または情報セキュリティ管理基準)の各項目がそれぞれコントロールである。
 ※情報セキュリティ管理基準より抜粋
5 物理的及び環境的セキュリティ
5.1 セキュリティが保たれた領域
目的:業務施設及び業務情報に対する認可されていないアクセス、損傷及び妨害を防止するため  ←これが目的
5.1.1 組織は、情報処理設備を含む領域を保護するために、幾つかのセキュリティ境界を利用すること ←目的を達するためのコントロール
5.1.1.1 セキュリティ境界を明確に定義すること ←さらに詳細化したコントロール

H21午後1問1に、コントロールの例が述べられています。なんとも漠然とした内容ですよね。
具体的にどのような手段を用いるかまでは考える必要はありません。
以下がH21午後1問1の引用です。


表1 アクセス管理に関するリスク及びコントロール(抜粋)
項番リスクコントロール
・ERPパッケージのDBに直接ログインされ、重要データが改ざんされたり、破壊されたりする。・初期インストール後、DB用IDのパスワードが変更されていることを確認する。
・ユーザIDとパスワードが不正に取得され、業務システムが使用される。
・ユーザIDの権限が不正に設定され、データが更新される。
・業務システムにログインしたユーザIDのログをモニタリングして、不正なアクセスが行われていないことを確認する。
・ユーザIDと権限設定のリストを定期的に出力し、不要な権限が設定されていないことを確認する。
・業務の引継ぎが完了したら、異動者は元の部署の権限を削除してもらうための申請を速やかに提出する。

別の記述として「コンピュータを利用して行うシステム監査技法」を書いたが、これとIT監査技法は同じと考えてもらってよい。

ITが進展している今、監査においてもITを活用するのは当然の流れである。

IT監査技法のメリットに関してH19午後2問1に次のように述べられています。
 数多くのサーバが複数の拠点で運用されているような環境においては、複数の管理者にインタビューを実施したり、資料を閲覧したりするよりも、IT監査技法を用いる方が効率が良い。また、IT監査技法を用いることによって、インタビューや資料の閲覧よりも証拠能力の高い監査証拠を入手することが可能になる。

システム監査は、内部監査人による”助言型監査”を想定している。
外部監査による保証型監査ではない。
よって、情報システム部門以外の役員などが監査を行うようになるだろう。
官公庁では外部に委託することが多いようだ。

旧システム監査基準は、“助言型監査”を意識して作られているが、新システム監査基準では、“保証型監査”についても少し意識がされている。

◆対象者像
被監査部門から独立した立場で、トップマネジメントの視点で、情報システムが経営に貢献しているかどうかを、安全性、効率性、信頼性、可用性、機密性、保全性、有用性、戦略性など幅広い側面から総合的に調査し、あるべき姿を描くことによって自ら形成した判断基準に照らして評価し、問題点について説得力のある改善勧告を行う者

◆業務と役割
被監査対象から独立した立場で、情報システムを総合的に点検・評価し、監査結果をトップマネジメント及び関係者に説明し、改善点を勧告する業務に従事し、次の役割を果たす。
ヾ萄嵯弉茲鯲案し、監査を実施し、監査結果をトップマネジメント及び関係者に報告する。
⊂霾鵐轡好謄爐亡悗垢詁睇統制機能の改善を促進し、その実効性を担保することによって、企業経営はもとより、情報社会・ネットワーク社会の健全化に貢献する。

◆期待する技術水準
単に情報処理の視点からだけではなく、情報システムが企業及び社会に貢献できるように改善を促進するため、次の幅広い知識・経験・実践能力が要求される。
.咼献優考弖錣箏弍鎚針に合致した監査計画を立案できる。
⊂霾鵐轡好謄爐隆覯茵Τ発・運用段階において、効率的な監査手続を実施するための監査技法を適時かつ的確に適用できる。
ビジネスアプリケーションが適用される業務プロセスの現状に関し、その問題点を洗い出し、問題点を分析・評価するための判断基準を自ら形成できる。
ご萄嵯覯未鯱斥的に矛盾のない報告書にまとめ、説得力のある改善勧告を行うことができる。
ゴ萄困亮損椶謀たって必要となる情報技術及びその技術動向を理解できる。
Τ杏環境の変化を捉え、組織の将来像を描き出すことができる。

