問題本文
システム監査の内容として,適切なものはどれか。
選択肢
- ア.開発されたシステムを,実際にシステムを使う利用者自身が,本番稼働してよいかどうかを判断するためにテストすること
- イ.システムを利用するための認証として,指紋,眼球の虹彩,声紋などの身体的特徴による本人確認を行うこと
- ウ.組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを,独立的な立場で検証すること
- エ.ネットワークを通じて外部からシステムに侵入し,無断でデータやプログラムを盗み見たり,改ざん・破壊などを行ったりすること
正解
ウ. 組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを,独立的な立場で検証すること
解説
正解はウ.システム監査は組織体の情報システムに関わるリスク(機密性・完全性・可用性の侵害,不正利用,法令違反等)に対するコントロールが適切に整備・運用されているかを,被監査部門から独立した立場で検証する活動.経済産業省「システム監査基準」「システム管理基準」がよりどころで,監査人は独立性・客観性・専門性を求められる.受入れテストは利用者による業務適合性確認,生体認証(バイオメトリクス)は本人確認の方式,不正侵入はそもそも違法行為で,いずれもシステム監査の定義とは異なる活動.選択肢間の対比を意識して用語整理を行うのが得点のポイント.
選択肢ごとの解説
- ア.本番稼働可否を判断するためのテストは受入れテスト(運用テスト).利用者側が実際の運用条件で確認する工程で,独立した立場でリスク対策を検証するシステム監査とは目的・主体が異なる別の活動.受入れテストはUATとも呼ばれる.対象や目的が設問の条件と異なるため不適切.
- イ.指紋・虹彩・声紋などの身体的特徴による本人確認はバイオメトリクス(生体)認証の説明.利用者識別技術であり,情報システム全体のリスク統制を検証するシステム監査とは別概念.本人認証の方式の一つに過ぎない.別概念であり設問の答えにはならない選択肢.用語の意味を正確に把握すれば誤りと分かる.
- ウ.正解.情報システムに関わるリスク対策が適切に整備・運用されているかを独立的立場で検証するのがシステム監査の説明.被監査部門と独立した監査人が客観的に評価・助言する活動で,独立性・客観性・専門性が求められる.用語の定義と典型的な使われ方を押さえる.
- エ.ネットワーク経由でシステムに無断侵入してデータを盗み見・改ざんする行為は不正アクセス(クラッキング)で,法律で禁じられた違法行為.独立立場での検証であるシステム監査とは正反対の概念で,監査人の活動ではない.設問の主題と異なる領域の概念で答えにならない.
ITパスポート 2012年 (平成24年 秋期) の過去問一覧へ戻る・問35