令和6年度秋期試験午前Ⅰ共通問題２１〜２５を解説

今回は、昨年に続いて令和６年度秋期試験の午前Ⅰ共通問題の解説を行っていきます。

今回解説するのは、問２１〜２５です。これらの問題で使用されていた用語は、以下の5つです。

ウォークスルー法
システム監査におけるフォローアップ
ITシステムに求められる要素
BPR
アクティビティ図

是非、最後までご覧いただけると嬉しいです。

ウォークスルー法
システム監査におけるフォローアップ
ITシステムに求められる要素
BPR
アクティビティ図
まとめ

ウォークスルー法

システム監査において、監査手続の適用に際して用いられる技法のうち、データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡するものはどれか。

ア　ウォークスルー法

イ　チェックリスト法

ウ　突合・照合法

エ　ドキュメントレビュー法

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問２１

解答

ア

ウォークスルー法の概要

ウォークスルー法は、監査対象の業務プロセス全体をデータの生成から入力、処理、出力、そしてその活用までの一連の流れを追跡する手法です。この手法では、対象業務のコントロールが適切に設計され、運用されていることを確認するために、実際のデータやプロセスを詳細に調査します。

ウォークスルー法の特徴

実際の業務フローに沿った確認
- 業務で使用されるデータを「生成→入力→処理→出力→活用」の流れに基づいて追跡します。これにより、各段階でコントロールが確実に機能しているかを確認できます。
ドキュメントや記録の活用
- 実際の文書やシステムログを基に、業務プロセスの流れを確認します。
課題やリスクの発見
- プロセスの中で欠陥やリスクが潜んでいる箇所を明確にし、改善のための情報を収集します。
実務的アプローチ
- 単なる文書レビューや質問による確認ではなく、実務に即したアプローチを取るため、現場での適用がしやすい手法です。

各選択肢の解説

選択肢イ：チェックリスト法
- チェックリスト法とは、特定のタスクやプロセスを確認・評価する際に、事前に定めた項目リストを基に作業の進捗や不備を確認する手法です。項目に沿って検証することで、見落としを防ぎ、作業の精度や効率を向上させることができます。品質管理やリスク評価、業務手順の確認など、さまざまな分野で広く活用されています。
選択肢ウ：突撃・照合法
- 突合・照合法とは、異なるデータや情報を比較・対照することで、その正確性や整合性を確認する手法です。たとえば、システム間で連携されたデータが一致しているかを検証したり、帳票やログを基に異常や矛盾を特定したりする際に用いられます。業務プロセスやシステムテスト、監査の場面で幅広く活用される重要な手法です。
選択肢エ：ドキュメントレビュー法
- ドキュメントレビュー法とは、作成された文書や仕様書を第三者やチームメンバーが確認し、その内容の正確性や妥当性、改善点を評価する手法です。主にプロジェクトの初期段階や変更管理の際に用いられ、誤りや曖昧な箇所を早期に発見することで、後工程の手戻りを防止します。

ウォークスルー法のまとめ

ウォークスルー法は、業務プロセスをデータの生成から活用まで追跡し、各段階でコントロールが適切に機能しているかを確認する手法です。この方法では、実際の文書やシステムログを活用し、リスクや課題を特定しながら実務的なアプローチを取ります。そのため、現場での適用が容易で、改善につながる情報の収集にも役立ちます。

システム監査におけるフォローアップ

システム監査基準（令和５年）におけるフォローアップの説明として、適切なものはどれか。

ア　監査対象先が、監査報告書の指摘事項及び改善提案を基に改善計画の策定を行うこと

イ　監査部門の責任者が、監査報告書を基に監査の実施状況と指摘事項の妥当性を確認すること

ウ　システム監査人が、監査報告書に記載した改善提案の実施状況に関する情報を収集し、改善状況をモニタリングすること

エ　システム監査人が、時間の関係で調査を終了しなかった監査項目を追跡調査して報告すること

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問２２

解答

ウ

システム監査におけるフォローアップの概要

システム監査基準（令和5年）におけるフォローアップとは、監査報告書に基づき、指摘事項や改善提案に対する監査対象組織の対応状況を確認・評価するプロセスを指します。このフォローアップ活動により、改善提案が実施されているか、または対応が適切かをモニタリングし、必要に応じてさらなる提案や支援を行います。

