平成 31 年度 春期 システム監査技術者試験 午前II 問題

はじめに

• 平成 31 年度 春期 システム監査技術者試験午前II 問題について問題と回答を載せています。
• 今後解説を追記する予定です。
• 間違いがあればご指摘ください。

問題と解答

問1

• システム管理基準（平成 30 年）において，IT ガバナンスにおける説明として採用されているものはどれか。

ア

EDM モデル

イ

OODA ループ

ウ

PDCA サイクル

エ

SDCA サイクル

正答 ア

• 経営陣の行動を，情報システムの企画，開発，保守，運用に関わるITマネジメントとそのプロセスに対して，経営陣が評価し，指示し，モニタすると定義されている。評価（Evaluate），指示（Direct），モニタ（Monitor）の頭文字をとってEDMモデルと呼ぶ。
• OODAループとは，アメリカの軍事戦略家であるジョン・ボイド氏が発明した，先の読めない状況で成果を出すための意思決定方法。Observe（観察），Orient（状況判断，方向づけ），Decide（意思決定），Act（行動）の4つの行動の頭文字をとったもの。本問題の回答としては誤り。
• PDCA サイクルとは，品質管理などを継続して改善する手法で，Plan（計画）→ Do（実行）→ Check（評価）→ Act（改善）という行動を繰り返す。OODA ループとの違いは，計画してから行動を起こすという点で，OODA ループでは計画はなく，状況を見て実際に行動する，というもの。本問題の回答としては誤り。
• SDCA サイクルとは，Standardize（標準化）→ Do（実施）→ Check（確認）→ Act（処置）というもので，本質的に目指すものは PDCA サイクルのそれと同じであり，本問題の回答としては誤り。

問2

• システム監査技法である ITF (Integrated Test Facility) 法の説明はどれか。

ア

監査機能をもったモジュールを監査対象プログラムに組み込んで実環境下で実行し，抽出条件に合った例外データ，異常データなどを収集し，監査対象プログラムの処理の正確性を検証する方法である。

イ

監査対象ファイルにシステム監査人用の口座を設け，実稼働中にテストデータを入力し，その結果をあらかじめ用意した正しい結果と照合して，監査対象プログラムの処理の正確性を検証する方法である。

ウ

システム監査人が準備した監査用プログラムと監査対象プログラムに同一のデータを入力し，両者の実行結果を比較することによって，監査対象プルグラムの処理の正確性を検証する方法である。

エ

プログラムの検証したい部分を通過したときの状態を出力し，それらのデータを基に監査対象プログラムの処理の正確性を検証する方法である。

正答 イ

• アは組込み監査モジュールの説明。
• ウは並行シミュレーション法の説明。
• エはスナップショット法の説明。

問3

• システム管理基準（平成 30 年）において，経営陣が IT ガバナンスを成功に導くために採用することが望ましい原則としているものはどれか。

ア

監視，情勢判断，意思決定，行動

イ

計画，組織化，命令，調整，統制

ウ

顧客重視，リーダーシップ，人々の積極的参加，プロセスアプローチ，改善，客観的事実に基づく意思決定，関係性管理

エ

責任，戦略，取得，パフォーマンス，適合，人間行動

正答 エ

• ガバナンスには，統治，支配，管理といった意味がある。
• 経済産業省が出している，システム管理基準（骨子）に以下の記述がある。

3. IT ガバナンスにおける 6 つの原則
IT ガバナンスを成功に導くため，経営陣は，次の 6 つの原則を採用することが望ましい。
① 責任
役割に責任を負う人は，その役割を遂行する権限を持つ。
② 戦略
情報システム戦略は，情報システムの現在及び将来の能力を考慮して策定し，現在
及び将来のニーズを満たす必要がある。
③ 取得
情報システムの導入は，短期・長期の両面で効果，リスク，資源のバランスが取れ
た意思決定に基づく必要がある。
④ パフォーマンス
情報システムは，現在及び将来のニーズを満たすサービスを提供する必要がある。
⑤ 適合
情報システムは，関連する全ての法律及び規制に適合する必要がある。
⑥ 人間行動
情報システムのパフォーマンスの維持に関わる人間の行動を尊重する必要がある。

問4

• 財務処理に係るクラウドサービスを委託している場合に委託元会社が入手することのある，日本公認会計士協会の監査・保証実務委員会実務指針第 86 号“委託業務に係る内部統制の保証報告書（平成 23 年）”に基づいて作成される文書の作成者の適切な組み合わせはどれか。ここで，受託業務の一部については再委託が行われており，除外方式を採用しているものとする。

