ISCのリリース問題(AICPA Released Questions)をやっているけど、何が大事なのかあまりわからないよ。
誰かに解説してもらいたいな。
2019年から2025年までのISCのリリース問題を分析したよ
どのようなトピックが大事なのか、どのように学習すればいいのか解説していくね。
注意:2019年から2023年までは、旧試験のBECからの組み換え問題
USCPA(米国公認会計士)は、受験資格を得るためにもUSCPA予備校のサポートが必要となります。
そして、短期合格には自分に合ったUSCPA予備校を選ぶ必要があります。
おすすめのUSCPA予備校はアビタスです!
日本では唯一、AICPAリリース問題を日本語解説付きで提供しています。
\無料・すぐに読める・オンライン参加可能/
USCPAの勉強を始めていない場合「USCPAの始めかた」も参考にしてください。
どこの著書『USCPA(米国公認会計士)になりたいと思ったら読む本』も参考にしてくださいね。
USCPA資格の活かし方やUSCPA短期合格のコツも記載しています。
(2025/08/25 09:34:04時点 Amazon調べ-詳細)
- 注意:【ISC】USCPAリリース問題(AICPA Released Questions)解説にあたって
- 1.ISCで特に重点を置いて学習すべきトピック
- 2.ISCリリース問題の出題内容の分析
- (1)2019年のISCリリース問題分析
- (2)2020年のISCリリース問題分析
- (3)2021年のISCリリース問題分析
- (4)2022年のISCリリース問題分析
- (5)2023年のISCリリース問題分析
- (6)2024年のISCリリース問題分析
- (7)2025年のISCリリース問題分析
- ➀パブリッククラウドサービス利用会社の責任
- ➁COSOのブロックチェーンと内部統制
- ③手動仕訳入力の入力編集統制
- ➃情報システムの稼働継続能力
- ⑤構成アイテムのベースライン
- ⑥フラットファイルストレージとリレーショナルデータベース
- ⑦SQLライトジョイン(Right Join)
- ⑧GDPRの権利
- ⑨COBIT管理目標
- ⑩サイバー犯罪の一種(Typosquatting)
- ⑪セキュリティシステム(侵入検知システム)
- ⑫ランサムウェア攻撃からのシステムロックアウト回避策
- ⑬IT監査人による信用カードデータベースセキュリティレビューの手続
- ⑭データ漏洩防止(DLP)ツールの主な機能
- ⑮デジタル署名の認証検証
- ⑯情報セキュリティリスク(第三者リスク)
- ⑰SOC 2 Type 2エンゲージメントにおける重要性の判断
- ⑱SOC 1審査における再受託会社の統制の除外
- ⑲SOC 2 Type 2エンゲージメントにおける意見の種類
- ⑳SOC 2 Type 2報告書における統制テストに関する情報
- 3.ISCのリリース問題を基にした理解度チェック
- (1)システム導入とリスク管理
- (2)情報セキュリティとアクセス制御
- ➀生体認証 (Biometric Control)
- ➁多要素認証 (Multifactor Authentication)
- ③マルチモーダル認証 (Multimodal Authentication)
- ➃スマートカード (Smart Card)
- ⑤デジタル署名 (Digital Signature)
- ⑥アクセス制御マトリックス (Access Control Matrix)
- ⑦セキュリティ対策の有効性評価 (Time-based Model of Security)
- ⑧クラウドサービスプロバイダーのデータセキュリティ
- ⑨脆弱性 (Vulnerabilities)
- ⑩エクスプロイト (Exploits)
- ⑪パッチ (Patches)
- ⑫ペネトレーションテスト (Penetration Tests)
- ⑬NIST SP800-53
- ⑭CIS Controls
- ⑮予防的統制 (Preventive Control)
- ⑯発見的統制 (Detective Control)
- ⑰暗号化 (Encryption)
- ⑱ハッシュ (Hashing)
- ⑲非対称暗号化 (Asymmetric Encryption)
- ⑳ファイアウォール (Firewall)
- ㉑非武装地帯 (DMZ – Demilitarized Zone)
- ㉒侵入検知システム (IDS – Intrusion Detection System)
- ㉓ランサムウェア対策
- (3)データ管理と分析
- (4)システム統制と監査
- ➀合理性テスト (Reasonableness Test)
- ➁チェックディジット (Check Digit)
- ③フィールドチェック (Field Check)
- ➃妥当性チェック (Validity Check)
- ⑤ワークフローシステム (Workflow System)
- ⑥監査証跡 (Audit Trail)
- ⑦限定意見 (Qualified Opinion)
- ⑧不適正意見 (Adverse Opinion)
- ⑨SOC 1 レポート
- ⑩SOC 2 レポート
- ⑪SOC 3 レポート
- ⑫再受託会社 (Subservice Organization)
- ⑬重要性 (Materiality)
- ⑭監査報告書の記載
- ⑮サービスレベルアグリーメント (SLA – Service Level Agreement)
- ⑯ウォークスルー (Walk-through)
- (5)その他重要な概念
- 4.ISCのリリース問題に出てくる理解すべき単語
- まとめ:ISCのリリース問題で学習ポイントを押さえる
注意:【ISC】USCPAリリース問題(AICPA Released Questions)解説にあたって
ISCのUSCPAリリース問題(AICPA Released Questions)の解説をしますが、少しフワッとした部分があるかもしれません。
リリース問題は、権利関係で誰でも入手できるものではありません。
なので、公に問題を1問1問、ネット上に書いていいものではありません。
あくまでも、過去のリリース問題を見て、どのような傾向があるか分析し、お伝えするのが精いっぱいとなります。
少しフワッとしているとしても、USCPA受験生にリリース問題を最大限に活かしていただくため、最大限の努力をしたと、ご理解いただければ幸いです。
当記事では、2019年から2025年までのISCのリリース問題を分析した結果に基づき、ISC受験生が、何をどのように学習したら良いか、解説していきます。
注意:2019年から2023年までは、旧試験のBECからの組み換え問題です。
USCPA試験のリリース問題(AICPAリリース問題)については、こちらの記事が詳しいです。
USCPA試験のISC受験対策徹底解説も参考にしてください。
ISCのリリース問題解説については、USCPAどこチャンネルの「【ISC】リリース問題(過去問)からの出題傾向解説」も参考にしてください。
1.ISCで特に重点を置いて学習すべきトピック
ISCのリリース問題(2019年~2025年)を分析した結果、特に何に重点を置いて学習すべきかが明確になっています。
リリース問題を通じて頻繁に出題されている、または、内容が複雑で深い理解が求められるトピックは以下の通りです。
これらを優先的に学習することで、効率的に得点アップを目指せると思いますよ。
注意:あくまでもリリース問題を分析した結果であり、「本番で出題される」または「本番で出題された」というわけではありません。
(1)情報システム開発・導入 (Information System Development & Implementation)
情報システム開発・導入は、重要トピックです。
➀システム導入アプローチ (System Implementation Approaches)
- ダイレクト・カットオーバー (Direct Cutover) は、ある特定の日に旧システムから新システムに完全に移行させるアプローチであり、他の手法に比べてもっともリスクが高いとされています。
- 並行稼働 (Parallel operation) は、新しいシステムが正常に稼動していることを確認できるまでの一定期間、新旧のシステムの両方を稼動させるアプローチであり、新旧のシステムのデータ処理結果を照合することで、新しいシステムのデータ処理の完全性と正確性を保証することが可能なため、最も安全な導入方法とされます。
- 段階的アプローチ (Phase-in/Phased approach) は、新しいシステムを部門や機能ごとに導入していくアプローチです。
- パイロットアプローチ (Pilot approach) は、新しいシステムを導入する前に、一定の期間テスト版を稼動させるアプローチです。
➁ERPシステム (Enterprise Resource Planning – ERP System)
コンフィグレーション (Configuration) とは、ERPシステムの多くが持つ、システム画面などの表示設定の変更や処理ロジックの追加・変更などのパラメータ設定を行い、企業のニーズを満たすことを指します。
③変更管理 (Change Management)
- システムが稼働した後の変更には、あらかじめ承認された管理手順が必要とされます。これには、会社で使われているソフトウェアのバージョン更新、既存のERPに新たなモジュールをインストールすること、プラットホーム稼働後に行うバグ修正などが含まれます。ただし、キャッシュデータの削除は通常、変更管理方針には含まれません。
