システム監査技術者 受験の申し込みを完了し午後問題を解いてみました

今年の春期情報処理技術者試験で、システム監査技術者と情報処理安全確保支援士のどちらかを受験しようと考えていましたが、ついに決断しました。システム監査技術者を受験します。昨年論文Bランクで不合格であったため、リベンジとなります。

システム監査技術者は情報処理技術者試験の中で、最も受験者数が少なく人気がないです。今回が初回試験となる情報処理安全確保支援士と比べると、ほとんど注目されていない試験区分といえます。とはいえ、情報システム全体の安全性、信頼性、効率性を確認するシステム監査の重要性は、今後、ますます高くなると思います。

というわけで、受験の申し込みを完了し、数問ですが午後問題を解いてみました。すると、昨年は気付かなかった多くのことに気付いたため、備忘録としてブログします。

午後Ⅰ問題について

注意すべき点は次の3つです。

  1. 問われている用語の意味を正確に理解する
  2. 指摘事項、改善勧告は根拠が必ず問題文に書かれている
  3. 問題文で書かれているコントロールを疑う必要もある

1つめは、設問に「~妥当性について答えよ」と書かれている場合、問題文に網羅性、正確性、整合性などについて書かれていても、必ず妥当性、すなわち正当な承認者の承認などについて解答する必要があります。用語の意味を理解していないと間違えます。

2つめは、客観性の担保です。指摘事項や改善勧告は必ず根拠となる監査調書に基づき表明しなければなりません。ということは、問題文に必ず根拠が書かれていることになります。もし、問題文に根拠がない場合、それは誰が監査をしても同じ指摘になる、あたり前のことであるといえます。

3つめは、問題文に「利用部門の申請に基づき、IT部門がアクセス権限を設定する」と書かれている場合、問題がないと考えてはいけないようです。監査手続を問われた時は「申請が最小権限であるか業務フローと照合し確認する」「権限設定が適切か申請書と設定ログを突き合わせ確認する」など、常に問題がないかを疑うことが必要です。

午後Ⅱ問題について

昨年論文B判定の時、私が理解できていなかったのが、二次コントロールという概念です。

システム監査は既にあるコントロール(これを一次コントロールという)が、適切に機能しているかを整備、運用状況の観点で確認します。

ここで注意すべきが、一次コントロールについて云々書かないということです。具体的には、運用面や技術面である一次コントロールの不備を指摘するのではなく、それら一次コントロールの不備をチェックする体制や仕組みの不備を指摘事項とし改善勧告を行います。

この考え方をしっかり理解していないと、例えば、プロジェクト計画の不備に対してWBSの利用を改善勧告にするなどの間違いにつながります。この場合は、計画時にプロジェクト管理の有識者を参画させるなどが改善勧告となります。

あとがき

システム監査技術者の試験日まで、既に2ヶ月を切りました。

ぼちぼち、試験対策の勉強を始めていきたいと考えています。また、問題を解いて気付いたことがあれば、自分の備忘を兼ねてブログしたいと思います。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Copy Protected by Chetan's WP-Copyprotect.