以下のURLより引用
https://www.jitec.ipa.go.jp/1_13download/hani20061107.pdf
このサイトでも、以下の分野に分類して問題や解説をまとめていきます。

 情報システム・通信ネットワーク・システム監査全般に関すること
経営一般,情報戦略,情報システム・通信ネットワークの評価,情報システム・通信ネットワークのリスク管理,情報システム・通信ネットワークの品質管理,リスク分析の手法,情報セキュリティ,セキュリティポリシ,事業継続管理,ディジタル認証,内部統制(全般統制,アプリケーション統制),IT ガバナンス,他の監査(会計監査,業務監査)との連携・調整,情報技術動向の把握 など

システム監査の計画に関すること
監査目的の設定,リスクアプローチ,中長期計画書・基本計画書・個別計画書の作成 など

システム監査の実施に関すること
実施準備,予備調査,監査手続,本調査(企画・開発業務の監査,運用・保守業務の監査),評価・結論,監査調書の作成・保管,監査証拠の収集・評価,システム監査技法の適用,システム監査業務の管理(監査業務の品質管理を含む) など

システム監査の報告に関すること
監査報告書の作成,監査意見の表明(保証意見,助言意見),フォローアップの実施 など

システム監査関連法規に関すること
セキュリティ関連法規,個人情報保護関連法規,知的財産権関連法規,労働関連法規,法定監査関連法規,システム監査及びセキュリティ監査に関する基準・ガイドライン・施策,内部監査に関する基準・ガイドライン・施策 など

情報処理技術者試験区分の詳細として、JITECから以下の発表がある。
とても重要なので、必ず読みましょう。

https://www.jitec.ipa.go.jp/1_13download/guidebook_pdf/guide_200702_17_au.pdf

出題に当たっての考え方
午前
(1) システム監査技術者の午前試験は、被監査部門から独立した立場で情報システムを総合的に点検評
価し、改善点を勧告するシステム監査業務を行う上で必要となる専門的な知識だけでなく、高度な情報処理技術者として共通的に要求される分野で、幅広い知識の習得が求められる。

午後
(1) システム監査技術者は、被監査組織から独立した立場で、情報システムを総合的に点検・評価し、問題点がある場合に、改善勧告を行う業務に従事する者である。情報システム技術の進歩などを踏まえ、このようなシステム監査技術者の立場・視点を意識した問題を出題している。

午後
(4) 合否判定の基本は、求められている項目について適切に論述していること、及びその論点に矛盾がないことである。合格のためには、論述内容の深さ・工夫の深さや具体性などシステム監査技術者として監査を実施するうえで必要な「具体的な工夫や観点」を論述している必要がある。
求められている項目以外の論述に終始しているものは、仮にその論述内容がそのテーマとして充実していたとしても、不十分である。また、監査人の立場から論述されていないもの、例えば、システムアナリストやプロジェクトマネージャなどの立場から論述しているものは、システム監査技術者試験の趣旨から外れてしまうので不十分である。プロジェクトやシステム開発経験、苦労話などを中心に書き連ねたもの、問題文の記述をそのまま記載しただけのものは、論述の深みがなく、不十分である。また、自分自身に経験のないことを論述した解答は、一般論だけが論述されていたり、具体性がなかったりするので、実務経験の深さ・洞察力・行動力が不足しているものが多く、不十分である。
解答文の中には、ひたすら準備してきたものを書き連ねたものや、教科書的な記述に終始するものなども見られる。これらは、出題の趣旨に合った内容でなかったり、工夫した点が極めて乏しかったり、論述内容に一貫性がなかったり、答案用紙のテンプレートの記述との矛盾点があったりするので、不十分である。

