この記事は約19分で読めます。
筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。
👉 ポートフォリオ: 筆者ホームページ
生成AIに「中学生にもわかりやすいように解説して!」と頼んだら、とても読みやすい記事ができました。情報処理安全確保支援士試験の不正解・未回答の問題を、やさしい解説付きでまとめています。
学習の背景
2026年秋の 情報処理安全確保支援士 試験合格を目指して、現在学習中です。本記事は、学習過程で遭遇した過去問の中から、つまずいた問題・未回答だった問題を整理し、生成AIに「中学生にもわかりやすく」解説してもらった内容をまとめたものです。
学習全体の進め方・学習記録・他分野の解説記事は、以下のまとめ記事で随時更新しています。
問1: 平成21年秋期 問25(システム監査)
問題文: ITに係る内部統制を評価し検証するシステム監査の対象となるものはどれか。
選択肢:
- ア: 経営企画部が行っている中期経営計画の策定の経緯
- イ: 人事部が行っている従業員の人事考課の結果
- ウ: 製造部が行っている不良品削減のための生産設備の見直しの状況
- エ: 販売部が行っているデータベースの入力・更新における正確性確保の方法
正解: エ
やさしい解説:
システム監査(ITの仕組みがちゃんと動いているかチェックすること)は、ITに関係する活動が対象です。
正解のエは「データベースの入力・更新における正確性確保の方法」で、これはITシステム(データベース)を使った業務の話なので、システム監査の対象になります。たとえると「お店のレジ(コンピュータ)にちゃんと正しい金額を入力しているか確認する」ようなものです。
他の選択肢が間違いなのは:
- ア(経営計画の策定)はITとは直接関係ない経営の話です。
- イ(人事考課)はITとは直接関係ない人事の話です。
- ウ(生産設備の見直し)はITとは直接関係ない製造の話です。
ポイントは「ITに係る」かどうかです。データベースを使う業務だけがITに関係しています。
問2: 平成24年春期 問25(システム監査)
問題文: 内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。
選択肢:
- ア: 改善事項を被監査部門へ事前に通知した場合,不備の是正が行われ,元から不備が存在しなかったように見える可能性があるので,被監査部門に秘匿する。
- イ: 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。
- ウ: 経営判断に関与することを避けるため,不備を改善する際の経済合理性などの判断を行わず,そのまま経営者に対する改善勧告とする。
- エ: 将来のフォローアップに際して,客観的で中立的な判断を阻害する要因となるので,改善勧告の優先度付けや取捨選択を行うことを避ける。
正解: イ
やさしい解説:
システム監査とは、ITシステムが正しく安全に使われているかを専門家(監査人)がチェックすることです。問題を見つけたら「こう改善してください」と提案(改善勧告)します。
正解のイは「改善策を一方的に押し付けるのではなく、チェックされた部門と相談してから提案しましょう」という考え方です。
たとえると、学校の先生(監査人)が生徒(被監査部門)の成績が悪いことを見つけたとき、いきなり「毎日5時間勉強しなさい!」と命令するのではなく、まず生徒と話し合って「部活もあるから、毎日1時間の勉強計画を一緒に考えよう」と実現可能な改善策を相談する方が良いですよね。
他の選択肢が間違いなのは:
- アは「秘匿する」のは適切ではありません。事前に話し合うことは重要です。
- ウは「経済合理性を無視」するのは実務上不適切です。実行可能な提案でなければ意味がありません。
- エは「優先度付けを避ける」のは不適切です。重要な問題から対処すべきです。
問3: 令和3年秋期 問25(システム監査)
問題文: クラウドサービスの導入検討プロセスに対するシステム監査において,クラウドサービス上に保存されている情報の保全及び消失の予防に関するチェックポイントとして,最も適切なものはどれか。
選択肢:
- ア: クラウドサービスの障害時における最大許容停止時間が検討されているか。
- イ: クラウドサービスの利用者IDと既存の社内情報システムの利用者IDの一元管理の可否が検討されているか。
