システム監査とは？ITパスポート試験 2012年 (平成24年 秋期) 問35を解説

問題文

この問題の出題ポイント

• システム監査の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
• マネジメント系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
• 関連タグ: システム監査、監査独立性。

選択肢

1. ア開発されたシステムを,実際にシステムを使う利用者自身が,本番稼働してよいかどうかを判断するためにテストすること
2. イシステムを利用するための認証として,指紋,眼球の虹彩,声紋などの身体的特徴による本人確認を行うこと
3. ウ組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを,独立的な立場で検証すること正解
4. エネットワークを通じて外部からシステムに侵入し,無断でデータやプログラムを盗み見たり,改ざん・破壊などを行ったりすること

解説

なぜ他の選択肢が違うのか

• ア

  本番稼働可否を判断するためのテストは受入れテスト(運用テスト).利用者側が実際の運用条件で確認する工程で,独立した立場でリスク対策を検証するシステム監査とは目的・主体が異なる別の活動.受入れテストはUATとも呼ばれる.対象や目的が設問の条件と異なるため不適切.

• イ

  指紋・虹彩・声紋などの身体的特徴による本人確認はバイオメトリクス(生体)認証の説明.利用者識別技術であり,情報システム全体のリスク統制を検証するシステム監査とは別概念.本人認証の方式の一つに過ぎない.別概念であり設問の答えにはならない選択肢.用語の意味を正確に把握すれば誤りと分かる.

• ウ（正解）

  正解.情報システムに関わるリスク対策が適切に整備・運用されているかを独立的立場で検証するのがシステム監査の説明.被監査部門と独立した監査人が客観的に評価・助言する活動で,独立性・客観性・専門性が求められる.用語の定義と典型的な使われ方を押さえる.

• エ

  ネットワーク経由でシステムに無断侵入してデータを盗み見・改ざんする行為は不正アクセス(クラッキング)で,法律で禁じられた違法行為.独立立場での検証であるシステム監査とは正反対の概念で,監査人の活動ではない.設問の主題と異なる領域の概念で答えにならない.

解き方の整理

システム監査の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

2012年 (平成24年 秋期) の関連する問題

2012年 (平成24年 秋期)の問題一覧 ITパスポート試験の解説一覧