〇論文設計テンプレート

太字：問題文抜粋箇所

１．　ビジネス又はサービスの概要、及びサイバーセキュリティの管理態勢が必要となる理由

１．１　ビジネス又はサービスの概要

・加盟店と購入者の決済を代行するサービス

　加盟店：未回収リスクの低減・売上増

　購入者：多様な決済手段を選択可⇒販促促進

・決済代行システムを提供しているSierのシステム監査を担当

１．２　サイバーセキュリティの管理態勢が必要となる理由

①サイバー攻撃による検知機能の必要性

情報システムの停止、重要情報の外部流出などから攻撃があったことに気づく

⇒実害が生じてから初めてサイバー攻撃に気づくことになるから

②サイバーセキュリティ対策の必要性

被害が拡大し、ビジネス、サービスに及ぼす影響が大きくなることも想定されるから

③踏み台攻撃による対策の必要性

サプライチェーン上の取引先などのサイバーセキュリティ対策に脆弱性があると、取引先を経由した攻撃を受けるおそれがあるから

２．　サイバーセキュリティ管理態勢におけるPDCAサイクルの実施が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容

２．１　サイバーセキュリティ管理態勢におけるPDCAサイクルの実施が適切かどうかを確かめるための監査の着眼点

〇監査の着眼点

２．１．１　Plan(計画)

①サイバー攻撃に対する検知機能の導入が計画されているか

②被害拡大を防止するための社内規程の整備が計画されているか

③加盟店システムを経由した踏み台攻撃の対応策が計画されているか

２．１．２　Do(実施)

①セキュリティソフトが導入されているか。

ex）マルウェア感染や外部からの不正アクセス、外部へのデータ送信などの検知

②被害拡大の防止や抑制のための情報セキュリティ規程が整備され導入されているか

ex)情報セキュリティ教育の義務化、連絡体制図等

③加盟店システムを対象としたCSA(コントロール・セルフアセスメント)の実施

２．１．３　Check(評価)

①

・他社製品との比較結果を検討した上でセキュリティソフトを選定しているか評価

・セキュリティソフト導入後の検知率が基準を満たしているか評価

②情報セキュリティ規程を改定し必要な記載が網羅され適切に運用されているか評価

③質問書の回答結果が基準点以下の加盟店を評価

２．１．４　Act(改善)

①

・システム構成の変更や経営環境の変化に応じて他社製品の比較結果を随時見直し再検討しているか

・サイバー攻撃の高度化、巧妙化に対応するための施策を講じているか

ex)シグネチャの設定見直し等

②各種規程の改定に準拠し情報セキュリティ規程も見直されているか

③

・基準点以下の加盟店に対するフォローアップを実施

・サイバー攻撃の高度化、巧妙化に対応するため適宜、質問書が見直しているか

２．２　入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容

〇監査手続

２．２．１　Plan(計画)

①検知機能導入計画書を査閲し経営層の承認が得られていることをドキュメントレビュー法によって確認

②情報セキュリティ委員会の議事録を査閲し社内規程の整備についての記載を確認

③月次定例会の議事録を査閲し踏み台攻撃の対応策について加盟店への周知が計画されているかどうかを確認

２．２．２　Do(実施)

①

・インフラ部より構成管理図を取得しセキュリティソフトが導入されているか確認

・当該システムの構成管理DBの登録内容と構成管理図を照合し差異がないことを確認

②

・e-ラーニングの受講履歴を査閲し全社員が情報セキュリティ教育を受講していることを確認

・情報セキュリティインシデント報告書を査閲し情報セキュリティ事故が発生した際に連絡体制図に準拠したフローで報告されていることを確認

③質問書とプルーフリストを照合して全加盟店が網羅されていることを確認

２．２．３　Check(評価)

①

・比較結果表を査閲し選定ソフトの妥当性を検証

・セキュリティソフト導入実績を査閲し検知率が当初の基準値を満たしているか確認

②情報セキュリティ規程を査閲し必要な記載が網羅され適切に運用されているか関係者へインタビュー

③質問書の回答結果が基準点以下の加盟店の実地調査

２．２．４　Act(改善)

①

・中長期計画書を査閲し経営目標との整合性が図られていることを確認

・チューニング計画書を査閲し適切な運用が行われていることを確認

②各種規程と情報セキュリティ規程を査閲し相互に矛盾がないことを確認

③

・質問書を査閲し改善策が適切に講じられているか確認

・質問書を査閲し質問項目が随時見直されているか改訂履歴より確認

３．　インシデント発生時を想定したサイバーセキュリティ管理態勢が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容

３．１　インシデント発生時を想定したサイバーセキュリティ管理態勢が適切かどうかを確かめるための監査の着眼点

〇監査の着眼点

３．１．１　検知/連絡受付

・インシデントの検知に必要なチェック項目とチェック方法があらかじめ定義されているか(内部)