	保証報告書	システムに関する記述書	受託会社確認書
ア	監査人	監査人	監査人
イ	監査人	被監査会社（受託会社）	再委託会社
ウ	監査人	被監査会社（受託会社）	被監査会社（受託会社）
エ	被監査会社（受託会社）	監査人	再委託会社

正答 ウ

• 監査・保証実務委員会実務指針第 86 号 受託業務に係る内部統制の保証報告書にそれぞれ以下の記述がある。

• 保証報告書

《14．受託会社監査人の保証報告書の作成》
61．保証報告書作成に当たり，受託会社監査人は，表明する意見を裏付けるために，十分かつ適切な証拠が入手されたか否かを結論付けなければならない。 

• システムに関する記述書

《５．保証業務契約の新規の締結及び更新》
中略
② 受託会社がシステムに関する記述書を作成する際に適用する規準が，委託会社とその監査人にとって，適切であり，かつ利用可能であるかどうか。

• 受託会社確認書

《３．定義》 
中略
(10) 「受託会社確認書」－第８項(15)②，又は，タイプ１の報告書の場合，第８項(14)②に記載されている受託会社により作成された受託業務に係る内部統制の確認書をいう。

問5

• システム管理基準（平成 30 年）に規定されたアジャイル開発において留意すべき取扱いとして，最も適切なものはどれか。

ア

開発チームは，あらかじめ計画した組織体制及び開発工程に基づく分業制をとり，開発を進めること

イ

開発チームは，開発工程ごとの完了基準に沿って，開発プロセスを逐次的に進めること

ウ

プロダクトオーナー及び開発チームは，反復開発の開始時に，リリース計画を策定すること

エ

プロダクトオーナー及び開発チームは，利害関係者へのデモンストレーションを実施すること

正答 エ

• システム管理基準に以下の記載がある。

• 以下の内容によりアは誤り。

アジャイル開発では，従来型開発のように予め計画した組織体制，及び工程に基づく分業制はとらない。開発チームは，分析・設計・プログラミング・テストといった複数の技能を備え，開発作業全般を自律的に推進する必要がある。

• 以下の内容によりイも誤り。

アジャイル開発では，従来型開発のように工程毎の完了基準に沿って，開発プロセスを逐次的に進めることはない。情報システムをイテレーション毎にユーザ利用可能な機能を段階的にリリースする開発プロセスである。

• 以下の内容によりウも誤り。

プロダクトオーナーと開発チームは，反復開発を開始する前にリリース計画を策定すること。
＜主旨＞
反復開発は，従来型開発のように網羅的，不変的な要求が存在する前提に基づいていない。
状況の変化に迅速に対応できるよう，複数回のイテレーションによるリリース計画を策定する必要がある。イテレーション終了ごとにリリース計画を見直す必要もある。

• 以下の内容によりエが正答

プロダクトオーナー及び開発チームは，利害関係者へのデモンストレーションを実施すること。
＜主旨＞
アジャイル開発では状況に柔軟に対応するため，利害関係者にとっては，情報システムの現状が判りにくくなる。プロダクトオーナー及び開発チームは，顧客や利用者を含む利害関係者へのデモンストレーションを実施することでプロジェクトの成果を伝え，次のイテレーションに向けたフィードバックを得る必要がある。

問6

• システム監査基準（平成 30 年）において，システム監査人が実施する予備調査の作業として，適切なものはどれか。

ア

監査対象部門から事前に入手した資料を閲覧し，監査対象の詳細や業務分掌の体制などを把握する。

イ

監査テーマに基づいて，監査項目を設定し，監査手続きを策定し，個別監査計画書に記載する。

ウ

経営トップにインタビューを行い，現在抱えている問題についての認識を確認することによって，システム監査に対するニーズを把握し，監査目的を決定する。

エ

個別監査計画を策定するために，監査スケジュールについて監査部門と調整を図る。

正答 ア

• 経済産業省が出しているシステム監査基準によると予備調査は以下のようなもの。これにより正答はアとなる。

監査手続は，監査対象の実態を把握するための予備調査（事前調査ともい
う。），及び予備調査で得た情報を踏まえて，十分かつ適切な監査証拠を入手
するための本調査に分けて実施される。

(1) 予備調査によって把握するべき事項には，例えば，監査対象(情報シス
テムや業務等)の詳細，事務手続やマニュアル等を通じた業務内容，業務分
掌の体制などがある。なお，監査対象部門のみならず，関連部門に対して
照会する必要 がある場合もある。

