応用情報技術者過去問題 令和7年秋期 午後問11
⇄問題文と設問を画面2分割で開く⇱問題PDF問11 システム監査
情報システムのアクセス管理状況の点検に関する監査について,次の記述を読んで,設問に答えよ。
P社グループは,持株会社P社,小売業Q社,金融業R社,人材派遣業S社(以下,グループ各社という)から構成される企業グループであり,様々な情報システムを利用している。P社システム統括部は,P社グループ全体のシステムリスク管理を所管し,グループ各社におけるアクセス管理状況に関する自主点検(以下,点検という)などを主導している。一方,P社グループでは,アクセス管理策の不備に起因する情報漏えい事案などが発生していた。
P社内部監査部は,このような状況を踏まえて,グループ各社を対象として,点検の実効性が確保されているかどうか,監査を実施することにした。システム監査チームは,予備調査を実施して,P社グループの情報システムの運用状況及び点検の概要を次のとおり把握し,本調査での監査要点案を作成した。
〔情報システムの運用状況〕
〔監査要点案の作成〕
システム監査チームが予備調査の結果を踏まえて作成した本調査での監査要点案(抜粋)を表2に示す。
〔内部監査部長の指示〕
内部監査部長は,本調査での監査要点案をレビューして,次のとおり指示した。
P社グループは,持株会社P社,小売業Q社,金融業R社,人材派遣業S社(以下,グループ各社という)から構成される企業グループであり,様々な情報システムを利用している。P社システム統括部は,P社グループ全体のシステムリスク管理を所管し,グループ各社におけるアクセス管理状況に関する自主点検(以下,点検という)などを主導している。一方,P社グループでは,アクセス管理策の不備に起因する情報漏えい事案などが発生していた。
P社内部監査部は,このような状況を踏まえて,グループ各社を対象として,点検の実効性が確保されているかどうか,監査を実施することにした。システム監査チームは,予備調査を実施して,P社グループの情報システムの運用状況及び点検の概要を次のとおり把握し,本調査での監査要点案を作成した。
〔情報システムの運用状況〕
- P社システム統括部は,グループ各社のシステム部からの報告内容に基づき,IT機器管理表及びアプリケーションソフトウェア管理表(以下,各管理表という)を更新している。
- IT機器管理表には,グループ各社が管理するサーバ,PCなどの識別番号,OS,業務委託の有無などが記載されている。また,アプリケーションソフトウェア管理表には,グループ各社が利用するアプリケーションソフトウェア名,取り扱う情報の内容,業務委託の有無などが記載されている。
- P社のアクセス管理規程に定められた管理策は,原則としてグループ各社に適用される。当該規程では,例えば,グループ各社に配置されたPCは,利用者ごとのID及びパスワードでログインすることが定められている。
- グループ各社においてアクセス管理規程に定められた管理策を適用できない場合には,グループ各社のシステム部が代替の管理策を申請し,P社システム統括部長の承認を受ける。
- P社は,グループ各社が共同利用するグループウェア,経理システム,人材管理システムなどのほか,グループ各社の営業情報などを収集,モニタリングする経営情報システムを保有しており,T社に運用,保守を業務委託している。
- Q社は,R社発行のクレジットカードを利用した顧客の購買履歴などを分析する顧客管理システムを保有しており,U社に運用,保守を業務委託している。
- Q社の店舗には,複数の従業員が共用するPCが配置されており,顧客対応上の必要性を考慮して,共用のID及びパスワードでログインする。店舗のシステム管理者は当該パスワードを10営業日ごとに変更し,店舗の従業員に連絡する。P社システム統括部長は,当該管理策を承認している。
- S社は,派遣スタッフの氏名,派遣先,時間単価などを派遣システムで管理している。予備調査の1か月前には,派遣システムのアクセス管理策の運用状況に関する不備に起因して,派遣スタッフの個人情報が漏えいする事案(以下,情報漏えい事案という)が発生していた。
- 点検プロセスの概要は,次のとおりである。
- P社システム統括部は,アクセス管理規程,各管理表などに基づき,点検のポイント,対象などを設定し,グループ各社の点検表を作成して,グループ各社のシステム部に半年ごとに点検を指示する。
- グループ各社のシステム部は,点検表に基づき点検を実施し,当該点検の結果,不備についての是正状況などをP社システム統括部に報告する。
- P社システム統括部は,点検に関する報告内容を確認し,必要に応じて,不備について是正を進めるよう指導,支援する。