- ベースライン (Baseline) とは、システム設定、ソフトウェア、および構成アイテムの状態の表現を指し、正式にレビューおよび承認され、正式な構成管理および変更管理プロセスを通じてのみ変更可能です。
(2)情報セキュリティ・アクセス統制 (Information Security & Access Control)
情報セキュリティ・アクセス統制は重要トピックです。
➀認証・アクセス制御 (Authentication & Access Control)
- 生体認証システム は、あらかじめ登録された指紋(fingerprints)や声紋(voiceprints)、網膜(retina)、虹彩(iris)などのパターンを照合することによりユーザーの識別などを行い、比較的高い機密性を確保できます。
- 多要素認証 (Multifactor authentication) は、アクセス要素を得るために必要となる本人確認のための要素(証拠)を複数要求する認証方式です。
- マルチモーダル認証 (Multimodal authentication) は、複数の様式や形式を要求する認証方式で、複数の身体的特長を用いた生体認証などに見られます。
- スマートカード (Smart card) は、CPU、メモリーなど半導体を組み込んだカードのことで、このカードがなければアクセスできないため、有効な統制です。
- アクセス制御マトリックス (Access control matrix) は、特定のシステムへのアクセス制御において、誰がどの情報にアクセスできるかを整理したもので、限定された人数のアクセスを許可するのに最適な方法です。
➁ネットワークセキュリティ (Network Security)
- ファイアウォール (Firewall) は、組織内部のネットワークと外部のネットワークの間に設置され、組織内のネットワークを外部から保護するためのセキュリティシステムであり、電子商取引におけるネットワークエントリーポイントでのデータフローを制御します。
- 非武装地帯 (DMZ – demilitarized zone) とは、社内ネットワークの外部にWebサーバーやメールサーバーなどを置くネットワーク構成を指し、これによりWebサーバーがハッキングされた場合でも、即座に社内ネットワークまで被害が及ばないようにすることができ、製品情報などの機密情報への侵入を防ぐことに寄与します。
- 侵入検知システム (IDS – Intrusion Detection System) は、ファイアウォールを通過した許可済みの通信を含む全トラフィックのログを記録・分析し、不正アクセスや侵入の兆候を検知するシステムです。
③暗号化・デジタル署名 (Encryption & Digital Signature)
- 暗号化 (Encryption) は、送信者がアルゴリズムと呼ばれる任意の計算式を使用して平文(暗号化されていない文)を暗号文(ciphertext)に変換する行為です。
- デジタル署名 (Digital signature) は、オリジナルのメッセージの改竄を防止し、メッセージ送信者の真正性を証明する技術であり、未承認のアクセスを防ぐ統制ではありません。この技術では、ハッシュ関数 (Hashing) と非対称暗号化 (Asymmetric encryption) が使用されます。また、文書の真正性を検証するために、公開鍵が利用者に提供されるべきです。
➃予防的統制と発見的統制 (Preventive vs. Detective Controls)
- 予防的統制 の例としては、ユーザーIDと論理的アクセス(パスワード)を管理して許可のない従業員のアクセスを防ぐこと、外部からの侵入に対する抑止を図るために社内IT環境にネットワークへのアクセス統制を設定すること、機密データ送信時に暗号化を行うことで許可のないアクセスから防御することなどが挙げられます。
- 発見的統制 の例としては、外部からネットワークにログインを試みて失敗した場合にITマネージャーに報告が入ることが挙げられます。
⑤データ漏洩対策 (Data Loss Prevention – DLP)
DLPツール の主な機能は、社内の機密データおよびプライバシーに関するデータが外部に漏洩し、不正利用されることを予防または適時に発見することで被害の拡大を予防することにあります。
(3)データ管理・分析 (Data Management & Analysis)
データ管理・分析は、重要トピックです。
➀データマイニング (Data Mining)
- 目的 は、パターン認識、統計学などのデータ分析技法を大量のデータに適用することにより、今まで知られていなかったが役に立つ可能性のある、有用な知識や知見を取り出すことです。人工知能(A.I.)はデータ・マイニングの際に利用する分析技術の一つです。
- 活用例 として、クレジットカード会社が常時大量の取引データから偽装の疑いのある取引データを迅速に(取引から24時間以内に)検知するために利用できます。
➁データベース (Database)
- リレーショナルデータベース (Relational Database) において、外部キー (Foreign Key) は関連したテーブル間を関係づけるために設定する列であり、生データを関係データベースに変換するために使われます。主キー (Primary Key) は、データベースのデータを一意に識別するための項目です。
- SQLコマンド を用いたデータ抽出では、SELECT * FROM (tblProducts) WHERE (UnitPrice > 50) ORDER BY (UnitPrice) DESC のように記述し、全てのデータ項目を表示し、指定された条件で抽出し、降順に並べ替えることができます。
- フラットファイルストレージ構造 を正規化されたリレーショナルデータベースの代わりに使用するデメリットとして、データが重複することで不要な処理が発生し、業務の有効性・効率性に影響を与える可能性があります。
- データベースの結合 の一つである右外部結合 (Right Join) は、データセットを並べて右にあるデータセットを基準に、2つのデータセットを繋げた場合の結果を抽出します。
③データウェアハウス (Data Warehouse)
- データウェアハウス (Data Warehouse; DWH) は、組織内の多様な業務において発生した大量の情報を時系列に保管したデータベースです。
- DWHは時系列や他のデータとの関連性を維持するために、継続的に更新する必要があります。
➃経営情報システム (Management Information Systems – MIS)
経営情報システムの目的は、会社の全般的な意思決定を支援することであり、意思決定における不確実性を減らすために必要な信頼性のある関連データのみを提供します。
⑤分散型データ処理システム (DDP – Distributed Data Processing)
- 利点 として、ローカル端末でデータ入力と編集を行うことによるコスト削減、ローカル端末ユーザーが必要な情報資源を利用できることによる収益性向上と満足度向上、コンピューティング設備が分散化することによる災害時のバックアップの有利性があります。
- ただし、このモデルは組織がIT環境に対する統制を強化することには繋がりません。
⑥監査証跡 (Audit Trail)
会社のオンライン在庫データから注文ができ、過去の注文履歴が確認できるシステムは、監査証跡 (Audit Trail) が取れるようになっています。
4. IT統制・監査 (IT Controls & Audit)
IT統制・監査は、重要なトピックです。
➀入力統制 (Input Controls)
- 合理性テスト (Reasonableness test) は、あらかじめ定められた基準によって妥当なデータのみを許可するシステム統制であり、例えば、$300の支払いに対して$800のクレジットメモを発行するような間違いを防ぐのに役立ち、異常値の入力に対して警告を発することも可能です。
- 妥当性チェック (Validity check) は、特定のデータがマスターファイル上のデータなど、あらかじめ定められた基準によって妥当かどうかを判断する統制であり、妥当ではない場合は警告ではなくエラー(入力不可)として扱われます。
- サイズ・テスト (Size check test) は、データの容量や文字数(field size check)のチェックを行う統制です。
- チェック・ディジット (Check digit) は、数学的に計算された数値をデータに付加することにより、元のデータが改ざんされていないか、別のデータにすり替わっていないかを確かめる統制です。
- フィールド・チェック (Field check) は、特定のデータフィールドに、受け入れられるキャラクターのタイプを制限する統制です。
- 限界チェック (Limit check) は、対象のデータがあらかじめ定義された範囲内であるかどうかをチェックするコントロールです。
➁サービス組織に係る報告書 (SOC Reports)
SOC 1 Type 2
- 監査意見の形成: SOC 1 Type 2報告書が対象としている複数の統制目的のうち、一部の統制目的が達成されていないが、他の統制や統制目的に影響を与えない場合、サービス監査人は限定意見 (Qualified Opinion) を表明すべきです。