- ウ: クラウドサービスを提供する事業者が信頼できるか,事業者の事業継続性に懸念がないか,及びサービスが継続して提供されるかどうかが検討されているか。
- エ: クラウドサービスを提供する事業者の施設内のネットワークに,暗号化通信が採用されているかどうかが検討されているか。
正解: ウ
やさしい解説:
この問題は「クラウド(インターネット上のサービス)にデータを預けるとき、データがなくならないようにするには何をチェックすべきか」という問題です。
正解のウは「クラウドの会社が信頼できるか、その会社がつぶれないか、サービスが続くか」を確認することです。
たとえると、大切な荷物を倉庫会社に預ける場合:
- ウ(正解):「この倉庫会社は倒産しないかな?ちゃんと続くかな?」→ 会社がなくなったら荷物(データ)も消えるかもしれないので、これが情報の保全・消失予防に最も直結します。
- アは「倉庫が使えなくなったとき、何時間まで我慢できるか」の話で、可用性(使えるかどうか)の問題です。
- イは「会員カードを一枚にまとめられるか」の話で、ID管理の問題です。
- エは「倉庫の中の通路に防犯カメラがあるか」の話で、通信の安全性の問題です。
問4: 平成27年秋期 問25(システム監査)
問題文: システム監査における監査証拠の説明のうち,適切なものはどれか。
選択肢:
- ア: 監査人が収集又は作成する資料であり,監査報告書に記載する監査意見や指摘事項は,その資料によって裏付けられていなければならない。
- イ: 監査人が当初設定した監査手続を記載した資料であり,監査人はその資料に基づいて監査を実施しなければならない。
- ウ: 機密性の高い情報が含まれている資料であり,監査人は監査報告書の作成後,速やかに全てを処分しなければならない。
- エ: 被監査部門が監査人に提出する資料であり,監査人が自ら作成する資料は含まれない。
正解: ア
やさしい解説:
監査証拠とは、監査人が「この問題がありました」「ここは大丈夫でした」と報告するときの「根拠となる証拠」のことです。
たとえると、探偵(監査人)が調査報告書を書くとき、「証拠写真」「メモ」「関係者から集めた書類」などが必要ですよね。これらが監査証拠にあたります。
正解のアは「監査人が集めたり作ったりした資料で、報告書の内容はこの資料で裏付けられなければならない」という説明です。証拠なしに「問題がありました」とは言えません。
他の選択肢が間違いなのは:
- イは「監査手続」の説明です。監査証拠とは別のものです。
- ウは「速やかに処分」が間違いです。監査証拠は一定期間保管する必要があります。後から確認できるようにするためです。
- エは「監査人が作成する資料は含まれない」が間違いです。監査人自身が作成した分析結果なども監査証拠に含まれます。
問5: 平成31年春期 問25(システム監査)
問題文: システム監査における監査調書の説明として,適切なものはどれか。
選択肢:
- ア: 監査対象部門が,監査報告後に改善提案への対応方法を記入したもの
- イ: 監査対象部門が,予備調査前に当該部門の業務内容をとりまとめたもの
- ウ: 監査人が,実施した監査のプロセスを記録したもの
- エ: 監査人が,年度の監査計画を監査対象ごとに詳細化して作成したもの
正解: ウ
やさしい解説:
監査調書とは、監査人(チェックする人)が「自分がどんな手順でチェックしたか」「何を調べたか」「どんな問題を見つけたか」を記録した書類です。監査報告書の「根拠」になる大切な書類です。
たとえるなら、テストの採点者が「どの問題をどう採点したか」「なぜこの点数をつけたか」をメモしたノートのようなものです。
アは監査対象部門が書くもので監査人が書くものではありません。イも監査対象部門がまとめるもの。エは監査計画書であり、監査調書ではありません。監査調書は「監査の実施記録」なのでウが正解です。
問6: 平成30年秋期 問25(システム監査)
問題文: ある企業が自社提供のWebシステムセキュリティについて、外部監査人による保証を受ける場合において、ITに係る保証業務の"三当事者"に該当する者の適切な組合せはどれか。
選択肢:
- ア: (組合せ選択肢A)
- イ: (組合せ選択肢B)
- ウ: 保証業務実施者=外部監査人、監査対象の責任者=企業の経営者、想定利用者=Webシステム利用者
- エ: (組合せ選択肢D)
正解: ウ
やさしい解説:
保証型監査の「三当事者」は、学校の成績通知に例えるとわかりやすいです。
