システム監査　R5午後１自分用メモ

URL　システム監査委

・出典：令和５年度 秋期 システム監査技術者試験 過去問題・解答例
（一部改変）
設問 解答例・解答の要点 備考

問１：クレジットカード情報保護の監査

●設問１：[本調査の結果]
（１）（非保持化前に取り扱ったカード情報を含む重要書類の画像データが、社内ネットワーク上のカスタマーサービス部の共有フォルダに保存されており、当該データを必要としなくなった従業員も参照にできる状態にあること）について、想定されたリスクに対して、共有フォルダのアクセス権限管理強化のほかに、システム監査チームが備えるべきと考えたコントロールを35字以内で答えよ。
↓
解答：取り外し可能な記録媒体に画像データを移動して保存する。　

---

●設問２：[本調査の結果]　
(2）（業務委託契約の締結又は変更時には、契約手続きの過程で、A社”情報セキュリティ規定”に基づく委託先の情報セキュリティ評価を行うことが、”業務委託規程”に定められること）
について、（i）,（ii）に答えよ。
（i）「カード決済方式の変更に伴う契約変更の際に、B社がPCI　DSSに準拠しているという理由で、情報セキュリティ評価が実施されない儘、B社の継続利用が決定されていた。PCI DSSはカード情報を取り扱う環境を対象とした基準なので、B社における　[a]　 以外の情報セキュリティ対策が、A社”情報セキュリティ規程”で定める要件を満たなないリスクがある。

[a]に入れる10字以内で答えよ

（ii）想定されたリスクを低減させるために、システム監査チームが行うべき改善提案の内容を,50字以内で答えよ。
↓
解答：(i) カード情報保護対策
(ii) B 社に対して情報セキュリティ評価を実施し，A 社が定める要件を満たすかどうかを確認すること　

---

●設問３：[本調査の結果]
(3)（誤検知が頻発している状態を改善するための”チューニング計画書”は、運用への影響を抑えるために、シグネチャの定義を詳細にして検知を絞っていた。このシグネチャの定義では異なるリスクが増加する懸念があり、運用への影響を抑えられない可能性があること）について、システム監査チームが想定した、ネットワーク型侵入防御システムにおけるリスクを、理由を含めて50字以内で答えよ。
↓
解答：検知漏れが発生しやすい状態になり，遮断すべき不正なパケットを検知できずに通過させてしまう。　

---

●設問４：[本調査の結果]
（４）（WebSV内の監視対象ファイルの新旧比較を行うために、あらかじめ監視対象ファイルの原本を別途保存する必要がある。情報システム部が”改ざん監視ファイルリスト”を作成しているが、最終更新日付は6か月前であり、最終更新日以降にコンテンツファイルの入れ替えによって、使用されなくなった旧コンテンツファイルが監視対象として残っていた。一方で、使用中のコンテンツファイルの一部が監視対象に含まれていなかったこと。）について、システム監査チームは、当該事実をどのようにして発見したか。”改ざん監視対象ファイルリスト”のほかに入手した監査証拠も含めて、監査手続きを50字以内で答えよ。
↓
解答：“改ざん監視対象ファイルリスト”とWeb サーバ内の監視対象ファイルのリストとの差異を確認した。

---

問２：ローコード/ノーコード開発ツール

●設問１ [監査手続書の作成]

(１)（「営業部長のインタビュー結果　（アプリ開発は短期間・低コストで開発できる利点）」と「利用部門からの開発申請手続について開発判断基準を設けたこと」を踏まえ、表１の管理ルール案の適用によってアプリ開発の利点が損なわれる可能性がないか、管理ルール案の内容を確認すること）について、監査部が考えた、アプリ開発の利点が損なわれる可能性を35字以内で答えよ。

↓
解答：開発申請手続の適用によって利用部門の負担が増える可能性

---

●設問２ [監査手続書の作成]
(2)（表２_１（1）リスク：利用部門がそれぞれ独自にアプリを開発し不要なアプリが乱立する事、管理ルール案：アプリの開発判断基準を作成・周知すること）（開発判断基準がリスクを低減する内容・開発可否を判断するのに必要な項目）について、検討されている開発判断基準に追加すべきと思われる項目を答えよ。

↓
解答：類似アプリの有無

---

●設問３ [監査手続書の作成]
(3)（表２_１（２）リスク（設計ドキュメントの作成、テスト不足）、コントロール（必要最小限の設計ドキュメントの作成）、システム部で利用している開発基準の流用）について、そのまま流用するのが適切ではない場合とはどのような場合か。25字以内で答えよ。

↓
解答：開発するアプリの規模が小さく難易度が低い場合

---

●設問４
(4)（表２_１（3）リスク（[ア]）、コントロール（開発用IDをシステム部で管理、登録は申請して行うこと）、開発用IDを必要最小限の部員に付与し、リスク低減すること）について、監査部が考えたリスク[ア]　を35字以内で答えよ。

