〇論文設計テンプレート
太字：問題文抜粋箇所
1. データ利活用の基盤の構築の概要、目的及びその基盤が必要となる理由
1.1 データ利活用の基盤の構築の概要、目的
〇概要
・グループ会社へ〇〇システムを提供しているSIer
①不正判定で使用する項目をベンダM社のサービスへ連携
※M社サービスの利用環境をデータ利活用の基盤と定義
⇒加工、分析したデータを蓄積
②1つのテーブルへ結合
③対象項目の特徴量加工を実施
④学習済モデル生成
⑤不正判定結果をグループ会社のサーバ連携
〇目的
・不審与信の多様化、一層の強化が求められる
・顧客の信用力スコアリングによる与信審査に活用
「ビックデータを利活用して経営課題を解決したり、新たなビジネス、サービスを創造」
⇒ex)加盟店毎の不審与信の特徴を分析し提案するサービスを創造
        └加盟店毎の学習済モデルの生成等
1.2 データ利活用の基盤が必要となる理由
〇理由
M社：独自のAI技術のノウハウを持っている。(リーディングカンパニー)

 

2. データ利活用基盤の構築に際して想定されるリスク
2.1 データを有効に利活用できないリスク
①収集元データに過不足
　└コントロール：取得項目の妥当性をM社と定める。
②加工データの妥当性
　└コントロール：特徴量加工の対応表を作成
③学習済モデルの妥当性
　└コントロール：信用力スコアリングの基準値を定める。
2.2 データセキュリティに関するリスク
①データ利活用基盤のアクセス制限
　└コントロール：特権IDのアクセスログを確認。(内部：運用部)
　└コントロール：アクセス権限の定期的な棚卸・チェックリストの作成。(外部：M社)
②M社との契約の妥当性
　└コントロール：個人情報保護/データ廃棄に関すると取り決め
③不要なポートが解放(データ連携時の構築時に脆弱性が埋め込まれる)
　└コントロール：外部のセキュリティ会社へ定期的な脆弱性診断を受ける。

 

3. データ利活用基盤が適切に構築されているかどうかを確かめるための監査手続
3.1 データを有効に利活用できないリスクに対する監査手続
①収集元データに過不足
・収集元データの取得項目の妥当性をPoC報告書に基づいた項目を取得していることを確認
・M社との契約に基づいたデータを取得していることをデータ連携一覧から確認
②加工データの妥当性
・対応表に基づいた加工データが連携されていることをサンプルデータを取得して確認
③学習済モデルの妥当性
・日次更新される学習済モデルが基準値に満たしていることを実績表から確認
・運用部へインタビューし学習済モデルが基準値以下の場合、前日の学習済モデルに差し替えていることを確認
・運用手順書を査閲し担当者が手順通りに実施できる内容が網羅されていることを確認
3.2 データセキュリティに関するリスクに対する監査手続
①データ利活用基盤のアクセス制限
・特権IDのアクセスログを監査ツールに取込、不正な操作が実施されていないことを確認(精査)
・アクセス権限の一覧とM社の利用者を突合し不要なアクセス権限が付与されていないことを確認
・実地調査による定期的な確認が困難な場合、チェックリストに基づく代替手段によって確認
②M社との契約の妥当性
・契約書を査閲し個人情報保護やデータ廃棄に関する取り決めが明記されていることを確認
③不要なポートが解放(データ連携時の構築時に脆弱性が埋め込まれる)
・脆弱性診断報告書に基づき改善対応が行われていることを運用部へのインタビューと作業証跡によって確認

■所感
基盤構築のみに言及した論文構成となっていないため設問趣旨に沿っていない可能性がある。
過去に受験した論文で最も難易度が高く特に設問イで大幅な時間を要した。
データ利活用基盤の定義が曖昧で問題文に沿うデータ利活用基盤を指して論文を記述していいるかどうか定かではない。
システム管理基準(令和5年4月26日)に記載されているITエコシステムとⅡ.1.3 IT アーキテクチャ管理に基づいた論文が記述できればより良かった。

・設問ア(800文字)
データ利活用基盤の構築概要を記載する前に提供システムに言及してからデータ利活用基盤の概要を記載することで文字数を稼いだ。
ただし、データ利活用基盤のみの概要に対しての記載が不十分だった可能性がある。
・設問イ(725文字)
設問ウで監査手続を記載するためコントロールについても言及して記載することを心掛けた。
文字数が700字に中々達せず、試験終了時間を30分早く誤認したことによってさらに焦りが生じた。
段落構成が項番に基づいて適切に作成できず、「また、さらに、加えて」で作成したため読みづらい印象を与えてしまう可能性がある。
・設問ウ(1150文字)
設問イの内容を繰り返し述べている箇所もあり、くどい表現となっている可能性がある。
また、構築時のみに言及した監査手続ではなく運用後の観点での監査手続を記載している箇所がある。

 

■参考
・システム管理基準(令和5年4月26日)
https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf

IT エコシステム 
他の組織と利用する共通のデジタル基盤やITサービス等であり、ITベンダ、外部サービス提供者、外部委託先、顧客、取引先、行政機関等のステークホルダーが関係

Ⅱ.1.3 IT アーキテクチャ管理 
組織体の情報システム全体の整合性を保って、情報システムを構築・運用するために必要な IT アーキテクチャを定め、IT 基盤を利用可能にする。 
＜達成目標＞ 
1. 組織体の情報システム全体の整合性を確保できる IT アーキテクチャが定められている。 
2. 構築・運用する情報システムの目的に基づいて IT 基盤に対する要求事項が定義されている。 
3. 要求事項を満たすための IT 基盤の構成要素が明らかにされている。 
4. IT 基盤の各要素が必要な時期に利用可能な状態になっている。 
＜管理活動の例＞ 
1. （IT アーキテクチャの管理）組織体全体の IT アーキテクチャを明確にし、周知する。 
2. （IT 基盤の構成要素）対象とする情報システムの目的に適した IT 基盤の構成要素を、種類や用途等の要件を基に漏れなく明らかにする。 
3. （ IT 基盤の導入計画）IT 基盤の導入計画を策定し、これに従って IT 基盤を利用可能にする。 
4. （IT 基盤の定期的評価）IT 基盤が情報システムの目的どおり利用されているかについて、定期的に評価する。 
5. （IT 基盤の変化に応じた更新）運用開始後の情報システムの目的や環境の変化に応じて、必要な更新を行う。