【実務思考】【AU-H24-1-PM2-Q2】システムの日常的な保守に関する監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H24-1-PM2-Q2)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭システムの日常的な保守に関する監査についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成24年 午後2 問2について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H24-1-PM2-Q2)

 出典:情報処理推進機構 システム監査技術者試験 平成24年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
 システムの日常的な保守に関する監査について
■内容
 稼働中の情報システムや組込みシステムでは,関連する業務内容の変更,システム稼働環境の変更,システム不具合への対応などの目的で,マスタファイルの更新,システム設定ファイルの変更,プログラムの軽微な修正など,日常的な保守が必要になる。これらの保守は,業務の大幅な見直しに伴うシステム変更のような大規模な保守に比べて,短期間で対応しなければならない場合が多い。
 例えば,新商品を発売したり,商品の売価を改訂したりする場合は当該商品の発売や売価改訂のタイミングに合わせて,商品マスタファイルを変更する必要がある。
 また,プログラムやシステム設定ファイルなどの不備が原因でシステム障害が発生した場合は,速やかに当該プログラムやシステム設定ファイルなどを修正して,システムを復旧しなければならない。
 一方で,これらの日常的な保守は,当該システムの開発に携わっていない保守要員が行ったり,外部に委託したりすることも多い。また,システムの利用部門がマスタファイルヘの追加や変更を行う場合もある。もし,誤った変更や修正が行われると,その影響はシステムの誤作動や処理遅延にとどまらず,システムの停止などに至ることもある。
 システム監査人は,このような状況を踏まえて,情報システムや組込みシステムの日常的な保守が適切に行われているかどうかを確認する必要がある。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが関係した情報システム又は組込みシステムの概要と,当該システムの日常的な保守の体制及び方法について,800字以内で述べよ。
■設問イ
 設問アで述べたシステムの日常的な保守において,どのようなリスクが想定され,また,そのリスクはどのような要因から生じるか。700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで述べたリスクが生じる要因を踏まえて,当該システムの日常的な保守の適切性を監査する場合,どのような監査要点を設定するか。監査証拠と対応付けて,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 情報システムや組込みシステムは,業務内容の変更,システム稼働環境の変化やシステム障害の問題解決のために,プログラム,マスタファイル,設定ファイルなどを短期間で修正しなければならない場合が多い。しかし,システムの前提条件や上限値などの制約条件を考慮せずに修正してしまうなど,日常的な保守に対する安易な対応は,システム全体にまで影響を及ぼすおそれがある。
 本問では,情報システムや組込みシステムの日常的な保守に関わるリスクを評価し,正しく保守が行われているかどうかを監査するための見識や能力について評価する。
■採点講評
 問2(システムの日常的な保守に関する監査について)は,システム保守という基本的かつ一般的なテーマであったことから,最も選択率が高かった。問題文をよく読めば,短期間あるいは緊急で対応しなければならない保守についての出題だとわかるはずであるが,システム開発に準じた保守やシステム運用など,題意とあっていない論述が多く見受けられた。設問イでは,想定されるリスクに対する要因が不十分な論述が多く,情報セキュリティの観点からの論述も散見された。設問ウでは,監査要点や監査証拠に関する論述が不十分な受験者が目立った。また,システム管理者の立場での論述や,設問では求めていない監査結果や改善提案などの論述も散見された。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】システムの日常的な保守作業は、迅速性が求められる一方で、誤操作や不適切な変更がシステム全体の停止リスクを招く重要な管理領域です。
  2. 【監査視点】監査では、変更管理や職務分掌、緊急対応時の手続きが適切に運用されているかを重点的に確認します。
  3. 【行動・着眼点】監査人は、全ての保守作業における承認・実施・記録・確認の履歴を検証し、変更管理の形骸化や抜け漏れがないかをチェックすべきです。

