メインコンテンツへ
システム監査

情報セキュリティ監査において「脆弱性評価」を実施する主な目的として、最も適切なものはどれか。

ア.財務諸表の正確性を第三者が検証し、投資家への信頼性を確保すること
イ.システムやネットワークのセキュリティ上の弱点を識別・評価し、対策の優先順位づけを行うこと正解
ウ.従業員の労働時間管理が法令に準拠しているかを検証すること
エ.システム開発プロジェクトのコストが当初予算の範囲内に収まっているかを検証すること

解説

脆弱性評価は「住宅の防犯点検」。玄関の鍵が古い・窓の施錠が甘い・センサーがない、と弱点をリストアップして「どこから直すか」優先順位を決める作業です。

なぜ イ が正解か

情報セキュリティ監査の脆弱性評価は、組織のシステム・ネットワーク・アプリケーションに存在するセキュリティ上の欠陥(脆弱性)を洗い出し、そのリスクレベルを評価します。評価結果に基づき、リスクの高い脆弱性から優先的に対策(パッチ適用・設定変更・アクセス制御強化等)を実施できます。セキュリティ投資の効率化が最大の目的です。

なぜ ア は間違いか

財務諸表の正確性検証は「財務監査」の目的です。情報セキュリティ監査は財務の正確性ではなく、情報資産の機密性・完全性・可用性の保護を扱います。

なぜ ウ は間違いか

労働時間の法令準拠確認は「労務監査」または「コンプライアンス監査(労働法令分野)」の目的です。情報セキュリティ監査の対象外です。

なぜ エ は間違いか

コストが予算内かの検証は「プロジェクト監査」または「財務管理監査」の目的です。セキュリティ脆弱性評価とは対象が異なります。

出典: AI生成問題(学習用)