システム監査技術者試験の反省会
情報処理技術者試験が終了しました。
皆様お疲れ様でした。
参考までに「システム監査技術者」の自分的解答を掲載しますので
ご活用いただければ幸いです。
間違いは適宜修正していきたいと思います。
初回 2007年4月15日17:10
追記 2007年4月15日17:30 (自信度)
追記 2007年4月15日18:20
(午前の公式回答と備考を追加。)
追記 2007年4月15日18:40
(午後1を追加)
追記 2007年4月15日19:00
(午後2を追加)
自分で自分の合格判定をするのであれば・・・合格率55%です。
悔いが残るのは後述する午後2の2点だけです。
〓〓〓 午後2 〓〓〓
問3
テーマ
「建設業における現場事務所のシステム化について」
1 監査の概要 (800字)
1.1 システムの概要
建設業のA社がシステム化をしました。
私がそれを監査します。
建設業では本社が1つに現場事務所がたくさんあります。
事務所には重要な図面があります。 ← シンクライアント化しました。
事務所には職員がいます。 ← 労務管理をシステム化しました。
1.2 モニタリングについて
シンクライアントしたのでデータセンター上に保管されている
重要な図面へのアクセスをモニタリングします。
入退室管理機能つきのドアとPCのログから
職員の出勤退勤をモニタリングします。
2 監査について (1600字)
2.1体制
本社にいる設計部でデータアクセスをリアルタイム有人監視します。
重要データの大量取得などに対する自動アラート機能などもあります。
本社にいる人事部で出勤・退勤状況を1日1回確認します。
規定労働時間の大量オーバーなどに対する自動アラート機能などもあります。
2.2共通する規則
(1)自動アラート機能には自動処理を行うための条件があります。
(2)現場に立ち入り調査を行います。この自己監査により
(3)記録を修正する場合の規則 ※※※ (列挙だけして中身を書き忘れました)
(1)アラート条件は規則により、部員が勝手に変更することはできません。
部長らに決済をもらうルールです。
(2)立ち入りで異常があった場合は所属長や担当部署に絶対報告します。
設計部では持ち込みPCによる勝手な図面複製などが
実施されていないかを確認しています。
人事部では、報告上の勤務時間と入退室ログが
一致しない事務所に立ち入りをします。
(3) を書くのを忘れました。痛恨のミス。
2.3設計部特有のモニタリング
設計部がアクセスモニタリングのために使うとは言え、
(1)データへのアクセス状況は人事評価に使うことも可能です。(やめてほしい)
(2)重要でない図面へのアクセスまで部員誰でも見えてしまいます。(やめてほしい)
(3)この人、どうもデータ持ち出しをしているかもしれない、という場合で、
そこまで緊急性を要しない場合は組合に一報入れておかないと
いきなり解雇した場合に厄介なことになりそうです。
の3点はやりすぎなので自粛ルールを制定します。組合と覚書を交わします。
3.監査手続きについて (800字)
上記の社内ルールそのものには問題がないと思われました。
よってその遵守状況を確認することに加えて、以下の点を特に監査しました。
(1)監視員の体力は適正か。
(2)ログ保管の体制は?(機密性・信頼性)
(3)自動チェックの算定式そのものは正しいものと言えるか?
(4)モニタリング端末そのもののアクセスコントロールは適正か?
(1)から(3)は今回は適正だったが、処理量の増加に伴い
見直しが必要になるときが来るだろう。
(4)は、元々人事情報と図面情報を扱っている部署だけあってOKだった。
というわけで、特に問題ないみたいですよ。
以 上
気になる点は2箇所。
(1)
箇条書きで3点列挙して2点は詳細を説明したのに
1点を丸ごと忘れたこと。
あまり気にならないような些細なことだったから自分まで忘れた。
だから読む側にとってもそんなに不自然を感じないような気がする。
それに気づいたのはラスト30秒。がんばれば直せそうではあったが、
直すのに失敗して中途半端になってしまうよりは・・・、と思い直して修正せず。
(2)
一部が抜けたにも関わらず文量が多すぎ。
800+2400で3200でした。5枚目には突入していません。
「3000を超えると危険」説というのがあります。
アナリストの論文は3400くらいで合格してました。
よって、この説は、あまりだらだら書くとそれに見合う論旨を
構築できない可能性が上昇する、ということだと理解しています。
でも不安でいっぱいです。
〓〓〓 午後1 〓〓〓
問1
- システムの専門能力をもつ者がいないので
対応や回収に時間がかかる。 - (1)室長自身が裏アカウントを登録申請する。
(2)上位または同列の人(部長とか)の決済を得る。 - 物理的アクセスコントロールに問題があるため、
A者担当者が不在の場合に機器をいじることができる。 - システム担当の者は業務から外して運用だけを行い、
