システム監査技術者午前2平成30年

システム監査技術者午前2平成30年

AU

平成30年度 春期 システム監査技術者試験


 インプットコントロールの監査において,エディットバリデーションチェック

が正しく機能しているかどうかを検証する方法として,適切なものはどれか。

 ア 許可された担当者以外はログインできないことを試行する。

 イ 実際に例外データや異常データの入力を行う。

 ウ 入力原票の承認印を確認する。

 エ 入力対象データの件数とプルーフリスト上の合計件数を照合する。

■解答■

  システム監査技術者午前2平成30年問01

 イ 実際に例外データや異常データの入力を行う。

------------------------------------------------------------------------

 システム監査で用いる統計的サンプリングに関する記述のうち,適切なものは

どれか。

 ア 開発プロセスにおけるコントロールを評価する際には,開発規模及び影響度

  が 大きい案件を選定することによって,開発案件全てに対する評価を導き出

  すことができる。

 イ コントロールが有効であると判断するために必要なサンプル件数を事前に

  決めることができる。

 ウ 正しいサンプリング手順を踏むことによって,母集団全体に対して検証を

  行う場合と同じ結果を常に導き出すことができる。

 エ 母集団からエラー対応が行われたデータを選定することによって,母集団全体

  に対してコントロールが適切に行われていることを確認できる。

■解答■

  システム監査技術者午前2平成30年問02

 イ コントロールが有効であると判断するために必要なサンプル件数を事前に

  決めることができる。

------------------------------------------------------------------------

 システム監査チームが監査結果の評価を行ったとき,一部の項目について,調査

不足から監査人の意見が分かれた。この場合の監査チームの対応として,適切な

ものはどれか。

 ア 意見の統一を図るために追加の監査手続を実施する。

 イ 監査報告書を提出しない。

 ウ 多数決で意見を一つにまとめる。

 エ 分かれた意見を監査報告書に列挙する。

■解答■

  システム監査技術者午前2平成30年問03

 ア 意見の統一を図るために追加の監査手続を実施する。

------------------------------------------------------------------------

 内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うま

での間に監査人が考慮すべき事項として,適切なものはどれか。

 ア 改善事項を被監査部門へ事前に通知した場合,不備の是正が行われ,元か

  ら不備が存在しなかったように見える可能性があるので,被監査部門に秘匿

  する。

 イ 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,

  改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。

 ウ 経営判断に関することを避けるため,不備を改善する際の経済合理性など

  の判断を行わず,そのまま経営者に対する改善勧告とする。

 エ 将来のフォローアップに際して,客観的で中立的な判断を阻害する要因と

  なるので,改善勧告の優先度付けや取捨選択を行うことを避ける。

キーワード

■解答■

  システム監査技術者午前2平成30年問04

 イ 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,

  改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。

------------------------------------------------------------------------

 システム監査人が行った監査業務の実施記録であり,監査意見表明の根拠とな

るべき監査証拠,その他関連資料などをまとめたものはどれか。

 ア 監査チェックリスト

 イ 監査調書

 ウ 監査手続書

 エ 監査報告書

キーワード

■解答■

  システム監査技術者午前2平成30年問05

 イ 監査調書

------------------------------------------------------------------------

 整備・運用する目的として,システム管理基準(平成 16 年)に示されているもの

はどれか。

 ア システム監査業務の品質を確保し,有効かつ効率的に監査を実施すること

 イ 情報システムが、組織体の目的を実現するように安全,有効かつ効率的に

  機能すること

 ウ 情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう,リ

「スクマネジメントに基づくコントロールの整備・運用の状況を評価すること

 エ リスクに対するコントロールをシステム監査人が評価し,保証又は助言を行い,

IT ガバナンスの実現に寄与すること


キーワード

■解答■

  システム監査技術者午前2平成30年問06

------------------------------------------------------------------------

