sg sg-management system_audit sg-security-management it_security_operations
まず結論
ITの統制目標とは、情報システムで扱う情報が、組織の目的に沿って正しく処理されているかを判断するための目標です。
SG試験では、特に次のような性質を混同させてきます。
- 準拠性:ルールに合っているか
- 信頼性:承認され、漏れなく正確に記録・処理されているか
- 機密性:権限のない人に使われないか
- 可用性:必要なときに使えるか
今回のポイントは、「信頼性」はセキュリティのCIAでいう可用性や機密性ではなく、情報が正しく記録・処理されることだと切り分けることです。
直感的な説明
会社の売上データを例に考えると分かりやすいです。
売上データは、ただ保存されていればよいわけではありません。
- 社内ルールや会計基準に沿って処理される
- 上司の承認を受けた内容だけが記録される
- 金額や件数が漏れなく正確に登録される
- 必要なときに確認できる
- 権限のない人には見られない
このように、業務で使う情報にはいくつかの確認ポイントがあります。
ITの統制目標は、これらを「情報が業務上、正しく扱われているか」という視点で整理したものです。
SG試験では、言葉の雰囲気だけで選ぶと迷いやすいです。
特に「信頼性」という言葉を見て、なんとなく「安全そう」「秘密が守られていそう」と考えると、機密性と混同しやすくなります。
定義・仕組み
金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の目的として、業務の有効性及び効率性、報告の信頼性、法令等の遵守、資産の保全などが示されています。
参考:金融庁 財務報告に係る内部統制の評価及び監査の基準
SG試験で問われるITの統制目標は、情報システムで扱う情報が、業務や報告に使える状態になっているかを確認するための考え方です。
代表的な性質は次のように整理できます。
| 性質 | 判断のポイント | 選択肢での見分け方 |
|---|---|---|
| 有効性及び効率性 | 業務に対して効果的・効率的に提供される | 業務に役立つ、効率よく使える |
| 準拠性 | 法令、会計基準、社内規則などに合っている | ルールに合致、規程に従う |
| 信頼性 | 組織の意思・意図に沿って承認され、漏れなく正確に記録・処理される | 承認、漏れなく、正確に記録・処理 |
| 可用性 | 必要なときに利用できる | 必要時に利用可能、停止しない |
| 機密性 | 正当な権限を持つ人以外に利用されない | 権限のない人に使わせない、保護する |
ここで大切なのは、信頼性は「正確性・完全性・正当性」に近い考え方だという点です。
一方、機密性はアクセス制限の話、可用性は使える状態を保つ話です。
どんな場面で使う?
ITの統制目標は、次のような場面で使われます。
- 会計システムで売上や仕入が正しく記録されているか確認する
- 承認されていないデータ変更を防ぐ
- 入力漏れや二重登録を防ぐ
- 障害時でも必要な情報を使えるようにする
- 権限のない利用者が情報を閲覧・変更できないようにする
SG試験では、単に「セキュリティ対策として何をするか」ではなく、その対策が何の性質を守るためのものかを問われることがあります。
たとえば、アクセス権限を設定する目的なら、主に機密性や完全性に関係します。
一方、承認された取引だけを、漏れなく正確に記録する話なら、信頼性と判断します。
選択肢では、次の言葉に注目すると切り分けやすいです。
- 法令・会計基準・社内規則 → 準拠性
- 権限を有する者以外に利用されない → 機密性
- 承認・漏れなく・正確に記録 → 信頼性
- 必要なときに利用可能 → 可用性
よくある誤解・混同
誤解1:信頼性は「秘密が守られること」だと思ってしまう
これは機密性との混同です。
秘密を守る、権限のない人に使わせないという話なら、機密性です。
信頼性は、情報が組織の意思に沿って、正しく記録・処理されることです。
誤解2:信頼性と可用性を混同する
「信頼できるシステム」と聞くと、止まらないシステムをイメージしがちです。
しかし、SG試験で「必要なときに利用可能」と書かれていたら、可用性です。
信頼性を選ぶときは、承認・正確・漏れなく・記録・処理という言葉を探します。
誤解3:準拠性と信頼性を混同する
準拠性は、外部や内部のルールに合っているかです。
信頼性は、情報処理の中身が正当で正確かです。
たとえば、会計基準に従って処理することは準拠性です。
承認された売上だけを漏れなく正確に記録することは信頼性です。
SG試験での切り分け
選択肢では、次のように判断します。
- 「法令」「会計基準」「社内規則」なら 準拠性
- 「正当な権限を有する者以外」なら 機密性
- 「組織の意思・意図」「承認」「漏れなく」「正確」なら 信頼性
- 「必要とされるときに利用可能」なら 可用性
言葉の印象ではなく、選択肢中のキーワードが何を守ろうとしているかで切り分けましょう。
まとめ(試験直前用)
- ITの統制目標は、情報システムで扱う情報を正しく管理するための判断基準
- 信頼性は、承認され、漏れなく正確に記録・処理されること
- 機密性は、権限のない人に利用されないこと
- 可用性は、必要なときに利用できること
- 準拠性は、法令・会計基準・社内規則などに合っていること
SG試験では、「承認・漏れなく・正確」なら信頼性と覚えると、選択肢を切りやすくなります。
🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】