- 再受託会社 (Subservice Organization) の統制の除外: SOC 1業務において、サービス監査人が再受託会社の統制を監査範囲に含めない場合、除外方式 (Carve-out method) を用います。
SOC 2 Type 2
- 目的: ウェブアプリケーションのホスティングや管理を行うサービス組織が、顧客にシステムの記述、内部統制がトラストサービス基準(セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー)に沿っていることに関する情報、および年間を通じた統制の運用有効性を詳述するテスト結果を提供したい場合、サービス監査人はSOC 2 Type 2報告書を推奨すべきです。
- 関係当事者: SOC 2報告書には、委託会社 (user entity)、受託会社 (service organization)、再受託会社 (subservice organization)、受託会社監査人 (service auditor) の4主体が存在します。再受託会社は、受託会社のサービスコミットメントおよびシステム要件が充足されることを合理的に保証するために、受託会社における統制と組み合わせて必要な統制を実施する第三者です。
- 監査意見の形成: サービス監査人が、重要ではあるが広範囲に及ばない統制運用有効性の欠陥があり、結果としてシステム要件を満たせないと判断した場合、限定意見 (Qualified Opinion) が表明されます。
- 重要性の決定: SOC 2 Type 2業務の実施において、サービス監査人は、質的要因と、該当する場合には対象事項の量的要因を考慮して重要性を決定すべきです。
- テスト結果の報告: SOC 2 Type 2報告書における統制テスト結果の記述では、テストした承認インスタンスの数と、逸脱の数および性質(例:50件のサンプルインスタンス中3件で承認統制が適時に実行されなかった)を具体的に記載することが求められます。
③受託監査人 (Service Auditor) の責任
- 書面によるアサーション (Written assertion): 受託監査人が受託組織の経営者からシステムに関する書面によるアサーション、および統制の設計と運用有効性の適切性に関する書面によるアサーションを入手できない場合、法律で禁止されていない限り、監査人は業務を辞退 (withdraw) するのが最も適切です。これは業務の前提条件について依頼人と合意できないことを意味するため、そもそも業務を実施できません。
- その他の情報 (Other information): システムに関する経営者の記述とサービス監査人の報告書を含む文書に記載されているその他の情報について、監査人は、重要な不一致 (material inconsistencies) や誤表示を特定するために、そのその他の情報を読む責任があります。
➃IT監査手続 (IT Audit Procedures)
- プログラムロジックの詳細かつ体系的なレビューには、ウォークスルー (Walk-through) が最も有効な方法とされています。
- クレジットカードデータベースのセキュリティレビューを行うIT監査人にとって、暗号化統制の評価、システムイベントの再現、事後発見ログの確認は関連性の高い手続です。一方で、データベースのバックアップスケジュールのレビューは、可用性に関するリスクを低減する統制であり、データベースの機密性に関するセキュリティレビューとしては最も関連性が低い手続です。
⑤COBIT (Control Objectives for Information and Related Technology)
COBITの管理目的 のうち、情報技術ソリューションの定義、調達、配置、およびビジネスソリューションへの統合に関わるのは、Build, Acquire, and Implement (BAI) です。
⑥ワークフローシステム (Workflow System)
会計スタッフがデータ入力・レビューを行い、企業本部に最終レビューと承認のためにデータを送った後、部門会計スタッフに付与されるべきセキュリティアクセスは、読み取りは可能だが書き込みはできない権限です。
(5)クラウドコンピューティング (Cloud Computing)
クラウドコンピューティングは、大事なトピックです。
➀クラウドサービスプロバイダーのデータセキュリティ対策 (Cloud Service Provider Data Security Measures)
- クラウドサービスプロバイダーのデータセキュリティ対策を評価する際に考慮すべきリスク要因には、プロバイダーのサードパーティサプライヤー、マルチテナントアーキテクチャ、クラウド・オブ・クラウド契約などがあります。
- プロバイダーの垂直拡張性 (vertical scalability) は、システム性能をアップすることによる拡張を指し、直接的に情報セキュリティに関わるものではありません。
➁パブリッククラウド利用者の責任 (Responsibilities of Public Cloud Users)
- パブリッククラウドサービスをビジネスアプリケーションに利用している会社は、クラウドアプリケーションのアクセス制御の管理に責任があります。
- プラットフォームのクラウドセキュリティ統制の実装、クラウドソフトウェアOSのパッチ適用、クラウドサーバーの物理的セキュリティの維持は、サービスプロバイダーの責任です。
(6)サイバーセキュリティ (Cybersecurity)
サイバーセキュリティーは、大事なトピックです。
➀脆弱性管理 (Vulnerability Management)
- 脆弱性 (Vulnerabilities) とは、アプリケーションレベルおよびシステムレベルのプログラムのコードにおける欠陥で、システムをクラッシュさせたり制御を奪ったりするために悪用される可能性があります。
- パッチ (Patches) とは、ソフトウェアの発売後に発見された脆弱性を修正するためのソフトウェアの更新プログラムのことです。
- パッチ管理ポリシー (Patch management policy) の策定と実施は、ネットワークに重要なソフトウェア更新が適時にインストールされていない状況に直接対処するための統制です。
- 継続的な脆弱性管理 (Continuous vulnerability management) は、Center for Internet Security (CIS) のコントロールの一つで、攻撃者を抑止するために、サイバー環境を定期的にレビューして弱点を特定することの重要性を強調しています。
➁サイバー犯罪 (Cybercrime)
- ランサムウェア (Ransomware) とは、ユーザーのデータを暗号化して、身代金を要求するマルウェアを指します。
- ランサムウェア攻撃 によってシステムがロックアウトされるのを防ぐ最も効果的な行動の一つは、会社のOSとアプリケーションを完全にパッチ適用し、最新の状態に保つことです。バックアップファイルをネットワークから分離したデバイスに保存することも、感染後の業務復旧を可能にする重要な是正的対策です。
- タイポスクワッティング (Typosquatting) とは、ハッカーがユーザーがURLをブラウザのアドレスバーに直接誤って入力した際に生じるエラーを利用して、不正サイトに誘導したり、マルウェアに感染させたりするサイバー犯罪の一種です。
③NIST SP800-53 (Security and Privacy Controls for Information Systems and Organizations)
拡張管理策 (Control enhancement) とは、NIST SP800-53によると、セキュリティまたはプライバシー管理策に、追加の関連機能性を組み込み、管理策の強度を高め、または管理策への保証を追加するための拡張を指します。
➃サイバーセキュリティ事象 (Cybersecurity Event)
サイバーセキュリティ事象 とは、ネットワークまたは情報システム内で発生する、観測可能なセキュリティ関連の出来事を指します。
⑤ブロックチェーン (Blockchain)
- 潜在的脅威 として、ブロックチェーンの分散化の結果、誰も説明責任を持たないため、ブロックチェーンの管理や運用に関する説明責任のレベルが低下する可能性があります。
- COSOの「Blockchain and Internal Control: The COSO Perspective」によると、ブロックチェーンの取引が共有台帳に不変的に記録されるという特徴は、内部統制における証拠の信頼性を高めることでCOSO統制環境を強化します。
⑥情報システムレジリエンス (Information System Resilience)
レジリエンス (Resilience) とは、情報システムが困難な状況やストレス下で、たとえ機能が低下した状態であっても、重要な運用機能を維持しつつ稼働を続ける能力を指します。
⑦情報セキュリティリスク保険 (Insurable Information Security Risks)
- 第一当事者リスク (First-party risk) とは、保険契約に加入している組織が費用または損失を直接的に負担するリスクを意味し、セキュリティまたはプライバシー侵害の際に顧客通知費用をカバーするために自社の資産が減少するケースが該当します。
- 第三者リスク (Third-party risk) とは、企業の保有する情報やシステムに問題が生じた結果、顧客や取引先といった社外の関係者に損害が及ぶリスクを指し、顧客データの喪失がこれに該当します。
2.ISCリリース問題の出題内容の分析
