ITパスポート過去問道場Pro

🔧 サービスマネジメントとシステム監査

サービスマネジメントとシステム監査の要点

ITサービスマネジメントは、ITサービスを安定して提供・改善するための管理活動であり、そのベストプラクティス(成功事例)を体系化したフレームワークがITILである。ITILは英国政府機関の主導で策定され、ITサービスマネジメントの事実上の標準として世界的に利用されている(最新版はITIL 4、2019年公開)。提供者と顧客はSLA(サービスレベル合意書)で、提供するサービスの内容・範囲と、稼働率や障害回復時間などのサービスレベル目標を定量的に定めて合意し、その達成状況を監視して維持・改善する活動がSLM(サービスレベル管理)である。

運用プロセスは「目的の違い」を区別して覚えることが得点のカギになる。

可用性管理の最重要公式は稼働率=MTBF÷(MTBF+MTTR)。MTBFが長いほど信頼性が高く、MTTRが短いほど保守性が高い。ファシリティマネジメントでは、停電・瞬断時に内蔵バッテリーから一時的に給電し、安全なシャットダウンや自家発電装置への切替えまでの時間を確保するUPS(無停電電源装置)が代表例で、長時間の停電への対応は自家発電装置が担う。サージ防護や免震も設備面の対策として問われる。

システム監査の拠り所は経済産業省が策定した「システム監査基準」「システム管理基準」(最新改訂は令和5年〈2023年〉4月26日)。監査は監査計画の策定→予備調査→本調査→評価・結論の形成→監査報告→フォローアップの手順で実施し、結論を裏付ける監査証拠を入手して監査調書を作成・保管する。監査人には被監査部門からの独立が必須で、外観上の独立性と精神上の独立性の双方が求められる(経営者直轄の内部監査部門への所属が典型例)。監査報告書は依頼者(経営者等)へ提出し、フォローアップで改善の実施状況を確認するが、改善を実施する責任は被監査部門にあり、監査人が自ら改善を行ってはならない。

内部統制は「業務の有効性及び効率性」「報告の信頼性」「法令等の遵守」「資産の保全」の4つの目的と、統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング(監視活動)・IT(情報技術)への対応の6つの基本的要素から成る。統制活動の代表例が職務分掌で、申請・承認・記録などの職務を複数の担当者に分離して相互牽制を働かせ、不正や誤りを防ぐ(例:発注担当と検収担当の分離)。上場会社は金融商品取引法(J-SOX)に基づき、経営者が財務報告に係る内部統制の有効性を評価した内部統制報告書を提出し、公認会計士等の監査証明を受ける。ITガバナンスの主体は現場のIT部門ではなく経営陣であり、JIS Q 38500はEDMモデル(評価Evaluate・指示Direct・モニタMonitor)の繰返しによって組織のITを統治すべきことを示している。

本番形式の問題を無料で演習

例題 (35)

1. サービスの提供者と利用者(顧客)との間で、提供するサービスの内容・範囲・品質水準についてあらかじめ合意し、文書化したものはどれか。

  1. SLA(サービスレベル合意書)
  2. CMDB(構成管理データベース)
  3. RFC(変更要求)
  4. SPOC(単一窓口)

SLAは提供者と利用者の間でサービスの内容や品質水準を合意し文書化したものである。 (JIS Q 20000/ITパスポート試験シラバスVer6.4(IPA))

2. SLM(サービスレベル管理)において、合意したサービスレベルを維持・改善するために継続的に繰り返すマネジメントサイクルはどれか。

  1. フェッチ・デコードサイクル
  2. PDCAサイクル
  3. ウォーターフォールモデル
  4. 3層クライアントサーバ方式

SLMはPDCA(計画・実行・評価・改善)を繰り返してサービスレベルを継続的に改善する活動である。 (JIS Q 20000/ITIL)