- P社システム統括部は,グループ各社のシステム部からの点検に関する報告内容などを踏まえて,点検のポイント,対象などを見直す。
- P社システム統括部の担当者は,各管理表に点検の対象かどうかを記載し,1か月ごとに更新している。システム統括部長は,担当者から更新の内容及び理由について説明を受け,各管理表に承認したことを記録する。
- グループ各社のシステム部は,顧客情報,営業情報などを取り扱う情報システムの運用,保守を業務委託する場合,点検の一環として,委託先のアクセス管理状況を確認し,P社システム統括部に報告することになっている。Q社のシステム部からは当該点検の都度,U社におけるアクセス管理策の不備が報告されていた。
- 予備調査までにS社以外のグループ各社で実施された点検では,何らかの不備が発見されていた。一方,S社で情報漏えい事案の発生時までに実施された点検では,派遣システムのアクセス管理策の運用状況を点検していたものの,不備は全く発見されていなかった。
- P社システム統括部が作成した点検表の例(抜粋)を表1に示す。
システム監査チームが予備調査の結果を踏まえて作成した本調査での監査要点案(抜粋)を表2に示す。
内部監査部長は,本調査での監査要点案をレビューして,次のとおり指示した。
- 表2項番1の監査要点に関して,グループ各社においてアクセス管理規程に定められた管理策が適用できない場合のaも考慮して,点検のポイントを適切に設定しているか確認すること。
- 表2項番2の監査要点に関して,効率よく監査を実施するために監査対象をサンプリングする場合には,bが形骸化しているおそれが大きいと想定されるS社を含めること。
- 表2項番3の監査要点に関して,グループ各社及びcにおける不備についての是正状況を確認するだけではなく,dがQ社のシステム部に対して,eしているか,確認すること。
- 表2項番4の監査要点に関して,点検の対象が記載されている各管理表の更新について,P社システム統括部長のfを確認するだけではなく,P社システム統括部長がgを把握しているか,インタビューによって確認すること。
- 表2項番1~4の監査要点に加えて,点検の対象を見直した結果に基づき,グループ各社に点検が指示されているか,hとiとを照合して,確認すること。
設問1
〔内部監査部長の指示〕(1)のaに入れる適切な字句を,10字以内で答えよ。
解答入力欄
- a:
解答例・解答の要点
- a:代替の管理策の適用 (9文字)
解説
情報システムのアクセス管理状況の点検に関する監査を題材として、システム監査の手続きの基本的な理解が問われています。予備調査で把握された事項を基にして、監査手続きの内容が問われる流れは従来の出題様式が踏襲されていますが、監査の対象が一つの企業ではなく、企業グループ全体とその業務委託先を対象としているのが目新しいところです。昨今の情報セキュリティインシデントの多くが業務委託先に起因していることを踏まえた出題と言えます。また、監査手続きの中では、点検の実効性が確保されているかに焦点が当てられ、点検を進める流れを説明した文書を精緻に読解する能力がモノを言うのが本問の特徴です。
〔aについて〕
空欄aの全文にある「グループ各社においてアクセス管理規程に定められた管理策が適用できない場合」について、予備調査の結果から該当箇所を探すと、〔情報システムの運用状況〕(4)が該当します。ここでは「グループ各社のシステム部が代替の管理策を申請し,P社システム統括部長の承認を受ける」という例外的な取扱いが存在することがわかります。実際に〔情報システムの運用状況〕(7)では、Q社店舗の共用PCでは、共用のID及びパスワードでログインする特別な取扱いが承認され、運用されている状況です。
一方、表1「点検表の例」を見ると、項番1は「利用者ごとのID及びパスワードを用いているか」という管理規程に従った内容となっています。例外的な運用を認めている会社や部門については、当然にその状況に応じて個別に点検のポイントを設定しなければなりません。この対応が行われていない場合、点検項目が実態と合わず、点検の実効性が失われてしまうことになります。内部監査部長はこうしたリスクを把握し、代替の管理策が適用されている場合を考慮した適切な点検ポイントが設定されているか、を確認するよう指示したと考えられます。したがって、空欄aには〔情報システムの運用状況〕(4)から抜き出した「代替の管理策の適用」が妥当します。
なお、模範解答は「代替の管理策の適用」とされていますが、「代替の管理策」または「代替の管理策の承認」としても問題ないと考えられます。
∴a=代替の管理策の適用
〔aについて〕
