システム監査技術者【2014】受験結果
実に久しぶりに受験してきました。
プライベートが忙しく昔のようには時間をかけられませんでしたが、仕事で身につけたものが良く活かせたと思います。
試験当日にJITECのサイトで午後IIの過去分の「講評」を見ていて、ダメな論文のポイントが書かれていることに気づいて非常にためになりました。
と言ってもたいへん簡単な三つのことです。
1. 問われていることを答えること。
特定の事情を抱えるシステムについて聞かれているのにその点を無視して汎用的な回答をしてはいけない。
パッケージを利用した再構築についての問題なのにスクラッチの新規構築にも当てはまる話しかしてない、などではいけませんと。
2. 技術的な細部にこだわらないこと。
普段の仕事で監査しかしてなければ別ですが、そうでない場合常になんらかの技術的な知識を活かした仕事をしているわけです。なので論文でもその点に触れたくなりますが、そう言ったことは監査上概ねどうでも良いことです。
例えば惨事復旧をVMwareのSite Recovery Managerでやるか手作業でやるかの差は手順の整備コストや、テストの容易性、利用の経験が浅ければ有識者レビューが必要、などを述べれば(すみません、私の論点はたぶん間違ってます。なんせ何度も落ちてますし)良くて、技術的に困ったところとかいらないわけです。負荷分散機どうするの、とか。(当然この例も適当です)
3. 監査項目、監査要点、監査手続を明確に使い分けること。
この三つと、監査目的と監査テーマはその位置づけを脳内に染み込ませる必要があります。
例えば
監査目的 内部統制監査
監査テーマ 惨事復旧時のIT全般統制の有効性
監査項目 惨事復旧を行った場合の職務分掌
監査要点 惨事復旧後のプログラム移送において職務分掌できているか
監査手続 惨事復旧後のプログラム移送先フォルダの権限設計書を見て、特定の運用者のみに更新権限が付与されていることを確認する
実に久しぶりに受験してきました。
午前I、午前IIは通過。午後Iは下に再現回答をつけました。
午後IIは一応文量は超えましたが微妙でした。
プライベートが忙しく昔のようには時間をかけられませんでしたが、仕事で身につけたものが良く活かせたと思います。
試験当日にJITECのサイトで午後IIの過去分の「講評」を見ていて、ダメな論文のポイントが書かれていることに気づいて非常にためになりました。
と言ってもたいへん簡単な三つのことです。
1. 問われていることを答えること。
特定の事情を抱えるシステムについて聞かれているのにその点を無視して汎用的な回答をしてはいけない。
パッケージを利用した再構築についての問題なのにスクラッチの新規構築にも当てはまる話しかしてない、などではいけませんと。
2. 技術的な細部にこだわらないこと。
普段の仕事で監査しかしてなければ別ですが、そうでない場合常になんらかの技術的な知識を活かした仕事をしているわけです。なので論文でもその点に触れたくなりますが、そう言ったことは監査上概ねどうでも良いことです。
例えば惨事復旧をVMwareのSite Recovery Managerでやるか手作業でやるかの差は手順の整備コストや、テストの容易性、利用の経験が浅ければ有識者レビューが必要、などを述べれば(すみません、私の論点はたぶん間違ってます。なんせ何度も落ちてますし)良くて、技術的に困ったところとかいらないわけです。負荷分散機どうするの、とか。(当然この例も適当です)
3. 監査項目、監査要点、監査手続を明確に使い分けること。
この三つと、監査目的と監査テーマはその位置づけを脳内に染み込ませる必要があります。
例えば
監査目的 内部統制監査
監査テーマ 惨事復旧時のIT全般統制の有効性
監査項目 惨事復旧を行った場合の職務分掌
監査要点 惨事復旧後のプログラム移送において職務分掌できているか
監査手続 惨事復旧後のプログラム移送先フォルダの権限設計書を見て、特定の運用者のみに更新権限が付与されていることを確認する
本調査の時に実機での確認までできれば完璧。
のような感じで(あってますかね?)。
ともかく、問題文で監査手続を述べよとあったら手続を述べて、要点は何かと問われたら要点を答えれば良い。ということです。
自己採点した部分は下記の通りです。
午前I:26/30 86%
午前II:16/25 64%
午後Iは回答内容を再現したので載せておきます。
問2
設問1:修正された予算に対して経理部が承認する機能
(各部で虚偽の修正をかけるかもしれないので、各部以外で確認を取る手続とする必要がある。予算修正申請書を経理部に提出しているが、それとの突合を経理部で行うに当たってシステム上での承認機能は必要なはず)
設問2:基幹システムは予算管理システムに必要な粒度の会計データを出力できるか。
設問3:正確性よりも速報性を重視する利用者もいるのではないか、と考えたため。
設問4:システムそのものについての質問が多数寄せられる。
(課題を問われているので、事前研修で使い方のみ教えているためそもそもの考え方の質問が殺到する、という課題を回答しているつもり)
設問5:権限マトリックスにおける権限付与が必要最小限か、また、実機の設定がその通りなされているかを確認する。
問3
設問1:利用者がセキュリティに問題のある古いOSを利用して情報漏洩や不正利用の被害を受ける
(リスクを問われているのでリスクを返しているつもり)
設問2:
対策1:データをモバイル端末に保存せずサーバ側に置く。
対策2:モバイル端末にデータを保存する際暗号化する。
設問3:日勤就業時間帯以外のセキュリティ事故対応(リモートワイプ等)コスト。
設問4:アンケートではMDMツールの説明がなく、その制限に不満を感じるかもしれないため。
設問5:
対策1:専門の業者へ外注する。
対策2:利用者へ事前に教育を行う。
のような感じで(あってますかね?)。
ともかく、問題文で監査手続を述べよとあったら手続を述べて、要点は何かと問われたら要点を答えれば良い。ということです。
自己採点した部分は下記の通りです。
午前I:26/30 86%
午前II:16/25 64%
午後Iは回答内容を再現したので載せておきます。
問2
設問1:修正された予算に対して経理部が承認する機能
(各部で虚偽の修正をかけるかもしれないので、各部以外で確認を取る手続とする必要がある。予算修正申請書を経理部に提出しているが、それとの突合を経理部で行うに当たってシステム上での承認機能は必要なはず)
設問2:基幹システムは予算管理システムに必要な粒度の会計データを出力できるか。
設問3:正確性よりも速報性を重視する利用者もいるのではないか、と考えたため。
設問4:システムそのものについての質問が多数寄せられる。
(課題を問われているので、事前研修で使い方のみ教えているためそもそもの考え方の質問が殺到する、という課題を回答しているつもり)
設問5:権限マトリックスにおける権限付与が必要最小限か、また、実機の設定がその通りなされているかを確認する。
問3
設問1:利用者がセキュリティに問題のある古いOSを利用して情報漏洩や不正利用の被害を受ける
(リスクを問われているのでリスクを返しているつもり)
設問2:
対策1:データをモバイル端末に保存せずサーバ側に置く。
対策2:モバイル端末にデータを保存する際暗号化する。
設問3:日勤就業時間帯以外のセキュリティ事故対応(リモートワイプ等)コスト。
設問4:アンケートではMDMツールの説明がなく、その制限に不満を感じるかもしれないため。
設問5:
対策1:専門の業者へ外注する。
対策2:利用者へ事前に教育を行う。