3. ITサービスマネジメントにおけるインシデント管理の主な目的として、最も適切なものはどれか。

  1. インシデントの根本原因を突き止めて恒久的な再発防止策を講じる
  2. 構成品目の情報をCMDBで一元的に管理する
  3. 根本原因の究明よりも、サービスをできるだけ迅速に通常の状態へ回復させる
  4. 顧客とサービスの品質水準を合意する

インシデント管理は根本原因が未判明でも、迅速な復旧により事業への影響を最小化することを目的とする。 (ITIL/ITパスポート試験シラバスVer6.4)

4. 問題管理とインシデント管理の違いに関する記述として、適切なものはどれか。

  1. 問題管理はサービスの迅速な復旧を優先し、インシデント管理は根本原因を究明する
  2. 両者はいずれも変更作業の承認を主目的とする
  3. 両者はいずれもSLAの締結を主目的とする
  4. 問題管理はインシデントの根本原因を究明して再発防止を図り、インシデント管理は迅速な復旧を優先する

問題管理は根本原因の究明と再発防止を、インシデント管理は迅速な復旧を目的とし、両者は目的が異なる。 (ITIL/JIS Q 20000)

5. 利用者からの問い合わせやインシデント、サービス要求を受け付ける単一の窓口(SPOC)として機能するものはどれか。

  1. サービスデスク
  2. 構成管理データベース
  3. 変更諮問委員会
  4. 侵入検知システム

サービスデスクは利用者対応の単一窓口(Single Point of Contact)として機能する。 (ITIL 4/ITパスポート試験シラバスVer6.4)

6. ITILの説明として、最も適切なものはどれか。

  1. プログラム言語の国際規格である
  2. ITサービスマネジメントのベストプラクティスを体系的にまとめたフレームワークである
  3. 個人情報保護に関する日本の法律である
  4. データを暗号化するための通信プロトコルである

ITILはITサービスマネジメントの成功事例(ベストプラクティス)を体系化したガイド集(フレームワーク)である。 (ITIL 4(AXELOS/PeopleCert))

7. ITサービスマネジメントに関する国際規格と、それに整合する日本産業規格の組合せとして、適切なものはどれか。

  1. ISO/IEC 27001 と JIS Q 15001
  2. ISO 9001 と JIS Q 14001
  3. ISO/IEC 20000 と JIS Q 20000
  4. ISO/IEC 12207 と JIS X 0208

ITサービスマネジメントの国際規格ISO/IEC 20000に整合する日本産業規格がJIS Q 20000である。 (ISO/IEC 20000/JIS Q 20000(日本産業規格))

8. ITサービスマネジメントシステムの要求事項を定めた規格はどれか。

  1. JIS Q 27001
  2. JIS Q 15001
  3. JIS Q 9001
  4. JIS Q 20000

JIS Q 20000はITサービスマネジメントシステムの要求事項を定めた規格である(ISO/IEC 20000に整合)。 (JIS Q 20000(ITサービスマネジメントシステム-要求事項))

9. ITサービスマネジメントのフレームワークであるITILに関する記述のうち、適切なものはどれか。

  1. 最新版のITIL 4は2019年に公開された
  2. ITILは日本の経済産業省が定めた法律である
  3. ITILは通信ケーブルの物理規格を定めたものである
  4. ITILはハードウェアの故障率を求める数式集である

ITILはベストプラクティス集であり、最新版のITIL 4は2019年に公開された。 (ITIL 4(AXELOS/PeopleCert))

10. ファシリティマネジメントで用いるUPS(無停電電源装置)の役割として、適切なものはどれか。

  1. サーバの処理能力を恒久的に増強する
  2. 停電や瞬断時に一時的に電力を供給し、システムを安全に停止させる時間を確保する
  3. ネットワークの通信速度を高速化する
  4. 不正アクセスを検知して遮断する

UPSは停電・瞬断時に一時的に給電し、システムを安全にシャットダウンするための時間を確保する装置である。 (ITパスポート試験シラバスVer6.4(ファシリティマネジメント))