- 保証業務実施者(外部監査人)= テストを採点する先生。中立的な立場で評価します。
- 監査対象の責任者(企業の経営者)= テストを受ける生徒。自分のシステムに責任を持ちます。
- 想定利用者(Webシステムの利用者)= 成績表を見る保護者。監査結果を参考にする人です。
保証型監査は「このシステムのセキュリティは適切ですよ」と外部の専門家がお墨付きを与える仕組みです。利用者は監査結果を見て、安心してサービスを使えるかどうか判断できます。
問7: 平成21年春期 問24(システム監査)
問題文: アクセス権限を管理しているシステムの利用者IDリストから,退職による権限喪失者が削除されていることを検証する手続として,最も適切なものはどれか。
選択肢:
- ア: アクセス権限削除申請書の全件について,利用者IDリストから削除されていることを確認する。
- イ: 最新の利用者IDリストの全件について,対応するアクセス権限削除申請書が存在しないことを確認する。
- ウ: 人事発令簿の退職者の全件について,利用者IDリストから削除されていることを確認する。
- エ: 利用者IDリストの更新履歴の全件について,対応するアクセス権限削除申請書の存在を確認する。
正解: ウ
やさしい解説:
この問題は「退職した人のIDがちゃんと消されているか」を確認する方法についてです。
たとえ話で考えてみましょう。学校の図書カードのリストから、転校した生徒のカードが消されているか確認したいとします。
- アは「転校届を出した人のカードが消されているか確認する」方法です。でも、転校届を出し忘れた人がいたら見つけられません。
- イは「今あるカード全部について、転校届がないことを確認する」方法で、方向が逆です。
- **ウ(正解)**は「転校した生徒の名簿(人事発令簿)の全員について、図書カードが消されているか確認する」方法です。人事発令簿(じんじはつれいぼ=会社が正式に社員の異動や退職を記録する書類)は最も信頼できる情報源なので、ここから確認するのが一番確実です。
- エは「カードの変更履歴から確認する」方法ですが、そもそも削除されていなければ履歴に残りません。
ポイントは、一番信頼できる元データ(人事発令簿)から照合することが大切だということです。
問8: 平成26年秋期 問25(システム監査)
問題文: 情報セキュリティに関する従業員の責任について,「情報セキュリティ管理基準」に基づいて監査を行った。指摘事項に該当するものはどれか。
選択肢:
- ア: 雇用の終了をもって守秘責任が解消されることが,雇用契約に定められている。
- イ: 定められた勤務時間以外においても守秘責任を負うことが,雇用契約に定められている。
- ウ: 定められた守秘責任を果たさなかった場合,相応の措置がとられることが,雇用契約に定められている。
- エ: 定められた内容の守秘義務契約書に署名することが,雇用契約に定められている。
正解: ア
やさしい解説:
この問題は「会社の秘密を守る約束(守秘義務)はいつまで続くか」についてです。
身近な例で考えましょう。あなたがケーキ屋さんで働いていて、秘伝のレシピを知ったとします。お店を辞めたら、そのレシピを誰にでも教えてもいいでしょうか?もちろんダメですよね。
情報セキュリティ管理基準では、「会社を辞めた後も、一定期間は秘密を守る義務が続く」と定めています。
- ア(正解=指摘事項): 「辞めたら秘密保持の義務はなくなる」という契約は、基準に反しています。辞めた元社員が会社の機密情報を漏らしてしまうリスクがあるので、これは問題です。
- イ: 勤務時間外でも守秘義務があるのは正しいです。
- ウ: 守秘義務を破った場合に処分があるのは正しいです。
- エ: 守秘義務契約書への署名を求めるのは正しいです。
問9: 令和7年春期 問25(システム監査)
問題文: 金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)」によれば,「記録した取引に漏れ,重複がないこと」は,組織目標を達成するためのITの統制目標のうち,どれに含まれるか。
選択肢:
- ア: 可用性
- イ: 機密性
- ウ: 準拠性
- エ: 信頼性
正解: エ
やさしい解説:
この問題は、ITの統制目標(コントロール目標=ITシステムで達成すべきセキュリティの目標)について聞いています。
「記録した取引に漏れ、重複がないこと」は、データが正確で完全であることを意味します。これはどの目標に当てはまるでしょうか?
