dimeizaのブログ

興味のある技術(IoT/VR/Smart Speaker)とか、資格試験の話とか、日常で出会ったTechな話について書いています。

ならず者IoTエンジニアが由緒正しきシステム監査技術者になってしまった件(3)

情報処理技術者試験 システム監査技術者 資格試験

本試験

 今回も千葉県の某大学です。

 幸いなことに駅からほど近い所に位置していたので、お昼ご飯は食べに行くことができました。

午前Ⅰ

 これに関しては…不覚というか、まぁスキルアップの道筋上仕方なかったんですが。

dimeiza.hatenablog.com

論文試験開始時間は14:30から。午前Ⅰから数えると6時間後という長丁場の最後に巡ってきます。

この試験が始まるタイミングでなるべく体力を温存し、頭が回せるコンディションにしておきたいものです。そうなると、午前Ⅰ免除を受けずに挑むと不利に働くであろうことは容易に推察できるのではないかと思います。

 って発言した人物は、当日の朝9時にその大学の教室に座っていました。どの口が言うか、って感じですよね。

 前回のシステムアーキテクト試験から2年以上が経過してしまったので、午前Ⅰ免除資格の有効期限は切れていました。午前Ⅰ試験に関しては直前に問題集3年分を2周回した程度でしたが、結果は御覧の通りです。正直もう終身免除でいいと思うんですが、たまに知らない言葉も出てくるので、まぁこれはこれで。

午前Ⅱ

 今回最初のトピックは午前Ⅱでした。

 初回で伏線を引いた通り、そして私自身が予期していた通り、来たわけですよ。改訂された最新の基準が。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_1/2019h31h_au_am2_qs.pdf

問1 システム管理基準(平成30年)において、ITガバナンスにおける説明として採用されているものはどれか。

問3 システム管理基準(平成30年)において、経営陣がITガバナンスを成功に導くために採用することが望ましい原則としているものはどれか。

問5 システム管理基準(平成30年)に規定されたアジャイル開発において留意すべき取り扱いとして、最も適切なものはどれか。

問6 システム監査基準(平成30年)において、システム監査人が実施する予備調査の作業として、適切なものはどれか。

問9 システム監査基準(平成30年)の説明はどれか。

問10 システム監査基準では、監査計画の策定にあたり、監査対象として考慮する項目を、情報システムの”ガバナンス”、”マネジメント”、”コントロール”に関するものに分けて例示している。情報システムの”マネジメント”に関するものを監査対象とする場合に、考慮する項目としているものはどれか。

 というわけで6問あります。午前Ⅱの問題数は25問なので、これらをすべて落とすと19問、最大76点しか獲得できなくなります。合格ラインは15問なので、安全バッファも4問と、がぜん厳しくなります。

何問かは監査の常識で突破できます。 例えば問6(予備調査の作業)とかは、改訂前とさほど変わり映えしないので、本監査の前にやっておくべき作業として理解していれば、最新版の管理基準を知らなくても正答可能です。

 厄介なのは単発知識系です。例えば問1や問3の選択肢は、パッと見るとそれっぽい選択肢が並んでいます。これらの選択肢の中で、 システム管理基準が採用しているもの を答えるには、 厳密に言うとシステム管理基準を読むしかないわけです。

 無論両問とも、ほかの予備知識から枝切りすることはできて、『常識的に考えるとこれじゃね?』と解答するルートもあるにはありますが、各受験者の予備知識は個々のバックグラウンドによって異なるわけで、万人が本番でその効果を狙って発揮するのは難しいものがあります。

そういうわけで、システム監査技術者試験の午前Ⅱで不本意な討死をしたくない方は、必ずシステム監査基準とシステム管理基準をしっかり読んでおきましょう。

午後Ⅰ

 システム監査技術者試験の午後Ⅰは3問。2問選択解答です。

 問1がRPA、問2が開発計画、問3が基幹システムのオープン化をテーマにしていました。

 私はRPAについては知見がなかったので、マネジメント一般知識で勝負できそうな問2と問3を選択して解答。これが正解だったかどうかは、正直今もよく分かりません。

問2

 問2は純然たる開発体制関連の問で、文章上にリスクそのものが羅列されているので、線を引きながら解答していきました。

 過去問をこなしていく中で、リスクが文中に示されておらず(暗喩すらされてない)、とても解答できそうにない問題があったりしたので心配していましたが、この辺の特定は割と無難にできるようになっていました。

 ただ、例えば設問5(利用部門からの追加、変更要求への対策)とかは非常に難しいと思いましたね。

本調査の実施(2)において、監査チームがT課長に確認した対策の具体的な内容を45字以内で述べよ。

 午後Ⅰの問題に対して解答を記述するときには、問題文中の根拠に基づいて解答する、というのが全試験区分における基本原則 なのですが、システム監査技術者試験においてはここが曖昧になることがあります。

 すなわち、

  1. 監査人の一般的な行為規範や、ソフト開発の一般的な知見を自分の言葉で解答するべきか
  2. 文中の根拠に対する自分なりのリアクションを解答するべきか
  3. 文中の根拠記述を抜き出して(あるいは要約して)解答するべきか

