« 2007年02月 | メイン | 2007年05月 »

2007年04月20日

平成19年 システム監査技術者試験 総評

2007(平成19年度 システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「システムアナリスト小論文突破講座(第5版)」は
2007年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!

新版CD「プロジェクトマネージャ試験合格講座」は
2007年6月初旬 リリース予定!
Coming soon!

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは以下の通りであると予想します。

表1.平成18年度AN試験の合格のガイドライン
試験 足切りの得点率 足切り割合 備考
午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
50門中34問以上取れないと、恐らく合格出来ないでしょう。
午後I 70%程度 ②=①×40%程度 全体的に業務改革ものが多く出題された。なかでも問2のKJ法が象徴的だ。
午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

※これは試験センター発表の正式情報ではありません。弊社の推測値です

■IRTと足きり
午前の足きりライン

 午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

午後Iの足きりライン

 午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

■総評と解答速報
総評
●午後Ⅱ

投稿者 kato : 07:30 | トラックバック

システム監査技術者試験 午後II 小論文の総評

2007年システム監査技術者試験 午後II 小論文の総評

■総評
  1. 昨年度の閉塞感のある出題にくらべて斬新なテーマが出題された
  2. このため、小論文のヤマが外れた方が多かったのではないか
  3. しかし、オーソドックスな内容で難問は少なかったように思われる。

それぞれの問題はオーソドックスではあるが、問題ごとに出題意図が潜んでいる。その意図を 解答者が読み取って、小論文を執筆することが出来るかが合否を分けるポイントであろう。あえて言うと 問2がもっとも難しい問題ではないかと思われる。

■難易度

[難易度]★が多いほど難しい

  • 問1 ★★★☆☆
  • 問2 ★★★★☆
  • 問3 ★★★☆☆

 上記の難易度を決めた理由は次の通りである。

  • 問1:自分にとってもっとも書きやすかったテーマ。ワードプロセッサを使ったせいもあるけれど30分で執筆できた。 ぺネトレーションテストなどのよく知られているセキュリティテスト技法などを盛り込みながら論述すると良い。ひねって書かないほうが 合格できるだろう
  • 問2:この問題は題意の読み取りで合否がわかれる。「問2は単に、調達してみたらだめだった」という話を書くと不適合であり、 おそらく不合格になるだろう。あくまで調達プロセス上の欠陥があってはならないという内容にまとめる必要がある。 ISO9000的に書くと良い。
  • 問3:社員の行動のモニタリングのテーマなので、モニタリングという行為がコンプライアンス的にどうなのか、社員の反感を かわないかなどの考慮してすすめる必要がある。そのために専門家の意見を聞きながら合意を形成する必要性がある。
■問題別、小論文戦略

 合格できるか、否かについての基準を示そう。

問題 問題の必須条件 合格のための工夫
問1 監査目的を合理的に述べられるか 監査目的と関連する監査技法を具体的に述べる
問2 購買によるリスクと間違えないこと 購買プロセスの欠陥が引き起こすリスクを述べること
問3 体制確保を網羅的に指摘できるか 運用体制は、ISO9000やシステム監査基準を参考にする
■午後Ⅱ小論文 解答例
■2007年システム監査技術者試験 解答速報目次に戻る
■システム監査技術者試験小論文合格講座

投稿者 kato : 05:15 | トラックバック

2007年04月19日

平成19年 システム監査技術者試験 解答速報 午後Ⅱ

平成19年 システム監査技術者試験 午後Ⅱ 問3 解答例

情報システムの調達
B社の概要と経営課題

 B社はコンピュータサプライ機器の販売を行う企業である。 従業員数が150名で、そのうち半数以上の80名が 営業職である。しかし、経営者から社達にて①営業マン1人あたりの売り上げが目標3,000万円に 達していない、②個人によって生産性に大きなばらつきがありそうだ、③営業マンの人件費、教育コスト、交通費 が販売費の圧迫要因になっている、④訪問回数の割りに成約につながらないなどの問題提起が明記された。