2019年から2025年までのISC(旧BECからの組み換え含む)のAICPAリリース問題の出題分析をまとめます。
ISCのAICPAリリース問題は、情報システムと監査に関する幅広い知識を問うています。
各年の出題傾向を見ていきましょう。
(1)2019年のISCリリース問題分析
2019年のISCリリース問題は、システム導入、データ分析、アクセス統制、そして受託会社の監査報告書(SOCレポート)に関する基礎的な知識が中心でした。
➀システム導入アプローチ
システム導入において最もリスクが高いアプローチとして、ダイレクト・カットオーバー(Direct conversion)が挙げられています。
これは、旧システムから新システムへ特定の日付に一斉に切り替える方式であり、他の手法(パラレル、フェーズイン、パイロット)に比べてリスクが大きいとされます。
➁データ・マイニング
大量のデータから、パターン認識や統計学などの分析技法を用いて、今まで知られていなかった有用な情報や知見を発見するために用いられます。
データ構造や人工知能、クエリー・リポートとの違いが説明されています。
③アクセス統制と生体認証
ユーザー名とパスワードによる認証を強化するため、指紋、声紋、網膜、虹彩などのパターンを照合する生体認証システム(Biometric control)への移行が効果的とされます。
➃未承認アクセス防止統制
ファイルへの未承認アクセスを防ぐ統制として、スマートカード、多要素認証(Multifactor authentication)、マルチモーダル認証(Multimodal authentication)が有効です。
一方、電子署名(Digital signature)はメッセージの改ざん防止や送信者の真正性証明に用いられ、未承認アクセス防止の統制ではないとされています。
⑤サービス監査人(Service Auditor)の責任
受託企業経営者からの書面によるアサーション(written assertion)が得られない場合、法律で禁止されていない限り、サービス監査人は業務を辞退(withdraw)しなければなりません。
これは、業務の前提条件が合意できないことを意味するため、業務を実施できないからです。
システムに関する経営者の記述や監査報告書を含む書類に記載されているその他の情報については、サービス監査人は詳細な監査手続を実施する必要はなく、その他の情報と監査済財務諸表(または経営者の記述)および監査報告書との間に重要な不一致(material inconsistencies)が存在するかどうかを確認する責任を負います。
(2)2020年のISCリリース問題分析
2020年のISCリリース問題は、クラウドサービスのセキュリティリスクに焦点を当てています。
クラウドサービス・プロバイダーのデータセキュリティ対策を評価する際、情報セキュリティの3要素(機密性、インテグリティ、可用性)サードパーティサプライヤー、マルチ・テナントアーキテクチャ、クラウド・オブ・クラウド契約などが検討事項となります。
しかし、プロバイダーの垂直拡張性(vertical scalability)は、システム性能の向上を指し、直接的な情報セキュリティとは関連しないため、考慮すべきリスク要因には該当しません。
(3)2021年のISCリリース問題分析
2021年のISCリリース問題は、オンラインシステムにおける監査証跡やデータ分析、そして情報セキュリティ対策の有効性評価が主なテーマでした。
➀取引処理システム(Transaction processing system)
オンライン在庫データからの注文や過去の注文履歴の確認が可能なシステムには、監査証跡(An audit trail)が備わっています。
➁ビッグデータ解析手法(データ・マイニング)
クレジットカード会社が偽装取引の増加に悩む状況で、大量の取引データから迅速に(24時間以内に)偽装の疑いのある取引データを検知するには、データ・マイニング(Data mining)が最も適しています。
統計や人工知能などの解析技術を適用し、知識を見出す手法です。
③情報セキュリティ対策の所要時間に関するケーススタディ
侵入からシステムに蔓延するまでの予測時間(例:27分)以内に、検知(Detection)と修正(Correction)が完了すれば、セキュリティ対策は有効と判断されます。
最善の検知時間と最悪の修正時間を組み合わせたシナリオでも、蔓延前に完了するかどうかが問われました。
(4)2022年のISCリリース問題分析
2022年のISCリリース問題は、IT技術による業務効率化、情報システムの意思決定支援、分散型システム、アクセス統制、データベース技術など、幅広いIT関連の基礎知識が問われました。
➀仮想在庫(Virtual inventory)と技術
顧客からの受注情報をサプライヤーに送り、翌日納品される仮想在庫システムは、電子データ交換(EDI: Electronic data interchange)によって最も促進されます。
EDIは、標準的なビジネス・フォーマットを利用して企業間の電子商取引を迅速に伝達する技術です。
➁経営情報システム(Management Information Systems)
ITが組織の全体的な戦略的意思決定プロセスを促進する最も効果的な方法は、不確実性を減らす関連性の高い信頼できるデータを提供することです。
③分散型データ処理システム(DDP: Distributed data processing)
DDPモデルの利点には、データ入力と編集のローカル化によるコスト削減、ユーザー満足度の向上、災害時のバックアップ能力の有利さなどがあります。
一方、組織がIT環境に対する統制をより強固に集中管理できるというのはDDPの利点ではありません。DDPでは統制も分散化される傾向にあります。
➃ワークフロー制御とセキュリティアクセス
ワークフローシステムにおいて、部門の経理担当者がデータを入力・レビューし、最終レビューと承認のために本社に送付した後、当該スタッフに与えられるセキュリティアクセスは、閲覧のみ(Read but not write)です。
⑤取引処理システムに含まれない活動
オンラインの書店において、競合他社の価格変更を監視することは、出荷、給与支払い手続き、インターネット注文の受信といった必須の活動とは異なり、取引処理システムに適切に含まれる活動ではありません。
⑥リレーショナルデータベース
生データをリレーショナルデータベースに変換する際、2つのテーブル間の関係を作成するために使われるのは外部キー(A foreign key)です。
⑦デジタル署名を支える技術
デジタル署名が紙媒体の署名と同程度の強制力に関する保証を提供する上で、最も効果的な技術の組み合わせは、ハッシュ関数(Hashing)と非対称暗号化(asymmetric encryption)です
(5)2023年のISCリリース問題分析
2023年のISCリリース問題は、ネットワークセキュリティ、情報システム統制、災害復旧計画、変更管理、予防的統制といった、情報セキュリティと内部統制のより実践的な側面が強調されました。
➀電子商取引におけるデータフロー制御
電子商取引において、組織の情報システムへのネットワークのエントリポイントでデータの流れを制御するのはファイアウォール(Firewall)です。
➁データ入力エラー防止統制
取引額300ドルの商品に対して800ドルのクレジットメモを発行するような間違いを防ぐためには、事前に定められた基準によって妥当なデータのみを許可する合理性テスト(Reasonableness tests)が有効です。
③災害復旧サイト(コールドサイト)の主要な欠点
コールドサイト(設備のみ確保された場所)の最大の欠点は、障害発生時に設備やソフトウェアの配送が遅れる可能性があることです。
ホットサイトとは異なり、コンピュータ機器等が設置されていないため、稼働までに時間を要します。
➃変更管理ポリシーの対象外となるプロジェクト
ソフトウェアのバージョン更新、既存ERPへの新モジュール追加、プラットフォーム稼働後のバグ修正などは変更管理の対象ですが、財務アプリケーションのデータキャッシュからのデータ消去は通常、変更管理ポリシーの対象外です。
⑤プログラムロジックの詳細かつ体系的なレビュー
情報システムのプログラムロジックを詳細に体系的に調査する最も効果的な方法は、ウォークスルー(Walk-through)です。
これは、取引の発生源から情報システムを経て財務報告に至るまでを証跡に基づいてたどる作業を指します。
⑥予防的統制の例
機密情報を保護するための予防的統制として、ユーザーIDと論理的アクセス管理、社内IT環境でのネットワークアクセス統制の設定、データ送信時の暗号化などが挙げられます。
一方、外部からのネットワークログイン試行失敗時のITマネージャーへの報告は発見的統制であり、予防的統制には該当しません。
(6)2024年のISCリリース問題分析
2024年のISCリリース問題は、ISC初めてのリリース問題です。
ERPシステム、ブロックチェーン、SLA、システム導入方法、パッチ管理、データウェアハウス、SQL、情報セキュリティ標準(NIST SP800-53, CIS Controls)、ネットワーク構成、アクセス管理、サイバーセキュリティ用語、暗号化、情報セキュリティリスク、そしてSOCレポートの意見表明や報告内容など、広範なテーマが出題されました。
SOCレポートに関する詳細な理解が引き続き求められています。
➀ERPシステム導入
企業ニーズに合わせてシステムパラメーターを設定することは、コンフィグレーション(Configuration)と呼ばれます。