フォローアップの目的

指摘事項への対応確認
- 監査報告書に基づき、監査対象組織が適切に指摘事項を改善しているかを確認します。
改善提案の進捗状況を把握
- 提案した改善策が具体的にどのように進められているかをモニタリングします。
監査の有効性向上
- フォローアップを通じて、監査の指摘事項が実際の改善に結び付くことで、監査活動全体の価値を高めます。

各選択肢の解説

選択肢ア：監査対象先が、監査報告書の指摘事項及び改善提案を基に改善計画の策定を行うこと
- これは監査対象先の責任であり、フォローアップではなく「改善計画の策定」に該当します。
選択肢イ：監査部門の責任者が、監査報告書を基に監査の実施状況と指摘事項の妥当性を確認すること
- これは監査部門内部の監査活動評価や品質管理の一環であり、フォローアップの定義から外れます。
選択肢エ：システム監査人が、時間の関係で調査を終了しなかった監査項目を追跡調査して報告すること
- これはフォローアップではなく、未完了の監査項目に対する追跡調査であり、フォローアップの趣旨とは異なります。

システム監査におけるフォローアップのまとめ

システム監査におけるフォローアップは、監査報告書に記載された指摘事項や改善提案の実施状況を継続的に確認・モニタリングする活動です。システム監査基準においては、フォローアップが監査活動の一環として重要な役割を果たしており、監査対象組織が効果的に改善を進められるよう支援する目的があります。

ITシステムに求められる要素

経済産業省が取りまとめた”デジタル経営改革のための評価指標（DX 推進指標）”によれば、DX を実現する上で基盤となる IT システムの構築に関する指標において、”IT システムに求められる要素”について経営者が確認すべき事項はどれか。

ア　IT システムの全体設計や協働できるベンダーの選定などを行える人材を育成・確保できているか。

イ　環境変化に迅速に対応し、求められるデリバリースピードに対応できる IT システムとなっているか。

ウ　データ処理において、リアルタイム性よりも、ビッグデータの蓄積と事後の分析が重視されているか。

エ　データを迅速に活用するために、全体最適よりも、個別最適を思考した IT システムとなっているか。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問２３

解答

イ

各選択肢の解説

経済産業省が取りまとめた「デジタル経営改革のための評価指標（DX推進指標）」では、DX（デジタルトランスフォーメーション）を実現するための基盤となるITシステムについて、企業がどのような観点で整備を進めるべきかを示しています。以下、それぞれの選択肢について説明します。

選択肢ア：IT システムの全体設計や協働できるベンダーの選定などを行える人材を育成・確保できているか。

誤り
この選択肢は重要なポイントではありますが、これは主に人材育成や体制構築に関する事項であり、ITシステムそのものの特性に関する内容ではありません。そのため、「ITシステムに求められる要素」としての観点からは直接該当しません。

選択肢イ：環境変化に迅速に対応し、求められるデリバリースピードに対応できるITシステムとなっているか。

正解
DX推進指標では、ビジネス環境の変化に即応できる柔軟でスピーディなITシステムの構築が重視されています。この指標は、アジャイル開発やクラウド活用などを通じて、迅速なデリバリーと環境適応性を備えたITシステムの実現を求めています。この観点がDX推進において重要な基盤要素とされています。

選択肢ウ：データ処理において、リアルタイム性よりも、ビッグデータの蓄積と事後の分析が重視されているか。

誤り
現代のDX推進においては、リアルタイム性も非常に重要視されます。この選択肢のように「蓄積と事後分析」を重視するだけでは、環境変化への迅速な対応が困難になるため、DXの観点では不適切です。

選択肢エ：データを迅速に活用するために、全体最適よりも、個別最適を思考したITシステムとなっているか。

誤り
DXでは、全社的なデータ活用やプロセスの統合を通じて全体最適を図ることが求められます。個別最適を優先するシステム設計は、部門間のデータ連携を阻害し、DX推進の妨げとなる可能性があります。