問7

• 固定資産管理システムに係る IT 全般統制として，最も適切なものはどれか。

ア

会計基準や法人税法などの改正を調査した上で，システムの変更要件を定義し，承認を得る。

イ

固定資産情報の登録に伴って耐用年数をシステム入力する際に，法人税法の耐用年数表との突合せを行う。

ウ

システムで自動計算された減価償却費のうち，製造原価に配賦されるべき金額の振替仕訳伝票を起票する。

エ

システムに登録された固定資産情報と固定資産の棚卸結果とを照合して，除却・売却処理に漏れがないことを確認する。

正答 ア

• 業務処理統制と IT 全般統制がある。この 2 つは以下のような内容。

• 業務処理統制

  • 業務が適正に実行され，それに関する情報が適切に保存され，業務が適正に行われたことを証明できるように管理すること。多くの場合，情報システムを利用し，業務システムのログなどで行う。

• IT 全般統制

  • 情報システムを適切に管理・運用することによって，業務の実行管理が有効に機能するような環境を構築・維持していくこと。

• アは IT 全般統制

• イ，ウ，エについては，どれも運用に関する内容なので，業務処理統制に該当する。

問8

• 金融庁“財務報告に係る内部統制の評価及び監査の基準（平成 23 年）”における，内部統制の基本的要素である“統制活動”はどれか。

ア

経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続である。

イ

組織の気風を決定し，組織内の全ての者の統制に対する意識に影響を与えるものである。

ウ

組織目標の達成を阻害する要因をリスクとして識別，分析及び評価し，適切な対応を行うプロセスである。

エ

必要な情報が識別，把握及び処理され，組織内外及び関係者相互に正しく伝えられることを確保することである。

正答 ア

• 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）に統制活動については記述がある。(年度が異なるが大きな差異はないはず)

統制活動とは，経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。
統制活動には，権限及び職責の付与，職務の分掌等の広範な方針及び手続が含まれる｡このような方針及び手続は，業務のプロセスに組み込まれるべきものであり，組織内の全ての者において遂行されることにより機能するものである

• アは統制活動のことである。
• イは統制環境の説明である。統制環境と配下のようなもの。(財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）参考)

統制環境とは、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びＩＴへの対応に影響を及ぼす基盤をいう｡統制環境としては、例えば、次の事項が挙げられる。
① 誠実性及び倫理観
② 経営者の意向及び姿勢
③ 経営方針及び経営戦略
④ 取締役会及び監査役、監査役会、監査等委員会又は監査委員会（以下「監査役等」という。）の有する機能
⑤ 組織構造及び慣行
⑥ 権限及び職責
⑦ 人的資源に対する方針と管理 

• ウはリスクと評価の対応の説明。
• エは情報と伝達の説明。

問9

• システム監査基準（平成 30 年）の説明はどれか。

ア

監査ポイントを網羅したチェックリストである。

イ

システム監査人の行為規範である。

ウ

システム監査の効率的・効果的遂行を可能にする監査上の判断尺度である。

エ

システムの品質を確保するための管理指針である

正答 イ

• システム監査基準に以下の通り記載がある。

「システム監査基準」（以下「本監査基準」という。）とは、情報システムのガ
バナンス、マネジメント又はコントロールを点検・評価・検証する業務（以下「シ
ステム監査業務」という。）の品質を確保し、有効かつ効率的な監査を実現する
ためのシステム監査人の行為規範である。

• アは監査時に利用する事物の具体例である。
• イはシステム監査基準の説明である。
• ウはシステム監査を行う際に活用する何らかの基準に関する説明であり，システム監査基準に記載された内容の一部分である。
• エは監査ではなく実際のシステム開発における管理に関する内容である。

問10

• システム監査基準（平成 30 年）では，監査計画の策定に当たり，監査対象として考慮する項目を，情報システムの“ガバナンス”，“マネジメント”，“コントロール”に関するものに分けて例示している。情報システムの“マネジメント”に関するものを監査対象とする場合に，考慮する項目としているものはどれか。