モニタリングの目的

 モニタリングによる内部統制の実施目的は次のとおりである。

  1. 営業マンの規律を厳格にして営業効率をあげる、営業目的の周知徹底を図る
  2. 営業マンの不正や効率の悪い営業行動を発見し、指導に役立てる
  3. 成約率を高め、企業利益の向上につなげる
  4. 成果に基づく評価、昇進、昇給の公平性を高める
モニタリングの手段

 B社では、営業マンの内部統制にあたり次のようなIT的な手段を講じている。

(1)不正の防止
  1. 営業チームの執務室への入退室管理の徹底、記録の保持にICカードの利用、記録のサーベイランス
  2. 顧客名簿へのアクセスコントロールとしてIDとパスワードの打鍵、認証
  3. 見積書の精査、契約書の作成にあたり複数人での検証体制のグループウェア・ワークフローの整備
  4. 社外に発信したメールの複写と定期的レビュー
(2)社外の行動の監視
  1. 携帯電話を位置情報発信源としたGPSシステムの導入
  2. モバイルコンピュータからのアクセス管理として、ワンタイムパスワードの利用とアクセスログの採取
(3)社内の行動の監視
  1. 電子メール監視ソフトウェアの導入による電子メールの監視
  2. プロキシサーバのアクセスログ監視による閲覧Webのレビュー
モニタリングに当たり整備すべきこと
体制

(1)セキュリティ委員会での検討
モニタリングに当たっては、トップのリーダシップだけでなく社内の合意も必要であるため、セキュリティ 委員会にはかり合意の形成をおこうなう必要がある。
(2)専門家の意見の採取
 モニタリングがプライバシの侵害にならないように、。またモニタリングに基づいた評価、賞罰が 労働基準法に抵触しないように弁護士等の専門家のケーススタディー的検証が必要となる。
(3)モニタリングの目的の明確化
 モニタリングの目的を明確として、就業規則の変更や社内考課などの規則の変更のための参考資料とする。
(4)モニタリングの費用対効果の検証
 モニタリングに投資した費用が過大化しないように、リスクアセスメントを実施して、リスク予防の 費用対効果をセキュリティ委員会で検証する必要がある。
(5)セキュリティ管理者の任命
 モニタリングのコントロールの実効性を担保するために、セキュリティ管理者をCIO担当役員と定め、コントロールに関連する 責任と権限を付与する。
(6)周知徹底と教育
 制度変更にあたり、セキュリティ担当CIO主導による社内説明会の実施と、部課別 説明会の実施を計画実行する。また、IT機器の操作等にかかわる教育を計画実行する。教育担当者の育成。
(7)モニタリング結果の継続的改善へのフィードバック
 モニタリング結果をセキュリティ委員会で検証し、その後のコントロールの改善を実施。

社内規則の整備等
  1. 就業規則の解雇、賞罰、社員倫理規定の変更を実施する。モニタリングによる不正等が発見された場合等の処遇を 明記する
  2. 人事考課規定のなかにモニタリングの結果の賞罰の条項を盛り込む
  3. 社内のセキュリティマニュアル、手続き書、規約、権限分掌規定の変更
  4. セキュリティ機器の携行の義務付け、それに違反した場合の賞罰の評価を管理職に周知徹底。
  5. システム監査にかかわる規定を見直し、モニタリング結果およびモニタリグの実施状況の監査実施を規定する
監査手続きと要点
監査手続きの要点

 モニタリングの監査にあたってはコントロールの適切性、有効性の確認が要点となる。そのポイントを整理すると 次のとおりになる

  1. 監査結果が、モニタリングのコントロールにかかわるセキュリティの継続的につながるような監査助言を与えなければならない
  2. 監査助言の妥当性を担保すらるために十分な監査証跡を確保しなければならない
  3. 監査証跡が電子データの場合、可視的なものとして確保していなければならない
  4. 監査はモニタリングにかかわる規定等の文書の存在、コントロールの存在の確認をする必要がある
  5. 監査はモニタリングがコンプライアンス的にみて妥当な手段で行われていることを確認する必要がある
監査手続き

