システム監査 【応用情報技術者試験】コンプライアンスとガバナンスの違い
コンプライアンスは「法令や規則などのルールを守ること」という行動・規範に焦点を当てたもので、ガバナンスは「そのルールを組織として遵守させるための管理体制・仕組み」を構築することを指します。簡単に言えば、コンプライアンスが「守るべきルール」で...
システム監査
システム監査 システム監査 【応用情報技術者試験】サイバーレジリエンス
サイバーレジリエンスとは、サイバー攻撃やシステム障害が発生しても、企業の事業継続性を維持し、迅速に回復・適応する能力のことです。攻撃を防ぐだけでなく、被害を最小限に抑え、事業への影響を少なくすることを目指す、包括的なセキュリティ戦略を指しま...
システム監査 【応用情報技術者試験】ソフトウェアエスクロー
ソフトウェアエスクローとは、ソフトウェアライセンス契約を結ぶ際に、ソフトウェアのソースコードや技術情報を、第三者であるエスクロウ・エージェントに預けておく制度です。ライセンサー(ソフトウェア提供者)が倒産するなどの一定の事態が発生した場合に...
システム監査 【応用情報技術者試験】ペネトレーションテスト
ペネトレーションテスト(ペンテスト、侵入テストとも呼ばれる)とは、ホワイトハッカーが実際にサイバー攻撃を模倣してシステムに侵入を試み、そのシステムのセキュリティ上の脆弱性や攻撃耐性を評価するテスト手法です。単なる脆弱性の発見に留まらず、具体...
システム監査 【応用情報技術者試験】ノンサンプリングリスク
ノンサンプリングリスクとは、監査人が、サンプリング(抽出した一部の項目を調査する手法)に関連しない理由で、誤った結論を導くリスクのことです。つまり、サンプリングによるリスク(サンプリングリスク)とは別の、監査手続の選択や実施、証拠の解釈の誤...
システム監査 【応用情報技術者試験】サンプリングリスク
サンプリングリスクとは、抽出したサンプル(一部)が母集団(全体)の特性を正確に反映しないことによって、母集団全体について誤った結論を導いてしまうリスクのことです。例えば、内部統制の評価において、実際には有効な統制を無効だと判断してしまったり...
システム監査 【応用情報技術者試験】許容逸脱率
許容逸脱率とは、内部統制のテストなどで、母集団における不備の発生が許容される上限の割合を指します。監査人はこの許容逸脱率と、実際にサンプルで発見された逸脱率を比較し、内部統制の有効性を判断します。詳細目的:監査人が母集団の信頼性(保証水準...
システム監査 【応用情報技術者試験】システム監査
ITガバナンスとは?経産省の定義によると「企業が、ITに関する企画・導入・運営および活用を行うにあたって、全ての活動、成果及び関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に君こむこと、又は、組み込まれた状態。ITシステムを適...
システム監査 【応用情報技術者試験】ペネトレーションテスト
ペネトレーションテスト(ペネトレ)とは、システムやネットワークのセキュリティ対策の有効性を評価するために、攻撃者の視点から疑似的なサイバー攻撃を行い、脆弱性を検証するテストのことです。攻撃者が実際にシステムに侵入できるかどうかを試すことで、...