ア

IT 戦略と経営戦略の整合性がとられているか，新技術やイノベーションの経営戦略への組込みが行われているか。

イ

IT 投資管理や情報セキュリティ対策が PDCA サイクルに基づいて，組織全体として適切に管理されているか。

ウ

規程に従った承認手続きが実施されているか，異常なアクセスを検出した際に適時な対処及び報告が行われているか。

エ

組織の業務プロセスなどにおいて，リスクに応じた統制が組み込まれているか。

正答 イ

問11

• サービスマネジメントにおいて，事業関係マネージャが責任をもつ事項として，適切なものはどれか？

ア

サービスカタログの認可

イ

サービス提供社と個別の供給者との関係の管理

ウ

将来の事業上の要求事項の理解及び計画立案

エ

容量・能力及びパフォーマンスのデータの分析及びレビュー

正答 ウ

問12

• データの追加・変更・削除が，少ないながらも一定の頻度で行われるデータベースがある。このデータベースのフルバックアップを磁気テープに取得する時間間隔を今までの 2 倍にした。このとき，データベースのバックアップ又は復旧に関する記述のうち，適切なものはどれか。

ア

復旧時に行うログ情報の反映の平均処理時間が約 2 倍になる。

イ

フルバックアップ取得1回当たりの磁気テープ使用量が約 2 倍になる。

ウ

フルバックアップ取得 1 回当たりの磁気テープ使用量が約半分になる。

エ

フルバックアップ取得の平均処理時間が約 2 倍になる。

正答 ア

• 問題文のデータの追加・変更・削除が，少ないながらも一定の頻度で行われるという記述からレコード数が極端に増えることはないと予想できる。するとフルバックアップ時の容量は，取得する時間間隔が変わっても一定である（増減あったとしても極端に変わらない）と考えられるため，選択肢イ，ウは誤り。
• 同じ理由により，フルバックアップ取得の時間は多少の変動はあっても 2 倍にまではならないはず。

問13

• 不正競争防止法において，業務秘密を保有者から示されたものが複製を行い，不正の利益を得ようとした場合，営業秘密侵害罪として刑事罰の対象となるのはどの時点からか。

ア

営業秘密の複製を企図した時点

イ

営業秘密を複製した時点

ウ

複製した営業秘密を使用又は開示した時点

エ

複製した営業秘密を使用又は開示して，不正の利益を得た時点

正答 イ

• 企図（きと）とは何らかのものを企てること。またはその内容を指す。実行しているわけではない。実行していないのでアは誤り。
• 複製を作成した時点で刑事罰の対象となるためイは正しい。
• ウ，エは複製後の行動であるため誤り。

問14

• インターネットのショッピングサイトで，商品の広告をする際に，商品の販売価格，代金の支払時期及び支払方法，商品の引渡時期，売買契約の解除に関する事項などの表示を義務付けている法律はどれか。

ア

商標法

イ

電子消費者契約法

ウ

特定商取引法

エ

不正競争防止法

正答 ウ

問15

• 製造物責任法（PL 法）によれば，製造業者の責任に関する記述のうち，適切なものはどれか。

ア

顧客の財産に関する損害については，製造業者は製造物を顧客に引き渡した時から永久に損害賠償責任を負う。

イ

製造物の欠陥原因が，完成品メーカの設計に従って，部品メーカが製造して納品した部品であっても，部品メーカには損害賠償責任が常に生じる。

ウ

製造物を顧客に引き渡した時における科学又は技術に関する知見によっては，その製造業者の損害賠償責任は問われない。

エ

製造物を輸入して販売している販売業者は，製造業者ではないので，その製造物によって顧客が財産上の損害を被っても，損害賠償責任は問われない。

正答 ウ

問16

• ハーシィ及びブランチャードが提唱する SL 理論の説明はどれか。

ア

解放の窓，秘密の窓，未知の窓，盲点の窓の四つの窓を用いて，自己理解と対人関係の良否を説明した理論

イ

教示的，説得的，参加的，委任的の四つに，部下の成熟度レベルによって，リーダーシップスタイルを分類した理論

ウ

共同化，表出化，連結化，内面化の四つのプロセスによって，個人と組織に新たな知識が創造されるとした理論

エ

生理的，安全，所属と愛情，承認と自尊，自己実現といった五つの段階で欲求が発達するとされる理論

正答 イ

• SL 理論とは Situational Leadership の略。部下の発達度に応じてリーダの行動を変えていくという理論。
• アは「ジョハリの窓」と呼ばれる，自己分析に使用する心理学モデルの 1 つ。
• イは「SL 理論」の説明。
• ウは「SECIモデル」の説明。共同化（Socialization），表出化（Externalization），連結化（Combination），内面化（Internalization）の頭文字からそう呼ばれる。個人のノウハウを会社全体に広める手法。
• エは「マズローの欲求 5 段階説」の説明であると考えられる。