11. 利用者から「メールが送れない」と連絡があり、担当者は原因の究明を後回しにして、まず代替手段を案内し送信を復旧させた。この活動が該当するプロセスはどれか。

  1. 問題管理
  2. 変更管理
  3. インシデント管理
  4. キャパシティ管理

根本原因の究明より迅速な復旧を優先しているため、インシデント管理に該当する。 (ITIL/ITパスポート試験シラバスVer6.4)

12. 同じ障害が繰り返し発生しているため、担当チームが恒久的な再発防止を目的として根本原因の分析に取り組んだ。この活動が該当するプロセスはどれか。

  1. インシデント管理
  2. リリース管理
  3. サービスレベル管理
  4. 問題管理

根本原因を究明し再発防止を図る活動は問題管理に該当する。 (ITIL/JIS Q 20000)

13. SLA(サービスレベル合意書)に記載する項目として、最も適切なものはどれか。

  1. サービスの稼働率や障害復旧時間などの品質目標
  2. 従業員の人事評価の結果
  3. 競合他社の財務諸表
  4. プログラムのソースコード全文

SLAには稼働率や復旧時間など、合意したサービスの品質水準(目標値)を記載する。 (JIS Q 20000/ITパスポート試験シラバスVer6.4)

14. 構成管理において、管理の対象となるハードウェアやソフトウェアなどの個々の要素を表す用語はどれか。

  1. SLA(サービスレベル合意書)
  2. CI(構成品目)
  3. RFC(変更要求)
  4. KPI(重要業績評価指標)

構成管理の対象となる個々のハードウェア・ソフトウェアなどをCI(Configuration Item:構成品目)という。 (ITIL)

15. 構成品目(CI)の情報を一元的に記録・管理するデータベースはどれか。

  1. SLA
  2. CSV
  3. CMDB
  4. DMZ

構成品目を一元管理するデータベースをCMDB(Configuration Management Database)という。 (ITIL)

16. 構成管理の目的として、最も適切なものはどれか。

  1. 利用者からの問い合わせを単一窓口で受け付ける
  2. 障害発生時にサービスを迅速に復旧させる
  3. 顧客とサービスの品質水準を合意する
  4. ITサービスを構成するハードウェアやソフトウェアなどの構成情報を正確に把握・維持する

構成管理は構成品目(CI)の情報をCMDBで正確に把握・維持することを目的とする。 (ITIL)

17. 変更管理の目的として、最も適切なものはどれか。

  1. ITサービスやシステムへの変更を、リスクを評価・管理しながら計画的・統制的に実施する
  2. 利用者からの問い合わせを受け付ける単一窓口を提供する
  3. 障害の根本原因を究明して恒久対策を講じる
  4. 構成品目の情報をデータベースに登録する

変更管理は変更に伴うリスクを評価・統制し、計画的に変更を実施することを目的とする。 (ITIL/JIS Q 20000)

18. リリース管理の説明として、最も適切なものはどれか。

  1. 顧客とサービス品質の水準を合意する
  2. 承認された変更を、本番環境へ確実に導入・展開する
  3. インシデントの受付を単一窓口で行う
  4. サービスの稼働率を24時間監視する

リリース管理は承認された変更(新規・修正)を本番環境へ確実に展開する活動である。 (ITIL)

19. セキュリティパッチの適用にあたり、(1)影響範囲とリスクを評価して適用の可否を承認し、(2)承認された内容を本番環境へ展開し、(3)変更後の構成情報をデータベースへ反映した。(1)〜(3)に対応するプロセスの組合せとして、適切なものはどれか。

  1. (1)構成管理 (2)変更管理 (3)リリース管理
  2. (1)リリース管理 (2)構成管理 (3)変更管理
  3. (1)変更管理 (2)リリース管理 (3)構成管理
  4. (1)インシデント管理 (2)問題管理 (3)変更管理