・インシデント報告用の窓口が設置されているか(外部)

３．１．２　トリアージ

・対応の優先順位付けの定義がされているか

３．１．３　インシデントレスポンス(対応)

・IT関連部署、外部専門機関と適宜連携されているか

３．１．４　報告/情報公開

・メディアや一般向けプレリリース、監督官庁への報告が行われているか

・組織内部の情報展開が行われているか

３．２　入手すべき監査証拠を挙げ、監査手続によって確かめるべき内容

〇監査手続

３．２．１　検知/連絡受付

・インシデント検知一覧を査閲し定義された条件に基づいて自動検知されているか確認

・一般窓口で受理した報告がCSIRTのインシデント報告用窓口に転送される手順と判断基準が確立されていることを両担当者へインタビューし確認

３．２．２　トリアージ

・インシデントレスポンスの実績をサンプリングしトリアージの基準に準拠しているかどうかを確認

３．２．３　インシデントレスポンス(対応)

・IT関連部署、外部専門機関との対応計画書を査閲し適切な対応が取られていることを確認

３．２．４　報告/情報公開

・過去に発生したインシデント報告資料を査閲し適切な時期に情報公開されていることを確認

・組織内部でインシデント共有会が開催され関連システムの影響調査と対応が行われていることを確認

■参考

・サイバーセキュリティ経営ガイドラインVer3.0

20230324002-1.pdf (meti.go.jp)

・デロイトトーマツ(セキュリティ管理態勢評価)

セキュリティ管理態勢評価 | サービス：サイバーリスクサービス｜デロイト トーマツ グループ｜Deloitte

・JPCERT CC

インシデントハンドリングマニュアル (jpcert.or.jp)

■用語

・体制

 [統一的、持続的な組織・制度、長期的な仕組み、システム]

・態勢

 [一時的・部分的な対応・身構え]

■所感

本試験では問1実施のため未選択

もし選択していた場合は、問1よりも難航する可能性があった。

難易度が高く、問2選択の受験者がどのような論文を記載したのかとても気になった。

・設問ア

管理態勢が必要となる理由は問題文から3つ抜粋。

抜粋した3つを展開し設問イを作成するように心掛けた。

・設問イ

時間無制限で骨子から作成したため膨大となった。

PDCAで切り分ける余裕は本試験ではないと感じた。

設問アの①～③を踏まえた論文構成となっている。

・設問ウ

設問ア、イを踏まえた内容になっていない可能性が高い。

理由としては「インシデント発生時を想定したサイバーセキュリティ管理態勢」の記述が問題文に少なかったため展開しずらかった。

そのため、設問ア、イとの関連性が低いインシデントハンドリングのフレームワークを使用した。

ランキング参加中

資格試験勉強してる人

〇論文設計テンプレート

太字：問題文抜粋箇所

１．　RPAを活用した業務処理の自動化の概要と期待される効果、開発・運用及び保守の体制

１．１　RPAを利用した業務処理の自動化の概要と期待される効果

〇自動化の概要

当社の事業概要に簡単に記載しRPA導入の背景から自動化の概要について記載

・RPA導入の背景

働き方改革の推進⇒業務処理の自動化による生産性向上

〇効果

数値化できる具体的な導入効果について記載

１．２　ロボットを開発、運用及び保守するための体制

自動化の体制について記載(実務での体制について記載)

２．　ロボットの開発、運用及び保守に関わるリスクを低減するためのコントロール

２．１　開発段階におけるリスク及びコントロール

〇リスク/コントロール

①ユーザ部門(RPA開発者)の技術力不足

　 └RPA教育の実施

　 └RPA担当部署によるサポート体制

②標準・共通部品(標準的な部品)にバグが潜在

　 └標準・共通部品の作成時にはRPA担当部署へのレビューが必須

③RPAのシナリオからパスワードが露見し不正操作が行われる

　 └シナリオに参照権限の設定

　 └シナリオ変数(ID/PW)にsecret指定を行いパスワードが露見しないように設定

２．２　運用・保守段階におけるリスク及びコントロール

〇リスク/コントロール

①使用されていないロボットが作成(野良ロボット)