問17

• 次の表において，“在庫”表の製品番号に参照制約が定義されているとき，その参照制約によって拒否される可能性がある操作はどれか。ここで，実線の下線は主キーを，破線の下線は外部キーを表す。
  

ア

“在庫”表の行削除

イ

“在庫”表の表削除

ウ

“在庫”表への行追加

エ

“製品”表への行追加

正答 ウ

• “在庫”表に対しての削除は，新たな参照が発生するわけではないため，参照制約の問題にならない。そのためア，イは誤り。
• “在庫”表に対してデータの追加または更新のとき，製品番号には“製品”表に存在する製品番号を指定する必要があるため，ウの操作で参照制約によって拒否される可能性があると言える。
• “製品”表への追加は問題にならないので，エは誤り。
• “製品”表への更新，および削除により“製品”表の製品番号の値が変更またはなくなる可能性がある。この場合も参照制約によって拒否される可能性があると言えるが，本問題の選択肢にはない。

問18

• IPv6 がもつ特徴のうち，既に IPv4 でももっているものはどれか。

ア

128 ビットの IP アドレスをサポートしている。

イ

IP アドレスの表記において，0 が連続する場合は簡略化することができる。

ウ

パケットが無限に中継されることを防ぐことができる。

エ

フローラベルによって，動画などのリアルタイムトラフィックの転送を行うことができる。

正答 ウ

• アはIPv6の当初の目的(IPアドレスの枯渇)に対応するための仕様。
• イはIPv6で追加された仕様。例えばアドレス1234:abcd:0000:0000:5678:0000:0000:0000を1234:abcd:0000:0000:5678::と省略できる。ただし2か所以上を省略することはできない。(どの長さを省略したのか区別できないため)
• ウについて，IPv4 では TTL，IPv6 では hop limit がそれぞれ選択肢の内容を満たす機能に該当する。
• エは IPv6 にのみある機能。マルチキャスト通信などにおいて，通信経路の品質を確保したり，経路を優先的に選択させたりするために使用する。IPv4の場合は，より上位のプロトコルと組み合わせて通信路の経路を確保するのが一般的。

問19

• 暗号化装置における暗号化処理の消費電力を測定するなどして，当該装置内部の秘密情報を推定する攻撃はどれか。

ア

キーロガー

イ

サイドチャネル攻撃

ウ

スミッシング

エ

中間者攻撃

正答 イ

• アの「キーロガー」はユーザのキー入力の情報を保存すること。
• ウの「スミッシング」はSMS(Short Message Service)を用いたフィッシング詐欺。例えばSMSで銀行・企業などを騙ってメッセージを送り，特定のサイトへ誘導・課金する手法がある。
• エの「中間者攻撃」とは盗聴の一種で盗聴する相手にはあたかもプライベートな接続ができているように思わせるが，攻撃者がデータ送信の中継を行い盗聴するもの。公開された無線アクセスポイントの所有者は，ユーザへの中間者攻撃を実行することができる。

