- トップページ
- システム監査技術者
- 平成22年度春季問題
- 平成22年度春季解答・解説
平成22年度春季解答
問題1
“システム管理基準”でいう、システムテストの統合テストで使用するテストデータの作成に対する監査項目はどれか。
| ア | テストチームが、業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか。 |
| イ | 品質保証部門が、要求仕様を満たしているシステムであることをテストするテストデータを作成しているか。 |
| ウ | プログラマが、自分で作成したプログラムのすべての経路をテストするテストデータを作成しているか。 |
| エ | プログラミングチームが、プログラム間のインタフェースをテストするテストデータを作成しているか。 |
解答:ア
<解説>
システム管理基準のⅢ.開発業務 5.システムテスト・ユーザ受入れテスト(13) には次の記述がある。
5.システムテスト・ユーザ受入れテスト(13)
| (1) | システムテスト計画は、開発及びテストの責任者が承認すること。 |
| (2) | ユーザ受入れテスト計画は、ユーザ及び開発の責任者が承認すること。 |
| (3) | システムテストに当たっては、システム要求事項を網羅してテストケースを設定して行うこと。 |
| (4) | テストデータの作成及びシステムテストは、テスト計画に基づいて行うこと。 |
| (5) | システムテストは、本番環境と隔離された環境で行うこと。 |
| (6) | システムテストは、開発当事者以外の者が参画すること。 |
| (7) | システムテストは、適切なテスト手法及び標準を使用すること。 |
| (8) | ユーザ受入れテストは、本番同様の環境を設定すること。 |
| (9) | ユーザ受入れテストは、ユーザマニュアルに従い、本番運用を想定したテストケースを設定して実 施すること。 |
| (10) | ユーザ受入れテストは、ユーザ及び運用の担当者もテストに参画して確認すること。 |
| (11) | システムテスト及びユーザ受入れテストの結果は、ユーザ、開発、運用及び保守の責任者が承認 すること。 |
| (12) | システムテスト及びユーザ受入れテストの経過及び結果を記録及び保管すること。 |
| (13) | パッケージソフトウェアを調達する場合、開発元が品質テストを実施したことを確認すること。 |
したがって、
| ア | ○ | 「(9)ユーザ受入れテストは、ユーザマニュアルに従い、本番運用を想定したテストケースを設定して実 施すること。」より正しい。 |
| イ | × | テストケースを作成するのは、テストチーム又は設計チームである。 |
| ウ | × | プログラマが、自分で作成したプログラムのすべての経路をテストするテストデータを作成しているかを確認するのは単体テストであり、システムテストではない。 |
| エ | × | プログラミングチームが、プログラム間のインタフェースをテストするのはけ結合テストであり、システムテストではない。 |
問題2
“システム監査基準”における監査業務のうち、適切なものはどれか。
| ア | 監査計画は、予備調査で変更できるが、本調査の途中で変更しない。 |
| イ | 監査報告書を外部に開示する範囲及び方法を決定する。 |
| ウ | 監査目的に応じた監査報告書を作成し、遅滞なく監査依頼者に提出する。 |
| エ | 予備調査及び本調査は自ら行い、ほかの専門家の支援を受けてはならない。 |
解答:ウ
<解説>
問題3
“JIS Q 27001:2006”の管理策を参考にして設定した、ノート型PCに対する物理的セキュリティ対策の妥当性を確かめるための監査手続きはどれか。
| ア | オフィス内を視察し、不在者のノート型PCが試乗されたキャビネットに保管されていることを確認する。 |
| イ | 管理ルールを調べ、ノート型PCを社外に持ち出す場合には、セキュリティ管理者の許可を得るルールになっていることを確認する。 |
| ウ | 教育計画及び教育記録を閲覧し、ノート型PCの安全管理についての社員教育が適切に行われていることを確認する。 |
| エ | 実際にノートPCを操作して、パスワードを入力しないと利用可能にならない仕組みになっていることを確認する。 |
