サイバーセキュリティ管理態勢に関するシステム監査について
情報通信技術の進展,デジタルトランスフォーメーション(DX)の取組拡大などに伴い,デジタル環境を前提とするビジネス,サービスが増えてきている。このような環境ではインターネットなど外部ネットワークとの接続を前提とすることから,サイバーセキュリティのリスクが高まっている。
例えば,サイバー攻撃は,年々,高度化,巧妙化し,情報システムの停止,重要情報の外部流出などから攻撃があったことに気づく場合がある。また,サイバーセキュリティ対策が適切でないと,被害が拡大し,ビジネス,サービスに及ぼす影響が大きくなることも想定される。さらに,サプライチェーン上の取引先などのサイバーセキュリティ対策に脆弱性があると,取引先を経由した攻撃を受けるおそれもある。
このようにサイバーセキュリティのリスクが多様化している状況においては,特定の情報システムにおけるインシデントが発生しないように技術的な対策を実施するだけでは不十分である。また,インシデント発生時の被害を最小限に抑え,ビジネス,サービスを速やかに復旧し,継続できるように対策しておくことが重要になる。したがって,企業などの組織には,サイバーセキュリティ管理態勢を構築してPDCイクルを実施することが求められる。
以上のような点を踏まえて,システム監査人は,サイバーセキュリティ管理態勢が適切かどうかを確かめる必要がある。
あなたの経験と考えに基づいて,設問ア〜ウに従って論述せよ。
設問ア あなたが関係するビジネス又はサービスの概要,及びサイバーセキュリティ管理態勢が必要となる理由について,800字以内で述べよ。
設問イ 設問アを踏まえて,サイバーセキュリティ管理態勢におけるPDCAサイクルの実施が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ,監査手続によって確かめるべき内容を,700字以上1,400字以内で具体的に述べよ。
設問ウ 設問ア及び設問イを踏まえて,インシデント発生時を想定したサイバーセキュリティ管理態勢が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ,監査手続によって確かめるべき内容を,700字以上1,400字以内で具体的に述べよ。
IPA公開情報
出題趣旨
未公開
採点講評
未公開
解答例
構成例
システム監査技術者試験では,問 1 でデータ利活用基盤の構築について,問 2 でサイバーセキュリティ管理態勢について,システム監査人としての見識や能力などを問うているが,問題文の趣旨又は設問の内容に沿っていない論述が散見された。また,監査手続が不十分であったり,論文の体裁になっていなかったりする解答も目立った。システム監査の基本を理解した上で,自らの経験と考えに基づいて,論述するように心掛けてほしい。
問 2 では,“サイバーセキュリティ管理態勢”について求めているが,“体制”や”個別システム”,“個別プロジェクト”についての論述が目立った。設問アでは,“態勢”が必要となる理由が不十分な解答が多かった。設問イで求めたサイバーセキュリティ管理態勢における PDCA サイクルの適切性では,PDCA それぞれについて記述している解答は少なく,PDCA の一部についての記述であったり,一般的な情報セキュリティの内容や脆弱性対策など技術的対策に偏った内容であったりする解答が目立った。設問ウでは,インシデント発生時を想定した態勢について論述していない解答が散見された。設問で求めている内容を踏まえて,具体的に論述してほしい。
論述例
設問ア
準備中
設問イ
準備中
設問ウ
準備中
