2008年4月23日

2008年 システム監査技術者試験 小論文 解答速報 問3

平成20年 システム監査技術者試験 午後Ⅱ 問3 解答例 

1 組織全体の事業継続計画の概要について
1.1 組織概要と調達の実態

 私が勤務するC社は、電子部品系第一次部品加工製造業である。C社は大手通信企業や 大手電子通信機器メーカの依頼を受けて特殊製品分野の部品の開発、及び生産を行っている。
 業務には2系統ある。売上の70%は大手電子通信機器メーカから受注する連続生産品である。 残りの30%は大手通信企業向けの製品を及び部品を受注生産型で開発、生産している。
 生産形態にかかわらず、電子部品のパーツとなるICなどは協力会社及び商社から調達している。しかし、協力会社も 在庫削減を目的としていて確定的発注以外の予約押さえは困難である。
 大手商社X,Y社とはWeb-EDIを使って、受発注のやり取りを行っており、その取引額は仕入れ価格ベースで 85%である。

1.2 事業継続化計画の概要

 C社における事業継続化計画は仕入れ調達の85%を占める大手商社X,Y社との取引を中心に考え 計画することが妥当との経営者の判断により、次のような概要となっている。

  1. (1)事業継続計画手続きの確立:事業継続計画の過程で①リスクを評価し、② 障害の影響を最小化するために必要な設備を定義する。
  2. ③あわせて、損害発生に備え損失額に見合った保険加入を検討する。④ビジネス戦略 にあわせた事業継続プロセスの確立を行い、経営陣の承認をえる。
  3. (2)リスクアセスメント:リスクは発生確率と事業への影響度を考慮する。 また、重要なビジネスの洗い出しと適切な優先度を設定する。障害の影響分析 にあたっては想定される損害の規模と回復に要する時間を考慮する。
  4. (3)継続計画の策定と実施
  5. 調達先商社及びC社の通信回線や情報システムの障害、故障、災害、外部からの攻撃 を想定した事業継続計画の策定をすること。
  6. 計画実行に要するリソースの確保と要員の教育の実施、関係者への周知を実施する
  7. 作成した事業継続計画の経営層による承認、本計画で連携すべき商社との円滑な連携の確保
  8. (4)事業継続計画の有効性の確保:①関係各所の連絡手段の確保。②事業支援サービスへの切り替え手順の 確保
  9. ③業務の再開手順の確保、④事業継続計画の見直しサイクルの確保
  10. (5)テストや訓練の実施:事故発生対策チームの配置、システムの回復手順とバックアップによる 業務継続の実施、業務継続処理プロセスのリハーサル
2 確認すべき事項

 C社では商社のX、Y社からの供給が停止した場合を想定して確認すべき事項を点検した。

(1)ビジネス的確認事項
  1. 商社、XとYから供給される部品の代替部品の調達は他の調達先から調達可能か
  2. 調達が可能な場合のコスト、調達手続き、担当部署、契約書は文書化され、 担当部署に周知徹底されているか
  3. 調達が不可能な場合の対処、例えば船荷便を航空機便で切替えて納期に関する契約を 遵守する対策及び手通きその物流手段は十分検討されているか。
  4. 地震災害などで長期にわたり、輸送ルートの破壊、調達先企業の企業活動停止状態に 陥った場合の、調達先切替えの見極めの判断基準と顧客企業への対応手続きの文書化の確認
(2)情報システム停止の場合の確認事項

 商社と当社との通信経路及び商社と当社の情報システムの停止に陥った場合を想定した 点検事項。

  1. 様々な情報システム障害に対する机上演習
  2. 事故対策チームの組織化の状態、訓練の状態
  3. 事故処理手続きの存在の確認。
  4. システム回復手順の存在と有効性の検証の確認。
  5. バックアップシステムの存在と業務継続の可能性の確認。
  6. 情報システム及びネットワークサービスの障害発生時の計画に基づく処理の確認。
  7. 事業継続計画に基づく処理プロセスの全体リハーサル
  8. 事業継続計画レビューの存在、事業継続計画プロセスの追加の検討、変更事項の検討の有無
3 事業継続計画にかかわる要点と手続き
3.1 事業継続計画監査にかかわる要点

(1)事業継続計画の範囲の網羅
 事業継続計画の有効性を確保するために、事業継続計画にかかわる組織の範囲と 情報システムの範囲、業務の範囲を明確に定めておく必要がある。
(2)商社の協力
 調達先大手商社との事業継続計画に関連する契約、事業継続計画発動時の手続きの合意、 訓練への参加などの覚書の確保
(3)顧客の合意
 事業継続計画に関連するリスク発生時の対応について、顧客の合意の存在を確認
(4)事業戦略の見直しと事業継続計画
 事業戦略の見直しに伴い事業継続計画が見直されているかの確認。

3.2 調達先と当社の事業継続計画にかかわる要点と手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、事業継続計画にかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. 事業継続計画について、調達先と当社の情報システ監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 05:04

2008年4月22日

2008年 システム監査技術者試験 小論文解答速報 問1

平成20年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1 アイデンティティマネジメントの実態と課題
1.1 アイデンティティマネジメントの実態

 私が勤務するA社は、食品製造販売業である。部署には研究開発部門、生産管理部門、 工場、倉庫、営業の5部門からなる。現在、海外企業と連携して新素材の研究に取組ん でいる。
 特に、新素材の研究をしている研究開発部門のセキュリティには高機密性が求めら れる。研究開発部門では、海外とのやりとりに電子メール、研究開発サーバへのアクセス、 研究プロジェクトの管理としてグループウェアなどを利用している。
 これらの情報資産へのアクセスコントロールとして、情報資産ごとに異なる IDとパスワードで認証を行いセキュリティ管理を実施している。

