システム監査の内容として、適切なものはどれか。

ウ組織体の情報システムに関わるリスク対策が適切に整備・運用されているかを、独立的な立場で検証すること

平成24年度秋期 ITパスポート試験問35 解説システム監査の目的

システム監査の問題を解く際は、独立的な立場という言葉と検証・評価というキーワードをセットで探すのが最短のルートです。システム監査は、システムを作ったり運用したりする当事者ではない第三者が、客観的な視点でルール通りに動いているかを確認する作業を指します。

システム監査とは、組織のシステムが健全に動いているか、情報漏洩などのリスクに対して十分な対策が取られているかを、専門的な知見を持つ監査人が客観的にチェックすることです。

ここで最も重要なのが独立性です。例えば、システムを開発した担当者本人が自分のプログラムをチェックしても、見逃しや忖度が発生する可能性があります。そのため、監査を受ける対象から完全に独立した第三者（内部監査部門や外部の監査法人など）が、証拠に基づいて公正に判断を下さなければなりません。

また、単に不備を見つけるだけでなく、リスク対策が適切に整備（ルール作り）され、さらにそれが実際に運用（実行）されているかという両面を検証の対象とします。

選択肢には、システムの開発工程やセキュリティ技術に関する用語が紛れ込んでいます。これらを整理することで、正解への精度を高めることができます。

アの利用者が本番稼働してよいか判断するためにテストすることは、システム開発における受け入れテスト（ユーザ受入テスト）の説明です。これは開発の最終段階で行われるプロセスであり、監査とは異なります。

イの身体的特徴による本人確認は、バイオメトリクス認証（生体認証）を指します。これはセキュリティを守るための手段の一つであり、監査そのものではありません。

エの外部からシステムに侵入してデータを盗む行為は、不正アクセスやハッキングと呼ばれる犯罪行為です。システム監査は、このような不正が行われないように対策が機能しているかを調べる側です。

このように、監査という言葉が持つ客観的なチェックという意味合いを意識すると、他の技術的な用語や攻撃手法に関する選択肢を自然に除外できます。

現代の企業活動において、ITシステムは水道や電気と同じくらい重要なインフラです。もしシステムが止まったり、データが改ざんされたりすれば、社会的な信頼を失うだけでなく、甚大な経済的損失を招きます。

システム監査の知識は、単に試験に合格するためだけのものではありません。将来、皆さんが企業でシステムを利用したり管理したりする際、ルール（ガバナンス）が正しく守られていることを対外的に証明するアカウンタビリティ（説明責任）を果たすために必要不可欠な概念です。

適切に監査が行われていることを示すことで、顧客や取引先に対して、私たちのシステムは安全ですという信頼の根拠を提示できるようになります。この問題は、ITを技術として捉えるだけでなく、組織運営の一部として管理・監督する視点を持つことを求めています。