はじめに:システム監査って何?
幽灯子/基本情報技術者副専門官「システム監査」と聞いて、難しそうだと感じる方も多いでしょう。でも、実はとてもシンプルな概念です。
一言で言うと、「会社のコンピューターシステムが正しく・安全に使われているかをチェックすること」です。
たとえば、あなたの会社でお客様の個人情報を管理するシステムがあるとします。そのシステムが、
- ちゃんとセキュリティ対策されているか?
- 担当者だけがアクセスできる状態になっているか?
- もし障害が起きたときに復旧できる仕組みがあるか?
こういったことを専門家が客観的に調べて、問題があれば改善を提案する活動が「システム監査」です。
システム監査の目的
幽灯子/基本情報技術者副専門官基本情報技術者試験では、システム監査の「目的」がよく問われます。
システム監査の主な目的は次の3つです。
① 信頼性の確保 システムが正確に動いているか、データが正しく処理されているかを確認します。「このシステム、本当に信用できるの?」という疑問に答えるのが目的です。
② 安全性の確保 不正アクセスや情報漏洩などのリスクがないか確認します。個人情報や機密情報を守るためにも重要です。
③ 効率性の確保 システムが無駄なく、効率よく使われているかをチェックします。コストの無駄遣いがないかも見ます。
まとめると、「システムが正しく・安全に・効率よく使われているかを確かめること」がシステム監査の目的です。
監査人って誰がやるの?
幽灯子/基本情報技術者副専門官システム監査を行う人を「システム監査人」といいます。
ここで大事なポイントがあります。試験にも頻出です。
独立性が超重要!
システム監査人は、監査対象のシステムに関わっていない人でなければなりません。これを「独立性」といいます。
なぜなら、自分が作ったシステムを自分でチェックしても、都合の悪いことは見逃してしまうかもしれないからです。
例えるなら、テストの採点を自分でやるようなもの。先生(第三者)が採点するから公平なわけです。
監査人には内部監査人と外部監査人の2種類があります。
- 内部監査人:会社の中にいる監査専門の人。監査対象のシステム開発・運用には関与しない。
- 外部監査人:外部の監査法人や専門家。よりフラットな立場でチェックできる。
システム監査の流れ(プロセス)
幽灯子/基本情報技術者副専門官試験では、監査がどのような手順で進むかもよく問われます。大きく分けると次の4ステップです。
ステップ1:監査計画の立案
まず、「何を・いつ・どのように監査するか」を計画します。監査の範囲や目標、スケジュールを決める重要なフェーズです。
ステップ2:予備調査
本格的な調査の前に、対象システムの概要を把握します。関連書類を集めたり、担当者にヒアリングしたりして、監査のポイントを絞り込みます。
ステップ3:本調査(フィールドワーク)
実際に現場に入って、書類の確認・インタビュー・実地観察などを行い、証拠(監査証拠)を集めます。
ステップ4:報告
調査結果をまとめて「監査報告書」を作成し、経営者や関係部門に報告します。問題があれば改善勧告を出します。
監査の種類:何をチェックするかで分類される
幽灯子/基本情報技術者副専門官システム監査には大きく分けて2つのアプローチがあります。
コンプライアンス監査(準拠性監査)
「ルール通りにやっているか?」を確認する監査です。 法律・社内規定・業界標準などに準拠しているかをチェックします。
例:「個人情報保護法に従った運用をしているか?」
実態監査(有効性監査)
「そのルールや仕組みが実際に機能しているか?」を確認する監査です。 ルールがあっても実態が伴っていないケースを洗い出します。
例:「パスワードポリシーが定められているが、実際に守られているか?」
よく試験に出るキーワード集
幽灯子/基本情報技術者副専門官基本情報技術者試験では、以下のキーワードが繰り返し登場します。しっかり押さえておきましょう。
監査証拠 監査人が結論を出すための根拠となる情報のこと。書類・ログデータ・インタビュー記録などが該当します。「十分かつ適切な監査証拠を入手する」ことが監査人の基本姿勢です。
監査調書 監査の過程で入手した情報や実施内容をまとめた記録。後から監査結果の根拠を確認できるように、適切に保管する必要があります。
監査報告書 監査の最終成果物。発見した問題点(指摘事項)と改善勧告が記載されます。経営者への提出が必須です。
改善勧告 監査で問題が見つかった場合に、監査人が被監査部門に改善を促す提言のこと。強制力はないことが多いですが、経営者への報告と組み合わせることで実効性を持ちます。
フォローアップ 改善勧告を出した後、実際に改善が行われたかを確認する活動。監査は報告書を出して終わりではなく、改善まで確認することが重要です。
試験でよく出る引っかけポイント
❌ 監査人はシステムを直接修正してはいけない
監査人の役割は「チェックして報告すること」です。問題を見つけても、自分でシステムを修正することはしません。独立性と客観性を保つためです。
❌ 「監査」と「評価・診断」は別物
監査は独立した第三者が行う正式な検証活動です。単なるレビューや評価とは異なります。
✅ 監査人には「守秘義務」がある
監査で知り得た情報は外部に漏らしてはなりません。機密情報を扱うため、厳格な守秘義務が課されています。
身近な例で理解するシステム監査
幽灯子/基本情報技術者副専門官少し想像してみましょう。あなたがスーパーのレジ担当だとします。
会社には「現金はその日のうちに金庫に入れること」というルールがあります。
システム監査とは、このルールが守られているか・金庫への記録が正確か・不正が行われていないかを、レジ作業に関わっていない専門家が客観的にチェックする活動です。
ITシステムの世界でも同じです。「データが正しく管理されているか」「不正アクセスが防がれているか」「業務が効率的に行われているか」を第三者がチェックすることで、会社の信頼性と安全性を守っています。
まとめ
システム監査を一言でまとめると、「ITシステムが正しく・安全に・効率よく使われているかを、独立した第三者が客観的にチェックして報告する活動」です。
基本情報技術者試験では、以下のポイントを特に押さえておきましょう。
- 目的は「信頼性・安全性・効率性の確保」
- 監査人の「独立性」が最重要
- 監査の流れは「計画 → 予備調査 → 本調査 → 報告」
- 監査人は問題を見つけても自分で修正しない
- 報告後の「フォローアップ」まで監査の一部
幽灯子/基本情報技術者副専門官システム監査は難しそうに見えますが、本質は「第三者による公平なチェック」です。この本質を理解すれば、試験問題の選択肢の正誤も自然と判断できるようになります。ぜひ本番の試験で活かしてください!
コメント