1.2 アイデンティティマネジメントの課題

 A社におけるアイデンティティマネジメントの課題は次のとおりである。

  1. 社内の研究開発スタッフの雇用形態も博士資格を持った契約社員、正社員、外部専門家など多岐に 分かり、IDとパスワードの管理が煩雑である。
  2. 海外からの情報資産に対するアクセス管理が煩雑である。
  3. 情報資産ごとにIDとパスワード管理するため、アクセス状況監視やパスワード定期的変更管理 が事実上困難となっている。
  4. 資産と管理方法が多岐に渡るため監査証跡の定期的確保が困難となっている。
  5. 情報資産管理が複雑化しているため、研究開発部門のセキュリティレベルが低下している。
  6. あわせて情報資産の使いやすさも低下している。
  7. ユーザーという実在する人間のアイデンティティを認証(Authentication)する ことが困難。
  8. 本人性を認証するため、サービス同士の相互信頼や、セキュアな転送経路が必要。
  9. 既にいない利用者のアカウントが残る「放置アカウント」の発生。
  10. 以上による、研究開発データの盗聴、改ざんのリスク。
2 アイデンティティ管理ツールの導入について

 A社では、内部統制の強化を目的として、1回の認証ですべての情報資産弐アクセスする権限を 与えるシングルサインオンシステムの導入を検討している。

(1)その目的は次の通り
  1. 当初の目的は、研究開発部門内で乱立する、多数のIDとパスワードを集約すること。
  2. 単一のIDとパスワードで複数の情報資産へのアクセスを可能とすること。
  3. 情報資産へのアクセスを容易にすること。
  4. 情報資産へのアクセス監視等アクセスコントロールを容易にすること。
  5. 本人性を認証するため、Identityをもとにアクセス制御などの認可できること。
(2)シングルサインオンシステムの課題

 シングルサインオンシステムでは上記のメリットがある反面、以下のようなリスクが危惧されている。

  1. 市販パッケージの既存認証基盤によるシングルサインオン構築は、ライセンス費が高額となることがある。
  2. 定期的なバージョンアップに伴い、保守費以外の支出を伴うケースが多い。
  3. ベンダのビジネス動向(販売撤退、買収等)により計画外費用が発生しやすい。
  4. トラブル発生時、パッケージソフト毎に対応窓口が異なる。
  5. A社情報システム部がシングルサインオンシステムに関するスキルを持っていない。
3 運用状況監査にかかわる要点と手続き
3.1 運用状況監査にかかわる要点

(1)セキュリティコントロール機能の強化
アイデンティティマネジメントによって、①ユーザ認証、②ユーザ認可、③ユーザ、情報資産管理、 ④監査証跡確保機能の強化
(2)セキュリティレベルの向上
 認証メカニズムを強化。X.509 デジタル証明書、 OTP (使い捨てパスワード) デバイスとしても知られている時間ベースの ハードウェアトークン、バイオメトリック認証を使用したセカンダリ確認などに より安全な非パスワード ベースのメカニズムおよびテクノロジが利用されているか
(3)利便性の向上
 アイデンティティマネジメントによってユーザの利便性は向上しているか
(4)コスト削減効果
 アイデンティティマネジメントによってITトータルコスト、管理コストは低減しているか。 また、運用だけでなくアプリケーションのセキュリティ機能開発コストが低減しているか。

3.2 運用状況監査にかかわる要点と手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、シングルサインオンシステムにかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. シングルサインオンシステムについて、監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 08:28

2008年4月21日

2008年春、システム監査技術者試験 小論文解答速報

2008(平成20年度 システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「システムアナリスト小論文突破講座(第5版)」は
2008年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!

新版CD「プロジェクトマネージャ試験合格講座」は
2008年4月14 リリース開始! もうご購入できます!

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは以下の通りであると予想します。

表1.平成18年度AN試験の合格のガイドライン
試験 足切りの得点率 足切り割合 備考
午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
50門中34問以上取れないと、恐らく合格出来ないでしょう。
午後I 70%程度 ②=①×40%程度 全体的に業務改革ものが多く出題された。なかでも問2のKJ法が象徴的だ。
午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

※これは試験センター発表の正式情報ではありません。弊社の推測値です。

■IRTと足きり
午前の足きりライン

 午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

午後Iの足きりライン

 午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

■総評と解答速報
総評
●午後Ⅱ
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 21:08

2007年4月20日

平成19年 システム監査技術者試験 総評

2007(平成19年度 システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「システムアナリスト小論文突破講座(第5版)」は
2007年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!

新版CD「プロジェクトマネージャ試験合格講座」は
2007年6月初旬 リリース予定!
Coming soon!

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは以下の通りであると予想します。

表1.平成18年度AN試験の合格のガイドライン
試験 足切りの得点率 足切り割合 備考
午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
50門中34問以上取れないと、恐らく合格出来ないでしょう。
午後I 70%程度 ②=①×40%程度 全体的に業務改革ものが多く出題された。なかでも問2のKJ法が象徴的だ。
午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

※これは試験センター発表の正式情報ではありません。弊社の推測値です

■IRTと足きり
午前の足きりライン

 午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

午後Iの足きりライン

 午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

■総評と解答速報
総評
●午後Ⅱ



投稿者 kato : 07:30

システム監査技術者試験 午後II 小論文の総評

2007年システム監査技術者試験 午後II 小論文の総評

■総評
  1. 昨年度の閉塞感のある出題にくらべて斬新なテーマが出題された
  2. このため、小論文のヤマが外れた方が多かったのではないか
  3. しかし、オーソドックスな内容で難問は少なかったように思われる。

