1. はじめに
私は情報処理・サービス業の会社に属する20代後半のSEである。令和5年秋にシステム監査技術者試験を受験し合格したため、合格に至るまでに行った学習経過等を振り返る。なお、本試験は今回で1回目の受験であるが、過去の他区分の試験でB評価をいくつか経験していることから、論文対策も含め全体的に解説する。また、今回は未経験分野である監査であることからアイテックによる「2023 システム監査技術者 午後Ⅰ・Ⅱ対策コース」を会社負担による通信講座を受講しているため、実際に利用した所感も併せて述べる。
徹底解説であるため、主に午後試験においては実際に自身が提出解答した内容を再現し、IPAの解答と照らし合わせると共に、午後Ⅱ論文においても解答したポイントを具体的に記載することで、よくある「薄い単なる合格体験記」に留まらない内容を意識して記事を構成する。
2. 受験の目的
私は監査人が嫌いである。自身が受け持っている構築中・稼働中のシステムに対し、突如第三者として現れ、監査業務としてあることないことを言ったまま去り、プロマネまたはシステムアーキテクトが監査指摘内容に対し対応に追われる場面が見受けられるからである。
しかし、相手方を叩くには相手の業務を知った上で叩くことが望ましい。従ってシステム監査人に求められる知識をシステム監査技術者試験で一貫して習得し、システム監査人の立場になって考えられる思考を養うとともに、いつでも監査人に対し文句を言えるよう身の安全を確保する狙いがあった。
3. 情報処理技術者試験の受験履歴と筆者のスペック
自身の情報処理試験受験履歴を以下に示す。情報処理技術者の受験は入社した2016春より開始している。なお、未受験は省略している。
また、自身のITスキルを以下に示す。
・システム監査未経験
・ISMAPやJIS Qを読んだことがないし興味がない(受験にあたりシステム監査基準は読んでおいた)
・プログラムを実装する際、ネットからコピーしたものをモジュールとしてそのまま利用し、実装したい機能に合わせて適宜プログラムを追加していく。はじめから自分で書かない。
・最短経路や二分木など用語は知っているものの、結局何に使うのか見出だせない
・午前問題に出てくる計算問題は、とりあえず答えから見る
...というように物事を論理的ではなく、漠然と感覚で捉え、システム監査に対し情熱がない者である。
4. 午前Ⅰ
本ブログにおける、他高度区分の合格記事に各種掲載しているため省略する。
5. 午前Ⅱ
近年、午前Ⅱにおいては受験区分だけの午前Ⅱ過去問を解くだけでは60点以上の確保が難しくなってきた印象である。実際に、令和4年のプロジェクトマネージャにおいて、過去H21春からR3秋までの13回分のすべての過去問を5周したのにも関わらず、60点の成績を残した。
従って、今回のシステム監査技術者試験においては応用情報技術者試験の分野別過去問題の演習に取り組むこととした。システム監査技術者試験の午前Ⅱは「データベース」「ネットワーク」「ITサービスマネジメント」「セキュリティ」分野から計25問中4-5問程度問出題されるため、1問ずつ着実に正解していくことが非常に重要である。そのため、これらのカテゴリについて応用情報の分野別問題を計1500問解きかつ、情報処理安全確保支援士の午前Ⅱ過去問の数年分を解いた。同時に、ITストラテジストの午前Ⅱ過去問から2問程度抽出されて出題される傾向があることから、ITストラテジストの午前Ⅱ過去問H22~R4までを5周、システム監査技術者の午前Ⅱ過去問H22~R4を5周し、万全の体制で挑んだ。
学習期間としては、2023年7月~2023年10月試験当日まで。
結果として、午前Ⅱは76点の成績を残した。所感としては、これだけやっても点数は伸びないというところである。見慣れない新規問題を消去法で2択に絞ったところで、50%を外し不正解になるケースが多く、運が悪いと一瞬で合格ラインスレスレに到達する午前Ⅱは、学習していく上で非常にリスクの高い区分であると認識している。
しかし、統計情報を見ると午前Ⅱ突破者は全受験者からして大多数であり、よく学習されておりレベルの高さを感じている。
6. 午後Ⅰ
過去問を主体とした対策を実施した。IPAの過去問題サイトからH30からR4までの5年分の過去問(問1~問3)を4周した。学習期間は7月中旬~10月初旬まで。
システム監査技術者の前提知識として、監査の流れは
監査計画→予備調査→監査手続書→本調査→監査報告
からなる。このような知識のインプットにおいては、経済産業省から開示されている「システム監査基準」を一読しておくことが望ましい。午後Ⅰでは、この中の知識をベースに「監査手続はなにか。」や「本調査で監査人が確認した具体的な内容」「◯◯に対するコントロール」「想定されるリスクはなにか。」などが問われやすい。
