資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

AP 午前 システム監査

応用情報技術者

システム監査内部統制

システム監査

 JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。

  1. USBメモリの使用を,定められた手順に従って許可していた。
  2. 個人情報の誤廃棄事故を主務官庁などに,規定されたとおりに報告していた。
  3. マルウェアスキャンでスパイウェアが検知され,駆除されていた。
  4. リスクアセスメントを実施した後に,リスク受容基準を決めていた。

解答・解説

 

 システム監査における“監査手続”として,最も適切なものはどれか。

  1. 監査計画の立案や監査業務の進捗管理を行うための手順
  2. 監査結果を受けて,監査報告書に監査人の結論や指摘事項を記述する手順
  3. 監査項目について,十分かつ適切な証拠を入手するための手順
  4. 監査テーマに合わせて,監査チームを編成する手順

解答・解説

 

 システム監査基準の意義はどれか。

  1. システム監査業務の品質を確保し,有効かつ効率的な監査を実現するためのシステム監査人の行為規範となるもの
  2. システム監査の信頼性を保つために,システム監査人が保持すべき情報システム及びシステム監査に関する専門的知識・技能の水準を定めたもの
  3. 情報システムのガバナンス,マネジメント,コントロールを点検・評価・検証する際の判断の尺度となるもの
  4. どのような組織体においても情報システムの管理において共通して留意すべき基本事項を体系化・一般化したもの

解答・解説

 

 事業継続計画(BCP)について監査を実施した結果,適切な状況と判断されるものはどれか。

  1. 従業員の緊急連絡先リストを作成し,最新版に更新している。
  2. 重要書類は複製せずに,1か所で集中保管している。
  3. 全ての業務について,優先順位なしに同一水準のBCPを策定している。
  4. 平時にはBCPを従業員に非公開としている。

解答・解説

 

 監査調書に関する記述のうち,適切なものはどれか。

  1. 監査調書には,監査対象部門以外においても役立つ情報があるので,全て企業内で公開すべきである。
  2. 監査調書の役割として,監査実施内容の客観性を確保し,監査の結論を支える合理的な根拠とすることなどが挙げられる。
  3. 監査調書は,通常,電子媒体で保管されるが,機密保持を徹底するためバックアップは作成すべきではない。
  4. 監査調書は監査の過程で入手した客観的な事実の記録なので,監査担当者の所見は記述しない。

解答・解説

 

 監査証拠の入手と評価に関する記述のうち,システム監査基準(平成30年)に照らして,適切でないものはどれか。

  1. アジャイル手法を用いたシステム開発プロジェクトにおいては,管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。
  2. 外部委託業務実施拠点に対する現地調査が必要と考えたとき,委託先から入手した第三者の保証報告書に依拠できると判断すれば,現地調査を省略できる。
  3. 十分かつ適切な監査証拠を入手するための本調査の前に,監査対象の実態を把握するための予備調査を実施する。
  4. 一つの監査目的に対して,通常は,複数の監査手続を組み合わせて監査を実施する。

解答・解説

 

 経済産業省“情報セキュリティ監査基準実施基準ガイドライン(Ver1.0)”における,情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち,適切なものはどれか。

  1. 同じ監査対象に対して情報セキュリティ監査を実施する場合,保証型の監査から手がけ,保証が得られた後に助言型の監査に切り替えなければならない。
  2. 情報セキュリティ監査において,保証型の監査と助言型の監査は排他的であり,監査人はどちらで監査を実施するかを決定しなければならない。
  3. 情報セキュリティ監査を保証型で実施するか助言型で実施するかは,監査要請者のニーズによって決定するのではなく,監査人の責任において決定する。
  4. 不特定多数の利害関係者の情報を取り扱う情報システムに対しては,保証型の監査を定期的に実施し,その結果を開示することが有用である。

解答・解説

 