それぞれの問題はオーソドックスではあるが、問題ごとに出題意図が潜んでいる。その意図を 解答者が読み取って、小論文を執筆することが出来るかが合否を分けるポイントであろう。あえて言うと 問2がもっとも難しい問題ではないかと思われる。

■難易度

[難易度]★が多いほど難しい

  • 問1 ★★★☆☆
  • 問2 ★★★★☆
  • 問3 ★★★☆☆

 上記の難易度を決めた理由は次の通りである。

  • 問1:自分にとってもっとも書きやすかったテーマ。ワードプロセッサを使ったせいもあるけれど30分で執筆できた。 ぺネトレーションテストなどのよく知られているセキュリティテスト技法などを盛り込みながら論述すると良い。ひねって書かないほうが 合格できるだろう
  • 問2:この問題は題意の読み取りで合否がわかれる。「問2は単に、調達してみたらだめだった」という話を書くと不適合であり、 おそらく不合格になるだろう。あくまで調達プロセス上の欠陥があってはならないという内容にまとめる必要がある。 ISO9000的に書くと良い。
  • 問3:社員の行動のモニタリングのテーマなので、モニタリングという行為がコンプライアンス的にどうなのか、社員の反感を かわないかなどの考慮してすすめる必要がある。そのために専門家の意見を聞きながら合意を形成する必要性がある。
■問題別、小論文戦略

 合格できるか、否かについての基準を示そう。

問題 問題の必須条件 合格のための工夫
問1 監査目的を合理的に述べられるか 監査目的と関連する監査技法を具体的に述べる
問2 購買によるリスクと間違えないこと 購買プロセスの欠陥が引き起こすリスクを述べること
問3 体制確保を網羅的に指摘できるか 運用体制は、ISO9000やシステム監査基準を参考にする
■午後Ⅱ小論文 解答例
■2007年システム監査技術者試験 解答速報目次に戻る
■システム監査技術者試験小論文合格講座



投稿者 kato : 05:15

2007年4月19日

平成19年 システム監査技術者試験 解答速報 午後Ⅱ

平成19年 システム監査技術者試験 午後Ⅱ 問3 解答例

情報システムの調達
B社の概要と経営課題

 B社はコンピュータサプライ機器の販売を行う企業である。 従業員数が150名で、そのうち半数以上の80名が 営業職である。しかし、経営者から社達にて①営業マン1人あたりの売り上げが目標3,000万円に 達していない、②個人によって生産性に大きなばらつきがありそうだ、③営業マンの人件費、教育コスト、交通費 が販売費の圧迫要因になっている、④訪問回数の割りに成約につながらないなどの問題提起が明記された。

モニタリングの目的

 モニタリングによる内部統制の実施目的は次のとおりである。

  1. 営業マンの規律を厳格にして営業効率をあげる、営業目的の周知徹底を図る
  2. 営業マンの不正や効率の悪い営業行動を発見し、指導に役立てる
  3. 成約率を高め、企業利益の向上につなげる
  4. 成果に基づく評価、昇進、昇給の公平性を高める
モニタリングの手段

 B社では、営業マンの内部統制にあたり次のようなIT的な手段を講じている。

(1)不正の防止
  1. 営業チームの執務室への入退室管理の徹底、記録の保持にICカードの利用、記録のサーベイランス
  2. 顧客名簿へのアクセスコントロールとしてIDとパスワードの打鍵、認証
  3. 見積書の精査、契約書の作成にあたり複数人での検証体制のグループウェア・ワークフローの整備
  4. 社外に発信したメールの複写と定期的レビュー
(2)社外の行動の監視
  1. 携帯電話を位置情報発信源としたGPSシステムの導入
  2. モバイルコンピュータからのアクセス管理として、ワンタイムパスワードの利用とアクセスログの採取
(3)社内の行動の監視
  1. 電子メール監視ソフトウェアの導入による電子メールの監視
  2. プロキシサーバのアクセスログ監視による閲覧Webのレビュー
モニタリングに当たり整備すべきこと
体制

(1)セキュリティ委員会での検討
モニタリングに当たっては、トップのリーダシップだけでなく社内の合意も必要であるため、セキュリティ 委員会にはかり合意の形成をおこうなう必要がある。
(2)専門家の意見の採取
 モニタリングがプライバシの侵害にならないように、。またモニタリングに基づいた評価、賞罰が 労働基準法に抵触しないように弁護士等の専門家のケーススタディー的検証が必要となる。
(3)モニタリングの目的の明確化
 モニタリングの目的を明確として、就業規則の変更や社内考課などの規則の変更のための参考資料とする。
(4)モニタリングの費用対効果の検証
 モニタリングに投資した費用が過大化しないように、リスクアセスメントを実施して、リスク予防の 費用対効果をセキュリティ委員会で検証する必要がある。
(5)セキュリティ管理者の任命
 モニタリングのコントロールの実効性を担保するために、セキュリティ管理者をCIO担当役員と定め、コントロールに関連する 責任と権限を付与する。
(6)周知徹底と教育
 制度変更にあたり、セキュリティ担当CIO主導による社内説明会の実施と、部課別 説明会の実施を計画実行する。また、IT機器の操作等にかかわる教育を計画実行する。教育担当者の育成。
(7)モニタリング結果の継続的改善へのフィードバック
 モニタリング結果をセキュリティ委員会で検証し、その後のコントロールの改善を実施。

社内規則の整備等
  1. 就業規則の解雇、賞罰、社員倫理規定の変更を実施する。モニタリングによる不正等が発見された場合等の処遇を 明記する
  2. 人事考課規定のなかにモニタリングの結果の賞罰の条項を盛り込む
  3. 社内のセキュリティマニュアル、手続き書、規約、権限分掌規定の変更
  4. セキュリティ機器の携行の義務付け、それに違反した場合の賞罰の評価を管理職に周知徹底。
  5. システム監査にかかわる規定を見直し、モニタリング結果およびモニタリグの実施状況の監査実施を規定する
監査手続きと要点
監査手続きの要点