➁ブロックチェーンの潜在的脅威
分散型台帳(パブリックブロックチェーン)の分散化は、管理者が不在となることで説明責任のレベルが低下する可能性という潜在的脅威を秘めています。
③データ入力統制
過去12ヶ月の購入数量の10倍の数量が入力された場合に警告を発する入力統制は、合理性テスト(A reasonableness test)です。
➃サービスレベルアグリーメント(SLA)
アウトソースされたITプロバイダーとのSLAで典型的に引用されるパフォーマンス指標は、応答時間(Response time)です。
⑤新しいシステム導入の最も安全な方法
新しいソフトウェアのデータ処理の完全性と正確性を保証するためには、新旧両システムを一定期間稼働させ、処理結果を照合する並行稼働(Parallel)が最も安全な選択肢です。
⑥パッチ管理
クリティカルなソフトウェアアップデートが適時にインストールされない状況に直接対処する統制は、パッチ管理ポリシー(patch management policy)の策定と実施です。
⑦データウェアハウス(DWH)
DWHは、時系列情報を保管するデータベースであり、関連性を維持するために継続的に更新される必要があります。
⑧SQLステートメント
特定の条件(UnitPrice > 50)を満たし、価格の高い順にレコードをリストアップするSQLは SELECT FROM (tblProducts) WHERE (UnitPrice > 50) ORDER BY (UnitPrice) DESC です。
⑨NIST SP800-53の用語
セキュリティまたはプライバシー管理策に追加の関連機能性を組み込んだり、強度を高めたり、保証を追加したりする拡張は、管理策の拡張(control enhancement)と呼ばれます。
⑩CIS Controls
サイバー環境を定期的にレビューし、弱点を特定して攻撃者を抑止する重要性を強調するコントロールは、継続的な脆弱性管理(Continuous vulnerability management)です。
⑪ネットワーク構成(DMZ)
社内ネットワークの外部にWebサーバーやメールサーバーなどを配置する非武装地帯(DMZ)独自製品情報にアクセスするのを防ぐ役割があります。
⑫ アクセス管理
会社の給与システムへのアクセスを特定の限られた人数に許可する最も良い方法は、アクセス制御マトリックス(access control matrix)の確立です。
⑬サイバーセキュリティ用語
アプリケーションレベルおよびシステムレベルプログラムのコード上の、システムをクラッシュさせたり制御を奪ったりする欠陥は、脆弱性(Vulnerabilities)と呼ばれます。
⑭暗号化
送信者がアルゴリズムを使ってクリアテキストを暗号文に変換するプロセスです。
⑮サイバーセキュリティ事象
ネットワークまたは情報システム内で発生する、観察可能なセキュリティ関連の出来事です。
⑯情報セキュリティリスク(第一当事者リスク)
セキュリティまたはプライバシー侵害の顧客通知費用をカバーするために、事業自身の資産が減少することは第一当事者リスクに該当します。
⑰SOC 2 Type 2審査(再受託会社)
サービス組織の統制と組み合わせて必要な関連サービスと統制を提供する第三者は、再受託会社(subservice organization)と分類されます。
⑱SOC 1 Type 2エンゲージメント(限定意見)
サービス監査人が、1つの統制の設計の適合性に欠陥があり、それが1つの統制目的に影響を与えたが、他の統制や統制目的には影響しなかったと結論付けた場合、限定意見(qualified opinion)を発行すべきです。
⑲SOC 2 Type 2報告書におけるテスト結果の記載
報告書には、テストされたインスタンスの数と、逸脱の数および性質を記載する必要があります。
⑳SOC報告書の種類
ウェブアプリケーションをホスト・管理するサービス組織が、システムの説明、トラストサービス基準との内部統制の整合性、および年間を通じての統制の運用有効性を詳細に記したテスト結果を顧客に提供したい場合、SOC 2 Type 2レポートが推奨されます
(7)2025年のISCリリース問題分析
2025年のISCリリース問題は、クラウドの責任分界点、ブロックチェーンとCOSO統制環境、入力統制の種類、情報システムのレジリエンス、コンフィグレーションのベースライン、データベース構造の欠点、SQL結合、GDPRの権利、COBIT管理目標、サイバー犯罪の種類、侵入検知システム、ランサムウェア対策、IT監査手続、データ漏洩防止ツール、デジタル署名、情報セキュリティリスク(第三者リスク)、SOC報告書における重要性と意見形成、業務範囲の除外など、こちらも広範かつ詳細な知識が求められています。
SOCレポートに関する具体的な内容が多数出題されています。
➀パブリッククラウドサービス利用会社の責任
パブリッククラウドサービス(SaaS)を利用する会社は、クラウドアプリケーションのアクセス制御の管理に責任があります。
➁COSOのブロックチェーンと内部統制
ブロックチェーンの「変更不可能性(immutability)」および「取り消し不可能性(irreversibility)」といった特性は、内部統制における証拠の信頼性を高める可能性があり、COSO統制環境を強化します。
③手動仕訳入力の入力編集統制
総勘定元帳の勘定科目がマスター勘定科目ファイル上の勘定科目と一致することを確認するために実行されるべき入力編集は、妥当性チェック(Validity check)です。
➃情報システムの稼働継続能力
情報システムが不利な状況やストレス下でも、機能が低下した状態であっても、本質的な運用能力を維持しつつ稼働を継続する能力はレジリエンス(Resilience)として知られています。
⑤構成アイテムのベースライン
正式にレビューされ承認され、公式な構成および変更管理プロセスを通じてのみ変更可能なシステム設定、ソフトウェア、および構成アイテムの状態を表す用語はベースライン(Baseline)です。
⑥フラットファイルストレージとリレーショナルデータベース
正規化されたリレーショナルデータベースの代わりにフラットファイルストレージ構造を使用することによる欠点は、冗長なデータが発生し、不必要な処理につながる可能性があることです。
⑦SQLライトジョイン(Right Join)
2つのデータセットをライトジョインで結合する場合、右側のデータセットを基準にして結合が行われます。
結果として、右側のデータセットに存在する顧客番号が抽出されます。
⑧GDPRの権利
不完全な情報を完成させたり、不正確な情報を修正したりするデータ主体の権利は、訂正の権利(Right to Rectification)と呼ばれます。
⑨COBIT管理目標
情報技術ソリューションの定義、調達、展開、およびビジネスソリューションへの統合に関するCOBIT管理目標のセットは、構築、取得、実装(Build, acquire, and implement (BAI))です。
⑩サイバー犯罪の一種(Typosquatting)
ハッカーがユーザーがブラウザのアドレスバーにURLを誤って入力した際の誤りを悪用しようとするサイバー犯罪の一種は、タイポスクワッティング(Typosquatting)です。
⑪セキュリティシステム(侵入検知システム)
ファイアウォールを通過した許可済みトラフィックを含むすべてのネットワークトラフィックのログを作成し、これらのログを分析してアクセス試行または成功の兆候を探すシステムは、侵入検知システム(Intrusion detection system)と呼ばれます。
⑫ランサムウェア攻撃からのシステムロックアウト回避策
ランサムウェア攻撃によるシステムロックアウトを回避するための最も効果的な対策は、会社のオペレーティングシステムとアプリケーションが完全にパッチ適用され、最新の状態であることを確認することです。
オフラインでのバックアップ保管は是正的対策であり、感染自体を防ぐ予防的対策がより優先されます。
⑬IT監査人による信用カードデータベースセキュリティレビューの手続
信用カードデータベースのセキュリティレビューにおいて、IT監査人にとって最も関連性が低い手続は、データベースのバックアップスケジュールのレビューです。
これは主に可用性に関する統制であり、機密性に関するセキュリティレビューとは直接的な関連性が薄いためです。
⑭データ漏洩防止(DLP)ツールの主な機能
DLPツールの主な機能は、機密データの不正使用および送信を検出・防止することです。
⑮デジタル署名の認証検証
ウェブサイトに掲載された文書の真正性をユーザーが検証できるようにするためには、公開鍵(Public key)が利用可能であるべきです。
⑯情報セキュリティリスク(第三者リスク)
保証対象となる情報セキュリティリスクのうち、顧客データの喪失(Loss of customer data)は第三者リスクに該当します。
これは、企業が第三者(顧客)に発生した損害に対する賠償責任を負うリスクであるためです。
⑰SOC 2 Type 2エンゲージメントにおける重要性の判断
サービス監査人は、重要性を判断する際に、対象となる事項の定性的要因および、該当する場合は定量的要因を適切に考慮します。
⑱SOC 1審査における再受託会社の統制の除外
SOC 1審査において、再受託会社の統制を業務範囲から除外できるのは、除外方式(Carve-out method)に基づいています。
⑲SOC 2 Type 2エンゲージメントにおける意見の種類
システム要件を満たせないほどの、重要ではあるが広範囲に及ばない統制運用有効性の欠如がある場合、限定意見(A qualified opinion)が発行されます。
