ITサービスマネジメントは、ITサービスを安定して提供・改善するための管理活動であり、そのベストプラクティス(成功事例)を体系化したフレームワークがITILである。ITILは英国政府機関の主導で策定され、ITサービスマネジメントの事実上の標準として世界的に利用されている(最新版はITIL 4、2019年公開)。提供者と顧客はSLA(サービスレベル合意書)で、提供するサービスの内容・範囲と、稼働率や障害回復時間などのサービスレベル目標を定量的に定めて合意し、その達成状況を監視して維持・改善する活動がSLM(サービスレベル管理)である。
運用プロセスは「目的の違い」を区別して覚えることが得点のカギになる。
可用性管理の最重要公式は稼働率=MTBF÷(MTBF+MTTR)。MTBFが長いほど信頼性が高く、MTTRが短いほど保守性が高い。ファシリティマネジメントでは、停電・瞬断時に内蔵バッテリーから一時的に給電し、安全なシャットダウンや自家発電装置への切替えまでの時間を確保するUPS(無停電電源装置)が代表例で、長時間の停電への対応は自家発電装置が担う。サージ防護や免震も設備面の対策として問われる。
システム監査の拠り所は経済産業省が策定した「システム監査基準」「システム管理基準」(最新改訂は令和5年〈2023年〉4月26日)。監査は監査計画の策定→予備調査→本調査→評価・結論の形成→監査報告→フォローアップの手順で実施し、結論を裏付ける監査証拠を入手して監査調書を作成・保管する。監査人には被監査部門からの独立が必須で、外観上の独立性と精神上の独立性の双方が求められる(経営者直轄の内部監査部門への所属が典型例)。監査報告書は依頼者(経営者等)へ提出し、フォローアップで改善の実施状況を確認するが、改善を実施する責任は被監査部門にあり、監査人が自ら改善を行ってはならない。
内部統制は「業務の有効性及び効率性」「報告の信頼性」「法令等の遵守」「資産の保全」の4つの目的と、統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング(監視活動)・IT(情報技術)への対応の6つの基本的要素から成る。統制活動の代表例が職務分掌で、申請・承認・記録などの職務を複数の担当者に分離して相互牽制を働かせ、不正や誤りを防ぐ(例:発注担当と検収担当の分離)。上場会社は金融商品取引法(J-SOX)に基づき、経営者が財務報告に係る内部統制の有効性を評価した内部統制報告書を提出し、公認会計士等の監査証明を受ける。ITガバナンスの主体は現場のIT部門ではなく経営陣であり、JIS Q 38500はEDMモデル(評価Evaluate・指示Direct・モニタMonitor)の繰返しによって組織のITを統治すべきことを示している。
1. サービスの提供者と利用者(顧客)との間で、提供するサービスの内容・範囲・品質水準についてあらかじめ合意し、文書化したものはどれか。
SLAは提供者と利用者の間でサービスの内容や品質水準を合意し文書化したものである。 (JIS Q 20000/ITパスポート試験シラバスVer6.4(IPA))
2. SLM(サービスレベル管理)において、合意したサービスレベルを維持・改善するために継続的に繰り返すマネジメントサイクルはどれか。
SLMはPDCA(計画・実行・評価・改善)を繰り返してサービスレベルを継続的に改善する活動である。 (JIS Q 20000/ITIL)
3. ITサービスマネジメントにおけるインシデント管理の主な目的として、最も適切なものはどれか。
インシデント管理は根本原因が未判明でも、迅速な復旧により事業への影響を最小化することを目的とする。 (ITIL/ITパスポート試験シラバスVer6.4)
4. 問題管理とインシデント管理の違いに関する記述として、適切なものはどれか。
問題管理は根本原因の究明と再発防止を、インシデント管理は迅速な復旧を目的とし、両者は目的が異なる。 (ITIL/JIS Q 20000)
5. 利用者からの問い合わせやインシデント、サービス要求を受け付ける単一の窓口(SPOC)として機能するものはどれか。
サービスデスクは利用者対応の単一窓口(Single Point of Contact)として機能する。 (ITIL 4/ITパスポート試験シラバスVer6.4)
6. ITILの説明として、最も適切なものはどれか。
ITILはITサービスマネジメントの成功事例(ベストプラクティス)を体系化したガイド集(フレームワーク)である。 (ITIL 4(AXELOS/PeopleCert))
7. ITサービスマネジメントに関する国際規格と、それに整合する日本産業規格の組合せとして、適切なものはどれか。
ITサービスマネジメントの国際規格ISO/IEC 20000に整合する日本産業規格がJIS Q 20000である。 (ISO/IEC 20000/JIS Q 20000(日本産業規格))
8. ITサービスマネジメントシステムの要求事項を定めた規格はどれか。
JIS Q 20000はITサービスマネジメントシステムの要求事項を定めた規格である(ISO/IEC 20000に整合)。 (JIS Q 20000(ITサービスマネジメントシステム-要求事項))
9. ITサービスマネジメントのフレームワークであるITILに関する記述のうち、適切なものはどれか。
ITILはベストプラクティス集であり、最新版のITIL 4は2019年に公開された。 (ITIL 4(AXELOS/PeopleCert))
10. ファシリティマネジメントで用いるUPS(無停電電源装置)の役割として、適切なものはどれか。
UPSは停電・瞬断時に一時的に給電し、システムを安全にシャットダウンするための時間を確保する装置である。 (ITパスポート試験シラバスVer6.4(ファシリティマネジメント))
11. 利用者から「メールが送れない」と連絡があり、担当者は原因の究明を後回しにして、まず代替手段を案内し送信を復旧させた。この活動が該当するプロセスはどれか。
根本原因の究明より迅速な復旧を優先しているため、インシデント管理に該当する。 (ITIL/ITパスポート試験シラバスVer6.4)