空欄aの全文にある「グループ各社においてアクセス管理規程に定められた管理策が適用できない場合」について、予備調査の結果から該当箇所を探すと、〔情報システムの運用状況〕(4)が該当します。ここでは「グループ各社のシステム部が代替の管理策を申請し,P社システム統括部長の承認を受ける」という例外的な取扱いが存在することがわかります。実際に〔情報システムの運用状況〕(7)では、Q社店舗の共用PCでは、共用のID及びパスワードでログインする特別な取扱いが承認され、運用されている状況です。
一方、表1「点検表の例」を見ると、項番1は「利用者ごとのID及びパスワードを用いているか」という管理規程に従った内容となっています。例外的な運用を認めている会社や部門については、当然にその状況に応じて個別に点検のポイントを設定しなければなりません。この対応が行われていない場合、点検項目が実態と合わず、点検の実効性が失われてしまうことになります。内部監査部長はこうしたリスクを把握し、代替の管理策が適用されている場合を考慮した適切な点検ポイントが設定されているか、を確認するよう指示したと考えられます。したがって、空欄aには〔情報システムの運用状況〕(4)から抜き出した「代替の管理策の適用」が妥当します。
なお、模範解答は「代替の管理策の適用」とされていますが、「代替の管理策」または「代替の管理策の承認」としても問題ないと考えられます。
∴a=代替の管理策の適用
設問2
〔内部監査部長の指示〕(2)のbに入れる適切な字句を解答群の中から選び,記号で答えよ。
b に関する解答群
- 監査
- 承認
- 情報漏えい事案
- 点検
- 派遣システム
- 予備調査
解答入力欄
- b:
解答例・解答の要点
- b:エ
解説
〔bについて〕
文脈より、空欄bにはS社で形骸化している何かが入ります。〔点検の概要〕(4)には以下の記述があります。
このような状況を踏まえ、内部監査部長は、表2項番2にある点検の結果と実態の整合性の確認に関して、点検が形骸化している可能性が高いS社をサンプリング対象に含めるよう指示したと考えられます。したがって、空欄bには「点検」が妥当します。
他の選択肢に関しては、次のとおりです。
まず、「bが形骸化している」という記述から、空欄bには派遣システムのアクセス管理策として本来実施されるべき、何らかの「プロセス」が入ることがわかります。このため「ウ:情報漏えい事案」や「オ:派遣システム」は該当しません。
次に、空欄bはS社において実施すべき管理策であることから、P社内部監査部が実施する「ア:監査」や「カ:予備調査」は該当しません。
「イ:承認」については、S社を含むグループ各社のシステム部の役割は「点検を実施し,当該点検の結果,不備についての是正状況などをP社システム統括部に報告する」ことであり、承認は行わないため不適切と判断できます。
∴b=エ:点検
文脈より、空欄bにはS社で形骸化している何かが入ります。〔点検の概要〕(4)には以下の記述があります。
- 予備調査までにS社以外のグループ各社で実施された点検では,何らかの不備が発見されていた
- S社で情報漏えい事案の発生時までに実施された点検では,派遣システムのアクセス管理策の運用状況を点検していたものの,不備は全く発見されていなかった
このような状況を踏まえ、内部監査部長は、表2項番2にある点検の結果と実態の整合性の確認に関して、点検が形骸化している可能性が高いS社をサンプリング対象に含めるよう指示したと考えられます。したがって、空欄bには「点検」が妥当します。
他の選択肢に関しては、次のとおりです。
まず、「bが形骸化している」という記述から、空欄bには派遣システムのアクセス管理策として本来実施されるべき、何らかの「プロセス」が入ることがわかります。このため「ウ:情報漏えい事案」や「オ:派遣システム」は該当しません。
次に、空欄bはS社において実施すべき管理策であることから、P社内部監査部が実施する「ア:監査」や「カ:予備調査」は該当しません。
「イ:承認」については、S社を含むグループ各社のシステム部の役割は「点検を実施し,当該点検の結果,不備についての是正状況などをP社システム統括部に報告する」ことであり、承認は行わないため不適切と判断できます。
∴b=エ:点検
設問3
〔内部監査部長の指示〕(3)について答えよ。
- 本文中のcに入れる適切な字句を,5字以内で答えよ。
- 本文中のdに入れる適切な字句を,10字以内で答えよ。
- 本文中のeに入れる適切な字句を,15字以内で答えよ。
解答入力欄
- c:
- d:
- e:
解答例・解答の要点
- c:委託先 (3文字)
- d:P社システム統括部 (9文字)
- e:是正を進めるよう指導,支援 (13文字)
解説
〔内部監査部長の指示〕(3)は、表2項番3の監査要点に関し、外部委託先であるQ社に関する不備の是正がテーマになっていることが文面より読み取れます。外部委託先の管理及びU社の不備については、〔点検の概要〕(3)に以下の説明があります。