リスク評価と承認は変更管理、本番環境への展開はリリース管理、構成情報の反映は構成管理に該当する。 (ITIL)

20. 構成管理データベース(CMDB)を整備・維持することで得られる効果として、最も適切なものはどれか。

  1. 停電時に一時的な電力供給ができる
  2. 通信データを暗号化できる
  3. 従業員の勤怠を自動集計できる
  4. 変更が他の構成品目へ及ぼす影響範囲を正確に把握できる

CMDBで構成品目とその関連を一元管理することで、変更の影響範囲などを正確に把握できる。 (ITIL)

21. 構成管理で管理する構成品目(CI)の例として、適切なものはどれか。

  1. 業務で使用するサーバ、ネットワーク機器、ソフトウェアのライセンス
  2. 競合他社の売上高
  3. 気象庁が発表する天気予報
  4. 株式市場の株価

CIはITサービスを構成するハードウェア・ソフトウェア・文書・ライセンスなどが対象となる。 (ITIL)

22. 本番稼働中のシステムに修正を加える際に、変更管理の手続を経ることが重要とされる理由として、最も適切なものはどれか。

  1. 利用者からの問い合わせ件数を増やすため
  2. 無計画な変更による障害やサービス停止のリスクを低減するため
  3. サーバの物理的な設置場所を決めるため
  4. 従業員の残業時間を管理するため

変更管理は変更に伴うリスクを事前に評価・統制し、障害やサービス停止を防ぐために重要である。 (ITIL/JIS Q 20000)

23. システム監査の目的として、最も適切なものはどれか。

  1. 情報システムのプログラムを新規に開発する
  2. 情報システムの利用者からの問い合わせに対応する
  3. 情報システムに係るリスクに適切に対応しているかを検証・評価し、保証や助言を行う
  4. 情報システムのハードウェアを製造・販売する

システム監査は情報システムのリスク対応状況を独立の立場で検証・評価し、保証または助言を行うことを目的とする。 (経済産業省「システム監査基準」(令和5年〔2023年〕4月26日改訂))

24. システム監査人に求められる要件として、最も適切なものはどれか。

  1. 監査対象の部門長として直接業務を指揮すること
  2. 監査対象システムを自ら設計・開発すること
  3. 監査対象部門の売上目標を達成すること
  4. 監査対象から独立し、公正かつ客観的な立場で判断すること

システム監査人には監査対象からの独立性と、公正・客観的な判断が求められる。 (経済産業省「システム監査基準」)

25. システム監査人に求められる二つの独立性の組合せとして、適切なものはどれか。

  1. 外観上の独立性 と 精神上の独立性
  2. 物理的独立性 と 論理的独立性
  3. 経済的独立性 と 政治的独立性
  4. 技術的独立性 と 法的独立性

システム監査人には外観上の独立性と精神上の独立性の二つが求められる。 (経済産業省「システム監査基準」)

26. システム監査人の「外観上の独立性」の説明として、適切なものはどれか。

  1. 監査手続を効率的に実施すること
  2. 監査対象から身分上独立し、密接な利害関係を持たないこと
  3. 偏向を排し、常に公正かつ客観的に判断すること
  4. 監査調書を適切に保管すること

外観上の独立性は、監査対象から身分上独立し密接な利害関係を持たないことを指す。 (経済産業省「システム監査基準」)

27. システム監査人の「精神上の独立性」の説明として、適切なものはどれか。

  1. 監査対象部門と資本関係を持たないこと
  2. 監査対象部門と同じ建物に勤務しないこと
  3. 偏向を排し、常に公正かつ客観的な立場で監査判断を行うこと
  4. 監査報告書を経営者に提出すること

精神上の独立性は、偏向を排して常に公正・客観的に監査判断を行う姿勢を指す。 (経済産業省「システム監査基準」)