12. 同じ障害が繰り返し発生しているため、担当チームが恒久的な再発防止を目的として根本原因の分析に取り組んだ。この活動が該当するプロセスはどれか。
根本原因を究明し再発防止を図る活動は問題管理に該当する。 (ITIL/JIS Q 20000)
13. SLA(サービスレベル合意書)に記載する項目として、最も適切なものはどれか。
SLAには稼働率や復旧時間など、合意したサービスの品質水準(目標値)を記載する。 (JIS Q 20000/ITパスポート試験シラバスVer6.4)
14. 構成管理において、管理の対象となるハードウェアやソフトウェアなどの個々の要素を表す用語はどれか。
構成管理の対象となる個々のハードウェア・ソフトウェアなどをCI(Configuration Item:構成品目)という。 (ITIL)
15. 構成品目(CI)の情報を一元的に記録・管理するデータベースはどれか。
構成品目を一元管理するデータベースをCMDB(Configuration Management Database)という。 (ITIL)
16. 構成管理の目的として、最も適切なものはどれか。
構成管理は構成品目(CI)の情報をCMDBで正確に把握・維持することを目的とする。 (ITIL)
17. 変更管理の目的として、最も適切なものはどれか。
変更管理は変更に伴うリスクを評価・統制し、計画的に変更を実施することを目的とする。 (ITIL/JIS Q 20000)
18. リリース管理の説明として、最も適切なものはどれか。
リリース管理は承認された変更(新規・修正)を本番環境へ確実に展開する活動である。 (ITIL)
19. セキュリティパッチの適用にあたり、(1)影響範囲とリスクを評価して適用の可否を承認し、(2)承認された内容を本番環境へ展開し、(3)変更後の構成情報をデータベースへ反映した。(1)〜(3)に対応するプロセスの組合せとして、適切なものはどれか。
リスク評価と承認は変更管理、本番環境への展開はリリース管理、構成情報の反映は構成管理に該当する。 (ITIL)
20. 構成管理データベース(CMDB)を整備・維持することで得られる効果として、最も適切なものはどれか。
CMDBで構成品目とその関連を一元管理することで、変更の影響範囲などを正確に把握できる。 (ITIL)
21. 構成管理で管理する構成品目(CI)の例として、適切なものはどれか。
CIはITサービスを構成するハードウェア・ソフトウェア・文書・ライセンスなどが対象となる。 (ITIL)
22. 本番稼働中のシステムに修正を加える際に、変更管理の手続を経ることが重要とされる理由として、最も適切なものはどれか。
変更管理は変更に伴うリスクを事前に評価・統制し、障害やサービス停止を防ぐために重要である。 (ITIL/JIS Q 20000)
23. システム監査の目的として、最も適切なものはどれか。
システム監査は情報システムのリスク対応状況を独立の立場で検証・評価し、保証または助言を行うことを目的とする。 (経済産業省「システム監査基準」(令和5年〔2023年〕4月26日改訂))
24. システム監査人に求められる要件として、最も適切なものはどれか。
システム監査人には監査対象からの独立性と、公正・客観的な判断が求められる。 (経済産業省「システム監査基準」)
25. システム監査人に求められる二つの独立性の組合せとして、適切なものはどれか。
システム監査人には外観上の独立性と精神上の独立性の二つが求められる。 (経済産業省「システム監査基準」)
26. システム監査人の「外観上の独立性」の説明として、適切なものはどれか。
外観上の独立性は、監査対象から身分上独立し密接な利害関係を持たないことを指す。 (経済産業省「システム監査基準」)
27. システム監査人の「精神上の独立性」の説明として、適切なものはどれか。
精神上の独立性は、偏向を排して常に公正・客観的に監査判断を行う姿勢を指す。 (経済産業省「システム監査基準」)
28. 外観上の独立性の観点から、システム監査人の行為として適切でないものはどれか。
自らが開発責任者を務めたシステムを監査すると密接な利害関係が生じ、外観上の独立性が損なわれる。 (経済産業省「システム監査基準」)
29. システム監査人が監査対象部門から独立していることが求められる理由として、最も適切なものはどれか。
独立性は監査判断の客観性・信頼性を確保するために求められる。 (経済産業省「システム監査基準」)
30. システム監査人に関する記述として、適切なものはどれか。
独立性が確保されていれば、外部だけでなく組織内部の者(内部監査人)が務めることもある。 (経済産業省「システム監査基準」)
31. 「システム監査人が、監査対象部門に親族が勤務していることから、その部門の監査担当を外れた」。この対応が主に確保しようとしている独立性はどれか。
親族関係など身分上・利害関係にかかわる独立性は、外観上の独立性に該当する。 (経済産業省「システム監査基準」)
32. 「システム監査基準」及び「システム管理基準」を策定している機関はどれか。
システム監査基準・システム管理基準は経済産業省が策定しており、現行版は令和5年(2023年)に改訂された。 (経済産業省「システム監査基準」「システム管理基準」(2023))
33. 「システム監査基準」と「システム管理基準」の説明の組合せとして、適切なものはどれか。
システム監査基準は監査人の行為規範を、システム管理基準は監査上の判断の尺度(情報システム管理のあるべき姿)を示す。 (経済産業省「システム監査基準」「システム管理基準」)
34. システム監査の一般的な実施手順の順序として、適切なものはどれか。
システム監査は計画策定→予備調査→本調査→評価・結論→監査報告→フォローアップの順で実施される。 (経済産業省「システム監査基準」/ITパスポート試験シラバスVer6.4)
35. システム監査における「フォローアップ」の説明として、適切なものはどれか。
フォローアップは、改善提案の実施状況を事後にシステム監査人が確認・指導する活動である。 (経済産業省「システム監査基準」)