 モニタリングの監査にあたってはコントロールの適切性、有効性の確認が要点となる。そのポイントを整理すると 次のとおりになる

  1. 監査結果が、モニタリングのコントロールにかかわるセキュリティの継続的につながるような監査助言を与えなければならない
  2. 監査助言の妥当性を担保すらるために十分な監査証跡を確保しなければならない
  3. 監査証跡が電子データの場合、可視的なものとして確保していなければならない
  4. 監査はモニタリングにかかわる規定等の文書の存在、コントロールの存在の確認をする必要がある
  5. 監査はモニタリングがコンプライアンス的にみて妥当な手段で行われていることを確認する必要がある
監査手続き

 購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる

  1. 年間監査計画にもとづいて監査を実施する
  2. 監査にあたり経営者や品質管理責任者をインタビューする
  3. 監査に先立ち予備調査を実施する
  4. 予備調査にもとづき監査手続書、個別計画書を作成する
  5. 監査の本調査を実施する
  6. 監査証跡をもとにして監査報告書を作成する
  7. 監査報告書に被監査組織の捺印をもらう
  8. 不適合事項が発見された場合、フォローアップ監査を実施する



投稿者 kato : 17:08

2007年4月17日

平成19年 システム監査技術者試験解答速報 午後Ⅱ 

平成19年 システム監査技術者試験 午後Ⅱ 問2 解答例

情報システムの調達
A社の概要

 A社はインターネットで企業の受発注の斡旋を行う企業である。 A社が運営するBtoB向けWebサイト(以下BtoBサイト)には6000社の 企業が登録し、年間2000億円の受発注が行われている。
 A社は情報系大学院を卒業した社長と複数のエンジニアが創業し、 急激に成長した企業である。従業員数は50名に満たず、そのうち 技術職のメンバは15人しかいない。残りは営業職が大半である。

情報システムの調達と目的

 A社は社内LANとインターネット系のシステム(DNS,Webサーバ, メールサーバ等)の2系列のシステムからなる。社内の業務系LANは 自社の機密情報などの関係もあることから自社のエンジンニアで 運用しているが、外部のインターネット系システムは社外から調達 している。その目的は以下のとおりである。

  1. Web系技術は進歩が早く新技術を的確に捉えて採用するため〔たとえばWeb2.0等〕
  2. ルーチン的に情報システムを運用する業務は外部に任せ、新ビジネスの開拓や顧客の獲得に専念するため
  3. インターネット系技術者の雇用、教育にかかるコストを削減するため
情報システムの調達方法

 A社ではISO9000に基づいた業務システムをもっており、その購買 プロセスに準拠して購買が行われている。すなわち、(1)購買プロセスを 管理する手続き、規約、権限委譲が行われ文書化している。 (2)購買先を登録、評価、格付けする仕組みがある。(3)購買先の提供 サービスを検証する仕組みがある。(4)購買先のサービス内容とその見直し、 契約内容の変更プロセスがある。

情報システムの調達リスクとコントロール
情報システムプロセスの調達リスク

(1)調達にかかわるITガバナンスが未達成
 ITは経営的目的、経営計画が目指す目標を達成できないといけない。しかし、 「購買先の格付け」「選定プロセス」が十分に機能していないと、当初計画していたサービス品質や サービス水準が達成できず、経営計画どおりの成果を達成できない。 例えばサーバ混雑時のスペック維持、Web2.0への移行への円滑度、SQLデータの移行容易性、 障害時の回復時間などのサービス水準が低いと、Webサーバ利用者の顧客満足が達成できなくなる。
(2)継続的改善へのフィードバックの機能不全
 サービス品質の改善には、①購買計画値の数値化、②購買実施報告書での評価、 ③品質委員会による①と②の対比による購買品質の評価が十分行われないといけない。  これが機能不全に陥ると、継続的な購買品質の維持、改善が難しくなり、 高度化する顧客ニーズを吸収しきれなくなりクレームが多発する可能性がある。
(3)重複的調達によるコスト超過の発生
 購買が複数のセクションごとに実施されると、①重複の購買が実施される、 ②集中購買によるコスト削減効果が期待できない、③購買の評価プロセスと 評価基準が異なるため経営者が意図しない購買品質となる可能性がある。この結果、購買の妥当性と コスト超過が発生する可能性がある。

調達のコントロール

 購買リスクを回避するために次のようなコントロールが必要になる。

  1. 購買プロセスにかかわる文書(①購買マニュアル、②手続き書、③規約)が明確にされているか
  2. 購買担当者には十分と権限と責任が委譲されているか
  3. 購買計画は情報化計画書に基づいて起案されているか
  4. 購買されているか
  5. 購買先は適正な基準で評価・格付け・登録されているか
  6. 購買の実施計画の報告書は作成されているか
  7. 品質評価委員会は購買計画はされているか
  8. 品質評価委員会の結果は購買計画の改善に継続的に利用されているか
監査手続きと要点
監査手続きの要点

 購買プロセスの監査にあたっては調達の適切性、効率性確認が要点となる。そのポイントを整理すると 次のとおりになる。

  1. 購買自信の妥当性を経営計画書、情報計画書、情報システムの実態(リソースや運用計画の実態)とを比較検証 する必要がある
  2. 調達効率を高めるためには、購買先選定プロセスが重要となる。そのため、購買先の財務内容、経営状態、 第三者評価、過去の購買実績評価などを参考すべきである
  3. 購買先のプロセス成熟度(CMM)を参考にする必要がある。
監査手続き

