令和7年度38マネジメント系

ITパスポート 令和7年度 問38:system_auditに関する問題

情報セキュリティ監査の説明として,最も適切なものはどれか。

  • a一定の基準に基づいてITシステムの利活用に係る検証・評価を行い,ガバナンスの適切性などに対する保証や改善のための助言を行うもの
  • bコンピュータの盗難や不正な持出しを物理的に防止し,情報セキュリティを確保するためのツール
  • c組織体の価値及び組織体への信頼を向上させるために,組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動
  • d組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価正答
正答:D組織の情報資産に関わるリスクマネジメントが効果的に実施されているかどうかの検証又は評価

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは d です。

情報セキュリティ監査とは、会社が「大事な情報をちゃんと守れてる?危険なところを放置してない?」を、第三者の目で“チェック・評価する”ことです。

健康診断に似ています。自分では気づかない弱点を、お医者さん(監査人)が調べて「ここが危ないですよ」と教えてくれる感じ。dの「リスク管理がうまくできてるか検証・評価する」がまさにこれです。

👉 覚え方:監査=“ちゃんとできてる?”を確かめる健康診断。

ほかの選択肢:a はIT全体のガバナンス監査の説明/b は物理的な盗難防止ツール(モノ)/c はIT戦略・方針を作る活動(IT戦略の話)。

標準試験対策の基準レベル

なぜこれが正解か

正解は d。情報セキュリティ監査は、組織の情報資産に関わるリスクマネジメント(リスクの特定・評価・対策)が効果的に実施されているかを、独立した監査人が検証・評価する活動。情報セキュリティ監査基準・管理基準に基づいて実施される。

各選択肢の解説

  • a:ITシステム全般の利活用を検証しガバナンスへ保証・助言する——これは「システム監査/IT監査」の説明で、対象が広い。
  • b:盗難・不正持出しを防ぐ物理ツール——施錠やセキュリティワイヤなどの“対策”であり監査ではない。
  • c:IT戦略・方針の策定と実現活動——これは「ITガバナンス」の説明。

覚え方・ひっかけ注意

aの「システム監査」とdの「情報セキュリティ監査」は紛らわしい。問題文に“情報セキュリティ”とあれば、対象がセキュリティのリスクマネジメントに限定されたd。「監査=検証・評価」、「策定・助言の主目的」はガバナンスと切り分ける。

上級誤答論破・背景理論まで深掘り

情報セキュリティ監査の理論的枠組み

情報セキュリティ監査は、組織の情報資産に対するリスクマネジメントが適切に行われているかを独立した立場から検証・評価する活動である(設問dの正解)。経済産業省が策定した「情報セキュリティ監査基準(2003年、改訂2018年)」および「情報セキュリティ管理基準」がその実施基準を提供しており、公認情報セキュリティ監査人(CISA)などの専門資格を持つ監査人が実施する。監査の目的は「保証(Assurance)」と「助言(Consulting)」の二種類があり、保証業務は「コントロール(管理策)が適切に整備・運用されているか」を第三者として確認するもの、助言業務は「改善点を提案する」ものである。

情報セキュリティ監査とIT監査・内部監査の区別

設問の選択肢が混在する概念を正確に区別する。

  • 選択肢a(IT監査):「一定の基準に基づいてITシステムの利活用を検証・評価し、ITガバナンスの適切性に対する保証や改善助言を行うもの」という定義はIT監査の説明である。IT監査はITシステム全体のガバナンス・コントロール・リスク管理を対象とし、情報セキュリティはその一部に過ぎない。情報セキュリティ監査はIT監査の下位概念または特定分野として位置づけられる。
  • 選択肢c(IT戦略策定):「ITシステムの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動」は経営レベルのITガバナンス活動(CISO/CIO機能)であり、監査活動とは本質的に異なる。監査は戦略策定主体から独立した第三者的立場で行われる。

情報セキュリティ管理体制(ISMS)との関係

情報セキュリティ監査は、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の運用状況を外部から評価する手段として機能する。ISMSはISO/IEC 27001を国際標準規格として、PDCAサイクルで情報セキュリティリスクを継続的に管理する体系である。ISMS認証を取得している組織では、定期的な外部審査(更新審査・サーベイランス審査)がISO 27001認証機関によって実施される。情報セキュリティ監査はこれとは別に、組織の内部監査部門または外部の監査法人・専門機関が実施する場合がある。

試験での位置づけと出題傾向

マネジメント系「システム監査・情報セキュリティ管理」の頻出テーマ。「情報セキュリティ監査の説明として適切なもの」という問題では、IT監査・IT戦略・物理セキュリティツール等との区別が問われる。「情報資産のリスクマネジメントが効果的に実施されているかの検証・評価」という定義フレーズを覚えておくことが効率的。監査の独立性(被監査部門から独立した立場での評価)という原則も重要な概念。

選択肢の発展補足

選択肢bの「コンピュータの盗難や不正な持出しを物理的に防止するツール」は、入退室管理システム・施錠・CCTV・ケーブルロック等の物理的セキュリティ対策であり、監査活動とは全く異なる。情報セキュリティは「技術的対策・物理的対策・人的対策(教育)・運用管理的対策」の四層で多面的に実施するものであり、監査はこれら全対策が適切に機能しているかを独立した視点で確認する活動である。基本情報技術者・応用情報技術者では「システム監査の手順(監査計画→現地調査→監査報告→改善確認)」「監査証跡の確保」まで踏み込んだ出題がある。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和7年度38/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

マネジメント系の他の過去問

35
system_audit
36
project_management
37
project_management
38
development_management
39
project_management

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。