 アジャイル開発を対象とした監査の着眼点として,システム管理基準(平成30年)に照らして,適切なものはどれか。

  1. ウォータフォール型開発のように,要件定義,設計,プログラミングなどの工程ごとの完了基準に沿って,開発作業を逐次的に進めていること
  2. 業務システムの開発チームが,情報システム部門の要員だけで構成されていること
  3. 業務システムの開発チームは,実装された機能について利害関係者へのデモンストレーションを実施し,参加者からフィードバックを得ていること
  4. 全ての開発作業が完了した後に,本番環境へのリリース計画を策定していること

解答・解説

 

 データの生成から入力,処理,出力,活用までのプロセス,及び組み込まれているコントロールを,システム監査人が書面上で又は実際に追跡する技法はどれか。

  1. インタビュー法
  2. ウォークスルー法
  3. 監査モジュール法
  4. ペネトレーションテスト法

解答・解説

 

 システム監査基準(平成30年)に基づいて,監査報告書に記載された指摘事項に対応する際に,不適切なものはどれか。

  1. 監査対象部門が,経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。
  2. 監査対象部門が,自発的な取組によって指摘事項に対する改善に着手する。
  3. システム監査人が,監査対象部門の改善計画を作成する。
  4. システム監査人が,監査対象部門の改善実施状況を確認する。

解答・解説

 

 情報セキュリティ管理基準(平成28年)を基に,情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。

  1. Webページに対して,マルウェア検出のためのスキャンを行っている。
  2. マルウェア感染によって被害を受けた事態を想定して,事業継続計画を策定している。
  3. マルウェア検出のためのスキャンを実施した上で,組織として認可していないソフトウェアを使用している。
  4. マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い,必要に応じて修正コードを適用し,脆弱性の低減を図っている。

解答・解説

 

 マスタファイル管理に関するシステム監査項目のうち,可用性に該当するものはどれか。

  1. マスタファイルが置かれているサーバを二重化し,耐障害性の向上を図っていること
  2. マスタファイルのデータを複数件まとめて検索・加工するための機能が,システムに盛り込まれていること
  3. マスタファイルのメンテナンスは,特権アカウントを付与された者だけに許されていること
  4. マスタファイルへのデータ入力チェック機能が,システムに盛り込まれていること

解答・解説

 

 システム監査人が行う改善提案のフォローアップとして,適切なものはどれか。

  1. 改善提案に対する改善の実施を監査対象部門の長に指示する。
  2. 改善提案に対する監査対象部門の改善実施プロジェクトの管理を行う。
  3. 改善提案に対する監査対象部門の改善状況をモニタリングする。
  4. 改善提案の内容を監査対象部門に示した上で改善実施計画を策定する。

解答・解説

 

 システム監査基準(平成30年)におけるウォークスルー法の説明として,最も適切なものはどれか。

  1. あらかじめシステム監査人が準備したテスト用データを監査対象プログラムで処理し,期待した結果が出力されるかどうかを確かめる。
  2. 監査対象の実態を確かめるために,システム監査人が,直接,関係者に口頭で問い合わせ,回答を入手する。
  3. 監査対象の状況に関する監査証拠を入手するために,システム監査人が,関連する資料及び文書類を入手し,内容を点検する。
  4. データの生成から入力,処理,出力,活用までのプロセス,及び組み込まれているコントロールを,システム監査人が,書面上で,又は実際に追跡する。

解答・解説

 

 システム監査のフォローアップにおいて,監査対象部門による改善が計画よりも遅れていることが判明した際に,システム監査人が採るべき行動はどれか。

  1. 遅れの原因に応じた具体的な対策の実施を,監査対象部門の責任者に指示する。
  2. 遅れの原因を確かめるために,監査対象部門に対策の内容や実施状況を確認する。
  3. 遅れを取り戻すために,監査対象部門の改善活動に参加する。
  4. 遅れを取り戻すための監査対象部門への要員の追加を,人事部長に要求する。

解答・解説

 

 クラウドサービスの導入検討プロセスに対するシステム監査において,クラウドサービス上に保存されている情報の消失の予防に関するチェックポイントとして,最も適切なものはどれか。

  1. 既存の社内情報システムとのIDの一元管理の可否が検討されているか。
  2. クラウドサービスの障害時における最大許容停止時間が検討されているか。
  3. クラウドサービスを提供する事業者に信頼が置け,かつ,事業やサービスが継続して提供されるかどうかが検討されているか。
  4. クラウドサービスを提供する事業者の施設内のネットワークに,暗号化通信が採用されているかどうかが検討されているか。