 システム監査において実施される "試査" に該当するものはどれか。

 ア 監査対象に最も適合した監査手続を決定するために,幾つかの監査技法を

  試行する。

 イ 計算モジュールの正確性を確認するために,ソースプログラムレビュー

  する。

 ウ 全てのトランザクションデータに監査手続を試験的に適用し,その処理の

  正当性について判断する。

 エ 抽出した一定件数のトランザクションデータに監査手続を適用し,データ全件

  の正当性について判断する。


キーワード

■解答■

  システム監査技術者午前2平成30年問07

------------------------------------------------------------------------

 経済産業省が平成 19 年に策定した "システム管理基準 追補版(財務報告に係る

IT 統制ガイダンス)" では,IT 統制を IT 全社的統制,IT全般統制及び IT 業務処理統制

に区分している。IT 統制のうち,IT 業務処理統制に区分されるものはどれか。

 ア 運用管理ルールは,運用設計の基本原則に基づいて作成する。

 イ 購買データの入力が,入力管理ルールに基づいて漏れなく,重複なく、正確

  に行われることを確保する。

 ウ 年間のシステム運用計画を策定し,責任者が承認した上で,関係者に知徹底

  する。

 エ プログラムのバックアップの範囲,方法及びタイミングについては,業務内容

  及び処理形態を考慮して決定するよう定めたルールを策定する。

キーワード

■解答■

  システム監査技術者午前2平成30年問08

------------------------------------------------------------------------

 債権管理システムから出力された債権残高の集計処理結果を用いて,経理部門

が事後的に実施できる,債権残高に関する異常の有無の検証に有効な方法はどれ

か。

 ア 債権データ生成時における,得意先コードを用いた得意先マスタと債権データ

  との自動マッチング

 イ 債権データの金額項目のフォーマットチェック

 ウ スプレッドシートを用いた売掛債権回転期間の前年同期比較チェック

 エ 正規の権限者による操作に限定するアクセスコントロール

キーワード

■解答■

  システム監査技術者午前2平成30年問09

------------------------------------------------------------------------

 金融庁 "財務報告に係る内部統制の評価及び監査の基準(平成 23 年)" におけ

る内部統制に関係を有する者の役割と責任に関する記述のうち,適切なものはど

れか。

 ア 会計監査人は,内部統制の整備及び運用に係る基本方針を決定する。

 イ 監査役は,独立した立場から,内部統制の整備及び運用状況を監視検証す

  る。

 ウ 取締役会は,内部統制の整備及び運用に係る基本方針に基づき,内部統制

  を整備し運用する。

 エ 内部監査人は,内部統制の整備及び運用状況の改善を実施する。

キーワード

■解答■

  システム監査技術者午前2平成30年問10

 イ 監査役は,独立した立場から,内部統制の整備及び運用状況を監視検証す

  る。

------------------------------------------------------------------------

 JIS Q 2000-1:2012(サービスマネジメントシステム要求事項)における,

サービスマネジメントシステム(以下,SMS という)の一般要求事項のうち,

"資源の運用管理" に対する要求事項として規定されているものはどれか。

 ア SMS の効果的な運用及び管理のために,サービスマネジメントのプロセス

  を文書化する。

 イ 資源の提供を確実にすることによって,トップマネジメントの

  コミットメントの証拠を提供する。

 ウ 他の関係者が運用するプロセスを特定し,供給者がプロセスの一部を運用

  している場合は供給者を管理する。

 エ 必要な力量がもてるようにサービス提供者の要員を教育・訓練する。

キーワード

■解答■

  システム監査技術者午前2平成30年問11

 エ 必要な力量がもてるようにサービス提供者の要員を教育・訓練する。

 データセンタにおけるコールドアイルの説明として,適切なものはどれか。

 ア IT 機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないため

  の板であり,IT 機器がマウントされていないラックの空き部分に取り付ける。

 イ 寒冷な外気をデータセンタ内に直接導入して IT 機器を冷却するときの、

  データセンタへの外気の吸い込み口である。

 ウ 空調機からの冷気と IT 機器からの熱排気を分離するために、ラックの

  前面(吸気面)同士を対向配置したときの,ラックの前面同士に挟まれた冷気

  の通る部分である。

 エ 発熱量が多い特定の領域に対して,全体空調とは別に個別空調装置を設置

  するときの,個別空調用の冷媒を通すパイプである。

キーワード

■解答■

  システム監査技術者午前2平成30年問12

 ウ 空調機からの冷気と IT 機器からの熱排気を分離するために、ラックの

  前面(吸気面)同士を対向配置したときの,ラックの前面同士に挟まれた冷気

  の通る部分である。

------------------------------------------------------------------------