他区分試験のように問題文中からそのまま解答を写したり、オウム返しで解答するというテクニックは一部の設問で用いることはできるが、大部分の設問は問題に掲載されている監査証拠をもとに、問題文に隠された「穴」を受験者は探り解答することが多く求められる。
このように、前提知識がないまま学習を進めると本試では減点対象となり得ることから、私は以下の書籍を購入してシステム監査に対する理解を深めることとした。
本の中では、実際の監査手順や監査技法が詳細に掲載されており、特徴的なのが著者が「情報処理技術者試験委員」を務めた経歴があることである。システム監査人の目線から午後Ⅰでどのように解答すべきか、解答欄に記載するための語彙力を上げるツールとして個人的に推薦したい書籍である。
以上の内容をもとに私が実際にR5本試で再現解答したものを以下に示す。
受験者全体の所感から、問2はハイレベルであったと思料する。特に、問題文中の内容がふわっとした監査手続に対し、根本要因の記載を求める問題が問2に多かったことで、上手に日本語化できなかったり本質をうまく捉えられない解答をしてしまった点は反省点である。
しかし本試で突然、問1のネットワーク関連かつ50文字以内で記載を求める設問を目の当たりにしたとき、問1からは逃げの姿勢をとらざるを得なかったというのも現場の感覚としてある。
午後の論述を主とした試験の自己採点をしたところで無意味であるため、採点後の所感とはなるが、概ね採点結果どおりの61点というところで妥当性がある。結果的には、部分点や問3の設問に助けられた要素があった形となった。
※アイテック「2023 システム監査技術者 午後Ⅰ・Ⅱ対策コース」における、午後Ⅰの模試においては、点数が61点でCランク(ボーダーライン)であり、本試においても同じ点数となったことは偶然であるが、厳し目の問題・採点であるアイテックの模試判定結果には現実味があるように感じた。
7. 午後Ⅱ
午後Ⅱにおいては、以下の書籍を大いに活用して試験対策を行った。更に、午後Ⅰのインプットとして使用した書籍「よくわかるシステム監査技術者の実務解説」も併せて午後Ⅱ対策として使用した。結果的にこの本が本試の問1で脅威を発揮した。後者の本は、監査テーマごとに豊富な監査項目が掲載されているため、その中から汎用的に使える項目を論文に応用する使い方が出来るもので、実際に午後Ⅱ問1の「リスク」についての論述に対しクリティカルに適合した。
書籍を活用した狙いとしては、本の中に記載されている論文例、監査手続、コントロールを暗記し、モジュールとして論文へ組み込んで活用することで論文ネタとして活用することを目的としたためである。
例えば、
・別の担当者がチェックしているか
・研修を適切な時期に実施しているか
・個人情報がマスキングされているか
・ヒアリングで確認する
など覚えられる監査行為は全て頭に叩き込む。
学習期間は8月初旬~10月中旬まで。
論文の大前提としては、他区分と同様にシステム監査人が行うものとそうでないものを明確に分けて記載することとなる。論文内に登場するのは主にシステム監査人と被監査部門となるため、「◯◯を査閲して◯◯されているかを監査対象に確認する」など考えられるリスクと照らし合わせて論述を展開していく。特に監査は第三者からの視点となるため、被監査部門との関わりは監査のみに留まるということを意識する必要がある。
問題文は例え、受験者が「??」となったとしても出題者がIPAとして度重なるレビューをした上で出題をしているのだから全てが正しく、神であることを忘れてはならない。問題文に対して反抗的な論述をすると、BからD評価となり得るので、問題文に対して「うんうんそうだよね」というイエスマンになって解答することが大前提である。
なお、論文はアイテックの通信講座にて、2つ添削をしてもらい、いずれも55-59点台に収まった。アイテックの論文添削では、自身が記載した文章に対し「ここは監査証拠の◯◯と◯◯を突合させて確認すべき」「◯◯が必要になります」など論文の内容を理解した上で更に考慮すべき点や、足りない部分を補ってくれる補足文を赤入れしてもらう形である。実際に添削者のプロフィールを見てみると、自身が記載した論文テーマに近い経歴を持つ者が添削者としてアサインされていたのか、親しみを感じられた。この添削がなければ、論文に立体感が出ず、B判定になっていた可能性もあったため非常に取り組んで良かったと感じている。
さて、論文のA、B、C、Dの判定の考え方として、自身は以下と考えている。
A→Accurate(正確) →題意に沿っていて正確に述べられている
B→Bad(悪い) →題意に沿っているが内容が不十分/文字数が少ない/設定された立場外のことを行っている論述をしている/平面的なことしか書いていない
C→Conflict(不一致) →題意に沿っていない/お前は何を言っているんだ?