通常運用でデータベースの内容に触れずに済むようにする
問2
- 現行ですらバッチ処理の終了時刻があやしいのに
そこに更に追加している。終了予想時刻を計算して確認する。 - 報告先が作業進捗ミーティングとあるが、
作業進捗ミーティングはWGリーダが議長を行う現場主義な場所。
議事録の提出先もWGリーダとPMまでとなっている。
これでは統合委員会に対して直接の報告がいかない。 - 解決すべき問題 → (4)
各WGの要員の能力を測定し、足りないWGがあれば
十分に知識を備えた人材を補充する。 - C社に所属するE氏がC社のシステムを存続すること
ありきで検討を進めてはいけない。立場は中立で。
問4
- (不適切)システム開発部の改善時期が記載されていない
(理由)忙しいなら忙しいでその証拠が必要。 - 年度監査報告書でフォローアップ監査の時期を定めていない点
- (1指摘)被監査部門から直接依頼を受けて作業をしている点
(1理由)S君の監査は誰がやる?という話になる - (2指摘)出席人数や実施回数だけで判断している
(2理由)効果を測定したり出席者が偏っていないか未確認
〓〓〓 午前 〓〓〓
午前の自分的解答と公式回答です。
正答率は 44 / 55 で 80%
でした。
情報処理試験センターさんのサーバが
一時ほとんどつながりませんでしたが
現在は何とかなった模様です。
| 設問 |
自分的 解答 |
判定 | 公式回答 | 備考 |
| 1 | イ | × | ウ | 1命令の平均が30ナノ秒。 1秒/30ナノ秒=33MIPS |
| 2 | ア | ○ | ア | |
| 3 | ア | × | エ | 利用率=到着率/サービス率 0.2=0.5/X → X=2.5 |
| 4 | ウ | × | エ | 全然わかりませんでした。 |
| 5 | エ | ○ | エ | |
| 6 | イ | ○ | イ | |
| 7 | ア | ○ | ア | |
| 8 | ア | ○ | ア | |
| 9 | イ | ○ | イ | |
| 10 | ア | × | ウ | ITILの可用性管理は「障害の予防」 |
| 11 | ア | ○ | ア | |
| 12 | イ | ○ | イ | |
| 13 | イ | ○ | イ | |
| 14 | イ | ○ | イ | |
| 15 | イ | ○ | イ | |
| 16 | エ | ○ | エ | |
| 17 | ア | ○ | ア | |
| 18 | エ | ○ | エ | |
| 19 | ア | ○ | ア | |
| 20 | エ | × | イ | 過去に出題歴がある問題でした。 データのオーナは利用部門ではなくて 業務の主管部門です。 |
| 21 | ウ | × | ア | PPTPとL2Fが統合された仕様・・・ というのが気に掛かり選んで失敗でした。 |
| 22 | ア | ○ | ア | |
| 23 | イ | ○ | イ | |
| 24 | エ | ○ | エ | |
| 25 | イ | ○ | イ | |
| 26 | ウ | ○ | ウ | |
| 27 | エ | ○ | エ | |
| 28 | イ | × | ア | |
| 29 | イ | ○ | イ | |
| 30 | ア | ○ | ア | |
| 31 | エ | ○ | エ | |
| 32 | ウ | ○ | ウ | |
| 33 | ウ | ○ | ウ | |
| 34 | ア | ○ | ア | |
| 35 | ウ | ○ | ウ | |
| 36 | エ | ○ | エ | |
| 37 | ウ | × | エ | あれ。SIerなのにこれを誤答してしまった。 |
| 38 | ウ | ○ | ウ | |
| 39 | ア | ○ | ア | |
| 40 | エ | × | ア | 「主務大臣からの命令」まで含んだかな? と悩んでしまいました。勉強不足です。 |
| 41 | ア | ○ | ア | |
| 42 | ウ | ○ | ウ | |
| 43 | ア | × | イ | ミスです。引用符で目立たせてくれたのに ”システム監査基準”を選びました。 |
| 44 | エ | ○ | エ | |
| 45 | ウ | ○ | ウ | |
| 46 | イ | ○ | イ | |
| 47 | イ | ○ | イ | |
| 48 | ア | ○ | ア | |
| 49 | ア | ○ | ア | |
| 50 | イ | ○ | イ | |
| 51 | エ | ○ | エ | |
| 52 | エ | ○ | エ | |
| 53 | ウ | × | イ | 固有リスクと発見リスクは左右できないので それに応じて統制をかけるのかと思いました。 |
| 54 | ウ | ○ | ウ | |
| 55 | ウ | ○ | ウ |
投稿方法にミスがありました。
何度も404 Not Found
を見てしまった方へ。
ごめんなさい。