↓
解答：権限を与えるべきでない利用者が本番環境のデータを参照できる。

---

●設問５
(5)（表２_2（1）
リスク：開発担当者の異動や退職によって、アプリの使用が分からず保守ができなくなる、
コントロール：「必要最小限の設計ドキュメントの作成」「テンプレートの利用ルールを定める」
について、設計ドキュメントの作成基準として、記載が必要な項目の一覧と標準フォーマットが示されている。この作成基準の適用が実効性のあるものかどうかを事務局に確認すること）について、監査部が事務局に確認しようとしている内容を４５字以内で答えよ。

↓
解答：標準フォーマットを使用した設計ドキュメント作成が可能かどうかを営業部に確認していること

---

●設問６
(6)（表２_2（２）
リスク：システム部が開発ツールを利用して開発するアプリに管理ルール案を適用した場合、必要なセキュリティ機能が実装されない、
コントロール：「個人情報などの重要データにアクセスした際の操作内容を操作ログに記録する」
について、操作ログを取得するだけでは不十分であり、そのほかに必要な穂具の保全要件についてルールが定められていることを確認する事）について、監査部が確認すべき具体的要件３０字以内で答えよ。

↓
解答：取得した操作ログが改ざん・消去されないよう保護すること

---

問３：人材管理システムの監査

●設問１ ：（１）の①（多数の従業員が移動する際には情報の閲覧についてのリスクがあり、閲覧権限が移動日に更新されることを確認する事）について、監査チームが懸念したリスクを３５字以内で答えよ。

↓
解答：人事情報の更新が遅いため，異動後は権限のない情報を閲覧できる。

---

●設問２ ：（１）の②（”基本情報” （各従業員部署・役職・連絡先、新たにその従業員の冗長の役職と氏名）が適時に更新されない問題（移動の結果が反映されるまでに数日要すること）へ対処が検討されているかどうかを、人事部と情報システム部に確認する事）について、監査チームが確認すべき内容を３５字以内で答えよ。

↓
解答：上長の役職と氏名を入力する作業の迅速化を検討していること

---

●設問３ ：（２）の①（従業員の受講歴の網羅性が確保できているといえなないこと）について、監査チームが”更新手順書”を閲覧して確かめるべき具体的内容を35字以内で答えよ。

↓
解答：アップロード件数と“受講実績表”のデータ件数の照合作業があること

●設問４ ：（２）の②（新設された資格の取得者を検索する際に支障が生じるリスク（実際には取得していても検索結果として表示されないこと）を低減する取組）について、監査チームが確認すべき取組みの内容を４０字以内で答えよ。

↓
解答：追加資格について人事部が入力内容を確認した上で資格マスターに登録すること

---

●設問５ ：（３）（（タレント管理）DX人材の選定基準に適合しないものを管理者が登録するリスク）について、監査チームが想定したリスクを、40字以内で答えよ。

↓
解答：管理者が良い評価を得るために選定基準に適合しない者を登録してしまう。

---

●設問６ ：（４）（（人材管理システム再構築の効果）業務効率向上の効果が過大に算定されている可能性があることに対して、”利用情報報告書”を閲覧し効果の確認をすること）について、監査チームが確認すべき内容を３０字以内で答えよ。

↓
解答：各職場で増えた作業も考慮して業務効率を算定していること

出典

＃＃＃
R5
https://www.ipa.go.jp/shiken/mondai-kaiotu/2023r05.html#aki_au

R4
https://www.ipa.go.jp/shiken/mondai-kaiotu/2022r04.html#aki_au

R3
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_au

R2
https://www.ipa.go.jp/shiken/mondai-kaiotu/2020r02.html#aki_au

R1
https://www.ipa.go.jp/shiken/mondai-kaiotu/2019h31.html#haru_au

H30
https://www.ipa.go.jp/shiken/mondai-kaiotu/2018h30.html#haru_au

H29
https://www.ipa.go.jp/shiken/mondai-kaiotu/2017h29.html#haru_au
H28
https://www.ipa.go.jp/shiken/mondai-kaiotu/2016h28.html#haru_au
H27
https://www.ipa.go.jp/shiken/mondai-kaiotu/2015h27.html#haru_au
H26
https://www.ipa.go.jp/shiken/mondai-kaiotu/2014h26.html#haru_au

＃＃＃＃＃＃＃＃

IPA過去問題の利用について
リンク

試験に関するよくある質問 | 試験情報 | IPA 独立行政法人 情報処理推進機構

抜粋）
当機構で公表している過去の試験問題の使用に関し、許諾や使用料は必要ありません。（ダウンロードでのご利用も特に問題ございません。）
ただし、以下の留意点を必ず確認の上、ご使用ください。

留意点

• 著作権は放棄していません。

• 教育目的など、情報処理技術者試験制度、情報処理安全確保支援士制度の意義に反しない限り、公表されている過去問題を問題集やテキストに使用される際、許諾および使用料の必要はありません。

• 出典を以下のように明記してください。（年度、期、試験区分、時間区分、問番号等）
  [例]「出典：平成31年度 春期 基本情報技術者試験 午前 問1」
  また、問題の一部を改変している場合、その旨も明記してください。

• 公表しているPDF以外の電子データの提供はできません。
  （PDFセキュリティの解除方法は提供できません。）