D→Dust(ゴミ) →選択欄に◯をつけていない/空白提出。
如何に問われたことだけに解答し、立体感のある論文を組み立てるかが鍵となる解答力を前提に、実際に私が午後Ⅱの問1で解答したものに近い抜粋論文例を以下に示す。※多少テイストを変えているので再現ではない
論文全体の所感としては、設問アは800文字ほぼフルに記載、設問イはリスクのためそんなに書くことがなく700-800文字程度、設問ウは監査手続を満載に書いたため1400文字フルで回答を提出した。従って設問ウで一気に合格を決めた形となる。以下に記載する論文のうち、設問イのリスクにおける技術的・人的・物理的・組織的のリスクは「よくわかるシステム監査技術者の実務解説」の本がなければ思いつかなかった要素となる。これらの要素によりまとまりのある文書が記載できたものと思料する。また、設問イのリスクと設問ウの監査手続は対になるよう意識し矛盾が生じないよう配慮した。
1-1 データ利活用基盤の構築の概要、目的
論述の対象は、A企業におけるドキュメント管理システムと連携したデータ利活用基盤の監査についてである。私は情報処理・サービス業のA社監査部門に属している。A社従業員が日常的に利用しているドキュメント管理システムから、そのシステムに登録されたビックデータを多様な視点で分析するデータ利活用基盤が構築されることとなり、私はその基盤の構築において、監査を実施することとなった。
ドキュメント管理システムには、◯千万件以上のデータが登録されており、データ利活用基盤を構築することで、ドキュメント管理システムに登録されたドキュメントの件名やファイル情報等のデータから文字データを処理し、頻出ワードやよく登録されているファイルを多角的に分析することができる。またデータ利活用基盤構築の目的としては、A社ドキュメント管理システムに登録されたデータの実体の把握、および分析データ可視化によるA社事務処理の品質向上、改善活動として業務効率化全般やA社顧客先の新規アプローチ提案に向けた社内への情報提供が挙げられる。
1-2 データ利活用基盤が必要となる理由
A社ドキュメント管理システムと連携したデータ利活用基盤が必要となる理由として、以下が挙げられる。各従業員は散在したデータの中から目的のデータを探し出し、事務処理やA社顧客先のアプローチ作業を進めている。しかし、システム上に存在する多くの情報から単一目的のデータを探し出すだけでは、根本的な事務の効率化に繋がらず、顧客先への付加価値向上にも期待できない。従って、システム上存在するドキュメントを定量的・定性的に分析し、社内の従業員へドキュメントの実態を把握しながら業務を進めるための気付きを与える基盤が必要となった。
私は上記に挙げたデータ利活用基盤の監査に向けて次のようにリスクを想定することとした。
2-1 データ利活用基盤構築に際する想定されるリスク
データ利活用基盤の構築にあたり、信頼できるデータの確保およびデータ品質、セキュリティ確保を念頭に置き構築を行うことは非常に重要であると考える。従って、私は想定されるリスクを「組織的」「人的」「物理的」「技術的」の4つに分けて想定することとした。
ドキュメント管理システム上に存在するデータ郡をデータ利活用基盤に連携し、分析を行うにあたり、ドキュメント管理システム上に存在するデータの信頼性、原本性などのデータ品質の確保が求められる。「組織的リスク」については、A社利用部門や構築の体制が不十分であるためにデータ確認手段が疎かになり、ドキュメント管理システムからデータ利活用基盤へデータ連携する際、連携の前段となるドキュメント管理システム側の時点からデータ品質が担保されないリスクが想定される。
~
また「人的リスク」についてはドキュメント管理システムからデータ利活用基盤へのデータ連携手段の確立が不十分となり、データ品質の維持不足やデータの欠損リスクが想定される。「物理的リスク」においては、データ利活用基盤におけるデータ入出力の過程で外部へのデータ持ち出しやデータ加工時による電子ファイルの取り扱い、物理媒体の管理が煩雑になるリスクが想定される。
最後に「技術的リスク」についてはデータ利活用基盤に対する外部からの不正アクセスやアクセス権限を持たないA社従業員が不正にアクセスし、データが外部に流出するリスクが想定される。