⑳SOC 2 Type 2報告書における統制テストに関する情報
サービス監査人の報告書には、テストされた承認インスタンスの数と、逸脱の数および性質に関する情報が必要です。例えば、50件中5件の逸脱があった場合、それを具体的に記載します。
3.ISCのリリース問題を基にした理解度チェック
ISCの2019年から2025年までのAICPAリリース問題を基に、学習すべき内容をまとめました。
主要な概念、システム導入アプローチ、情報セキュリティ対策、データ管理、および監査報告に焦点を当てて構成されています。
用語の理解を深め、実務的な応用力を養ってください。
(1)システム導入とリスク管理
まずは、システム導入とリスク管理について。
➀ダイレクトカットオーバー (Direct Cutover)
ある特定の日を境に旧システムから新システムへ完全に移行する方法。最もリスクが高いとされています。
➁パラレル (Parallel)
新旧システムを一定期間並行稼働させ、新システムの正常性を確認後に旧システムを停止する方法。最も安全性が高いとされています。
③フェーズイン (Phase-in)
システムを部門や機能ごとに段階的に導入する方法。
➃パイロット (Pilot)
新システムを一部のユーザーや部門でテスト的に導入し、問題がなければ全体に展開する方法。
⑤情報システムの戦略的意思決定
経営情報システムの目的は、意思決定の不確実性を減らすために、信頼性のある関連データを提供することです。
リアルタイム処理や大量の未選別データ提供は、必ずしも意思決定支援には役立ちません。
⑥変更管理 (Change Management)
システムが本番稼働した後のソフトウェアのバージョン更新、既存システムへの新モジュール追加、ソフトウェアのバグ修正などは、変更管理ポリシーの対象となります。
キャッシュデータの削除など、ルーティン的な操作は通常、変更管理の対象外です。
(2)情報セキュリティとアクセス制御
そして、情報セキュリティとアクセス管理について。
➀生体認証 (Biometric Control)
指紋、声紋、網膜、虹彩などの身体的特徴を用いてユーザーを識別する方法で、高い機密性を確保できます。
➁多要素認証 (Multifactor Authentication)
複数の本人確認要素(例:パスワードとスマートカード、生体認証)を要求する認証方式で、アクセス統制を強化します。
③マルチモーダル認証 (Multimodal Authentication)
複数の様式、形式(例:複数の身体的特長を用いた生体認証)を要求する認証方式です。
➃スマートカード (Smart Card)
CPUやメモリを搭載したカードで、これがないとアクセスできないため有効な統制です。
⑤デジタル署名 (Digital Signature)
メッセージの改竄防止と送信者の真正性証明に用いられ、未承認アクセスを防ぐ統制ではありません。
⑥アクセス制御マトリックス (Access Control Matrix)
誰がどの情報にアクセスできるかを整理したもので、特定のシステムへのアクセスを管理する上で不可欠です。
⑦セキュリティ対策の有効性評価 (Time-based Model of Security)
侵入者がシステムに侵入する推定時間よりも、侵入の検知 (Detection) と修正 (Correction) に要する時間の合計が短ければ、セキュリティ対策は有効と判断されます。
⑧クラウドサービスプロバイダーのデータセキュリティ
サードパーティサプライヤーの取り扱いポリシー、マルチテナントアーキテクチャ、クラウドオブクラウド契約などは、情報セキュリティのリスク要因として考慮すべきです。
垂直拡張性は、システム性能の拡張を指し、直接的な情報セキュリティリスクとは関連性が低いです。
⑨脆弱性 (Vulnerabilities)
プログラムの不具合や設計上のミスが原因で発生するセキュリティ上の欠陥です。
⑩エクスプロイト (Exploits)
脆弱性を利用してシステムを攻撃する具体的な手段です。
⑪パッチ (Patches)
脆弱性を修正するためのソフトウェアの更新プログラムです。
⑫ペネトレーションテスト (Penetration Tests)
実際にシステムに攻撃を仕掛け、侵入できるかどうかを試みるテストです。
⑬NIST SP800-53
セキュリティおよびプライバシー管理策に関するレポートで、コントロール強化(Control Enhancement)を定義しています。
⑭CIS Controls
サイバーセキュリティに関するガイドラインで、継続的な脆弱性管理(Continuous Vulnerability Management)を重視します。
⑮予防的統制 (Preventive Control)
ユーザーIDと論理的アクセス管理、ネットワークアクセス制御、データ暗号化など、セキュリティインシデントの発生を防ぐための対策。
⑯発見的統制 (Detective Control)
ログの監視、侵入検知システム (IDS) など、セキュリティインシデントが発生した際にそれを検知するための対策。
⑰暗号化 (Encryption)
送信者がアルゴリズムを使って平文を暗号文に変換する行為です。
⑱ハッシュ (Hashing)
データを不規則な文字列(ハッシュ値)に変換する手法で、データ改竄の有無を確認するために用いられますが、元のデータに戻すことはできません。
⑲非対称暗号化 (Asymmetric Encryption)
デジタル署名に用いられ、ハッシュ関数と組み合わせて送信者の真正性を証明します。
⑳ファイアウォール (Firewall)
組織内部ネットワークと外部ネットワークの間に設置され、外部からの保護を行うセキュリティシステムです。
㉑非武装地帯 (DMZ – Demilitarized Zone)
内部ネットワークの外部にウェブサーバーやメールサーバーなどを置くネットワーク構成で、ウェブサーバーがハッキングされても内部ネットワークへの被害を抑えます。
㉒侵入検知システム (IDS – Intrusion Detection System)
ファイアウォールを通過した通信を含む全トラフィックのログを記録・分析し、不正アクセスや侵入の兆候を検知します。
㉓ランサムウェア対策
オペレーティングシステムやアプリケーションを常に最新の状態に保ち、パッチを適用することが重要です。
バックアップファイルをネットワークから切り離して保管することも、感染後の業務復旧に不可欠な是正的対策です。
(3)データ管理と分析
それから、データ管理と分析も。
➀データマイニング (Data Mining)
大量のデータにパターン認識や統計学などの分析技法を適用し、今まで知られていなかったが有用な知識や知見を取り出すプロセスです。
不正取引の検出など、迅速なデータ検知に適しています。
➁リレーショナルデータベース (Relational Database – RDB)主キー (Primary Key)
データベースのデータを一意に識別するための項目です。
外部キー (Foreign Key): 関連するテーブル間を関係づけるために設定する列で、生データを関係データベースに変換する際に使用されます。
③データディクショナリ (Data Dictionary)
データベース内のデータに関する情報(定義、特徴、セキュリティなど)を保存・組織するツールです。
概念スキーマ (Conceptual-level Schema): データ要素とデータ間の関係を定義するものです。
➃分散型データ処理システム (Distributed Data Processing – DDP)
IT機能を小規模なユニットに再編成し、エンドユーザーの管理下に置くモデルです。
ローカルでのデータ入力・編集によるコスト削減、ユーザー満足度の向上、災害時のバックアップ能力向上が利点です。
統制も分散化されるため、組織全体での統制を強化する目的には適していません。
⑤データウェアハウス (Data Warehouse – DWH)
組織内の多様な業務で発生した大量の情報を時系列に保管したデータベースです。
時系列や他のデータとの関連性を維持するため、継続的に更新する必要があります。
リアルタイムではなく、バッチ処理でデータを格納することが一般的です。
⑥SQL (Structured Query Language)
データベースから特定の条件でデータを抽出したり、並べ替えたりするために使用される言語です。
SELECT FROM (tblProducts) WHERE (UnitPrice > 50) ORDER BY (UnitPrice) DESC のように記述されます。
⑦COBIT (Control Objectives for Information and Related Technology)
ITガバナンスとマネジメントに関するフレームワークです。
「Build, Acquire, and Implement (BAI)」は、情報技術ソリューションの定義、調達、展開、およびビジネスソリューションへの統合に関連する管理目標です。
(4)システム統制と監査
システム統制と監査もポイントです。
➀合理性テスト (Reasonableness Test)
あらかじめ定められた基準によって妥当なデータのみを許可するシステム統制で、異常値の入力に対して警告を発します。
サイズチェックテスト (Size Check Test): データの容量や文字数(フィールドサイズチェック)をチェックする統制です。
➁チェックディジット (Check Digit)