 購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる

  1. 年間監査計画にもとづいて監査を実施する
  2. 監査にあたり経営者や品質管理責任者をインタビューする
  3. 監査に先立ち予備調査を実施する
  4. 予備調査にもとづき監査手続書、個別計画書を作成する
  5. 監査の本調査を実施する
  6. 監査証跡をもとにして監査報告書を作成する
  7. 監査報告書に被監査組織の捺印をもらう
  8. 不適合事項が発見された場合、フォローアップ監査を実施する

投稿者 kato : 17:08 | トラックバック

2007年04月17日

平成19年 システム監査技術者試験解答速報 午後Ⅱ 

平成19年 システム監査技術者試験 午後Ⅱ 問2 解答例

情報システムの調達
A社の概要

 A社はインターネットで企業の受発注の斡旋を行う企業である。 A社が運営するBtoB向けWebサイト(以下BtoBサイト)には6000社の 企業が登録し、年間2000億円の受発注が行われている。
 A社は情報系大学院を卒業した社長と複数のエンジニアが創業し、 急激に成長した企業である。従業員数は50名に満たず、そのうち 技術職のメンバは15人しかいない。残りは営業職が大半である。

情報システムの調達と目的

 A社は社内LANとインターネット系のシステム(DNS,Webサーバ, メールサーバ等)の2系列のシステムからなる。社内の業務系LANは 自社の機密情報などの関係もあることから自社のエンジンニアで 運用しているが、外部のインターネット系システムは社外から調達 している。その目的は以下のとおりである。

  1. Web系技術は進歩が早く新技術を的確に捉えて採用するため〔たとえばWeb2.0等〕
  2. ルーチン的に情報システムを運用する業務は外部に任せ、新ビジネスの開拓や顧客の獲得に専念するため
  3. インターネット系技術者の雇用、教育にかかるコストを削減するため
情報システムの調達方法

 A社ではISO9000に基づいた業務システムをもっており、その購買 プロセスに準拠して購買が行われている。すなわち、(1)購買プロセスを 管理する手続き、規約、権限委譲が行われ文書化している。 (2)購買先を登録、評価、格付けする仕組みがある。(3)購買先の提供 サービスを検証する仕組みがある。(4)購買先のサービス内容とその見直し、 契約内容の変更プロセスがある。

情報システムの調達リスクとコントロール
情報システムプロセスの調達リスク

(1)調達にかかわるITガバナンスが未達成
 ITは経営的目的、経営計画が目指す目標を達成できないといけない。しかし、 「購買先の格付け」「選定プロセス」が十分に機能していないと、当初計画していたサービス品質や サービス水準が達成できず、経営計画どおりの成果を達成できない。 例えばサーバ混雑時のスペック維持、Web2.0への移行への円滑度、SQLデータの移行容易性、 障害時の回復時間などのサービス水準が低いと、Webサーバ利用者の顧客満足が達成できなくなる。
(2)継続的改善へのフィードバックの機能不全
 サービス品質の改善には、①購買計画値の数値化、②購買実施報告書での評価、 ③品質委員会による①と②の対比による購買品質の評価が十分行われないといけない。  これが機能不全に陥ると、継続的な購買品質の維持、改善が難しくなり、 高度化する顧客ニーズを吸収しきれなくなりクレームが多発する可能性がある。
(3)重複的調達によるコスト超過の発生
 購買が複数のセクションごとに実施されると、①重複の購買が実施される、 ②集中購買によるコスト削減効果が期待できない、③購買の評価プロセスと 評価基準が異なるため経営者が意図しない購買品質となる可能性がある。この結果、購買の妥当性と コスト超過が発生する可能性がある。