　└月次で費用対効果を示す評価表を上長に提出

　└利用部門へロボットの評価に対するアンケート調査

②利用者がロボットを適切に利用できない

　└ユーザ部門(RPA開発者)による問合せ窓口を設置

　└導入マニュアル・Q&Aの作成

③ロボットが正常に動作しない

　└関連システムの画面レイアウト変更に伴う連絡体制を定める

３．　コントロールが適切に機能しているかどうかを確かめるための監査手続

３．１　開発段階における監査手続

①

・受講名簿を査閲しユーザ部門(RPA開発者)が研修を受講しているかどうかを確認

・研修計画を査閲しユーザ部門(RPA開発者)が研修が受講できる計画かどうかを確認

・RPA担当部署による勉強会の開催議事録を査閲しユーザ部門(RPA開発者)が参画しているかどうかを確認

②

・レビュー結果票を査閲し適切なレビューが行われているかどうかを確認

・レビュー結果表全量をExcel形式に一覧化し担当者によってレビュー観点や指摘件数に偏りがないかどうかを確認

③

・稼働ロボットが全て参照権限のみであることを確認

・シナリオをサンプリングし変数(ID/PW)がマスキングされていることを確認

３．２　運用・保守段階における監査手続

①

・評価表を査閲し上長の判断に基づき対策が講じられているかどうかを確認

・上長へインタビューし明確な判断基準に基づき費用対効果を測定した上で対策を講じているかどうかを確認

②

・インシデント管理表を査閲しユーザ部門(RPA開発者)による窓口が適切な対応しているかどうかを確認

・導入マニュアル・Q&Aを査閲し利用部門が理解できる粒度になっているかどうかを確認

③

・関連資料を査閲しRPAの対象システムが明記され画面レイアウトの変更が伴う際の連絡体制が取られているか確認

■所感

・設問ア(775文字)

400文字＊2に分けて記載。1.1の方が記載できる内容が多かった一方で、1.2.の記載内容が少なく試験時に苦労した。600文字と200文字くらいの割合でも良かった。

なお、設問1については業務内容に大きく関わるため簡素的に記載。

・設問イ(860文字)

問題文に準拠しユーザ部門がRPAを作成した点を意識したが、実際の業務では運用部門メンバーにおけるRPAの導入であったため記載内容が混同し分かりづらい文章になっている可能性がある。また、それぞれのリスクとコントロールのセットを3つ記載したが論文上は段落分けしたため「2.1.1」～「2.1.3」の様にタイトルで区切ったほうが読みやすい論文になったかもしれない。

・設問ウ(875文字)

設問2同様に段落区切りではなく新たにタイトルを採番した方が読みやすい論文であった。

問題文に記載されている、「自動化の対象とする業務処理を誤ったり」、「テストパターン不足」に言及した論文が記載できなかったことが反省点。

ランキング参加中

資格試験勉強してる人

※2023年9月の試験状況になります。

　今後変更になる可能性もございますので参考程度に確認頂けますと幸いです。

　PMP試験は情報が少ないため私が受験時までに知りたかったこと等を記載。

　今後、受験される方に少しでも参考になると嬉しいです。

〇合否：合格

People:Above Target

Process:Above Target

Business Enviroment:Above Target

高い水準で合格できたが、試験中の出来は合格しているか定かではない状況

今まで受けた試験で最も合否や得点が想像できない試験である点が特徴

〇私のスペック

Sierで10年間勤務(30代前半)

応用情報に4回目で合格する程度の学力

〇勉強時間

6月：79時間15分(公式35時間研修含む)

7月：92時間

8月：117時間

9月：20時間

自身の学力が低いことを自覚しているため勉強時間は多く確保

勉強が試験の合格に繋がっているのかどうか実感がしずらい

研修等も含めて全費用が会社負担のため1回で合格する必要があったためやるべきことは全て実施

〇使用教材

・公式研修テキスト

　└スライドのため使用しずらい

　└主に講師の発言を確認

・アジャイル実務ガイド

・PMBOK第6版

・PMI倫理規定

・研修会社のテキスト、問題

・Udemy

　└PMP関連の講座、模擬試験

・イトーダさんのYouTubeチャンネル

　└合格者インタビュー

・所感

教材のページ数が膨大なため検索機能のあるPDFで使用することがお勧め

特にPMBOKは辞書として使い、1度調べた箇所はアンダーラインを引くことで確認箇所を把握

PMIサイトからダウンロードした際は編集機能がロックされているためFireFoxでPDFを取り込み再度保存することで編集可能

可能であれば自己学習時(模試)に230分のカウントダウンで勉強した方が良い。230分でのカウントダウンは受験前から知っていたが、PC搭載のタイマーは3時50分00秒でのカウントダウンのため本試験では少しイメージがしずらかった。

〇受験会場

・東京受験(帝国ホテル)

・1階にコンビニ有

　└休憩時間の軽食を用意可

※ウォーターサーバーが待合室に有

・予約時間よりも早く受験可

※1時間前に到着しましたが即座に受験可

・待合室で勉強して待つ事は不可

・ロッカーは大きめが4つ、小さめが9つ(記憶曖昧)