数学的に計算された数値をデータに付加し、データ改竄やすり替えを検証する統制です。
③フィールドチェック (Field Check)
特定のデータフィールドに受け入れられる文字のタイプを制限する統制です。
➃妥当性チェック (Validity Check)
入力されたデータがあらかじめ定められた基準によって妥当かどうかを判断し、妥当でない場合はエラー(入力不可)として扱われます。
⑤ワークフローシステム (Workflow System)
申請書類や通知書を電子データ化し、申請・稟議・承認までの一連の流れをネットワーク上で行うシステムです。
申請者はデータ入力後、閲覧はできるが変更や書き込みはできないアクセス権限が与えられることが一般的です。
⑥監査証跡 (Audit Trail)
システム内で発生した取引や操作の記録で、過去の注文履歴を遡って確認できるなど、活動を追跡可能にします。
⑦限定意見 (Qualified Opinion)
一部の統制目的が達成されていない場合に表明されます。
⑧不適正意見 (Adverse Opinion)
ほとんどの統制目的が達成されていない場合に表明されます。
除外方式 (Carve-out Method): 再受託会社の統制を監査範囲から除外する際に用います。
⑨SOC 1 レポート
財務報告に係る内部統制を対象とし、主に利用者企業の財務諸表監査に利用されます。
⑩SOC 2 レポート
セキュリティ、可用性、処理の完全性、機密性、プライバシーの信託サービス基準 (Trust Services Criteria) に関連する内部統制を対象とします。
Type 1: 統制の整備状況のみを評価します。
Type 2: 統制の整備状況と運用状況の両方を評価します。
⑪SOC 3 レポート
SOC 2 と同様の信託サービス基準に基づきますが、一般に公開を前提とし、テスト結果の詳細な記述は含まれません。
⑫再受託会社 (Subservice Organization)
サービス組織の統制と組み合わせて必要な統制を実施する第三者です。
⑬重要性 (Materiality)
質的要因と量的要因の両方を考慮して決定されます。
⑭監査報告書の記載
テストしたインスタンス数、逸脱の数とその性質を明記する必要があります。
⑮サービスレベルアグリーメント (SLA – Service Level Agreement)
アウトソースされたITプロバイダーとの間で交わされる契約で、システムのパフォーマンス指標(例:応答時間)が典型的には含まれます。
⑯ウォークスルー (Walk-through)
取引のもとになる部分から、企業の情報システムを通して、財務報告に至るまでを証跡に基づいてたどることで、プログラムロジックを詳細に体系的に調査する方法です。
(5)その他重要な概念
その他の重要な概念も挙げておきます。
➀電子データ交換 (EDI – Electronic Data Interchange)
標準的なビジネスフォーマットを利用して企業間で電子商取引データを迅速に伝達する技術で、バーチャルインベントリなどのオペレーションを可能にします。
➁データ損失防止ツール (DLP – Data Loss Prevention Tool)
機密データの不正な使用と送信を検知し、防止することが主な機能です。
③GDPR (General Data Protection Regulation)
データ主体の権利として、不正確な情報を訂正する権利(Right to Rectification)などが定められています。
➃Typosquatting
ユーザーがURLを誤入力した際に、正規のアドレスに似た不正サイトに誘導するサイバー攻撃です。
⑤コールドサイト (Cold Site) とホットサイト (Hot Site)
コールドサイトは、災害時にコンピュータを設置する場所のみ確保し、設備は別途運び込む必要がある体制。
設備やソフトウェアの導入に時間がかかることが最大の欠点です。
ホットサイトは、災害時に適合性のあるコンピュータ機器が準備されており、瞬時または数時間以内に業務を再開できる体制。
⑥レジリエンス (Resilience)
情報システムが困難な状況やストレス下で、能力が低下した状態であっても、重要な運用機能を維持しつつ稼働を続ける能力です。
4.ISCのリリース問題に出てくる理解すべき単語
ISCのリリース問題に出てくる単語で、理解しておくべきものをまとめておきます。
- アクセス制御マトリックス (Access Control Matrix): 特定のシステムやデータに対し、誰がどのようなアクセス権限を持つかを定義した表。
- アサーション (Assertion): 経営者が表明する、財務諸表や内部統制に関する主張や保証。
- 暗号化 (Encryption): データを第三者には読めない形式(暗号文)に変換するプロセス。
- ウォークスルー (Walk-through): システム内で発生した取引を最初から最後まで証跡に基づいて追跡し、プログラムロジックや統制の理解を深める監査手続。
- 監査証跡 (Audit Trail): システム内の活動(取引、操作など)の記録で、いつ、誰が、何を、どのように行ったかを追跡可能にするもの。
- 外部キー (Foreign Key): リレーショナルデータベースにおいて、他のテーブルの主キーを参照し、テーブル間の関係を確立するために使用される列。
- 概念スキーマ (Conceptual-level Schema): データベースの構造やデータ間の関係を、開発者の視点から抽象的に定義したもの。
- 可用性 (Availability): 許可されたユーザーが、必要なときに情報資産にアクセスできる状態を維持すること。
- 機密性 (Confidentiality): 情報資産が、アクセス権限を持つ者のみに利用可能であり、非承認の者に開示されないこと。
- 継続的な脆弱性管理 (Continuous Vulnerability Management): 組織の資産の脆弱性を継続的にレビューし、修復することで攻撃を受ける機会を最小化するプロセス。
- コールドサイト (Cold Site): 災害時に情報システムの稼働に必要な設備(コンピュータ、ネットワーク機器など)は備えておらず、場所のみが確保されている災害復旧施設。復旧に時間がかかる。
- 合理性テスト (Reasonableness Test): 入力データが事前に定義された論理的な範囲や基準に合致するかをチェックする入力統制。
- サイバーセキュリティ事象 (Cybersecurity Event): 情報システムやネットワークのセキュリティに影響を与える可能性のある、観測可能な出来事や活動。
- サービスレベルアグリーメント (SLA – Service Level Agreement): サービスプロバイダーと顧客の間で合意される、提供されるサービスの品質、可用性、パフォーマンスに関する契約。
- 再受託会社 (Subservice Organization): サービス組織がサービスを提供するために利用する、関連するサービスと統制を提供する第三者組織。
- 脆弱性 (Vulnerabilities): ソフトウェアのコードやシステムの設計における欠陥で、悪用されるとセキュリティ上の問題を引き起こす可能性があるもの。
- 情報セキュリティの3要素: 機密性、完全性、可用性の3つの要素から構成され、情報資産を保護するための基本的な目標。
- システム移行 (Migration): 既存のシステムから新しいシステムへデータや機能を移転するプロセス。
- 主キー (Primary Key): リレーショナルデータベースにおいて、テーブル内の各レコードを一意に識別するための項目。
- 集中型データ処理 (Centralized Data Processing): 全てのデータ処理機能が一つの中心的な場所やシステムに集約されているモデル。
- 信託サービス基準 (Trust Services Criteria): SOC 2レポートにおいて、セキュリティ、可用性、処理の完全性、機密性、プライバシーの5つのカテゴリを評価するための基準。
- 垂直拡張性 (Vertical Scalability): 単一のシステムやサーバーの処理能力(CPU、メモリなど)を向上させることで性能を拡張する能力。
- 正規化 (Normalization): リレーショナルデータベースの設計において、データの重複を排除し、データの一貫性と効率性を高めるプロセス。
- 生体認証 (Biometric Control): 指紋、声紋、顔、虹彩などの身体的特徴や行動的特徴を用いて個人を認証する技術。
- セグメンテーション (Segmentation): ネットワークを論理的または物理的に複数のセグメントに分割し、通信を制限することでセキュリティを強化する手法。
- 多要素認証 (Multifactor Authentication): ユーザー認証のために、知識(パスワード)、所持(トークン)、生体(指紋)など、複数の異なる種類の認証要素を組み合わせる方法。
- ダイレクトカットオーバー (Direct Cutover): 新しいシステムに一斉に切り替えるシステム導入方法。最もリスクが高い。
- データウェアハウス (Data Warehouse – DWH): 複数の情報源から収集された大量のデータを統合し、意思決定支援や分析のために時系列に整理して格納したデータベース。
- データマイニング (Data Mining): 大量のデータの中から、パターン、傾向、相関関係など、これまで未知であった有用な情報を発見するプロセス。