28. 外観上の独立性の観点から、システム監査人の行為として適切でないものはどれか。

  1. 監査対象部門と指揮命令関係のない独立した組織に所属している
  2. 被監査部門の担当者から客観的な監査証拠を収集する
  3. 経営者に対して監査報告書を提出する
  4. 自らが開発責任者を務めた情報システムを、そのまま監査対象として監査する

自らが開発責任者を務めたシステムを監査すると密接な利害関係が生じ、外観上の独立性が損なわれる。 (経済産業省「システム監査基準」)

29. システム監査人が監査対象部門から独立していることが求められる理由として、最も適切なものはどれか。

  1. 監査の判断が偏らず、客観的で信頼できる評価結果を得るため
  2. 監査を短期間で終わらせるため
  3. 監査費用を安くするため
  4. 被監査部門の業務量を増やすため

独立性は監査判断の客観性・信頼性を確保するために求められる。 (経済産業省「システム監査基準」)

30. システム監査人に関する記述として、適切なものはどれか。

  1. システム監査人は必ず海外の第三者機関でなければならない
  2. 監査対象から独立していれば、組織内部の者がシステム監査人となる場合もある
  3. システム監査人は監査対象システムの開発者本人が務めなければならない
  4. システム監査人は被監査部門の直属の上司でなければならない

独立性が確保されていれば、外部だけでなく組織内部の者(内部監査人)が務めることもある。 (経済産業省「システム監査基準」)

31. 「システム監査人が、監査対象部門に親族が勤務していることから、その部門の監査担当を外れた」。この対応が主に確保しようとしている独立性はどれか。

  1. 精神上の独立性
  2. 財務上の独立性
  3. 外観上の独立性
  4. 契約上の独立性

親族関係など身分上・利害関係にかかわる独立性は、外観上の独立性に該当する。 (経済産業省「システム監査基準」)

32. 「システム監査基準」及び「システム管理基準」を策定している機関はどれか。

  1. 金融庁
  2. 総務省
  3. 気象庁
  4. 経済産業省

システム監査基準・システム管理基準は経済産業省が策定しており、現行版は令和5年(2023年)に改訂された。 (経済産業省「システム監査基準」「システム管理基準」(2023))

33. 「システム監査基準」と「システム管理基準」の説明の組合せとして、適切なものはどれか。

  1. システム監査基準は監査人の行為規範、システム管理基準は監査上の判断の尺度(管理のあるべき姿)を示す
  2. システム監査基準は情報システムの設計書、システム管理基準は利用者マニュアルである
  3. システム監査基準は個人情報保護法、システム管理基準は会社法である
  4. システム監査基準はプログラム仕様書、システム管理基準は試験成績書である

システム監査基準は監査人の行為規範を、システム管理基準は監査上の判断の尺度(情報システム管理のあるべき姿)を示す。 (経済産業省「システム監査基準」「システム管理基準」)

34. システム監査の一般的な実施手順の順序として、適切なものはどれか。

  1. 本調査 → 監査計画の策定 → 予備調査 → 監査報告 → 評価・結論 → フォローアップ
  2. 監査計画の策定 → 予備調査 → 本調査 → 評価・結論 → 監査報告 → フォローアップ
  3. 監査報告 → フォローアップ → 監査計画の策定 → 予備調査 → 本調査 → 評価・結論
  4. フォローアップ → 本調査 → 予備調査 → 監査計画の策定 → 評価・結論 → 監査報告

システム監査は計画策定→予備調査→本調査→評価・結論→監査報告→フォローアップの順で実施される。 (経済産業省「システム監査基準」/ITパスポート試験シラバスVer6.4)

35. システム監査における「フォローアップ」の説明として、適切なものはどれか。

  1. 監査を始める前に監査計画を策定する
  2. 監査対象システムを新たに開発する
  3. 監査報告書で示した改善提案について、改善が適切に行われているかを事後に確認・指導する
  4. 監査報告書を作成して経営者に提出する

フォローアップは、改善提案の実施状況を事後にシステム監査人が確認・指導する活動である。 (経済産業省「システム監査基準」)

無料ではじめる