 購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する
  2. 監査にあたり経営者や品質管理責任者をインタビューする
  3. 監査に先立ち予備調査を実施する
  4. 予備調査にもとづき監査手続き書、個別計画書を作成する
  5. 監査の本調査を実施する
  6. 監査証跡をもとにして監査報告書を作成する
  7. 監査報告書に被監査組織の捺印をもらう
  8. 不適合事項が発見された場合、フォローアップ監査を実施する



投稿者 admin : 10:06

2007年4月16日

平成19年 システム監査技術者試験解答速報 午後Ⅱ 

平成19年 システム監査技術者試験 午後II 問1 解答例

監査対象の概要と監査目的
監査対象の概要
 A社はインターネットで日用品を販売している雑貨関連の企業である。 インターネットにおける通信販売の業務概要は、Webサーバを持ち商品 約1,000品目を公開する。購入希望者はWebサーバを閲覧して商品購入する。 購入希望者の情報は顧客データベースに登録される。また受注希望はSSLで 暗号化されて受注担当者に到達する。受注担当者は受注内容を確認して 商品を発送する。
 A社における売上においてこの通信販売業務は売上の45%を占めるように なっており、もはや基幹業務としての位置づけとなり、経営者は経営計画で 来年度の全売上に対して50%以上の売上獲得を目標とすることを計画していた。
監査目的
 A社経営者は、インターネットにおける通信販売の業務の急くキュリティ 機能について、次のような考えを持っている
  1. Webサーバによる通信販売の有効性は保たれているか
  2. Webサーバ、メールサーバ等の安全性は保たれているか
  3. 個人情報保護体制の確保は適切に行われているか
 そこで、以上のことを確認するために、第三者の専門的機関にシステム監査 を依頼した。依頼目的は次のとおりである。
  1. Webサーバによる通信販売の有効性をヒット数と購買率及び客動線管理 の観点で監査する
  2. Webサーバ、メールサーバ等の安全性をセキュリティの予防、処置、 是正体制の存在、運用、継続的改善の観点で監査する
  3. 個人情報保護体制の確保について、今回は特にアクセスコントロールの 観点で監査する
 ここで重要なことは、セキュリティ機能も大変重要であるがシステム監査の結果が A社の通信販売ビジネスに効果的であることが求められる。
IT監査技法と監査手続き
IT監査技法
 監査の個別計画書によると、監査に利用するIT監査技法は次のとおりである。
  1. Webサーバによる通信販売の有効性を監査するために、Webサーバのアクセスログ 提供サービスを利用する。
  2. Webサーバ、メールサーバ等の安全性のセキュリティを監査するために 外部に公表しているサーバ群及びファイアウォールのアクセスログを 利用する。また、外部からの攻撃に対する強度を測定するためにぺネトレーション テストを実施する。
  3. 顧客データベースのアクセスコントロールの観点で監査するために、DBMSの セキュリティ機能の点検を行うためDBMSのユーティリティ機能を利用する
 この監査を円滑に実施するために次のような手段を講じた。
  1. Webサーバ上のコンテンツにCGI(Common Gatewa Interface)をスクリプトとして 挿入しておき、アクセスログがビジュアルに表示されるようにしておいた。
  2. Webサーバ、メールサーバ等のぺネトレーションを円滑に実施するために、 パスワードに対して辞書攻撃やDOS攻撃をテスト的に行うためのテストツールを 用意した。
  3. 顧客データベースのDBMSのユーティリティ機能を利用して得られた結果を 集計する監査ソフトウェアを導入した。
監査手続き
 以下の手順で監査を実施する。
(1)年間監査計画に基づき個別監査計画を行うとともに経営者を訪問し、 監査の意図や目的の理解を行う。
(2)予備調査:被監査組織の情報システム、組織概要を監査するために、 組織図、経営計画書、情報システム概要図、業務マニュアル、セキュリティ マニュアルを入手して、査読する。
(3)監査手続き書の作成:(2)に基づいて監査手続き書を作成する。 監査漏れのないようにチェックリスト等を用意する。
(4)監査(本調査):現場に赴き、組織関係者にインタビューを行うと ともに計画されている文書や伝票の存在、コントロールの存在を確認して 証拠を採取して監査調書を作成する。
(5)報告:監査調書に基づき監査報告書を作成し、上司の承認を得るとともに 顧客の捺印と合意を得て被監査組織の上長に提出する。
(6)フォローアップ監査:監査結果に基づき点検事項を整理して不適合事項が 是正されているかを1ヵ月後に点検する。
IT監査の留意点
留意点の概要
 以下の点で留意が必要である。
  1. 顧客に対して、IT監査ツールを利用する旨の計画書の作成と合意
  2. ITツールの利用について監査組織のなかで、監査ツールの特性や被監査システムに与える 影響度を理解し、事前に教育及び訓練、監査組織内での事前テストを実施しておく必要がある。
  3. 事前テストの結果を整理、評価して、IT監査ツールの問題点を理解しておく必要がある。
  4. 監査手続き書のなかでIT監査ツールの取り扱い注意事項、取り扱い規約、 取り扱いマニュアルを整備しておく必要がある
 監査手続き書のなかに特に以下の内容を銘記しておく必要がある。
  1. 顧客から与えられたパスワード、ID等の取り扱いと有効期限の確認
  2. IT監査ツールの利用目的の確認と利用記録の整備、上司の許可、承認の 確認
  3. IT利用ツールの利用権限者への利用資格の付与と利用後の資格解除の 手続き及び記録の採取



投稿者 kato : 07:02

2006年4月24日

2006(平成18)年度システム監査試験 午後Ⅰ問4解答速報

午後Ⅰ 問4

設問1

(1)災害対応要員の選定に担当業務や経験年数が考慮されていない。
(2)復旧作業時の連絡手段は公衆電話回線利用のため災害時に混雑して利用できない。


設問2

(1)災害対応要員が全員集合できない、コンピュータセンタからデータが来ないことを前提にテストしていない点。
(2)災害対応要員が手順書に沿って,公衆回線を使いながら切替えが可能かどうかテストしていない点。