システム監査が情報システムの監査をするのに対し、セキュリティ監査は、セキュリティの監査をします。
似ていますが、その目的などは若干の違いがあります。というのも、システムというのは、ITをうまく活用することで会社の業績に貢献するものですが、セキュリティは業務に貢献しません。システムとセキュリティでは、目指す方向が別の方向だからです。

1.情報セキュリティ監査基準
経済産業省が出した「情報セキュリティ監査基準(ver1.0)」
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf

ここには、以下の記載があります。
----------------------
(情報セキュリティ監査基準(ver1.0)」より引用)
有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定する「実施基準」、監査報告に係る
留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。

(中略)

本監査基準は、情報セキュリティに保証を付与
することを目的とした監査であっても、情報セキュリティの欠陥に対して助言を行うことを目的とした監査であっても利用できる。
----------------------

ポイントは以下です。
(1)監査人の行為規範であること。
(2)一般基準、実施基準、報告基準からなる
(3)監査には「保証型」と「助言型」があるが、双方で利用できる。

過去問を解いてみましょう。
問25 “情報セキュリティ監査基準”の位置付けはどれか。
ア 監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり、監査人の規範である。
イ 情報資産を保護するためのベストプラクティスをまとめたものであり、監査マニュアル作成の手引書である。
ウ 情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
エ 組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である。(H22SC春午前供
上で解説した通り、正解はウです。
 
2.情報セキュリティ管理基準
経済産業省が出した「情報セキュリティ管理基準(平成20年改正版)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf

この管理基準ですが、「情報セキュリティ監査基準」に従って監査を行う場合、「情報セキュリティ管理基準」が監査判断の基準となりえます。
前文によると、「情報セキュリティ管理基準は、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である」と述べられています。

3.監査台帳
過去問(H23SC春PM2問2設問1(1))を紹介します。 
G君 :Y社以外から選ぶとしたら,どういう企業を選ぶべきですか。
F主任:経済産業省の情報セキュリティ監査[ c ]に登録されている企業から選ぶのがよいだろう。得意とする監査対象の分野・業種,前年度の監査の実績などが経済産業省のWebサイトで検索できるから,何社か候補を挙げて問い合わせてみてくれるかな。

正解ですが、cに当てはまる言葉は、「企業台帳」です。
監査台帳は、経済産業省のHPにて公開されています。具体的な会社名と監査人の経歴などが掲載されています。
http://www.meti.go.jp/policy/netsecurity/is-kansa/

4.「保証型」と「助言型」
「保証型」は、情報セキュリティ管理基準に適合していることを保証するもの。
「助言型」は、適合していない部分に関して、その対処策を助言するもの。

過去問(H23SC春PM2問2設問1(1))を解いてみましょう。
〔  〕に入れる適切な字句を、それぞれ5字以内で答えます。
情報セキュリティ監査には、大きく分けると二つのタイプの監査があるが、今の時点で監査を受けるとしたら〔 a 〕型かな。その結果で得られる管理面、技術面の改善提言を基に情報セキュリティを改善していき、情報セキュリティ管理の成熟度が上がったら、次の段階として〔 b 〕型に移動していくのがよいだろうね。そうすれば、当社が明確な基準に適合するレベルで情報セキュリティ対策を実施していることを、部品メーカや製品メーカに対して示すことができるだろう。
正解は、以下です。
a 助言
b 保証

5.監査の独立性
以下の過去問(H23年春SC午後玉2)を解いてみましょう。
G君 :監査の依頼先ですが,いつもシステム開発をお願いしているソフトウェアハウスのY社も監査サービスをやっているはずですから, Y社に監査を依頼すればよいですか。
F主任:〆2鵑里茲Δ幣豺隋Y社に監査を依頼すべきではないよね。
F主任は,その理由を説明した。

【設問1(2)】
本文中の下線,砲弔い,Y社に監査を依頼すべきではないとF主任が述べた理由を,監査の原則の観点から40字以内で述べよ。

監査の原則という観点から、簡単だったと思います。自分が開発したシステムのチェックをしたとしても、悪いところは隠ぺいする可能性があるからです。

【解答】
Y社はK社の開発委託先であり、監査の独立性を確保することが難しいから

このページのトップヘ