IPA高度試験の過去問合格答案-AU(システム監査技術者試験)-2017年-午後Ⅱ-問1-「情報システムに関する内部不正対策の監査について」

自己紹介

営業職やSEOマーケター、コンサルタント、システムエンジニアとしてIT関係の仕事を20年ほど経験し、現在はメーカー系企業の情報システム部門で働いています。

IPA高度試験は5区分（ITストラテジスト、システムアーキテクト、プロジェクトマネージャ、システム監査技術者、情報処理安全確保支援士）を取得済みです。

記事群の主旨

これから高度試験を受験される方のご参考になればと思い、かつて論文系試験の対策時に作成した、午後Ⅱ過去問の練習答案（論文部＋アンケート部）を公開します。

※令和6年度のITストラテジスト試験午後Ⅱ講評冒頭には、以下の記載があり、平成28年頃から「評価の対象となる」旨が明示されているようですので、アンケート部分も、事前対策においては重要だと思います。私が講評における「評価対象」の明示を確認したのはSTだけですが、アンケートの重要性はSTに限られないと思われます。

"論述の対象とする構想、計画策定、システム開発などの概要" が適切に記述されていないものや本文と整合性がとれないものが散見された。評価の対象となるので、矛盾が生じないように適切な記述を心掛けてほしい。

https://www.ipa.go.jp/shiken/mondai-kaiotu/m42obm000000afqx-att/2024r06h_st_pm2_cmnt.pdf

一応5区分合格済みで、論文のコツは掴んでいるつもりなので、これから合格を目指される方にとっては、ジュース代よりは価値がある内容になっていると思います。よければご笑覧ください。

この記事で対象とする過去問

試験区分：AU(システム監査技術者試験)
年度：2017年
問題：午後Ⅱ-問1
問題のテーマ：情報システムに関する内部不正対策の監査について

問題（問題文と設問）

問1 情報システムに関する内部不正対策の監査について

　近年、従業員などの内部不正による、情報システムを対象とした情報漏えいなどが増えている。内部不正による損害には、情報漏えいなどに伴う直接的な損害に加え、組織の管理態勢の不備や従業員などのモラルの低さが露呈するなど、組織の社会的信用の失墜がもたらす損害も無視できない。
　内部不正の動機は、組織、上司、同僚などへの不満、金銭目的など、様々である。また、従業員などが不正を行える環境や不正を正当化できる状況を組織が放置することも、内部不正を誘発する大きな要因になる。
　情報システムに関する内部不正では、従業員などが業務を行うために有するアクセス権限を悪用して情報の不正窃取、改ざんが行われる場合が多く、外部の者や権限を有しない内部の者による不正アクセスよりも、その防止や発見が難しい。したがって、内部不正対策では、技術的対策に加え、組織的対策を適切に組み合わせることが重要になる。組織的対策には、例えば、規程の整備、労働環境の整備、内部不正が発生した際の対応手順の整備、規程・手順が遵守されるための各種施策の実施などがある。
　システム監査では、内部不正を予防し、その被害を最小限にとどめるための技術的対策だけでなく、組織的対策が適切に行われているかどうかを確かめる必要がある。また、監査を行うに当たっては、当該対策が法令などに準拠して行われているかどうかという観点も重要になる。
　あなたの経験と考えに基づいて、設問ア～ウに従って論述せよ。

設問ア　あなたが携わった組織において、内部不正が発生した場合に重大な影響を及ぼす情報システムの概要と、その情報システムにおいて内部不正が発生した場合の影響について、800字以内で述べよ。

設問イ　設問アに関連して、内部不正の技術的対策の実施状況を確認するための監査手続について、内部不正の特徴を踏まえた留意点を含めて、700字以上1,400字以内で具体的に述べよ。

設問ウ　設問アに関連して、内部不正の組織的対策の実施状況を確認するための監査手続について、内部不正の特徴を踏まえた留意点を含めて、700字以上1,400字以内で具体的に述べよ。

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000fzx1-att/2017h29h_au_pm2_qs.pdf