設問3

(1)災害対応計画とイントラネットの公表内容の一致を確認し、関係者が差し替えた内容を理解しているかをヒアリングで確認する。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kitta : 11:40

2006(平成18)年度システム監査試験 午後Ⅰ問3解答速報

午後Ⅰ 問3

設問1

システム開発部においてユーザへの影響度が小さいと判断された場合、UATは省略される。


設問2

(1)③を放置した場合のリスク
 本番移行後、運用部のオペレーションが困難になる。障害発生時に仕様書が無いので対応が困難になる。
(2)④を放置した場合のリスク
 システム開発部の開発担当者によって予告無く不正に改ざんされる可能性があり、その検出が困難である。


設問3

本番環境に対するアクセスログを精査し、本番環境に対するアカウントとパスワードを変更する。


設問4

修正中のプログラムが緊急変更された場合、一端隔離し、緊急変更を含めた対応が施されるまで本番移行しない。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kitta : 11:34

2006(平成18)年度システム監査試験 午後Ⅰ問2解答速報

午後Ⅰ 問2

設問1

(1)IDSのログ保管を従来の6ヶ月から1年に変更により、ログ保管に要する容量やコストが必要になる。
(2)ファイアウォールやIDSのログをM社別に識別しなければならず管理コスト、報告コストがかかる。


設問2

(1)顧客に開示する内容は顧客の業務や契約と直接関係のある内容に限定する。
(2)監査結果の開示に際して利用制限の契約を結び、複製・改ざんも制限する。


設問3

ISMSは国際標準の要求事項に対する文書化とその実行結果の審査である。従ってM社のような個別企業のSLAに対する内部の適合性を示すものではない。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kitta : 11:33

2006(平成18)年度システム監査試験 午後Ⅰ問1解答速報

午後Ⅰ 問1

設問1

(1)パッケージ販売先ユーザアンケートの収集に当たり利用目的を明示していない。
(2)機器販売事業部と顧客サービス部では他部門と個人情報を無断で共有化している。


設問2

(1)機器販売事業部で収集した登録はがきを来訪者が通る廊下に放置しているため個人情報が漏洩する可能性がある。
(2)ソフトウェア事業部で顧客貸与の個人情報のアクセスコントロールが無いため誰でも閲覧できる。


設問3(変更:2006年5月9日) 

(1)監査指摘事項
 ソフトウェア事業部が顧客から預かった個人データが個人情報として特定されていない。
(2)考えられる問題点
 共有サーバで共有されているため目的外の閲覧利用が可能になり漏洩リスクがある。
(3)改善策
 個人データを管理台帳に登録し、パスワード等でアクセスコントロールを実施し、使用後消去する。


以上

■2006年 システム監査解答速報目次に戻る



投稿者 kitta : 11:18

2006年4月17日

2006年(平成18年度)システム監査試験 午後Ⅱ問1解答速報

問1 監査手続書の作成について 【解答例】

1 システム監査の目的と概要と監査人の立場
1.1 システム監査の目的と概要

B社は学生用通信添削を実施する教育団体である。B社の大学受験教材は高い偏差値を受験する学生にとって バイブル的存在でありブランドも確立されている。

1.1.1 監査の目的

B社では顧客データベースに、会員である学生の出身高校、偏差値の推移、科目別添削情報、模試情報を 保有している。そして、その学生の合格大学、不合格大学とその偏差値、出題傾向と突合せ、独自の指導方針とその見直しを行い 高い合格率を生む教材の開発に努めている。  しかし、最近のセキュリティ事故の多発を受けて、B社ブランドと顧客のプライバシー保護すること、そして B社の事業の安定持続を目的としてB社経営者C氏は次のような通達を出した。

  1. 既存のセキュリティ方針や規定の有効性の検証が必要
  2. セキュリティ規定やマニュアルの実践状況の点検が必要
  3. 情報漏えい事故発生時の対応状況の点検が必要
  4. 顧客データベースの完全性、可用性、機密性の点検が必要
  5. コンプライアンス的検証が必要
  6. セキュリティ管理者指導下によるセキュリティマネジメントシステムの継続的改善の仕組み確立が必要

 その結果、B社の顧客データベースシステムのセキュリティマネジメントの監査が行われることになった。

1.1.2 監査の概要
 

監査の概要は次のとおりである。

  1. 経営者のヒアリング(監査ニーズの採取)
  2. 予備調査(被監査組織の実態の理解)
  3. 個別監査計画書、監査手続書の作成
  4. 本監査の実施
  5. 監査調書の作成
  6. 監査報告書の作成と組織の長であるC氏への報告・助言
  7. 3週間後のフォローアップ
1.2 私の役割と立場

 私はB社とは第三者的立場にある、ITコンサルティング企業のシステム監査人である。私はB社とシステム監査に かかわる業務委託契約を受けて、B社の顧客データベースシステムを中心として同社のセキュリティマネジメント システムのシステム監査を実施して、助言する立場にある。