 ヨーロッパで運用されている CE マークを説明したものはどれか。

 ア 各国の現存する安全マークに代わって,製品の安全性を保証している。

 イ 対象となる機器に義務付けられた複数の EU 指令のうち,いずれか一つの

  指令に適合していることを示している。

 ウ 対象となる製品が EU の定める必須要求事項に適合していることを示して

  いる。

 エ 日本の VCCI の取得によって代替できる。

キーワード

■解答■

  システム監査技術者午前2平成30年問13

 ウ 対象となる製品が EU の定める必須要求事項に適合していることを示して

  いる。

------------------------------------------------------------------------

 データセンタにおけるコールドアイルの説明として,適切なものはどれか。

 ア IT 機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないため

  の板であり,IT 機器がマウントされていないラックの空き部分に取り付ける。

 イ 寒冷な外気をデータセンタ内に直接導入して IT 機器を冷却するときの、

  データセンタへの外気の吸い込み口である。

 ウ 空調機からの冷気と IT 機器からの熱排気を分離するために、ラックの

  前面(吸気面)同士を対向配置したときの,ラックの前面同士に挟まれた冷気

  の通る部分である。

 エ 発熱量が多い特定の領域に対して,全体空調とは別に個別空調装置を設置

  するときの,個別空調用の冷媒を通すパイプである。

キーワード

■解答■

  システム監査技術者午前2平成30年問12

 ウ 空調機からの冷気と IT 機器からの熱排気を分離するために、ラックの

  前面(吸気面)同士を対向配置したときの,ラックの前面同士に挟まれた冷気

  の通る部分である。

------------------------------------------------------------------------

 技術者倫理における集団思考の問題点として,アーヴィング・ジャニスが指摘

した八つの兆候のうち, "心の警備" の説明として,適切なものはどれか。

 ア 集団に新しく加わったメンバなどが異議を唱える場合には,それを阻止し

  て,集団を保護しようとする。

 イ 自分の所属している集団は失敗することがなく,又は万が一失敗しても集団

  は存続すると考える。

 ウ 他のメンバから特に意見が出されず、発言者以外の全メンバが沈黙してい

  る場合は,その意見が集団組織の一致した意見とみなす。

 エ 反対する少数メンバがいる場合は,そのメンバに圧力を加えて統一した意見

  にさせる。

キーワード

■解答■

  システム監査技術者午前2平成30年問14

 ア 集団に新しく加わったメンバなどが異議を唱える場合には,それを阻止し

  て,集団を保護しようとする。

------------------------------------------------------------------------

 製造物責任法(PL法)において,免責と規定されているものはどれか。

 ア 製造物の欠陥の原因となった製造過程における過失を被害者が証明できない場

 イ 製造物を海外から輸入して国内で販売している場合

 ウ 製造物を引き渡した時点から 5 年を過ぎて事故が発生した場合

 エ 製造物を引き渡した時点の科学又は技術では欠陥を認識できなかった場合

キーワード

■解答■

  システム監査技術者午前2平成30年問15

 エ 製造物を引き渡した時点の科学又は技術では欠陥を認識できなかった場合

------------------------------------------------------------------------

 キャッシュフロー計算書において,投資活動によるキャッシュフローに該当す

るものはどれか。

 ア 株式の発行による収入

 イ 商品の仕入による支出

 ウ 損害賠償金の支払による支出

 エ 有形固定資産の売却による収入

キーワード

■解答■

  システム監査技術者午前2平成30年問16

 エ 有形固定資産の売却による収入

------------------------------------------------------------------------

問17 媒体障害の回復において,最新のデータベースのバックアップをリストアした後

に,トランザクションログを用いて行う操作はどれか。

ア バックアップ取得後でコミット前に中断した全てのトランザクションをロール

「バックする。

イ バックアップ取得後でコミット前に中断した全てのトランザクションをロール

フォワードする。 ウ バックアップ取得後にコミットした全てのトランザクションをロールバックす

る。

エ バックアップ取得後にコミットした全てのトランザクションをロールフォワー

ドする。

問18 ファイル転送における FTPHTTP の違いに関する記述のうち,適切なものはど

れか。

FTP はサーバ接続時にユーザ名を用いたログイン処理が必要であるが,HTTP

では必要ではない。 イ FTP はダウンロードにもアップロードにも使用できるが,HTTP はダウンロー 「ドだけである。

FTP はバイナリファイルの転送が可能であるが,HTTPテキストファイルだ 「けである。 エ HTTP は異なる OS 間でのファイル転送に使用できるが,FTP は同一OS 間での