🧭システムの日常的な保守に関する監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 稼働中のシステムでは、大規模な改修だけでなく、マスタ更新、設定変更、軽微なバグ修正といった「日常的な保守」が頻繁に発生する。
    • これらの日常的な保守は、大規模開発に比べて「軽微な作業」と見なされがちで、厳格な管理プロセス(テスト、承認、記録など)が省略されることが多い。
    • しかし、たとえ軽微な変更であっても、誤った保守作業はシステムの誤作動や停止といった重大な障害を引き起こすリスクがある。
    • 保守作業を、システムのことをよく知らない保守要員や外部委託先、あるいはシステムの専門家ではない利用部門担当者が行うケースが増えており、リスクがさらに高まっている。
  • 変化の必要性の背景:
    • ビジネスのスピードアップ: 市場の変化に対応するため、商品の価格改定や新サービスの設定など、迅速なマスタ・設定変更が求められるようになり、日常的な保守の頻度と重要性が増した。
    • ITILの普及: ITサービスの運用管理に関するベストプラクティス集であるITILの考え方が普及し、日常的な保守作業も、インシデント管理、問題管理、変更管理といった標準化されたプロセスの中で管理すべきだという認識が広まった。
    • 内部統制の観点: J-SOX法などの内部統制規制において、本番環境への変更は、その大小にかかわらず、すべて統制された手続きの下で行われることが求められるようになった。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 統一された変更管理プロセス: システムに対する全ての変更が、その規模の大小にかかわらず、標準化された「変更管理プロセス」を通じて実施される。これには、変更要求の起票、リスク・影響評価、承認、テスト、本番反映、結果確認という一連のステップが含まれる。
    • リスクに応じたプロセス適用: 全ての変更に同じ重さのプロセスを課すのではなく、変更の重要度やリスクに応じて、プロセスの厳格度を調整する。例えば、定型的なマスタ更新は簡易な承認フロー、プログラム修正はより厳格なテストと承認フロー、といった柔軟な運用がなされる。
    • 職務分掌と最小権限の原則: 変更作業における役割(依頼者、承認者、作業者、確認者)が明確に分離されている。作業者が本番環境へアクセスできる権限は、作業に必要な最小限の範囲と時間に限定される。
    • 完全な監査証跡の記録: 全ての保守作業について、「誰が、いつ、何を、なぜ、どのように変更し、誰が承認したか」が、変更管理ツールやアクセスログによって自動的かつ網羅的に記録され、追跡可能になっている。
  • 克服すべき障壁:
    • 緊急対応との両立: 「システムが停止しているので、今すぐ修正が必要」といった緊急事態において、平時の厳格な変更管理プロセスを踏むことができず、手続きが形骸化しやすい。
    • 「軽微な変更」という意識: 担当者が「このくらいの変更なら大丈夫だろう」と自己判断し、正規のプロセスをバイパスしてしまう。
    • プロセスの煩雑さ: 変更管理プロセスが過度に煩雑だと、現場担当者に敬遠され、守られなくなる。
    • ツールの未整備: 変更要求や承認、作業記録などを管理するための適切なツールがなく、紙やメールベースの非効率な運用が行われている。
  • 利害関係者の視点:
    • 経営層: 日常的な保守作業に起因する、予期せぬシステム障害や不正のリスクが低減され、事業の安定性が向上する。
    • 利用者/依頼者: 自分の依頼した変更が、どのようなステータスにあるか追跡できる。変更による意図しない副作用のリスクが低減される。
    • 保守担当者/IT部門: 明確な手順と承認に基づいて作業を行うため、安心して作業でき、個人が責任を問われるリスクが減る。作業記録が残るため、後から問題が発生した場合の原因究明が容易になる。
    • 監査人: 変更管理ツールやログといった客観的な監査証跡を用いて、日常的な保守プロセスが規程通りに、かつ有効に機能しているかを効率的に評価できる。

3. 要約

  • [200文字]要約:
    日常的なシステム保守は、軽微と見なされがちだが重大な障害を引き起こすリスクがある。理想像は、全ての変更をリスクに応じた標準的プロセスで管理し、職務分掌を徹底、完全な監査証跡を残すこと。監査人は、この変更管理プロセスが緊急時も含め有効に機能しているかを評価する。
  • [400文字]要約:
    マスタ更新など日常的な保守作業は、管理が疎かになりがちだが、重大なシステム障害の原因となりうる。あるべき理想像は、変更の大小を問わず、全て標準化された変更管理プロセスを通じて実施することだ。リスク評価に基づき、承認、テスト、記録といった統制を適用し、職務分掌を徹底する。監査人は、この変更管理プロセスが規程通り運用され、保守作業に起因するリスクが許容範囲内に抑えられているかを、客観的なログ等の証拠に基づき評価する。
  • [800文字]による詳細な考察:
    本問題は、システム運用の現場で頻繁に行われる「日常的な保守」という、見過ごされがちだが極めて重要な領域に焦点を当てている。大規模開発のような華やかさはないが、組織の安定稼働は、まさにこの日々の地道な保守活動の品質によって支えられている。
    • あるべき理想像とは、「ITILv4の4つの側面(組織と人、情報と技術、パートナーとサプライヤー、バリューストリームとプロセス)を考慮した、統合的な変更イネーブルメント(Change Enablement)の実践」である。これは、変更管理を単なる「プロセス」として捉えるのではなく、組織文化、ツール、体制が一体となった「能力(Capability)」として確立することを意味する。理想的な状態では、ITサービスマネジメントツール(ITSMツール)が導入され、全ての変更要求はそのツール上で一元管理される。変更の種類(標準変更、通常変更、緊急変更)に応じて、あらかじめ定義されたワークフローが自動的に起動する。例えば、「標準変更」(例:定型的なマスタ追加)は、リスクが低いため事前承認済みで、迅速な実施が可能。「緊急変更」(例:障害対応パッチ)は、事後承認を許容するが、その妥当性は事後に厳しくレビューされる。全ての変更作業のログはツールに記録され、KPI(変更成功率、緊急変更の割合など)がダッシュボードで常にモニタリングされ、継続的なプロセス改善に繋げられる。
    • 理想像実現へのアプローチとして、システム監査人は、まず変更管理規程の存在と、その内容の妥当性を評価する。次に、ITSMツール等から変更記録の全件データを抽出し、データ分析を行う。例えば、①承認のない変更はないか、②テストが実施されていない変更はないか、③緊急変更が多発していないか(根本原因の解決が疎かになっていないか)、④特定の担当者に作業が集中していないか、といった観点から異常を検出する。さらに、いくつかの変更案件をサンプリングし、起票から完了までの記録を追跡して、プロセスが規程通りに遵守されているかを詳細に検証する。
    • 期待される効果は、変更作業に起因するインシデントの削減と、システムの安定性の向上である。また、変更プロセスが透明化されることで、監査対応の効率も大幅に向上する。
    • 考慮すべきリスクは、プロセスが官僚的になりすぎ、ビジネスの要求するスピードに対応できなくなることだ。監査人は、統制の有効性だけでなく、プロセスの効率性という観点も持ち、リスクとスピードのバランスが適切に保たれているかを評価する必要がある。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。