2009年04月19日

平成21年度、2009年度 システム監査技術者試験 小論文 問1 解答速報

平成21年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1 シンクライアント検討と期待効果
1.1 シンクライアント検討している現場

 私が勤務するC社は、機械部品製造販売業である。C社では自動車部品を生産する設備を 開発し、かつ生産、販売しているが業績好調であるため、近年新卒採用が増えている。
 C社の経営者は、学卒・高卒の区分で求人票を地元高校、首都圏の大学に送付し、また、 インターネットでエントリサイトを構築し求人活動する学生を募集している。おおよその 求人活動は①求人募集活動計画、②求人票送付、Web公開、③応募票をファイリングして、 総務人事部長に提出する。④社内規定に従って応募者は書類選考される。⑤応募者に合否と 次回面接やセミナーの案内を連絡する。⑥最終合格者のファイルを作成し、メディカルチェック、 内定承諾書等の文書とともにファイリングする。
 取り扱う文書も、①履歴書、②志望動機書、③推薦書、④健康診断書、⑥入社試験記録、 ⑦資格試験合格証明書、⑧卒業証明書、成績証明書、⑨交通費清算票、⑩面接記録など多岐に わたると共に媒体も電子媒体や紙媒体などがある。 

1.2 シンクライアントの期待効果について

 C社では社員データベースを持っていて社員情報を一元管理している。 サーバはセキュリティ管理基準を持ち適切に管理するサーバ企業にホスティングして、 VPN回線を通じてアクセスしている。
 また、サーバにアクセスするPCはパスワードとIDによるアクセス管理、PCルームは ファシリティ管理、入退室管理が実施されている。しかし、以下のようなリスクが危惧されている。

  1. PC自体に作業ファイルの形式で個人情報が残ることがある
  2. PC盗難やUSBメモリなどの媒体を通して情報漏えいが憂慮される

 C社では上記のような人事情報の漏洩、紛失リスクを軽減するためにシンクライアントの 導入を検討している。その期待効果は以下の通りである。

  1. PCに残存した社員情報を複写するような情報漏洩を予防したい
  2. PCの盗難があっても、社員情報漏洩が予防できるようにしたい
  3. PCで入力中の社員情報や求人情報がPCの停電や故障で喪失しないようにしたい
2 シンクライアント導入によるリスクついて
 シンクライアント導入によるリスクは情報システム的リスクと 業務的リスクの2つがあると考えられる。
2.1 情報システム的リスク

 C社ではシンクライアントに関する情報システムリスクを次のように認識している。

  1. 外部メモリに接続されるとシンクライアントでも情報は漏洩する
  2. シンクライアントではアプリケーションの実行効率が低下することがある
  3. 起動時にデータやプログラムをダウンロードするのに時間がかかる
  4. サーバ負荷、回線の負荷が発生しやすい
  5. 地図情報などのマップとのリンクを行うと計算量が多くなり処理効率が低下する
2.2 業務的リスク

 シンクライアントには次のような業務リスクが危惧されている。

  1. 操作法の変更などシンクライアントの導入に反対する社員を説得する必要がある
  2. 業務手続の変更が必要になる
  3. 一斉移行すると使用できないクライアントが発生し業務が停滞する場合がある
  4. 一時的にネットワークに接続できないPCが発生することがある
3 リスク対策と監査手続き
3.1 リスク対策

 本監査では、次のようなリスク対策の実施完了を監査する必要がある。 ①外部メモリの接続禁止などの対策が講じられているか。
②シンクライアントの集中接続、起動時のアプリケーション、ネットワークテストが完了しているか
③計算量の多い業務やファイル、プログラムの特定とその利用頻度が十分調査されているか
④担当社員に対してシンクライアント導入の目的と必要性を十分教育周知徹底されているか。
⑤シンクライアントの以降計画が立案されていて、業務繁忙時を避ける計画となっているか。

3.2 監査手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、被監査業務の実態にかかわる資料をレビュー、 その特性を理解する。また、シンクライアント利用のリスクも検討する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. シンクライアントのリスク、有効性についての監査、本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 22:18 | トラックバック