調達のコントロール

 購買リスクを回避するために次のようなコントロールが必要になる。

  1. 購買プロセスにかかわる文書(①購買マニュアル、②手続き書、③規約)が明確にされているか
  2. 購買担当者には十分と権限と責任が委譲されているか
  3. 購買計画は情報化計画書に基づいて起案されているか
  4. 購買されているか
  5. 購買先は適正な基準で評価・格付け・登録されているか
  6. 購買の実施計画の報告書は作成されているか
  7. 品質評価委員会は購買計画はされているか
  8. 品質評価委員会の結果は購買計画の改善に継続的に利用されているか
監査手続きと要点
監査手続きの要点

 購買プロセスの監査にあたっては調達の適切性、効率性確認が要点となる。そのポイントを整理すると 次のとおりになる。

  1. 購買自信の妥当性を経営計画書、情報計画書、情報システムの実態(リソースや運用計画の実態)とを比較検証 する必要がある
  2. 調達効率を高めるためには、購買先選定プロセスが重要となる。そのため、購買先の財務内容、経営状態、 第三者評価、過去の購買実績評価などを参考すべきである
  3. 購買先のプロセス成熟度(CMM)を参考にする必要がある。
監査手続き

 購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する
  2. 監査にあたり経営者や品質管理責任者をインタビューする
  3. 監査に先立ち予備調査を実施する
  4. 予備調査にもとづき監査手続き書、個別計画書を作成する
  5. 監査の本調査を実施する
  6. 監査証跡をもとにして監査報告書を作成する
  7. 監査報告書に被監査組織の捺印をもらう
  8. 不適合事項が発見された場合、フォローアップ監査を実施する