- ア: 可用性(かようせい): 「使いたいときに使える」こと。システムが止まらないことです。
- イ: 機密性(きみつせい): 「秘密が守られる」こと。見られてはいけない人に見られないことです。
- ウ: 準拠性(じゅんきょせい): 「法律やルールに従っている」こと。
- エ(正解): 信頼性: 「データが正確で信頼できる」こと。取引の記録に漏れや重複がないというのは、データの正確性・完全性に関わるので「信頼性」に分類されます。
家計簿に例えると、「買い物の記録に抜けや二重記入がない」状態が信頼性です。これが崩れると正しい家計が分からなくなりますよね。
問10: 平成27年春期 問25(システム監査)
問題文: 入出金管理システムから出力された入金データファイルを,売掛金管理システムが読み込んでマスタファイルを更新する。入出金管理システムから売掛金管理システムへのデータ受渡しの正確性及び網羅性を確保するコントロールはどれか。
選択肢:
- ア: 売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
- イ: 売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
- ウ: 入金額及び入金データ件数のコントロールトータルのチェック
- エ: 入出金管理システムへの入力のエディットバリデーションチェック
正解: ウ
やさしい解説:
この問題は、「システムAからシステムBにデータを渡すとき、データが正しく全部渡されたかどうかを確認する方法」についてです。
身近な例で説明します。100枚のテスト用紙をA組の先生からB組の先生に渡すとき、「100枚、合計点は6,532点です」とメモを付けて渡します。B組の先生が受け取ったら枚数と合計点を確認します。一致していれば、用紙が途中で抜けたり間違ったりしていないと分かります。
- ア: ランツーランコントロール(入力と出力の照合)は売掛金管理システム内部の処理チェックで、システム間のデータ受渡しの確認ではありません。
- イ: タイムスタンプは更新時刻の記録で、データの正確性や網羅性(もうらせい=全部揃っているか)の確認には不十分です。
- ウ(正解): コントロールトータル(合計値チェック)は、送信側と受信側で金額の合計と件数を照合する方法です。これにより、データの漏れや重複、改ざんがないことを確認できます。
- エ: エディットバリデーション(入力値チェック)は入出金管理システムへの入力時のチェックで、システム間の受渡しの確認ではありません。
問11: 平成29年秋期 問25(システム監査)
問題文: 株式会社の内部監査におけるシステム監査を,システム監査基準(平成16年)に基づいて実施する場合の監査責任者及びメンバーに関する記述のうち,適切なものはどれか。
選択肢:
- ア: あるメンバーを,当該メンバーが過去に在籍していた部門に対する監査に従事させる場合,一定の期間を置く。
- イ: 監査責任者は,当該株式会社の株主に限る。
- ウ: 監査部門の在籍期間について,メンバーの場合は制限がないが,監査責任者の場合は会社法における監査役の任期を下回ってはならない。
- エ: メンバーの給与その他の報酬の水準は,監査部門に在籍中は引き下げてはならない。
正解: ア
やさしい解説:
システム監査(ITシステムが正しく運用されているかを第三者がチェックすること)では、「独立性」(公平さ)がとても大切です。
身近な例で考えましょう。テストの採点を、自分の友達にやってもらったら公平でしょうか?もしかしたらえこひいきするかもしれませんよね。
- ア(正解): 以前いた部門を監査するときは「一定期間を置く」必要があります。例えば、営業部から監査部に異動した人がすぐに営業部を監査すると、元同僚に甘い評価をしてしまうかもしれません。一定期間を空けることで、公平性を保ちます。
- イ: 監査責任者は株主に限定されません。社内の適格な人が担当できます。
- ウ: 在籍期間について、このような制限はありません。
- エ: 給与の引き下げ禁止という規定はありません。
問12: 平成29年春期 問25(システム監査)
問題文: ある企業が,自社が提供するWebサービスの信頼性について,外部監査人による保証を受ける場合において,"ITに係る保証業務の三当事者"のそれぞれに該当する者の適切な組合せはどれか。
選択肢:
- ア: (組合せ選択肢)
- イ: (組合せ選択肢)
- ウ: (組合せ選択肢)
- エ: (組合せ選択肢)
正解: ウ
やさしい解説:
IT監査(情報システムがちゃんと動いているかチェックすること)の「保証型監査」には、3つの役割が必要です。これを「三当事者」といいます。
たとえ話で説明すると、レストランの衛生検査のようなものです:
- 保証業務実施者(検査する人)= 外部監査人(保健所の検査官のような人)
- 監査対象の責任者(検査される側)= 企業の経営者(レストランのオーナー)
- 想定利用者(結果を知りたい人)= Webサービスの利用者(お客さん)
つまり、外部の専門家が企業のサービスをチェックして、「このサービスは安心して使えますよ」とお客さんに保証する仕組みです。
問13: 令和3年春期 問25(システム監査)
問題文: ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014の附属書Aの管理策に照らして監査を行った。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。