平成21年度、2009年度 システム監査技術者試験 小論文 問2 解答速報

1 システム監査の目的とシステム環境
1.1 システム監査の目的

 私が勤務するA社は、機械部品製造販売業である。A社では自動車部品を生産する設備を 開発し、かつ生産、販売している。
 A社の経営者の経営戦略は以下の通りである。①今までのような大手自動車製造会社の 下請けの脱却、②大手頼みの受注ではなく、自社での独自受注ルートの確立。 。
 このため、Webを立ち上げ、Webをとおして自社の強みや製品の品質の高さ、技術力を アピールすることによってWeb受注を行うことを企画した。このため、営業部と情報システム部は 共同でレンタルサーバを借りてそのレンタルWebサーバ上にA社Webを立ち上げる体制を 確立した。
 Webサーバからの引き合い、問い合わせ、受注は当初の予定の2倍に推移し、年間5,000万円 以上の受注を得ている。A社はWebサーバを営業支援システムと位置づけ、ITガバナンスの 観点から、その有効性を見直し、さらなる受注を得ようとしている。
 従って、来年度の目標売上高は1億円。粗利益額は7,000万円を予定している。

1.2 情報システムの環境について

 A社では情報資産のコスト削減を行うためにWebサーバをレンタルサーバ会社Bに アウトソーシングしている。その概要と構成は次の通りである

  1. レンタルサーバはB社内に存在する
  2. レンタルサーバの構成はメールサーバとWebサーバ及びDNSサーバである。
  3. DNSサーバは別契約のサイトにセカンダリサーバが存在する
  4. Webサーバからの受注はB社提供のSSLによって保護されている
  5. 第三者中継予防対策としてメールサーバにはPOP Before SMTP処置が施されている。
  6. メール受信の盗聴防止対策としてAPOPが設定されている

 A社ではWebサーバの有効性を確認するためにアクセスログ監視を毎日、定時に行っている。 その概要は次の通りである。

  1. CGI機能を用いてCGI情報を収集する
  2. アクセスログは1ヶ月単位でサーバから自動削除されるのでログ情報を毎月末バックアップする
  3. 最初されたアクセスログを解析ソフトを使って分析する
  4. アクセスログにかかわる特記情報は経営者に報告されると共に社内イントラネットで 営業部員に共有される
2 ログの活用法と留意点について
2.1 ログの活用法

 A社では、アクセスログをWebシステム投資対効果のITガバナンスの指標として認識している。

 その活用法は次の通りである
  1. 月次目標受注額とWebサーバアクセス数の対比。
  2. 受注にいたった顧客のアクセス形跡のトレース。
  3. 受注にいたった顧客の検索キーワードの分析。
  4. 受注前に閲覧したWebコンテンツの補足。
  5. 見込み顧客のドメインをWhoisで予測して営業活動への活用。
2.2 ログ活用の留意点

 アクセスログには次のようなリスクが危惧されている。

  1. Webサーバの障害によるログの参照不可、ログの喪失
  2. アクセスログの世代管理。構成管理ミスによる誤謬、ログの消去
  3. 期限切れアクセスログの分析用業務サーバからの削除の失敗、消し忘れ
  4. アクセスログ分析結果の営業部員PCからの漏洩
  5. 営業部員の誤操作によるアクセスログの誤廃棄
  6. アクセスログから得られた個人情報の営業部PCからの漏洩
  7. アクセスログから得られた営業機密情報の営業部PCからの漏洩
3 ログ活用の監査手続き
3.1 ログとITガバナンス

 ITガバナンスへのアクセスログは次のようなメリットを持つ ①Webサーバの構築運用コスト、受注高とアクセスログを監視することによって IT投資の有効性を計数的に監視することができる。
②アクセスログの活用によってWebサーバの稼働状況を可視的に監視することが できる。
③IT戦略をコンテンツ化した場合、そのコンテンツの有効性を計数的に分析し、 問題がある場合は是正することができる。
④計数化、可視化しているため、IT予算組みが容易に可能である。 ⑤株主などの投資家、利害関係者からに対するIT投資有効性の係数開示が可能。

3.2 監査手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、被監査情報システムの実態にかかわる資料をレビュー、 その特性を理解する。また、アクセスログ利用のリスクも検討する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. アクセスログのリスク、有効性についての監査、本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 20:44 | トラックバック

平成21年(2009年度)システム監査技術者試験小論文解答速報

2009(平成21年度) システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「ITストラテジスト小論文突破講座(初版)」
2008年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは正答率60%であると予想します。

■総評と解答速報
総評
●午後Ⅱ
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 19:34 | トラックバック