 この判断が非常に難しいのです。実際、情報処理教科書ではこれを3パターンの類型にしていて、選択を誤ってはならない、とはっきり書いてあります。

 厄介なのは、根拠が文中にあるにもかかわらず、解答者が問題文から見つけられないケース。これについては、ある程度探したら一般論で答案を書いた後で再度見直せ と情報処理教科書に提案されていますが、1問辺り最大45分の時間制限上、実際は結構難しいものがあります。

 もう一つ厄介なのは、 根拠は見つかったが、採用した根拠や解答に記述したリアクションが出題者の意図とずれているケース。これは合格した後の私でも適切な対策を提案することは難しいと思っています。

話を問5に戻すと

この設問に対する強力な根拠は終盤まで私も見つけられなかったのです。そこで、解答としては、

委託先の要求変化対応キャパシティを把握し、対応可能な分のみ要求を受け入れる

 という、委託先の負荷モニタリング実施をベースとした対策を記述しました。これは一般的なソフト開発の知見に加えて、問題文中の以下文章を論拠にした解答です。

委託先への発注窓口であるシステム部の体制が不十分で、開発着手後も委託先に”丸投げ”の状態となるリスクがある。

 ところが試験終了直前になって、問題文中のこの記述の意味に気づいたのです。

PMとしての責任、権限が曖昧なことから、T課長が判断に迷った場合に、プロジェクトとしての意思決定ができないリスクがある。

 ここで、出題者の意図が、要求採用可否決定の基準と仕組みづくりにありそう、ということに気づいたのですが、時すでに遅し。答案は私の手から回収されていきました。

 実際、IPA解答例としては、

開発着手後の追加・変更の要求に対応する際の採用条件を明確にし、利用部門と合意すること

 と書いてあったのですが、解答が他人行儀になっているだけで1 、別に私の解答でもおかしくはないよなぁ、と。採用条件を委託先負荷にしているだけなので。

 このように、根拠が複数考えられる場合や、根拠の一歩先の提案や見解を求められる類の設問をどう処理するか、という点、おそらくシステム監査技術者試験固有の難しさ だと思っています。

まぁ、IPA発表はあくまでも『解答例』なので、部分点か、あるいは正答扱いになっているのかもしれないのですが、こうした発散によってその辺がブラックボックスになってしまうのも、この区分固有の厳しさの一つかな、と思っています2

問3

 問3は基幹システムのオープン化に関する問ですが、この問の前半は割とプログラマあるあるというか、現場経験が多少あると問題を把握しやすい印象でした。

  • 古い設計書をうのみにしたら実装と違ってて調査に時間がかかったとか
  • 誰かが試用して、使えるって言われたツールを現場に適用したらうまく動かないとか
  • Web開発してるなら、ビジネスロジックと並行してGUIをプロトタイプできるよねとか

 ただ、ここでも設問5はあまり筋が良くなくて。

設問5 表3項番5について、監査チームが、情報システム部の対応計画に関して確認すべき事項を一つ挙げ、40字以内で具体的に述べよ。

 表3項番5には、現行システムの状況を考慮すると、次の段階の業務機能の見直しが円滑に進まない旨の記述がある ので、現行システムの状況をベースに解答することになるんですが、問題点はいくつかあるんですよ。その中でどれを選ぶか、という点にぶれがあるんじゃないかなぁ、とは思いました。

 解答例では、

要件定義書や設計書を整理し、最新の要件や仕様を反映する計画が存在すること

 とあって、確かにドキュメントと実装の相違は現行システムの問題なので、納得のいく正答にはなっています。

 一方で私は別の問題点を指摘していました。

現行システムの機能要件、作業要件に精通した要員を加えて対応する計画になっているか

 業務機能の見直しを行うためには、当然現行の業務要件を知っている人間が参画している必要があるんですが、現行システムにはそういう要員がいない、って問題文に書いてあるんですね。

情報システム部では、部員の移動に加え、各サブシステムの部分的な機能追加、機能変更を繰り返してきたことから、現行システム全体の機能要件及び業務要件について精通した部員がいない。

 これは業務機能見直しに当たっての支障になるので、私自身が構築した解答も、設問5の解答としては論理の筋が通っていたりするわけです。

 この解答もどう処理されたのかちょっとわからないですが、問2同様、こんな感じで解答の方向性が発散してしまいがちな傾向がこの試験にはあるのではないか、と思っています。

 私に見えていない何物かがあるのかもしれませんが、この試験を受験する際には、本文を根拠にする場合であっても、解答方向性の発散に注意して、備えられるならばなるべく備えましょう。3

 午後Ⅰの話が長くなってしまいました。今宵はここまでに致しとうございまする。

  1. 先述したように、監査人はコントロール実施の確認者であって実施者ではないので、ある程度他人行儀である方がベターではある。

  2. 作問と難易度の調整が難しいのを承知の上で、ここは改善してもらいたいです。国家試験として受験料を徴収している以上、解答例を見て万人が納得できるようにしてもらいたいところ。

  3. 問2設問5の回答を対比して思ったのは、もしかすると、『コントロールは外部視点である程度抽象化する』辺りがヒントなのかもしれません。端的に言うと、『監査人としての視点だけで書き、組織内部の具体的な対策実装方法は問わない』ってことなのかも。とはいえ問3の事例はそうではないし、正直あまり自信はないです。