2 監査手続書作成について
2.1 レビューしたドキュメント

 監査手続書作成に当たってレビューしたドキュメントは次のとおりである

  1. 経営者のセキュリティ方針(社達)
  2. 機密管理規定、マニュアル、手続書
  3. 組織図、権限分掌規定
  4. システム構成図(ハード、ソフト)、ネットワーク構成図
  5. 建物の見取り図、配置図
  6. 文書管理規定、契約書雛形
  7. 協力会社組織、依頼手続き
  8. 関連法規、条例、規制等
2.2 設定した監査項目と監査技法
2.2.1 設定した監査項目
  1. セキュリティ方針達成のために必要な規定が可視化されているか、存在しているか
  2. 文書化されたコントロールが実現しているか
  3. セキュリティ関連の文書は適切に管理されているか
  4. コントロールが組織内に周知徹底されているか、教育されているか
  5. 組織内にコントロールの適切さを検証し継続的改善する仕組みが存在しているか
  6. 情報システムに対する完全性、可用性、機密性が保持されているか
  7. 情報システムに運営に当たって関係法規に準拠しているか。違反はないか
  8. 情報資源の管理にあたり協力会社は脅威になっていないか
  9. ファシリティ管理は適切か

 この監査項目ごとに詳細なチェック項目を作成し、チェックリストを作成した。

2.2.2 監査技法の工夫

 上記のチェック項目について以下の監査技法に基づく監査を実施した。その上で、 ①組織の緊急性の高い項目(脆弱性や脅威)から監査する、②組織のセキュリティマネジメントシステムの 成熟度を理解しながら監査を行う、③データベースシステムのアクセスコントロールに重点をおいて監査する。

  1. 文書レビュー:コントロールの可視化、コントロールの存在定義確認
  2. 文書の照合:マニュアルと監査証跡との対比、マニュアルの保管維持状態の点検
  3. インタビュー:チェックリストと権限分掌規定に基づき関係各所のインタビューの実施
  4. 作業記録の収集、採取とレビュー:職務の分離、内部統制の妥当性の確認
  5. アクセスログの採取:DB,ネットワークに関するアクセスログの採取とレビュー
  6. 脆弱性検証ツールを使った仮想アタック:ネットワークの脆弱性の検証

 このうち特に、①顧客データベースの開発者と運用者および管理者が同一人物であるか、 ②セキュリティ、脆弱性への対応が最新技術に対応しているかが重要なポイントになる。

3 効果と課題
3.1 効果

 監査助言の結果次のような効果があった。

  1. 情報システム、特に顧客データベース運用にかかわる脆弱性が発見された
  2. 従業員教育と周知徹底に改善事項があることが発見された
  3. 協力会社のコントロールに課題があることがわかった
  4. B社が協力会社X社と調整し、X社のシステム監査権限を得た

 以上の事柄を踏まえて、経営者による見直し、あるいは現場から対処のための計画が打ち出され、 潜在的脅威について組織的にかつ計画的に対策を講じることができた。

3.2 課題

   今回の課題は、「協力会社の監査権限」であった。B社は協力会社に対して、データベースの マスタ入力作業、成績入寮作業を委託している。このX社において、①原票の取り扱いが適切か、 ②電子情報の中間成果物の管理、作業後廃棄が適切かなどのB社主導システム監査を行うことが望ましい しかし、B社とX社との関係が請負関係なので、X社に業務裁量権があり監査の実現が難しかった。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kato : 23:54

2006年4月16日

2006年(平成18年)システム監査試験 午後II問3解答速報

問3 情報漏えい事故計画の監査について【解答例】

1 重大影響を及ぼす情報とその影響
1.1 重大影響を及ぼす情報

A社高齢者福祉用品のレンタル・販売を行う組織のフランチャイザーである。A社の参加には、 A者と契約しているフランチャイジーが全国に100社ほどあり、A社はそのフランチャイジーを統括し、レンタルに必要な 物品を適宜供給する役割を担っている。A者が取り扱っている情報で情報漏えいすると問題になる情報には次のようなものがある。

  1. 顧客獲得にかかわる営業マニュアル
  2. 顧客へのサービス業務マニュアル
  3. 従業員教育マニュアル
  4. フランチャイザー(顧客リスト)
  5. フランチャイズ契約書
  6. フランチャイジーの保有する顧客リスト
  7. 経営戦略計画書

 なお、フランチャイジーの保有する顧客リストはA社の所有ではないが、情報漏えいすると、A社ブランドに傷 がつくため、事実上A社情報として認識を行う。

1.2 情報漏えいの影響
1.2.1 事業機会の損失

 営業マニュアルや業務マニュアルなどのマニュアル及び手続きなどが漏洩すると、ライバル企業にA社の営業実態などを知られ、 類似サービスを展開され、A社の独自性、差別性が損なわれビジネスの競争優位性が失われる。

1.2.2 信用の失墜

 フランチャイジーが保有する個人情報の漏洩が発生すると、例えそれがA社保有のそれでなくても、A社の社会的・同義的責任が問われ信用失墜し A社業績及び社会的評価に影響を及ぼすと共に、A社ブランドに傷がつくことになる。

1.2.3 新事業計画の頓挫

 経営計画書などの重要文書が漏洩することによって、A社で開発中の新事業領域を他の企業に先着されたり、 参入障壁を設定されたり、事業妨害がある可能性がある。


2 初期対応について
2.1 初動の目的

 情報漏えい時における初動の目的は、おおよそ次の通りである。

  1. 情報漏えい時には迅速対応すること
  2. 原因究明を早期に行うこと
  3. 漏洩にかかわる被害の把握と被害範囲を迅速行うこと
  4. 二次災害を予防すること
  5. 被害者あるいは被害部署への情報開示を適切に行い信用回復すること
2.2 事故対応計画に盛り込むべき初動対応項目