※ロッカーに鞄を入れる前に手前に軽食や目薬を出しておく必要有

　休憩時間にロッカーを開けることは可能だが手前に置いたものしか使用不可

　鞄に入れているものを出そうとして注意を受けている人がいた。

　└理由を言えば、使用可能だが少し高圧的で驚く方もいるので注意

・トイレは同フロアにあり試験前と休憩10分で使用

※休憩時間に待合室に行く場合、退出したタイミングで待合室の時計を見る必要有

　10分過ぎてしまうと自動で試験は次の60問が開始され時間がカウントダウンされる。

・受験前に耳栓が必要か問われるがヘッドフォン型の耳栓は自席に有

　└一応貰ったが使用していない。

・メガネは録画機能がないかチェック

・ポケットの中身は見せる必要有

　└持ち込み可能は身分証明書とロッカーのカギのみ

・ペンは乾燥によりインクが出ない可能性有

　└使用する人はキャップを開けっ放しにしないように注意

・入退室に身分証明書は必ず見せるので自席に忘れないように注意

〇試験の戦略

前半80分、中盤75分、終盤75分

・前半60問が難しいとの情報のため90分まで確保可能としたが、問題を見てもいない状況で中盤と終盤を70分で解くのはリスクがあると判断し試験中に方針を変更

・蛍光線と打消し線を利用可能だが問題文が長い場合や試験の中盤で集中力が切れた際に使用すると良い。全ての設問に使用していた場合、時間が足りない。

・見直しフラグは使用したが見直す時間はなかった。また仮に見直したところで回答が変わることもないと思われる。計算問題などはチェックして見直すことはお勧め(1問出題)

・60問終了したタイミングで回答していない問題がないかの確認ができるボタンがあるため抜け漏れがないことを確認した方が良い。

〇試験内容

・選択肢4つの中から選択肢を1つ選ぶものが9割(ラジオボタン)

・2個選択が5問程度(チェックボックス)

・ドロップ＆ドラッグ2問

例）選択肢に用語が4つありそれに紐づく内容を指すものを選ぶ(近接度・緊急度)

・計算問題1問有

年間の外部コストが〇円、内部コストに変更の費用〇円

3点見積で平均値を算出してからいくらの費用削減になるのかという問題

・契約の種類やEVMは出題なし

　└問題文にタイム＆マテリアル契約の記載有

・所感

PMIが提供している問題のような10行程度の問題が180問だと時間が足りないと試験前に感じていたが、2行程度の問題もある。試験開始して早々に思ったのが難しいといわれる前半の60問の問題文が想像よりも短い文章で安心した。

また、単語を問われる問題はなく試験を終わった段階でどんな問題が出たか全くイメージできないのが特徴。そのため問題を解いている中で、次の問題に移っても引きずることはなかった。今回1回で合格することができたがもし不合格の場合、何をしたら受かるのか正直わからない試験だった。正答率の低いエリアが分かったところで対策のしようがないと感じた。私は勉強時間が多かったが受かる人は数時間の勉強で合格できると感じた。その一方で受からない人はいくら勉強しても受からないのではといったイメージを持った。

〇勉強方法と理解度のレベル

・公式研修で講師が発言したポイントは抑える。

・全体フローを第三者に説明できる水準

・ITTOは暗記していないが、用語が書かれているカードがあれば並び替えて説明できる水準

・練習問題等で何回か同じ問題を間違えた場合、自身が選択した回答をなぜ選んだのかを文章として記載する。一方で正答の選択肢がなぜ正しいのか文章として記載。誤った個人解答と正答の解答のアプローチの違いを理解することを実施。

全ての設問で上記の方法を取ると膨大な時間を要するので何度も間違える問題のみ実施する方が良い。

・問題を暗記してしまうと勿体ないため1度解いた問題は期間を空けてから解く。

・所感

試験に役立ったと断言できる勉強内容は特になかったです。何をすれば得点が上がるのか、合格水準に達するのか勉強中も日々手ごたえがなく悩んでいました。

試験中に意識したポイントは、設問で問われているのはどのプロセスかという点です。

そのポイントを抑えることで2択で絞った後に最後の1つが選択しやすくなったと感じました。

〇おまけ

試験問題の1つに宝くじの機械が壊れて同じ番号を2枚発行してしまったという類の問題がありました。

スポンサーに追加の資金を要求する。当たる確率が低いから大丈夫だと言ってステークホルダーを安心させる。という2つの選択肢がありました。

仮に1等10億だった場合、20億の予算をスポンサーに用意させたりプロジェクトマネージャがステークホルダーに当たる確率低いから絶対に大丈夫です。と言い切っている姿を想像してしまいツボに入ってしまいました。時間もなく受かっている自信もないくせに1分程ニヤニヤしていました。

受験される皆さんは問題ないと思いますが気を付けて下さい。

もし他にも気になることがございましたら、私の記憶が鮮明な内にご質問頂ければ回答致します。

ランキング参加中

資格試験勉強してる人