システム監査技術者:2018年 午後Ⅰ 問2

データ分析システムの監査

データの収集・蓄積とデータの活用に伴うリスクを踏まえて、対応したコントロールが行われているかどうかの監査が出題された。
IPAの平成30年(2018年)度 春期試験 午後Ⅰ問題リンク

IPAの解答例

設問1: 本番運用サーバの負荷が増大し、スケジュール管理システムのレスポンスが低下する。

設問2: サンプルデータについては、個人情報に該当するデータ項目はマスキング処理を行う。

設問3:サービスレベルが高すぎるために、運用コストが高くなる。

設問4:活用検討会の議事録を入手して、データ分析の目標が明確に説明されていることを確認する。

設問5:”会議開催実績表”を閲覧して、1人当たりの会議時間の減少を確かめる。

残念な解答例

設問1:データへのアクセスが増加し、システムが高負荷となりレスポンスが悪化し運用に支障が出るリスク

設問2:利用部門のデータ管理についてルール整備状況とルールの実施状況を確認

設問3:業務停止時の必要以上の優先対応により他の重要なシステム運用に支障が出るリスク

設問4:投資委員会の議事録から分析の目的を明確にした上で収集するデータを特定して収集を行っているか確認する

設問5:会議開催実績表とメールを閲覧し、情報共有の会議の削減割合を確認する

解答の検討

設問1

設問に、データの収集に関して「本番中のサーバから収集しており、更に詳細なデータ項目を収集する場合は、運用面のリスクがある。」として、「本番運用中のサーバとは別にサーバを構築して、データを収集する方法を検討する必要がある」と書かれている。スケジュール管理システムはおそらく社員の多くが使用しており、大量のデータを頻繁にアクセスすると、サーバのレスポンスを始めとする性能が気になる。「 本番運用サーバの負荷が増大し、スケジュール管理システムのレスポンスが低下する。」が解答となる。

設問2

個人情報を含むデータを利用部門が保管する際のコントロールを具体的に解答する設問。[情報システム部長へのヒアリング]の(2)①に「最初に情報システム部が、実際のデータの一部をサンプルデータとして抽出して提供」と記述されている。この試行の段階からセキュリティが確保されている必要があるため、解答は「 サンプルデータについては、個人情報に該当するデータ項目はマスキング処理を行う。」となる。
なお、IPAの採点講評では「正答率は低かった。一般的な個人情報管理のコントロールを示した解答が多く見られたが、本文に示された状況から、問題特有のリスクを理解するように留意してほしい。」とある。

設問3

サービスレベルの設定が高すぎる場合のリスクを問う問題。
[情報システム部長へのヒアリング]の(2)②に「データ分析システムは、業務システム部が運用している他のシステムと同様に、上位から2番めのサービスレベルが設定され」と書かれ、さらに[経営企画部長へのヒアリング](3)に「基幹業務とは異なり、1日停止したとしても、事業運営に支障をきたすことはない」とあるため、そもそもサービスレベルが適切でない可能性がある。高すぎるサービスレベルのもとでの運用は、必要以上にコストがかかると考えられる。よって「 サービスレベルが高すぎるために、運用コストが高くなる。」が解答となる。ここで、運用コスト以外にも他システムと同時に障害が発生した場合などで、サービスレベルが不適切だと、本来優先すべきシステムへの対応が後回しにされるなどの弊害が考えられる。
なお、IPAの講評では「正答率が低かった」とのこと。

設問4

監査手続を具体的に問う問題。
[経営企画部長へのヒアリング](4)で、活用検討会では、「データの収集状況(ニーズに対応して必要となった新規のデータが予定通り収集できているかどうかなど)、及び今後の収集予定を報告」とある。この活用検討会で、B委員の言う「分析の目的が曖昧なままデータを収集すると、<略>成果が得られない可能性が高い」というリスクが回避されている必要がある。したがって、「活用検討会の議事録を入手して、データ分析の目標が明確に説明されていることを確認する。」が正解。
投資委員会の段階においても、上記リスクの歯止めが議論されているべきだが、その対策が取られていることを確認する監査手続では活用検討会の議事録であるべきである。

設問5

監査手続を具体的に問う問題。
分析結果を活用した会議の見直しは、[経営企画部長へのヒアリング](2)③に「”会議開催実績表”を作成し、①と②の施策の進捗状況を把握できるようにする」とあるため、”会議開催実績表”を閲覧して、1人当たりの会議時間の減少を確かめる。」が正解となる。


Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です