ITパスポート 令和6年度 問48：system_auditに関する問題

答えは b です。

システム監査は「このシステム、ちゃんとしてる？」をチェックするテスト。そのとき“合格・不合格を決める物差し”が必要です。

代表的な物差しが「システム管理基準」ですが、これは必ずこれだけ使え、というルールではありません。調べたいテーマに合わせて、ほかのちょうどいい物差しを足して使ってもOKなのです。

👉 覚え方：監査の物差しは「テーマに合わせて柔軟に選んでよい」。

ほかの選択肢：a「全項目をそのまま使え」、c「ほかの基準は使うな」、d「アジャイルでは使うな」＝どれも“決めつけ”で、柔軟さがないので×。

なぜこれが正解か

正解は b。システム監査における判断尺度（監査の物差し）は、監査テーマや対象に応じて柔軟に選定するのが原則。システム管理基準は代表的な拠り所だが唯一絶対ではなく、テーマに適した他の基準（社内規程、業界ガイドライン、関連法令等）を併用・選択してよい。

各選択肢の解説

• a：「全項目をそのまま使用しなければならない」＝硬直的で誤り。監査範囲・テーマに応じて取捨選択する。
• c：「システム管理基準以外は使用すべきでない」＝選択の幅を不当に狭めており誤り。
• d：「アジャイル開発では使用すべきでない」＝開発手法を理由に基準を排除する根拠はなく誤り。

覚え方・ひっかけ注意

選択肢に「〜しなければならない」「〜すべきでない」「〜では使うな」のような断定・排他的な表現が並ぶときは、それらが不正解で、柔軟・適切に選定するという穏当な選択肢が正解になりやすい。監査の尺度は「テーマに合わせて選ぶ」が鉄則。

理論的背景

システム監査で使用する「判断尺度（監査基準）」の選定は、システム監査基準（2023年改訂、経済産業省）の「準則・基準の選択」に関する原則が根拠となる。正解bの「システム監査のテーマに応じて、システム管理基準以外の基準を使用してもよい」は、監査基準の柔軟性・適切性の原則を正確に記述している。

システム管理基準は「ITガバナンス」「情報システムの利活用」「リスク管理」「情報セキュリティ管理」「業務継続管理」などの管理項目を包括的に規定する日本の標準基準であるが、すべての監査テーマに最適とは限らない。例えばクラウドサービスの監査にはISO/IEC 27017（クラウドサービスの情報セキュリティ管理策）、金融機関のシステムリスク管理には金融庁の「システムリスク管理基準」、個人情報管理にはJIS Q 15001（プライバシーマーク認定基準）が適切な判断尺度となりうる。

監査人が「システム管理基準の全項目をそのまま使用しなければならない」（選択肢a）とした場合、①監査対象に関係しない項目に不要なリソースを費やす、②特定の法令・技術的規格が要求する専門的基準を無視するという非効率・不適切が生じる。監査の目的は「対象組織のリスク対応の適切性評価」であり、その目的達成に最も適した基準・判断尺度を選択することが監査人の専門的判断として要求される。

実務での使われ方

実際のシステム監査・IT監査で使用される判断尺度は多様であり、国際標準（ISO/IEC 27001・27002・20000・38500）・海外基準（NIST Cybersecurity Framework・COBIT・COSO ERM・PCI DSS）・国内基準（システム管理基準・金融庁監督指針・FISC安全対策基準・政府情報システムのためのセキュリティ評価制度ISMAP）が状況に応じて選択される。

IT内部監査の実務では「監査計画書（Audit Plan）」において判断尺度を明示し、監査委員会・経営者の承認を得た上で監査を実施することが標準手続きとなっている。監査テーマ（例：クラウドセキュリティ）に最適な基準（例：ISO/IEC 27017）を選択し、その基準に照らして統制の有効性を評価するという手順が確立されている。

ISACAが認定するCISA（公認情報システム監査人）資格の試験でも「監査基準の選択・適用」が主要出題分野であり、実務専門家向けの体系的な知識として位置づけられている。

試験での位置づけ

システム監査の判断尺度選定はITパスポートの「システム監査」サブカテゴリで出題される。本問の核心は「システム管理基準が唯一・必須の基準か（No）」「テーマ依存の柔軟な選択が許容されるか（Yes）」という2点の理解にある。「システム管理基準＝絶対的な唯一基準」という誤解を正す問題設計になっている。

選択肢aとcは「全項目使用必須」「他基準使用禁止」という硬直的な解釈を提示しており、実務の「目的適合的な基準選択」原則と相容れないことを理解することが正答の鍵。選択肢dの「アジャイル開発ではシステム管理基準使用禁止」も過度に限定的な解釈として誤りであり、開発手法によって監査基準の適用可否が変わるわけではないことを理解する。

基本情報技術者ではシステム監査の全体プロセス（計画→実施→報告→フォローアップ）とシステム管理基準の位置づけが詳細に問われる。情報処理技術者の上位試験（ITストラテジスト・ITサービスマネジャー）では国際的な監査フレームワーク（COBIT・ISO/IEC 38500）との統合が問われる。

選択肢の発展補足

aの「全項目使用必須」の非現実性：システム管理基準は数百項目に及ぶ包括的な管理基準であり、例えば「ECサイトのセキュリティ強化」という限定的テーマの監査で全項目を適用することは「非効率であるだけでなく、重要なセキュリティ項目が評価の海に埋没するリスク」を生む。監査の「重要性（Materiality）」原則は「監査リソースを重要なリスクに集中させる」ことを要求しており、全項目適用の義務化はこれと矛盾する。

cの「他基準使用禁止」の問題性：特定業種・特定テーマでは業界専用基準の方がシステム管理基準より詳細・実務的な判断基準を提供する場合がある。例えば医療機関のシステム監査では「医療情報システムの安全管理に関するガイドライン（厚生労働省）」が、決済系システムではPCI DSSが最適な判断基準となる。「他基準禁止」はこうした専門性要求を無視した不合理な制約となる。

dの「アジャイル開発へのシステム管理基準適用禁止」の論理的問題：開発手法（アジャイル vs ウォーターフォール）と監査判断基準の選択は独立した問題である。アジャイル開発のシステム監査では「継続的デリバリーにおける変更管理」「フィーチャーフラグによるリスク低減」「自動テストカバレッジの監査」等の固有テーマが追加されるが、システム管理基準の一部項目（セキュリティ管理・変更管理・リリース管理等）は依然として有効な判断尺度として適用可能である。