選択肢:
- ア: セキュリティ機能の試験を,開発期間終了後に実施している。
- イ: セキュリティ確保に配慮した開発環境において開発を行っている。
- ウ: 外部委託先による開発活動の監督・監視で,セキュリティ確保を考慮している。
- エ: パッケージソフトウェアの変更を,セキュリティ確保の観点から必要な変更に限定している。
正解: ア
やさしい解説:
システム監査とは、情報システムが正しく運用されているかを第三者がチェックする仕事です。監査人が「これは問題ですよ」と報告書に書くべきもの(指摘事項)を見つける問題です。
たとえるなら、建物の安全検査で「耐震テストを建物が完成した後にやっている」と聞いたら、「それは工事中にやるべきですよね?」と指摘するようなものです。
アが指摘事項になる理由は、セキュリティ機能の試験は開発期間中に実施すべきだからです。開発が終わった後にテストしても、問題が見つかったときに修正するのが大変です。
イ(安全な環境で開発)、ウ(外部委託先の監視でセキュリティを考慮)、エ(パッケージの変更を必要最小限に)は、いずれも適切な取り組みなので指摘事項にはなりません。
問14: 令和4年春期 問25(システム監査)
問題文: 金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)」におけるアクセス管理に関して、内部統制のうちのITに係る業務処理統制に該当するものはどれか。
選択肢:
- ア: 組織としてアクセス管理規程を定め、統一的なアクセス管理を行う。
- イ: 組織としてアクセス権限の設定方針を定め、周知徹底を図る。
- ウ: 組織内のアプリケーションシステムに、業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。
- エ: 組織内の全ての利用者に対して、アクセス管理の重要性についての教育を行う。
正解: ウ
やさしい解説:
この問題は、「ITに係る業務処理統制」(ITを使った業務の中で、正しく処理が行われるようにする仕組み)に当てはまるものを聞いています。
- ウが正解の理由: 「業務処理統制」とは、個々のアプリケーション(業務ソフト)の中に組み込まれたチェック機能のことです。利用者IDとパスワードで本人確認をする機能をアプリに設けるのは、まさにこの「業務処理統制」です。たとえるなら、お店のレジに「店員ごとのパスワード入力」機能を付けるようなものです。
- ア・イ・エが間違いの理由: これらは「IT全般統制」(ITシステム全体を管理する仕組み)に該当します。規程を作る、方針を定める、教育するといった「組織全体のルール作り」は、個々のアプリの機能ではなく、全体的な管理の話です。
問15: 令和6年秋期 問25(システム監査)
問題文: アクセス管理に関する内部統制のうち,金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)"におけるITに係る業務処理統制に該当するものはどれか。
選択肢:
- ア: 組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。
- イ: 組織としてアクセス権限の設定方針を定め,周知徹底を図る。
- ウ: 組織内のアプリケーションシステムに,利用者IDとパスワードによって利用者を認証する機能を設ける。
- エ: 組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。
正解: ウ
やさしい解説:
この問題は、問690と同じテーマで、「業務処理統制」に該当するものを聞いています。
- ウが正解の理由: 業務処理統制とは、個々のアプリケーション(業務用ソフト)の中に組み込まれた自動チェック機能のことです。アプリに「IDとパスワードで本人確認する機能」を設けるのは、アプリレベルのセキュリティ機能=業務処理統制です。たとえるなら、お店のドアに鍵を付ける(全般統制)のではなく、レジ自体に暗証番号入力を求める機能を付ける(業務処理統制)ようなものです。
- ア・イ・エが間違いの理由: 規程の策定、方針の周知、教育の実施はいずれも「IT全般統制」(システム全体を支える基盤的な管理活動)に分類されます。
問16: 令和6年春期 問25(システム監査)
問題文: 金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)"における、ITに係る全般統制に該当するものとして、最も適切なものはどれか。
選択肢:
- ア: アプリケーションプログラムの例外処理(エラー)の修正と再処理
- イ: 業務別マスタデータの維持管理
- ウ: システムの開発、保守に係る管理
- エ: 入力情報の完全性、正確性、正当性等を確保する統制
正解: ウ
やさしい解説:
この問題は、「IT全般統制」(ITシステム全体を支える基盤的な管理活動)に該当するものを聞いています。
- ウが正解の理由: IT全般統制とは、個々の業務アプリケーションではなく、ITシステム全体を正しく動かし続けるための管理活動です。「システムの開発や保守に係る管理」は、すべてのアプリケーションに共通する基盤的な活動なので、全般統制に該当します。たとえるなら、個々の授業(業務処理統制)ではなく、学校全体の建物管理や教員の採用(全般統制)のようなものです。
- ア・イ・エが間違いの理由: エラーの修正・再処理、マスタデータの管理、入力情報の正確性確保は、いずれも個々のアプリケーションの中で行われる処理なので「業務処理統制」に該当します。