解答・解説

 

 システム監査基準(平成30年)における監査手続の実施に際して利用する技法に関する記述のうち,適切なものはどれか。

  1. インタビュー法とは,システム監査人が,直接,関係者に口頭で問い合わせ,回答を入手する技法をいう。
  2. 現地調査法は,システム監査人が監査対象部門に直接赴いて,自ら観察・調査するものなので,当該部門の業務時間外に実施しなければならない。
  3. コンピュータ支援監査技法は,システム監査上使用頻度の高い機能に特化した,しかも非常に簡単な操作で利用できる専用ソフトウェアによらなければならない。
  4. チェックリスト法とは,監査対象部門がチェックリストを作成及び利用して,監査対象部門の見解を取りまとめた結果をシステム監査人が点検する技法をいう。

解答・解説

 

 販売管理システムにおいて,起票された受注伝票の入力が,漏れなく,かつ,重複することなく実施されていることを確かめる監査手続として,適切なものはどれか。

  1. 受注データから値引取引データなどの例外取引データを抽出し,承認の記録を確かめる。
  2. 受注伝票の入力時に論理チェック及びフォーマットチェックが行われているか,テストデータ法で確かめる。
  3. 販売管理システムから出力したプルーフリストと受注伝票との照合が行われているか,プルーフリストと受注伝票上の照合印を確かめる。
  4. 並行シミュレーション法を用いて,受注伝票を処理するプログラムの論理の正当性を確かめる。

解答・解説

 

 システム開発委託先(受託者)から委託元(委託者)に納品される成果物に対するユーザ受入テストの適切性を確かめるためのシステム監査の要点はどれか。

  1. 委託者が作成したユーザ受入テスト計画書に従って,受託者が成果物に対してユーザ受入テストを実施していること
  2. 受託者が成果物と一緒にユーザ受入テスト計画書を納品していること
  3. 受託者から納品された成果物に対して,委託者が要件定義に基づきユーザ受入テストを実施していること
  4. 受託者から納品された成果物に対して,監査人がユーザ受入テスト計画を策定していること

解答・解説

 

 事務所の物理的セキュリティ対策について,JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)に基づいて情報セキュリティ監査を実施した。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。

  1. 外部からの荷物の受渡しは,サーバ室などの情報処理施設にアクセスすることなく荷物の積降ろしができる場所で行っている。
  2. 機密性の高い情報資産が置かれている部屋には,入室許可を得た者が共通の暗証番号を入力して入室している。
  3. 機密性の高い情報資産が置かれる部屋は,社員以外の者の目に触れる場所を避けて設けている。
  4. 取引先との打合せは,社員が業務を行っている執務室から分離された場所であって,かつ,機密性の高い情報資産が置かれていない場所で行っている。

解答・解説

 

 システム監査における,サンプリング(試査)に関する用語の説明のうち,適切なものはどれか。

  1. 許容逸脱率とは,受け入れることができる所定の内部統制からの逸脱率であり,監査人がサンプルの件数を決めるときに用いられる指標である。
  2. サンプリングリスクとは,固有リスクと統制リスクを掛け合わせた結果である。
  3. 統計的サンプリングとは,特定の種類の例外取引を全て抽出する方法である。
  4. 母集団とは,評価対象から結論を導き出すのに必要なデータ全体のうち,リスクが高いデータの集合である。

解答・解説

 

 システム監査において,ペネトレーションテストが最も適合するチェックポイントはどれか。

  1. オフィスへの入退室に,不正防止及び機密保護の物理的な対策が講じられているか。
  2. データ入力が漏れなく,重複なく正確に行われているか。
  3. ネットワークの負荷状況の推移が記録,分析されているか。
  4. ネットワークへのアクセスコントロールが有効に機能しているか。

解答・解説

 