以上の「組織的」「人的」「物理的」「技術的」の4つリスクを踏まえ、私はデータ利活用基盤が適切に構築されているかを確かめるために各種監査手続を実施することとした。
3-1 データ利活用基盤が適切に構築されているか確認するための監査手続
2-1で述べたリスクに対し、私はそれぞれ次のような監査手続を実施した。「組織的リスク」のA社利用部門や構築の体制が不十分になるリスクに対しては構築プロジェクトの体制図やデータ連携手順書を査閲し、ドキュメント管理システムからデータ利活用基盤へのデータ連携時における利用部門と構築要員とのデータ確認手段が明確になっているかを確認する監査手続を設定することとした。具体的には、役割分担として各利用部門がドキュメント管理システム上に存在するデータを隔年で定期的にチェックし、データ利活用基盤連携時のデータ品質が維持される手順の仕組みが用意されているかを確認する。また、構築要員においてはドキュメント管理システムに精通したデータサイエンティストが構築プロジェクトの体制に入っており、各利用部門からのデータ受領時に適切に処理がなされる手順が組み込まれているかを連携手順書と併せて確認する。
続いて、「人的リスク」においてはデータ品質の維持不足やデータの欠損リスクが想定されることから、データ利活用基盤の分析データ処理方法が適切に行われていることや分析結果が適切にアウトプットされていることを確認する必要があると考えた。理由としてこれらが煩雑である場合、データ利活用基盤構築の目的・理由としていたA社内への情報が誤った方向に提供されてしまいA社業務効率化に寄与できないと考えたからである。従って、構築プロジェクトにおける研修計画書と要件定義・設計時の議事録を査閲し、
~
また、データ連携時における処理が適切に動作し、品質が担保されているかを確認するためにデータ利活用基盤の設計書およびテスト仕様書を査閲し、それぞれを突合させて実装内容に漏れがないことを確認することとした。
「物理的リスク」においては、データ利活用基盤における電子データの取り扱い・物理媒体についてのリスクが想定されることから、構築プロジェクトにおける要件定義・設計時の議事録を査閲し、データ入出力に関する運用ルールが上流工程で検討され運用に向けた整理がなされているか確認することとした。更に、運用マニュアルを査閲し物理媒体を取り扱う上での個人情報に対する取り扱いについて持ち出す際にマスキング処理がなされているかや、ウイルススキャンの手順が組み込まれているか、オペレーションを行う者が複数名体制で相互確認を行う手順が記載されているかについて詳細に確認することとした。
最後に「技術的リスク」におけるセキュリティに関するリスクについては、外部からの不正アクセスに対応するための措置が検討されているかについて、ペネトレーションテスト結果報告書を査閲し、~
また、A社従業員への不正な権限付与を防止するための措置として要件定義・設計工程における議事録と設計書を確認し、ログの適切な保管、保存場所、ログのアクセス管理が考慮されているかについて確認することとした。
私は、以上の内容について想定されるリスクに対し監査手続を設定し、データ利活用基盤の構築における監査に臨むこととした。
-以上-
8. まとめ
今回は令和5年システム監査技術者試験に合格するまでの不合格から合格に至るまでの過程を示し、学習方法について具体的に明示した。高度情報処理試験は運の要素が強い。難易度どうこうよりも、結局自分の得意分野や取組みやすい問題文、解答の仕方によって向き不向きが年度によって違ってくると考えている。今回紹介した学習例を何度か過去に実践したとしても、不合格となっているのが高度試験である。逆に全然勉強してなくても合格する場合がある。情報処理技術者試験は業務独占資格ではなく、結局は肩書だけなのだから、合格不合格に一喜一憂せず、継続的な研鑽が重要であると認識している。
システム監査技術者試験に挑戦されている方や今後受験を検討されている方向けに参考となれば幸いである。
システム監査技術者おつかれ。情報処理試験終わりっていつも雨降ってるよなあ。
— うまうま (@umauma2010) October 8, 2023
まあただの肩書試験なんで、合格有無に関わらず勉強した人みんなえらい。
昨日、プロジェクトの稼働日でこの半年は大変な思いだった。