ファイル転送に限られる。

  • 10 -

問19 暗号機能を実装した IoT において脅威となるサイドチャネル攻撃に該当するもの

はどれか。

暗号関数を線形近似する式を導き,その線形近似式から秘密情報の取得を試

みる。

イ 装置が発する電磁波を測定することによって秘密情報の取得を試みる。

注記

ウ 二つの平文の差とそれぞれの暗号文の差の関係から、秘密情報の取得を試みる。 エ 理論的にあり得る IDパスワードの組合せの全てを適用して秘密情報の取得を

試みる。

問20 SAML(Security Assertion Markup Language)の説明として,最も適切なものはど

れか。

ア Web サービスに関する情報を公開し,Web サービスが提供する機能などを検索

「可能にするための仕様 イ 権限がない利用者による読取り,改ざんから電子メールを保護して送信するた

めの仕様 ウ ディジタル署名に使われる鍵情報を効率よく管理するための Web サービスの仕

エ 認証情報に加え,属性情報アクセス制御情報を異なるドメインに伝達するた

めの Web サービスの仕様

  • 11 -

問21 ISP "A" 管理下のネットワークから別の ISP "B" 管理下の宛先に SMTP で電子

メールを送信する。電子メール送信者が SMTP-AUTH を利用していない場合,スパ

メール対策 OP25B によって遮断される電子メールはどれか。

ISP "A" 管理下の固定 IP アドレスの PC から送信しようとしたが、受信者の承

諾を得ていなかった広告の電子メール

ISP "A" 管理下の固定 IP アドレスの PC から送信しようとしたが,送信元 IP

アドレスが DNS逆引きできなかった電子メールISP "A" 管理下の動的 IP アドレスの PC から ISP "A" のメールサーバを経由 「して送信される電子メール

ISP "A" 管理下の動的 IP アドレスの PC から ISP "A" のメールサーバを経由

せずに直接送信される電子メール

問22 デザインパターンの一つである Observer パターンを利用して実現できることはど

れか。

ア あるオブジェクトの状態が変化したときに,それに依存する全てのオブジェク

トに自動的に通知する。

イ ある機能をもつオブジェクトを新しいオブジェクトでラップし,動的に機能を

拡張する。 ウ あるクラスインスタンスが一つしか存在しないことを保証する。

配列や集合のような実装の異なるコンテナに対し,同一のインタフェースでア

クセスする。

@@

------------------------------------------------------------------------

@@


 共通フレーム 2013 におけるシステム開発プロセスのアクティビティである

システム適格性確認テストの説明として,最も適切なものはどれか。

 ア システムが運用環境に適合し,利用者の用途を満足しているかどうかを,

  実運用環境又は擬似運用環境において評価する。

 イ システムが業務運用時に使いやすいかどうかを定期的に評価する。

 ウ システムの投資効果及び業務効果の実績を評価する。

 エ システム要件について実装の適合性をテストし,システムの納入準備がで

  きているかどうかを評価する。

キーワード

■解答■

  システム監査技術者午前2平成30年問23

 エ システム要件について実装の適合性をテストし,システムの納入準備がで

  きているかどうかを評価する。

------------------------------------------------------------------------

 LBO の説明はどれか。

 ア 株式市場で一般株主に対して,一定期間に一定の価格で株式を買い付ける

  ことを公告し,相手先企業の株式を取得する。

 イ 現経営陣や事業部門の責任者が株主から自社の株式を取得することによっ

  て,当該事業の経営支配権を取得する。

 ウ 投資会社が,業績不振などの問題を抱えた企業の株式の過半数を取得した

  上で,マネジメントチームを派遣し,経営に参画する。

 エ 買収先企業の資産などを担保に,金融機関から資金を調達するなど、限ら

  れた手元資金で企業を買収する。

キーワード

■解答■

  システム監査技術者午前2平成30年問24

 エ 買収先企業の資産などを担保に,金融機関から資金を調達するなど、限ら

  れた手元資金で企業を買収する。

------------------------------------------------------------------------

 ジェームス L. ヘスケットらが提唱したサービスプロフィットチェーンの説明

はどれか。

 ア 企業のビジョンと戦略を実現するために,財務,顧客,内部プロセス及び

  学習と成長の視点から達成指標やアクションプランを具体化するためのモデル

 イ 顧客ごとの購買履歴を蓄積することで顧客の収益貢献度を測定し,これに

  基づいて,収益貢献度が高い顧客に対するサービス水準を向上するための

  モデル

 ウ 市場の魅力度と市場内での自社の地位を基に,企業の製品やサービスを分類

  し,どの分野に経営資源を投下し,利益を回収すべきかを検討するためのモデル

 エ 従業員満足度がサービス水準を高め,それが顧客満足度と企業利益を高め,

  高めた利益で従業員満足度が更に向上するという因果関係を表したモデル

キーワード

■解答■

  システム監査技術者午前2平成30年問25

 エ 従業員満足度がサービス水準を高め,それが顧客満足度と企業利益を高め,

  高めた利益で従業員満足度が更に向上するという因果関係を表したモデル

------------------------------------------------------------------------