補足

「選択肢：イ」に関連する具体的な手法として、以下が挙げられます：

クラウド活用
クラウド活用とは、インターネット経由で提供されるクラウドサービスを利用して、ITリソースを柔軟に拡張・縮小しながら活用することです。これにより、企業は初期投資を抑えつつ、変化するビジネス環境に迅速にまた、セキュリティや有用性の高いサービスを利用することで、運用の負担を軽減できます。
アジャイル開発
アジャイル開発は、小さな機能単位で計画、設計、実装、テストを繰り返す開発手法です。この方法では、要件変更や市場の変化に迅速に対応できるため、DX推進に求められるスピード感を持ったシステム開発チーム内の密なコミュニケーションや段階的な成果が提供されるのが特徴です。
マイクロサービスアーキテクチャ
マイクロサービスアーキテクチャは、アプリケーションを小さな独立したサービスのセット体として設計するアーキテクチャ手法です。各サービスは特定の機能を担当し、疎結合であるため、部分的な変更や拡張が容易です。新たなビジネス要件や市場変化への迅速な対応が可能になります。

このような特性を持つITシステムが、環境変化に対応可能であり、DX推進の基盤として求められます。

ITシステムに求められる要素のまとめ

経済産業省の「DX推進指標」では、DX実現の基盤となるITシステムに求められる要素として、環境変化に迅速に対応し、高いデリバリースピードを実現する柔軟性が重視されています。アジャイル開発、マイクロサービスアーキテクチャのような手法を確立することで、ビジネス要件の変化に即応できるシステム構築が可能です。これらの特性を持つIT基盤は、DX推進の重要性です

BPR

BPRによって業務を見直した場合、これまで従業員５人で年間計9,000時間掛かっていた業務が7,000時間で実現可能なことと、その7,000時間のうちの2,000時間分の業務は外部委託が可能なことが分かった。この結果を基にBPRを実施した次のシナリオaからdのうち、当該部門において、年間あたりの金額面の効果が最も高いものはどれか。なお、いずれのシナリオも年初から実施することとし、条件に記載した時間や費用以外は考慮しないものとする。

［条件］

（１）年間計9,000時間の内訳は従業員1人当たり1,800時間とする。

（２）従業員1人当たりの年間の人件費は600万円とする。

（３）外部委託が可能な2,000時間分の業務を、外部委託した場合の年間費用は700万円とする。外部委託の契約は1年単位で年間費用の700万円は固定である。

（４）従業員の空いた時間は別の付加価値業務が行えるようになり、従業員１人につき100時間当たり20万円の利益を得ることができる。

（５）従業員４人で当該業務を行う場合は、残り１人は他部門に異動する。当該部門では、１人分の人件費の削除効果だけを考慮する。

（６）BPR実施後、当該業務に関わらない従業員の人件費は金額面の効果とみなす。

シナリオ当該業務を行う従業員数外部委託
a 4人する
b 4人しない
c 5人する
d 5人しない

ア　シナリオa

イ　シナリオb

ウ　シナリオc

エ　シナリオd

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問２４

シナリオ	当該業務を行う従業員数	外部委託
a	4人	する
b	4人	しない
c	5人	する
d	5人	しない

解答

イ

解説

まず、条件と問題文から必要な情報を整理します。

業務時間：9,000時間 → 7,000時間（BPR後）
外部委託可能時間：2,000時間
従業員数：5人 → シナリオにより変動
従業員1人あたり年間人件費：600万円
外部委託費用：年間700万円（固定）
空き時間による利益：100時間あたり20万円

各シナリオの金額効果を計算していきます。

選択肢ア：シナリオa（4人、外部委託あり）

人件費削減効果：600万円（1人分）
外部委託費用：700万円
業務時間削減：9,000時間 – 7,000時間 = 2,000時間
従業員一人当たりの削減時間：2,000時間 / 4人 = 500時間
空き時間による利益：500時間 / 100時間 × 20万円 × 4人 = 400万円
合計効果：600万円 – 700万円 + 400万円 = 300万円

選択肢イ：シナリオb（4人、外部委託なし）

人件費削減効果：600万円
業務時間削減：2,000時間
従業員一人当たりの削減時間：2,000時間 / 4人 = 500時間
空き時間による利益：500時間 / 100時間 × 20万円 × 4人 = 400万円
合計効果：600万円 + 400万円 = 1,000万円

選択肢ウ：シナリオc（5人、外部委託あり）

外部委託費用：700万円
業務時間削減：2,000時間
従業員一人当たりの削減時間：2,000時間 / 5人 = 400時間
空き時間による利益：400時間 / 100時間 × 20万円 × 5人 = 400万円
合計効果：-700万円 + 400万円 = -300万円（損失）

選択肢エ：シナリオd（5人、外部委託なし）

業務時間削減：2,000時間
従業員一人当たりの削減時間：2,000時間 / 5人 = 400時間
空き時間による利益：400時間 / 100時間 × 20万円 × 5人 = 400万円
合計効果：400万円