〔cについて〕
空欄cには、不備の是正状況を確認する対象が入ります。〔点検の概要〕(3)に「グループ各社のシステム部は,…,委託先のアクセス管理状況を確認し」とあることから、是正状況の確認についても同様に、グループ各社のシステム部が委託先に対し行うものと判断できます。したがって、空欄cには「委託先」が妥当します。
今回問題となった不備は業務委託先であるU社に存在するため、そのまま空欄cを「U社」と解答することも考えられます。しかし、空欄cは「グループ各社及び」と並列の関係にあることから、文脈上、特定の会社名ではなく外部委託先全体を対象とする表現(=委託先)が入るのが自然です。
∴c=委託先
〔deについて〕
空欄dの後には「Q社のシステム部に対して,eしているか,を確認する」と続くことから、是正を進めるための働きかけを行う主体が入ることがわかります。本問に登場する関係者は、P社、グループ各社、委託先の三者ですが、アクションの受動側であるグループ各社は除外できます。そうなると、P社又は委託先が解答の候補となります。
〔点検の概要〕(1)では、点検の実施及び実施後の流れが示されています。業務委託先のアクセス管理状況の確認についても、以下の点検の一環として実施されます。
これらを踏まえると、点検で発見された不備について、グループ各社のシステム部に対し、是正を進めるよう働きかけ(指導・支援)を行う立場にあるのは、P社システム統括部であると判断できます。また、P社システム統括部が発見された不備に関して行うべきことは、上記2.より「是正を進めるよう指導,支援する」ことです。
したがって、空欄dには「P社システム統括部」が、空欄eには「是正を進めるよう指導,支援」がそれぞれ妥当します。
本来は、P社システム統括部による指導・支援によって不備は是正されていくはずです。しかし、U社において是正が進んでいない状況が継続していることから、U社の対応が遅れている場合のほか、P社システム統括部による指導・支援が十分に機能していない可能性も想定されます。そのため、内部監査部長は、本調査においてこの点を確認するよう指示したと考えられます。
∴d=P社システム統括部
e=是正を進めるよう指導,支援
- グループ各社のシステム部は,顧客情報,営業情報などを取り扱う情報システムの運用,保守を業務委託する場合,点検の一環として,委託先のアクセス管理状況を確認し,P社システム統括部に報告することになっている
- Q社のシステム部からは当該点検の都度,U社におけるアクセス管理策の不備が報告されていた
〔cについて〕
空欄cには、不備の是正状況を確認する対象が入ります。〔点検の概要〕(3)に「グループ各社のシステム部は,…,委託先のアクセス管理状況を確認し」とあることから、是正状況の確認についても同様に、グループ各社のシステム部が委託先に対し行うものと判断できます。したがって、空欄cには「委託先」が妥当します。
今回問題となった不備は業務委託先であるU社に存在するため、そのまま空欄cを「U社」と解答することも考えられます。しかし、空欄cは「グループ各社及び」と並列の関係にあることから、文脈上、特定の会社名ではなく外部委託先全体を対象とする表現(=委託先)が入るのが自然です。
∴c=委託先
〔deについて〕
空欄dの後には「Q社のシステム部に対して,eしているか,を確認する」と続くことから、是正を進めるための働きかけを行う主体が入ることがわかります。本問に登場する関係者は、P社、グループ各社、委託先の三者ですが、アクションの受動側であるグループ各社は除外できます。そうなると、P社又は委託先が解答の候補となります。
〔点検の概要〕(1)では、点検の実施及び実施後の流れが示されています。業務委託先のアクセス管理状況の確認についても、以下の点検の一環として実施されます。
- グループ各社のシステム部は,点検表に基づき点検を実施し,当該点検の結果,不備についての是正状況などをP社システム統括部に報告する
- P社システム統括部は,点検に関する報告内容を確認し,必要に応じて,不備について是正を進めるよう指導,支援する
これらを踏まえると、点検で発見された不備について、グループ各社のシステム部に対し、是正を進めるよう働きかけ(指導・支援)を行う立場にあるのは、P社システム統括部であると判断できます。また、P社システム統括部が発見された不備に関して行うべきことは、上記2.より「是正を進めるよう指導,支援する」ことです。
したがって、空欄dには「P社システム統括部」が、空欄eには「是正を進めるよう指導,支援」がそれぞれ妥当します。