問20

• JIS Q 2700:2014（情報セキュリティマネジメントシステム－用語）における情報セキュリティリスクに関する記述のうち，適切なものはどれか。

ア

脅威とは，一つ以上の要因によって悪用される可能性がある，資産または管理策の弱点のことである。

イ

脆弱性とは，システム又は組織に損害を与える可能性がある，望ましくないインシデントの潜在的な原因のことである。

ウ

リスク対応とは，リスクの大きさが，受容可能か又は許容可能かを決定するために，リスク分析の結果をリスク基準と比較するプロセスのことである。

エ

リスク特定とは，リスクを発見，認識及び記述するプロセスのことであり，リスク源，事象，それらの原因及び起こり得る結果の特定が含まれる。

正答 エ

• アは「脆弱性」の説明である。「脅威」の説明はイが該当する。

• イは「脅威」の説明である。「脆弱性」の説明はアが該当する。

• ウは「リスク評価」の説明である。「リスク対応」とはリスクを修正するプロセスのこと。

• 詳細は情報技術−セキュリティ技術−情報セキュリティ マネジメントシステム−用語 を参照。

問21

• マルウェアの検出手法であるビヘイビア法を説明したものはどれか。

ア

あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し，同じパターンがあればマルウェアとして検出する。

イ

マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき，検査時に不整合があればマルウェアとして検出する。

ウ

マルウェアの感染が疑わしい検査対象のハッシュ値と，安全な場所に保管されている原本のハッシュ値を比較し，マルウェアを検出する。

エ

マルウェアの感染や発病によって生じるデータの読込みと書込みの動作や通信などを監視して，マルウェアを検出する。

正答 エ

• 手法の詳細は未知ウイルス検出技術に関する調査を参照。

• アはパターンマッチング法の説明である。

• イはチェックサム法/インテグリティチェック法の説明である。代表的なものは「ディジタル署名」。

• ウはコンペア法の説明である。

• エはビヘイビア法の説明であるため正答。

問22

• プログラムのテストに関する記述のうち，適切なものはどれか。

ア

静的テストとは，プログラムを実行することなくテストする手法であり，コード検査，静的解析などがある。

イ

単体テストでは，スタブから被テストモジュールを呼び出し，被テストモジュールから呼び出されるモジュールの代わりにドライバを使用する。

ウ

トップダウンテストは，仮の下位モジュールとしてドライバを結合してテストするので，テストの最終段階になるまで全体に関係するような欠陥が発見されにくい。

エ

ブラックボックステストでは，分岐，反復などの内部構造に基づいてテストするので，全ての経路を通過するように，テストケースを設定する。

正答 ア

• アは記載している通り正しい。
• イについてはスタブとドライバの説明が反対であるため誤り。下位モジュールのダミー処理がスタブであり，テスト対象の呼び出しと結果を確認を行うプログラムをドライバという。
• ウの説明は誤り。トップダウンテストは上位のモジュールから試験を開始するもので，ドライバを利用することもあるが，全体に関するような欠陥は比較的初期に発見される可能性がある。
• エの説明はホワイトボックステストのもの。

問23

• ソフトウェアライフサイクルプロセスにおいて，ソフトウェア廃棄の実行アクティビティで実施するタスクのうち，適切なものはどれか。

ア

ソフトウェア製品の廃止後は，ソフトウェア製品だけでなく，全ての関連開発文書，ログ及びコードを速やかに廃棄する。

イ

ソフトウェア製品の廃止の計画及び活動を利用者に通知し，予定した廃止の時期が来れば，全ての関係者に廃止を通知する。

ウ

廃止したソフトウェア製品で使用されたデータは，速やかに破棄する。

エ

廃止対象のソフトウェア製品と後継のソフトウェア製品との並行運用は避け，廃止した直後に後継のソフトウェア製品の利用者を教育訓練して移行する。

正答 イ

• アについては，停止直後に何か問題が発生したときの対処に困る，また過去データの扱いについても確認が取れない，といった問題が発生する可能性があるため実施すべきではない。
• イについては記述された通り正しい。
• ウについてはアと同様の理由により誤り。
• エについては並行運用は避けの部分が誤り。例えば新システムを一部の部署のみ使う，など移行の際には並行運用し，様子を見る期間を取る必要がある。

問24

• バイラルマーケティングを説明したものはどれか。

ア

インターネット上で成果報酬型広告の仕組みを用いるマーケティング手法である。

イ

個々の顧客を重要視し，個別ニーズへの対応を図るマーケティング手法である。

ウ

セグメントごとに差別化した，異なる商品を提供するマーケティング手法である。

エ

人から人へと評判が伝わることを積極的に利用するマーケティング手法である。

正答 エ

• バイラル(=Viral)とは単語の意味「ウイルス性の」から，情報が徐々に拡散していくという意味合いでバイラルマーケティングという用語が使われている。

問25

• 企業が実施するマクロ環境分析のうち，PEST 分析によって戦略を策定している事例はどれか。

ア

購買決定者の年齢層や社会的なポジション，購買に至るプロセスの中で購買行動に影響する要因を把握し，自社の製品の市場投入方法を決定する。

イ

自社の製品市場に参入してくると見込まれる，別市場の企業の動向を把握し，新製品の開発を決定する。

ウ

自社の販売力，生産力の評価や自社の保有する技術力を検証し，新しく進出する市場分野を決定する。

エ

法規制，景気動向，流行の推移や新技術の状況を把握し，自社の製品改善の方針を決定する。

正答 エ

• PESTとは政治的 (Political)，経済的 (Economic)，社会文化的 (Socio-cultural)技術的 (Technological)の頭文字を取ったもの。
• 戦略的分析または市場調査を行う際の外部分析の一部であり，考慮すべきさまざまなマクロ環境要因の概要を示す。

最後に

• 出典：平成 31 年度 春期 システム監査技術者試験 午前II 問題問1から問25まで