 情報漏えい発生時の事故対応計画書に盛り込むべき内容は次のとおりである。

2.2.1 事故対応計画における組織体制
  1. 事故発生時の連絡窓口の確保
  2. 事故発生時の対策チームの配置
  3. 事故処理関係者の事故処理手順の確認
  4. 事故処理体制
  5. 関係連絡先の所在地や電話番号の記録、保存、整備
2.2.2 事故対応計画における手続き
  1. 事故発生時の連絡窓口担当者の業務手続、証拠の保全
  2. 対策チームによる原因究明・対処手続き
  3. 漏洩した情報の回収責任部署の明示とその手続き
  4. 顧客のクレーム対応部署とその手続き
  5. 関係部署への連絡責任の明示と連絡手続き
  6. 情報漏洩の原因となったハード、ソフトの識別と隔離
2.2.3 組織的周知と教育
  1. 事故発生時の対処責任者の任命
  2. 事故発生時の関連要員のリハーサルとその手法
  3. 組織全体のセキュリティ(初動)教育と訓練
  4. 関連部署の事故処理手続きの確認
  5. 手続きの際の教育計画について
2.2.4 コンプライアンス(法的準拠)
  1. 関連する法規とその変更要綱の明確化
  2. アウトソーシングしている場合、事故発生時における契約に基づく処理の確保
  3. 訴訟に及ぶような重大な事故の発生時の法律専門家への窓口確保
  4. 個人情報保護法などの法規に準拠した手続きの存在の確立

3 監査手続き
3.1 要綱

 監査にあたっては、情報漏えい時における初動の目的をレビューしたうえで、 安全性、信頼性、有効性の観点から事故対応計画書の実効性を評価する。特に次の項目について 監査を実施する。

  1. 初動計画の中で、不正利用の証拠保全を確実に行っているか
  2. 初動計画の活動が二次被害の発生を未然に防止するとともに、是正、予防の基点となっているか
  3. 訴訟に備えた記録の収集と保管、維持が行われているか
  4. テストや訓練等の記録のレビューによる事故対応計画の有効性の確認が行われているか
3.2 監査手順

   年度監査計画書に基づいて個別の監査計画を立案する。被監査部署に連絡を行いスケジューリングを 行ったうえで、予備調査を実施する。予備調査に基づき監査手続書を作成する。監査調書に基づいて 本監査を行う。本監査ではドキュメントの整備状況レビュー、計画運用状態のレビュー、監査証跡の確保を行う。 そのうえで監査調書を作成しその後、監査報告書を作成する。監査報告書の草稿を元に被監査部門と調整を行い、 被監査部門のサインを得て組織の長に提出する。

以上

■2006年 システム監査解答速報目次に戻る



投稿者 kato : 22:13

2006(平成18)年システム監査技術者試験
午後Ⅱ小論文解答速報 総評

2006年システム監査技術者試験 午後Ⅱ総評

■総評
  1. 例年になく実務的で平易なテーマが出題された
  2. e-文書法関連の問題が出題されるなど法規と関連性の高い問題も出題された
  3. 情報漏えいに関連する出題があった

察するに、個人情報保護法などの関心の高まりから、最も親しみやすい問3を選択した受験者が多いのではないか。しかし、問題の平易さからゆくと、問1を選択した受験者が合格しやすいのではないか。


■小論文を書く上での留意事項

それぞれの小論文を書く上で次の点に注意が必要である。

  • 問1:システム監査の手続きと監査技法を理解し、実務的な課題への対応策を示せなければならない
  • 問2:文書管理の規約、手続き、権限委譲に関する理解が必要である
  • 問3:情報漏えい事故によって発生する事態や影響について言及する必要がある

■難易度

[難易度]★が多いほど難しい

  • 問1 ★★☆☆☆
  • 問2 ★★★★★
  • 問3 ★★★★☆

[結論] 上記の難易度を決めた理由は次の通りである。

  • 問1 システム監査手続きが理解できていれば、半分合格したのも同然である
  • 問2 法的要件、ビジネス的要件に適合した監査を論ずることは大変難しい
  • 問3 個人情報漏洩だけに固執するとバランスの悪い論文になる。

■問題別、小論文戦略

 合格できるか、否かについての基準を示そう。

問題 問題を必須条件 合格のための工夫
問1 システム監査基準、手続きに関してしっかり暗記しているか 監査目的をしっかり定義できること。監査技法や項目を具体的に論述できること
問2 電子化した文書名を明示できること、書面と比較したときのメリットデメリットをコスト、検索効率などの生産性の観点で論評できるか 証券取引法、e-文書法などの法的側面を考察した上で、リスクを明確に述べることができるか。経営戦略に基づくビジネス要件に適合した電子文書のリスクを示せるか。
問3 個人情報漏洩に偏らずに論述できること。事故対応は、初動、原因究明、是正、予防対策を言及する必要がある 事業継続管理、クレーム対応などの手続きを事故対応計画に盛り込む必要がある。監査手続きは形式的な内容でよい

■2006年 システム監査解答速報目次に戻る



投稿者 kato : 20:47

2006年4月16日 2006(平成18)年度システム監査技術者試験
解答速報目次

システム監査解答速報目次

2006年度 システム監査試験午後Ⅱ解答速報

※留意事項
この解答速報はシステム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。

新版CD「システムアナリスト試験合格講座」
2006年4月12日より リリース!
オプションで午後I,午後IIの添削がつきます。
ライバルは既に持っている!

新版CD「プロジェクトマネージャ試験合格講座」は
2006年4月後半日 リリース予定!Coming soon!
オプションで午後I,午後IIの添削がつきます。


■合格のためのガイドラインと正答率

 合格と足切りのガイドラインは以下の通りであると予想します。


表1.平成18年度AU試験の合格のガイドライン
試験 足切りの得点率 足切り割合 備考
午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
55門中38問以上取れないと、恐らく合格出来ない。
午後I 70%程度 ②=①×40%程度
午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

※これは試験センター発表の正式情報ではありません。弊社の推測値です


■IRTと足きり
午前の足きりライン

 午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

午後Iの足きりライン

 午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

■総評と論文の解答速報



投稿者 kato : 19:49