本来は、P社システム統括部による指導・支援によって不備は是正されていくはずです。しかし、U社において是正が進んでいない状況が継続していることから、U社の対応が遅れている場合のほか、P社システム統括部による指導・支援が十分に機能していない可能性も想定されます。そのため、内部監査部長は、本調査においてこの点を確認するよう指示したと考えられます。
∴d=P社システム統括部
e=是正を進めるよう指導,支援
設問4
〔内部監査部長の指示〕(4)について答えよ。
- 本文中のfに入れる適切な字句を,5字以内で答えよ。
- 本文中のgに入れる適切な字句を,10字以内で答えよ。
解答入力欄
- f:
- g:
解答例・解答の要点
- f:承認の記録 (5文字)
- g:更新の内容及び理由 (9文字)
解説
〔fgについて〕
〔内部監査部長の指示〕(4)では、点検対象を見直す際に、システム統括部長がどのような役割を担っているかが確認の対象となっています。予備調査の結果から該当箇所を確認すると、〔点検の概要〕(2)に「システム統括部長は,担当者から更新の内容及び理由について説明を受け,各管理表に承認したことを記録する」と記載されています。
システム監査では、まず文書を確認してコントロールが存在していることを把握し、その後、そのコントロールが適切に実施されているかを、実施者本人へのインタビュー等によって検証するのが基本的な手順となります。
点検対象の見直しに適用されているコントロールはシステム統括部長による承認であるため、空欄fには「承認の記録」が入ります。システム統括部長へのインタビューでは、このコントロールが適切に実施されているか、すなわち更新の内容や理由を理解した上で承認をしているかを確認することになります。システム統括部長の承認が形だけのものとなっていた場合、各管理表から作成される点検表も実態と合わないものとなり、点検の実効性が失われてしまうためです。したがって、空欄gには「更新の内容及び理由」が入ります。
∴f=承認の記録
g=更新の内容及び理由
〔内部監査部長の指示〕(4)では、点検対象を見直す際に、システム統括部長がどのような役割を担っているかが確認の対象となっています。予備調査の結果から該当箇所を確認すると、〔点検の概要〕(2)に「システム統括部長は,担当者から更新の内容及び理由について説明を受け,各管理表に承認したことを記録する」と記載されています。
システム監査では、まず文書を確認してコントロールが存在していることを把握し、その後、そのコントロールが適切に実施されているかを、実施者本人へのインタビュー等によって検証するのが基本的な手順となります。
点検対象の見直しに適用されているコントロールはシステム統括部長による承認であるため、空欄fには「承認の記録」が入ります。システム統括部長へのインタビューでは、このコントロールが適切に実施されているか、すなわち更新の内容や理由を理解した上で承認をしているかを確認することになります。システム統括部長の承認が形だけのものとなっていた場合、各管理表から作成される点検表も実態と合わないものとなり、点検の実効性が失われてしまうためです。したがって、空欄gには「更新の内容及び理由」が入ります。
∴f=承認の記録
g=更新の内容及び理由
設問5
〔内部監査部長の指示〕(5)のh,iに入れる適切な字句を,それぞれ5字以内で答えよ。
解答入力欄
- h:
- i:
解答例・解答の要点
- h:各管理表 (4文字)
- i:点検表 (3文字)
解説
〔hiについて〕
空欄には、点検対象の見直し内容が、点検指示に反映されているかを確認するための情報が入ります。
〔点検の概要〕(1)①によれば、各グループの点検表はアクセス管理規程及び各管理表に基づいて作成されるとあるため、入力情報である各管理表と、出力情報である点検表を照合すれば、更新内容が正しく反映されているかを確認することができます。したがって、空欄h及びiには「各管理表」「点検表」が当てはまります。
管理表は、毎月及び報告内容に基づいて逐次更新されることから、点検表の作成者が誤って旧版を参照し、点検対象に過不足が生じるおそれがあります。実効性の観点からは重要な確認点と言えます。
∴hi=各管理表、点検表(順不同)
空欄には、点検対象の見直し内容が、点検指示に反映されているかを確認するための情報が入ります。
〔点検の概要〕(1)①によれば、各グループの点検表はアクセス管理規程及び各管理表に基づいて作成されるとあるため、入力情報である各管理表と、出力情報である点検表を照合すれば、更新内容が正しく反映されているかを確認することができます。したがって、空欄h及びiには「各管理表」「点検表」が当てはまります。
管理表は、毎月及び報告内容に基づいて逐次更新されることから、点検表の作成者が誤って旧版を参照し、点検対象に過不足が生じるおそれがあります。実効性の観点からは重要な確認点と言えます。
∴hi=各管理表、点検表(順不同)