 情報システムの可監査性を説明したものはどれか。

  1. コントロールの有効性を監査できるように,情報システムが設計・運用されていること
  2. システム監査人が,監査の目的に合致した有効な手続を行える能力をもっていること
  3. 情報システムから入手した監査証拠の十分性と監査報告書の完成度が保たれていること
  4. 情報システム部門の積極的な協力が得られること

解答・解説

 

 システム利用者に対して付与されるアクセス権の管理状況の監査で判明した状況のうち,監査人がシステム監査報告書で報告すべき指摘事項はどれか。

  1. アクセス権を付与された利用者ID・パスワードに関して,システム利用者が遵守すべき事項が規程として定められ,システム利用者に周知されていた。
  2. 業務部門長によって,所属するシステム利用者に対するアクセス権の付与状況のレビューが定期的に行われていた。
  3. システム利用者に対するアクセス権の付与・変更・削除に関する管理手続が,規程として定められていた。
  4. 退職・異動したシステム利用者に付与されていたアクセス権の削除・変更は,定期人事異動がある年度初めに全てまとめて行われていた。

解答・解説

 

 企業において整備したシステム監査規程の最終的な承認者として,最も適切な者は誰か。

  1. 監査対象システムの利用部門の長
  2. 経営者
  3. 情報システム部門の長
  4. 被監査部門の長

解答・解説

 

 開発プロジェクトにおいて,開発検討フェーズ,プログラムテストフェーズ,移行判定フェーズを対象とし,それぞれのフェーズ終了時に監査を実施する場合,移行判定フェーズで実施することが適切な監査手続はどれか。

  1. 開発目的や開発体制があらかじめ検討された上で開発が実施されたことを確認するために,開発計画書を閲覧する。
  2. システムの実現方法や代替案を検討したことを確認するために,フィージビリティスタディ報告書を閲覧する。
  3. システムの品質が本番稼働にとって問題がないことの判断資料が作成されていることを確認するために,品質報告書を閲覧する。
  4. テスト計画が策定された上でプログラムテストに着手されたことを確認するために,プログラムテスト計画書を閲覧する。

解答・解説

 

 在庫管理システムを対象とするシステム監査において,当該システムに記録された在庫データの網羅性のチェックポイントとして,適切なものはどれか。

  1. 設定された選定基準に従って,自動的に購入業者を選定していること
  2. 適正在庫高であることを,責任者が承認していること
  3. 適正在庫量を維持するための発注点に達したときに,自動的に発注していること
  4. 入庫及び出庫記録に対して,自動的に連番を付与していること

解答・解説

 

 システム監査人が監査報告書に記載する改善勧告に関する説明のうち,適切なものはどれか。

  1. 改善の実現可能性は考慮せず,監査人が改善の必要があると判断した事項だけを記載する。
  2. 監査証拠による裏付けの有無にかかわらず,監査人が改善の必要があると判断した事項を記載する。
  3. 監査人が改善の必要があると判断した事項のうち,被監査部門の責任者が承認した事項だけを記載する。
  4. 調査結果に事実誤認がないことを被監査部門に確認した上で,監査人が改善の必要があると判断した事項を記載する。

解答・解説

 

内部統制

 業務部門が起票した入力原票を,情報システム部門でデータ入力する場合,情報システム部門の業務として,適切なものはどれか。

  1. 業務部門が入力原票ごとの処理結果を確認できるように,処理結果リストを業務部門に送付する。
  2. 入力原票の記入内容に誤りがある場合は,誤りの内容が明らかなときに限り,情報システム部門の判断で入力原票を修正し,入力処理する。
  3. 入力原票はデータ入力処理の期日まで情報システム部門で保管し,受領枚数の点検などの授受確認は,データ入力処理の期日直前に一括して行う。
  4. 入力済みの入力原票は,不正使用や機密情報の漏えいなどを防止するために,入力後直ちに廃棄する。

解答・解説

 

 識別コード及びパスワードによるアクセスコントロール機能を情報システムに組み込むことによって,コントロール可能なリスクはどれか。

  1. 通信上のデータの盗聴
  2. データの入力エラー
  3. ハードウェアの物理的な破壊
  4. ファイル,データ内容の改ざん

解答・解説