答案の採点結果

ChatGPTへの質問（論文採点の依頼）

以下は、2017年のIPAシステム監査技術者試験の午後２の[問題]と、私が作成してみた[答案(論文本体・アンケート部分)]です。IPAの採点者になったつもりで、100点満点で採点をし、講評を行ってください。

[問題]
　上記をはりつけ
[答案(論文本体)]
　以下、有料部分に掲載の内容をはりつけ
[答案(アンケート部分)]
　以下、有料部分に掲載の内容をはりつけ

ChatGPTの回答（論文採点結果・講評）

採点結果：85点／100点

【講評】
本答案は、システム監査技術者試験の論文として非常に優れた完成度を誇るものであり、特に以下の点で高く評価できます。

【優れている点】
① 具体的かつ実務的な内容
設問ア（内部不正の影響）
→ 業界特有のリスク（競合による商談機会の奪取）を具体的に挙げ、売上や風評リスクに言及している点が秀逸。
設問イ（技術的対策）
→ 権限管理、ログ監視、ネットワーク監視といった標準的な対策に加え、DLP（Data Loss Prevention）の活用や、退職予定者の監視強化といった現実的な監査手続を詳述しており、実務に即した内容になっている。
設問ウ（組織的対策）
→ 懲戒規程の周知や、社員満足度向上策を含めることで、「なぜ内部不正が起こるのか？」という本質的な問題に切り込んでいる。

② 監査手続の具体性
技術的対策・組織的対策の監査手続において、「何を、どうやって監査するか？」を詳細に記述している。
**「仕様書・運用手順書の確認」「IT資産管理システムのログ査閲」「規程の認識度チェック」**など、実際の監査現場で使える手法を取り入れている点が非常に良い。

③ 文章構成が論理的
章立てが明確であり、**「リスク→コントロール→監査手続」**の流れが整理されていて読みやすい。
監査対象のシステム概要を最初に説明しており、以降の説明が理解しやすい。

【改善の余地がある点】
① 設問ウ（組織的対策）の深掘り不足
組織的対策の「監査手続」の部分がやや表面的であり、以下のような踏み込みが不足している。
「教育訓練の実施状況」を、受講履歴や試験結果などの形で具体的に評価するか？
「職場満足度向上策」の効果をどのように測定するか？
「懲戒規程の周知」について、ただ規程があることを確認するだけでなく、実際にどのように社員に伝えられているか（研修、ポスター掲示、eラーニングなど）を評価する方法を加えるとより良い。

② 監査結果の評価基準がやや曖昧
監査手続の説明は詳細だが、「監査の結果、何をもって適切／不適切と判断するか？」 の基準がやや不明確。
→ 例えば、「過去1年間に不正持ち出し事例がなかったか」「DLPの監視ルールが最新の脅威に対応しているか」 などの監査結果の判断基準を示せば、より監査の実効性が伝わる。

③ 法令遵守の観点がやや弱い
設問文では**「当該対策が法令などに準拠して行われているかという観点も重要」とあるが、個人情報保護法や不正競争防止法などの具体的な法的要件を監査する視点が薄い。
→ 例えば、「営業秘密保護に関するガイドライン（経済産業省）」** などの準拠規定を示せば、より説得力が増す。

【総評】
実務に即した非常に優れた論文であり、システム監査技術者としての適性が高く評価できる。
特に「実際の監査業務においてどう進めるか？」という観点でよく練られており、合格レベルに十分達している。
ただし、「組織的対策の深掘り」「監査結果の評価基準」「法令遵守の観点」 の3点を補強すれば、さらに完成度の高い論文になる。

👉 85点／100点（合格ラインは超えているが、改善の余地あり）

合格答案例

論文本体部分

第１章　概要・影響
１－１. 内部不正リスクをはらむ情報システムの概要
　社員数1,400名規模のマンションメーカーであるＡ社の経営陣は、営業秘密の漏洩に大きな危機感を抱いている。なかでも特に、営業支援システムで管理される見込み顧客の情報流出を、最大の内部不正リスクと捉えている。　営業支援システムの概要は以下の通りだ。①土地活用、特に賃貸マンション建築を検討いただける可能性のある見込み顧客の基本情報と、