- データ損失防止 (DLP – Data Loss Prevention): 機密情報が組織外に不正に持ち出されたり、誤って共有されたりするのを防ぐための技術やプロセス。
- 電子的ロックボックス (Electronic Lockbox): 顧客からの支払いを効率的に処理するために、銀行が提供する電子決済サービス。
- 電子データ交換 (EDI – Electronic Data Interchange): 標準化されたフォーマットを用いて、企業間でビジネス文書(注文書、請求書など)を電子的に交換するシステム。
- 非武装地帯 (DMZ – Demilitarized Zone): 外部ネットワーク(インターネットなど)と内部ネットワークの間に設定される、セキュリティ強化のためのネットワーク領域。
- パッチ管理ポリシー (Patch Management Policy): ソフトウェアの脆弱性を修正するためのパッチを、組織内のシステムに適用するプロセスと手順を定めた方針。
- ハッシュ関数 (Hash Function): 任意の長さのデータを入力として受け取り、固定長の短いデータ(ハッシュ値)を出力する一方向性の関数。データの改竄検出に用いられる。
- パラレル (Parallel): 旧システムと新システムを一定期間並行して稼働させるシステム導入方法。最も安全性が高い。
- ファイアウォール (Firewall): ネットワークトラフィックを監視し、セキュリティポリシーに基づいて通信を許可またはブロックするシステム。
- ファンダメンタルズ (Fundamentals): ある分野における基本的かつ不可欠な原理や知識。
- フェーズイン (Phase-in): システムを機能別または部門別に段階的に導入していくシステム導入方法。
- プライバシー (Privacy): 個人の情報が適切に保護され、その利用が個人の意思に基づいて管理されること。
- ブロックチェーン (Blockchain): 分散型台帳技術の一つで、取引記録を「ブロック」と呼ばれる単位で管理し、それらを暗号技術によって連結して改ざん困難にする技術。
- プロトコル (Protocol): ネットワーク上でデータを通信するための規則や手順の集まり。
- 分散型データ処理システム (Distributed Data Processing – DDP): データ処理機能を複数の地理的に離れた場所や部門に分散させるシステムアーキテクチャ。
- ペネトレーションテスト (Penetration Test): 実際にシステムに対して模擬的なサイバー攻撃を仕掛け、脆弱性や侵入経路を発見するテスト。
- ホットサイト (Hot Site): 災害時に情報システムの稼働に必要な設備とデータが完全に準備されており、迅速に業務を再開できる災害復旧施設。
- マルチモーダル認証 (Multimodal Authentication): 複数の異なる種類の生体認証要素(例:指紋と顔認証)を組み合わせて行う認証。
- リレーショナルデータベース (Relational Database – RDB): データを相互に関連するテーブル(表)として整理し、SQLなどの言語を用いて操作するデータベースシステム。
- レジリエンス (Resilience): 困難な状況やストレス下でも、情報システムが主要な機能を維持し、稼働を継続できる能力。
- ワークフローシステム (Workflow System): 組織内の業務プロセス(申請、承認など)を自動化し、効率化するためのシステム。
まとめ:ISCのリリース問題で学習ポイントを押さえる
ISC受験生が合格するために何をどのように学習すべきなのでしょうか。
リリース問題を分析すると、ISC試験では情報技術(IT)と監査に関する深い理解が求められることがわかります。
特に以下を重点的に学習するといいでしょう。
(1)IT基礎知識の徹底理解
IT基礎知識は徹底的に理解しておきましょう。
➀システム開発・導入プロセス
ダイレクトカットオーバー、パラレル、フェーズイン、パイロットといった各導入アプローチのリスクと利点を把握してください。
➁データ管理とデータベース
データウェアハウス、データマイニング、リレーショナルデータベース(主キー、外部キー)、基本的なSQLコマンド(SELECT, WHERE, ORDER BY, JOINなど)を確実に理解しましょう。特にSQLは実践的な知識が問われる可能性があります。
③ネットワークとセキュリティの基本
ファイアウォール、DMZ、暗号化(対称鍵、非対称鍵、ハッシュ関数)、デジタル署名の仕組み、VPNなどの基本的な概念と役割をマスターしてください。
➃クラウドコンピューティング
SaaS, PaaS, IaaSの基本的な特徴と、クラウドサービスにおける責任分界点(ユーザーとプロバイダーの責任範囲)を明確に理解することが重要です。
(2)情報セキュリティと内部統制の深掘り
情報セキュリティと内部統制を深掘りしておいてください。
➀認証とアクセス統制
多要素認証、生体認証、スマートカード、アクセス制御マトリックスなど、様々な認証・アクセス統制の種類と、それぞれがどのようなリスクに対応するかを理解してください。
➁統制の種類と役割
予防的統制、発見的統制、是正的統制の違いとその具体例をしっかり区別できるようにしましょう。
特に、具体的なシナリオにおいて、どの統制が最も効果的か、またはどの統制に該当しないか、といった形で問われることが多いです。
③脆弱性管理とパッチ管理
脆弱性、エクスプロイト、パッチといった用語の定義と、継続的な脆弱性管理およびパッチ管理ポリシーの重要性を理解してください。ランサムウェア対策もここに関連します。
➃データ漏洩対策(DLP)
DLPツールの主な機能と、それがどのようなリスクから企業を守るのかを理解しましょう。
⑤ITガバナンスフレームワーク
COBITの管理目標(EDM, APO, BAI, DSS, MEA)やCIS Controlsの主要な項目(継続的な脆弱性管理など)についても、その目的と内容を把握しておくと良いでしょう。
⑥サイバー犯罪の知識
タイポスクワッティング、ランサムウェア、ディクショナリアタックなどの一般的なサイバー攻撃の手法とその対策を学びましょう。
(3)SOCレポートに関する徹底的な学習
SOCレポートも徹底的に学習しておく必要があります。
➀SOCレポートの種類
SOC 1、SOC 2、SOC 3のそれぞれの目的、対象とする内部統制(財務報告関連か、トラストサービス基準か)、および利用者の範囲を正確に覚えましょう。
Type 1とType 2の違い(整備状況のみか、運用状況も含むか)も重要です。
➁サービス監査人の責任
書面によるアサーションの重要性、その他の情報に対する責任、重要性の判断基準(定量的・定性的要因)を理解してください。
③意見表明
無限定適正意見、限定意見、不適正意見がそれぞれどのような状況で表明されるのか、具体的な例を交えて学習しましょう。
特に、「重要ではあるが広範囲に及ばない欠陥」の場合には限定意見が表明されるという点は頻出です。
➃報告書記載内容
SOC 2 Type 2報告書において、統制テストの結果をどのように記載すべきか(テスト数、逸脱の数と性質)といった具体的な要件も理解しておくと良いでしょう。
⑤再受託会社の扱い
SOC 1業務における除外方式(carve-out method)など、再受託会社の統制を監査範囲に含めるかどうかの判断基準と影響を理解しましょう。
(4)データプライバシー規制(GDPRなど)
GDPRにおけるデータ主体の権利(訂正の権利など)といった、主要なデータプライバシー規制の基本的な概念と権利についても知っておくと良いでしょう。
(5)用語の正確な理解
ISC試験では専門用語の正確な定義が問われることが多いです。
単語帳を作成したり、フラッシュカードを活用したりして、用語とその概念をしっかりと結びつけて覚えましょう。
(6)問題演習と解説の活用
リリース問題集は最高の教材です。
ただ正誤を確認するだけでなく、なぜその選択肢が正解で、なぜ他の選択肢が誤りなのかを解説を読みながら深く理解することが重要です。
特に、誤りの選択肢がどの概念と混同しているのかを把握することで、より幅広い知識が定着します。
(7)実践的なシナリオ問題への対応
システム導入、セキュリティインシデント、監査手続きなど、具体的なシナリオ設定された問題が多いです。
それぞれのシナリオにおいて、適切な対応や最も効果的な統制は何かを論理的に考える練習をしましょう。
(8)概念間の関連付け
たとえば、暗号化、デジタル署名、ハッシュ関数といったセキュリティ技術が、それぞれどのように機能し、どのような保証を提供するのか(機密性、完全性、真正性など)を関連付けて理解することで、複雑な問題にも対応できるようになります。
以上のポイントを意識して学習を進めることで、ISC試験で良い結果を出すことができるでしょう。
以上、「【ISC】USCPA試験リリース問題(AICPA Released Questions)徹底解説」でした。
重要論点は決まっているんだね。
ぜひ、この傾向に従って、ISC対策を進めて合格してね。
USCPA(米国公認会計士)は、受験資格を得るためにもUSCPA予備校のサポートが必要となります。
おすすめのUSCPA予備校はアビタスです。
\無料・すぐ読める・オンライン参加可/
どこの著書『USCPA(米国公認会計士)になりたいと思ったら読む本』も参考にしてくださいね。
USCPA資格の活かしかた・USCPA短期合格のコツを記載しています。
(2025/08/25 09:34:04時点 Amazon調べ-詳細)