投稿者 admin : 10:06 | トラックバック

2007年04月16日

平成19年 システム監査技術者試験解答速報 午後Ⅱ 

平成19年 システム監査技術者試験 午後II 問1 解答例

監査対象の概要と監査目的
監査対象の概要
 A社はインターネットで日用品を販売している雑貨関連の企業である。 インターネットにおける通信販売の業務概要は、Webサーバを持ち商品 約1,000品目を公開する。購入希望者はWebサーバを閲覧して商品購入する。 購入希望者の情報は顧客データベースに登録される。また受注希望はSSLで 暗号化されて受注担当者に到達する。受注担当者は受注内容を確認して 商品を発送する。
 A社における売上においてこの通信販売業務は売上の45%を占めるように なっており、もはや基幹業務としての位置づけとなり、経営者は経営計画で 来年度の全売上に対して50%以上の売上獲得を目標とすることを計画していた。
監査目的
 A社経営者は、インターネットにおける通信販売の業務の急くキュリティ 機能について、次のような考えを持っている
  1. Webサーバによる通信販売の有効性は保たれているか
  2. Webサーバ、メールサーバ等の安全性は保たれているか
  3. 個人情報保護体制の確保は適切に行われているか
 そこで、以上のことを確認するために、第三者の専門的機関にシステム監査 を依頼した。依頼目的は次のとおりである。
  1. Webサーバによる通信販売の有効性をヒット数と購買率及び客動線管理 の観点で監査する
  2. Webサーバ、メールサーバ等の安全性をセキュリティの予防、処置、 是正体制の存在、運用、継続的改善の観点で監査する
  3. 個人情報保護体制の確保について、今回は特にアクセスコントロールの 観点で監査する
 ここで重要なことは、セキュリティ機能も大変重要であるがシステム監査の結果が A社の通信販売ビジネスに効果的であることが求められる。
IT監査技法と監査手続き
IT監査技法
 監査の個別計画書によると、監査に利用するIT監査技法は次のとおりである。
  1. Webサーバによる通信販売の有効性を監査するために、Webサーバのアクセスログ 提供サービスを利用する。
  2. Webサーバ、メールサーバ等の安全性のセキュリティを監査するために 外部に公表しているサーバ群及びファイアウォールのアクセスログを 利用する。また、外部からの攻撃に対する強度を測定するためにぺネトレーション テストを実施する。
  3. 顧客データベースのアクセスコントロールの観点で監査するために、DBMSの セキュリティ機能の点検を行うためDBMSのユーティリティ機能を利用する
 この監査を円滑に実施するために次のような手段を講じた。
  1. Webサーバ上のコンテンツにCGI(Common Gatewa Interface)をスクリプトとして 挿入しておき、アクセスログがビジュアルに表示されるようにしておいた。
  2. Webサーバ、メールサーバ等のぺネトレーションを円滑に実施するために、 パスワードに対して辞書攻撃やDOS攻撃をテスト的に行うためのテストツールを 用意した。
  3. 顧客データベースのDBMSのユーティリティ機能を利用して得られた結果を 集計する監査ソフトウェアを導入した。
監査手続き
 以下の手順で監査を実施する。
(1)年間監査計画に基づき個別監査計画を行うとともに経営者を訪問し、 監査の意図や目的の理解を行う。
(2)予備調査:被監査組織の情報システム、組織概要を監査するために、 組織図、経営計画書、情報システム概要図、業務マニュアル、セキュリティ マニュアルを入手して、査読する。
(3)監査手続き書の作成:(2)に基づいて監査手続き書を作成する。 監査漏れのないようにチェックリスト等を用意する。
(4)監査(本調査):現場に赴き、組織関係者にインタビューを行うと ともに計画されている文書や伝票の存在、コントロールの存在を確認して 証拠を採取して監査調書を作成する。
(5)報告:監査調書に基づき監査報告書を作成し、上司の承認を得るとともに 顧客の捺印と合意を得て被監査組織の上長に提出する。
(6)フォローアップ監査:監査結果に基づき点検事項を整理して不適合事項が 是正されているかを1ヵ月後に点検する。
IT監査の留意点
留意点の概要
 以下の点で留意が必要である。
  1. 顧客に対して、IT監査ツールを利用する旨の計画書の作成と合意
  2. ITツールの利用について監査組織のなかで、監査ツールの特性や被監査システムに与える 影響度を理解し、事前に教育及び訓練、監査組織内での事前テストを実施しておく必要がある。
  3. 事前テストの結果を整理、評価して、IT監査ツールの問題点を理解しておく必要がある。
  4. 監査手続き書のなかでIT監査ツールの取り扱い注意事項、取り扱い規約、 取り扱いマニュアルを整備しておく必要がある
 監査手続き書のなかに特に以下の内容を銘記しておく必要がある。
  1. 顧客から与えられたパスワード、ID等の取り扱いと有効期限の確認
  2. IT監査ツールの利用目的の確認と利用記録の整備、上司の許可、承認の 確認
  3. IT利用ツールの利用権限者への利用資格の付与と利用後の資格解除の 手続き及び記録の採取

投稿者 kato : 07:02 | トラックバック

2007年04月12日

統合されるシステムアナリストと上級シスアド

情報処理技術者試験科目の統合について

経済産業省が発表した  産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第4回) のなかで、システムアナリストと上級シスアドの統合情報セキュリティアドミニストレータと 情報セキュリティ試験(テクニカルスペシャリスト)の統合が言及された。

議論の背景

現在、高度IT人材育成について経済産業省で議論されていますが、その基本的背景として次の 内容が背景にあるようだ。

  1. IT人材のグローバル化
  2. そのなかでの日本の役割(コンサル、プロジェクトマネージメント、運用管理)
  3. 研究、設計はインド、開発は中国、テストは韓国
  4. 高度人材の育成が鍵
情報処理技術者試験のジレンマ

 情報処理試験はさまざまなスキルを持つITエンジニアに対応するために科目を細分化した。 しかし、その結果、受験負担が過大になってきている。そこで出題範囲が類似している システムアナリスト上級シスアドの統合、情報セキュリティアドミニストレータ情報セキュリティ試験(テクニカルスペシャリスト)の統合が課題となっている。  また、科目を統合した後、最高情報責任者(CIO)の試験の新設も検討されている。

参考:「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ」
情報処理技術者試験制度改革の基本的方向性について
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント

投稿者 kato : 22:13 | トラックバック