解答:ア
<解説>
問題4
外部委託管理の監査に関する記述のうち、適切なものはどれか。
| ア | 請負契約においては、委託側の事務所で作業を行っている受託側要員のアクセス管理が妥当かどうかを、委託側で監査できるように定める。 |
| イ | 請負契約の場合は、受託側要員に対する委託者側責任者の指揮命令が適切に行われているかどうかを、委託側で監査する。 |
| ウ | 外部委託で開発した業務システムの品質管理の状況は、委託側で監査する必要はなく、受託側で監査すべきである。 |
| エ | 機密度の高い業務システムンの開発を外部に委託している場合は、自社開発に切り替えるように改善勧告する。 |
解答:ア
<解説>
| ア | ○ | 委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じる必要がある。 |
| イ | × | 請負契約の場合は、受託側要員に対して委託者側責任者は指揮命令を行ってはいけない。 |
| ウ | × | 委託側では、委託した業務の結果を分析及び評価する必要がある。 |
| エ | × | 機密保護に関する対策を十分にとったうえで、外部に委託することは可能である。 |
問題5
表はコンピュータを利用して行うシステム監査技法についてまとめたものである。 (1)~(4)の組合せとして適切なものはどれか。
解答:イ
<解説>
システム監査技法には、一般的なシステム監査手法とコンピュータを利用した監査技法がある。
一般的なシステム監査手法
| アンケート法 | : | 監査対象に関係している管理者・担当者の中から対象者を選定し監査人が作成したアンケート票に回答してもらう。監査テーマについての状況認識,問題意識を幅広く収集することができる。 |
| インタビュー法 | : | 監査項目についての実態を立証するために、システム監査人が直接、特定者に問い合わせ回答を入手する。 |
| チェックリスト法 | : | システム監査人がチェック項目をリスト化し、インタビューを通して状況をチェックする。 |
| ドキュメントレビュー法 | : | システム監査人が監査目的に関連した資料及び文書類を入手し、内容を確認する。 |
| 突合・照合法 | : | 関連する記録同士を突き合わせたり、記録された最終結果をその起因となった事象を示す原子データまで遡り突き合わせたりすることによって状況確認を行う。 |
| 現地調査法 | : | システム監査人が被監査部門へ赴き、そこでの作業状況を自ら調査する。 |
| テストデータ法 | : | 実際にテスト用のデータを作成・入力してシステムをテストし、処理の正当性を検証する。 |
| (汎用)監査プログラム法 | : | 監査人の指定した基準に従ってファイルからデータを抽出し、比較演算を行い処理の妥当性を検証する。 |
| 監査モジュール法 | : | 監査人のためのモジュールをシステムに組み込み、本番処理中に監査用データの抽出を行う方法。 |
| ITF法(Integrated Test Facility) | : | 監査対象ファイルの中にシステム監査人用の口座を作成し、その口座に対して各種の操作を行い処理の正確性を検証する方法。 |
| 並行シュミレーション法 | : | 特定のアプリケーションプログラムに対し、監査人がテストプログラムを準備し、実際のデータを入力してその結果を本番プログラムと比較することによって正確性を検証する方法。 |
| スナップショット法 | : | 監査対象のプログラムにあらかじめ設定したデータや条件によりメモリをダンプし、必要な情報を収集する方法。 |
| トレーシング法 | : | 特定のトランザクションの処理を追跡して、監査対象プログラムの処理の正確性を検証したり必要な情報を収集したりする方法。 |
| コード比較法 | : | あらかじめシステム監査人によって検証されているプログラムと監査対象プログラムをソースコード、オブジェクトコードのレベルで比較し、監査対象プログラムの改ざんや変更の有無を確認する方法。 |
| ペネトレーションテスト | : | システムを自分で攻撃することによって、コンピュータやネットワークの脆弱性を探す方法。 |
したがって、次のようになる。
お問い合わせ