上記計算結果から、最も金額効果が高いのはイシナリオbの1,000万円となります。

補足

この問題では、人件費の削減と空き時間による利益が効果に大きく影響しています。外部委託は費用がかかるため、シナリオcのように空き時間による利益が外部委託費用を下回る場合は、マイナスの効果となります。シナリオaでは、人件費削減効果と空き時間による利益を足しても外部委託費用を上回ることができず、シナリオbが最も効果的であることが分かります。シナリオdは人件費の削減がない分、シナリオbより効果が低くなります。

このように、BPRを実施する際には、単に業務時間を削減するだけでなく、人件費、外部委託費用、空き時間の活用など、様々な要素を考慮して最適なシナリオを選択することが重要です。

BPRのまとめ

BPR（業務プロセスの再構築）を効果的に実施するためには、業務時間の削減だけでなく、人件費削減効果、外部委託費用、空き時間の活用など、複数の要素を総合的に評価する必要があります。シナリオによって効果は異なり、最適な選択が企業の成果に直結します。これらの要素をバランスよく考慮することが、成功するBPRの鍵となります。

アクティビティ図

UML の図のうち、業務要件定義において、業務フローを記述する際に使用する、処理の分岐や並行処理、処理の同期などを表現できる図はどれか。

ア　アクティビティ図

イ　クラス図

ウ　状態マシン図

エ　ユースケース図

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問２５

解答

ア

UMLの概要

UML（Unified Modeling Language）は、ソフトウェア開発やシステム設計において使用される統一的なモデリング言語です。システムの構造や振る舞いを視覚的に表現するためのダイアグラムを提供し、開発者間のコミュニケーションや設計の共有を容易にします。主にクラス図やシーケンス図、ユースケース図などが含まれ、要件分析から設計、実装まで幅広い工程で活用されます。

各選択肢の解説

選択肢ア：アクティビティ図

正解
アクティビティ図は、処理の流れを視覚的に表現するために使用されます。特に以下を表現できます。

処理の分岐（条件分岐や選択肢）
並行処理（複数のタスクが同時に実行される状況）
処理の同期（分岐した処理が再び1つにまとまる状況）

業務要件定義において、業務フローや手続きの流れを詳細に表現するのに適しているため、正解となります。

選択肢イ：クラス図

誤り
クラス図は、システム内のオブジェクトやその間の関係を表現するために使用されます。主にデータ構造やシステムの設計において利用されるもので、業務フローの記述には適しません。

選択肢ウ：状態マシン図

誤り
状態マシン図は、システムやオブジェクトの状態遷移を記述するために使用されます。特定のオブジェクトがどのように状態を変化させるかを記述しますが、業務フロー全体の記述には向いていません。

選択肢エ：ユースケース図

誤り
ユースケース図は、システムの機能や、それを利用するアクター（利用者や外部システム）との関係を記述するために使用されます。業務フローの具体的な手順を表現するものではありません。

補足

アクティビティ図の主な構成要素

アクション
アクションは、業務プロセスやタスクの単一の処理を表します。アクティビティ図においては、具体的な作業や操作を示す要素で、四角形で表記されます。各アクションはシステムや業務フローの一部を構成します。
決定点（条件分岐）
決定点は、処理が条件によって異なる流れを選択する場面を表します。菱形（ダイヤモンド型）で表記され、条件式やガード条件によって次のアクションを決定します。業務フローの分岐点として重要です。
分岐と結合
分岐は並行処理を開始する箇所を、結合は並行処理を終了し再び1つの流れに統合する箇所を示します。それぞれ太い横線で表記され、複雑な処理の同時実行を明確に可視化します。
開始・終了ノード
開始ノードはフローのスタート地点、終了ノードは全体の処理が完了する地点を示します。開始ノードは黒い円、終了ノードは黒い円に囲まれた白い円で表されます。

これらの要素を組み合わせることで、業務フローを具体的かつ明確に記述することができます。

アクティビティ図のまとめ

アクティビティ図は、業務やシステムの処理フローを視覚的に表現し、プロセスの理解や設計を助けるツールです。アクションや決定点、分岐と結合、開始・終了ノードといった構成要素を組み合わせることで、業務プロセスの詳細な流れや条件分岐、並行処理を明確に描写できます。複雑な処理をわかりやすく整理し、関係者間の共通理解を促進します。