「システム監査基準」と「システム管理基準」。

名前が一文字違いで、勉強中に頭がこんがらがる二大巨頭です。片方は監査する人の心得、もう片方は監査で使う物差し。

この記事では混同しやすい「システム管理基準」だけに絞って、何のための基準なのかをスッキリ整理します。

目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 監査基準とのペアで理解する
    2. ライフサイクルに沿った構成
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック
  6. よくある質問(FAQ)

対象試験と出題頻度

システム管理基準は、基本情報技術者・応用情報技術者で出題されるテーマです。

システム監査分野の午前問題で安定して出題され、「システム監査基準」とのペアで役割を取り違えさせる設問が定番です。

経済産業省が令和5年(2023年)に改訂した最新版の達成目標から、応用情報で具体的に出題された実績もあります。

詳細をクリックして確認
対象試験:
基本情報技術者
応用情報技術者
出題頻度:
★★★☆☆
ランクB(標準)覚えておくと有利

用語の定義

情報処理試験を勉強していると、「システム管理基準って、監査基準と何が違うの?」と毎回つまずきます。まずは定義から固めましょう。

システム管理基準とは、一言で言うと

 「情報システムを適切に企画・開発・運用するための「あるべき姿」を、経済産業省がまとめたガイドライン

のことです。

イメージとしては、学校の通知表の評価基準(ルーブリック)です。

通知表をつける先生(=システム監査人)が「この観点で点をつけます」と公平に判断するための採点基準が用意されています。

システム管理基準は、まさにこの「採点基準(チェックすべき項目)」にあたります。

📊 システム管理基準の基本情報

項目 内容
策定元 経済産業省
最新改訂 令和5年(2023年)4月
位置づけ 監査時の判断尺度(チェック項目集)
主な利用者 システム監査人、IT部門の管理者

解説

情報システムは、企画ミス・開発の手抜き・運用の甘さがあると、トラブルや情報漏えいに直結します。

とはいえ「ちゃんと作って、ちゃんと使う」だけでは抽象的すぎて、何をどこまでやれば合格なのかが組織ごとにバラバラになってしまいます。

そこで経済産業省が「ITを活用するなら最低限ここは押さえておくべき」という共通の物差しを文書化しました。これが本基準が生まれた背景です。

監査基準とのペアで理解する

試験で最も差がつくのが、名前のそっくりな「システム監査基準」との役割分担です。

両者は対になっており、片方が「監査する人の行動ルール」、もう片方が「監査で照らし合わせる判断材料」です。図で位置関係を押さえましょう。

システム監査基準

監査する人(監査人)が守るべき行動規範・心得
「どう監査するか」

システム管理基準

監査で照合する判断尺度(チェック項目)
「何を基準に判定するか」

▲ 「人のルール」=監査基準 / 「採点基準」=管理基準。この対で覚える

ライフサイクルに沿った構成

令和5年改訂版は、ITガバナンスを土台に、情報システムの一生(ライフサイクル)に沿って大きく分類されています。

「企画→開発→運用→保守」という流れに、全体を統括する管理が加わる構造です。

ITガバナンス
経営層の統制
企画
ビジネス分析
開発
設計・実装
運用
日常の管理
保守
改善・廃棄

▲ システムの一生に沿って「あるべき姿」が定義されている

このうち「企画」フェーズの先頭にあるのがビジネス分析で、ここで定義される達成目標が応用情報で実際に出題されました。

安全性の観点では「アクセス管理機能が適切か」といった、機密性に近い検証項目も含まれます。

💡 覚えるのはこの3点だけ

・経済産業省が公表する、ITの「あるべき姿」をまとめたガイドライン
・監査の「判断尺度(チェック項目)」であり、監査人の行動ルールである監査基準とは別物
・企画→開発→運用→保守というライフサイクルに沿って構成されている

試験ではこう出る!

本基準は、監査基準との役割の取り違えを狙う設問と、改訂版の達成目標を直接問う設問の2タイプで出題されます。

📊 過去問での出題実績

試験回 出題内容 問われたポイント
AP R7春
午前 問65		 令和5年版の企画プロセス「ビジネス分析」の達成目標を選ぶ問題。 ・正解は「あるべきビジネスモデルで生じる問題やメリットが明確」
・要件定義・基本設計の目標がひっかけ
FE H26春
午前 問60		 安全性を監査する際、不正使用からの保護を確認する検証項目を選ぶ問題。 ・正解は「アクセス管理機能の検証」
・フェールソフト等の信頼性項目がひっかけ
FE H28秋
午前 問58		 上記H26春問60と同一構成の流用問題。 ・FE間で同じ問題が再出題される典型例
・安全性=不正使用からの保護

📝 IPA試験での出題パターン

パターン1:「監査基準とどちらの説明か」
「監査人の行為規範」「監査の品質確保のための心得」といった文言が出たらそれは監査基準側で、ひっかけです。本基準は「ITのあるべき姿・チェック項目」を示すと覚えれば取り違えを防げます。

 

パターン2:「達成目標・検証項目を選べ」
AP R7春のように、企画・開発などのプロセスごとの達成目標を直接問う形式。安全性なら「アクセス管理」、信頼性なら「フェールソフト・リカバリ」と、観点ごとのキーワード対応で判別する。

 

午前対策はこの2パターンで十分です。基準の全条文を暗記する必要はありません。

【確認テスト】理解度チェック

知識が定着したか、1問で腕試しをしてみましょう。

Q. 「システム管理基準」の説明として、最も適切なものはどれでしょうか?

  • A. 情報システムの企画・開発・運用・保守について、組織が達成すべき「あるべき姿」を示し、監査時の判断尺度となる経済産業省のガイドライン。
  • B. システム監査人が監査を行う際に守るべき、専門能力・独立性・倫理などの行為規範を定めたもの。
  • C. 個人情報を取り扱う事業者が、保護のために構築すべきマネジメントシステムの要求事項を定めた規格。

正解と解説を見る

正解:A

解説:
システム管理基準は、ITのライフサイクル全体について組織が目指すべき状態をまとめ、システム監査人が現状を照らし合わせるための判断材料となるガイドラインです。これが正解の理由です。

選択肢Bは「システム監査基準」の説明です。こちらは監査する人の行動規範であり、判断尺度である本基準とは役割が逆です。選択肢CはJIS Q 15001(個人情報保護マネジメントシステム)の説明で、対象が個人情報保護に限定される別の規格です。いずれも本基準の役割とは一致しません。

よくある質問(FAQ)

Q. システム管理基準は法律ですか?守らないと罰則がありますか?

法律ではありません。経済産業省が示す「ガイドライン(指針)」であり、法的な強制力や罰則はありません。あくまで望ましい実践を促すための参考基準という位置づけです。ただし監査や入札の場面で事実上の標準として参照されることが多く、準拠しておくと信頼性の証明になります。

Q. 「情報セキュリティ管理基準」とは別物ですか?

別物です。情報セキュリティ管理基準はISO/IEC 27001(ISMS)をベースに、セキュリティ対策に特化したチェック項目をまとめたものです。一方、システム管理基準はセキュリティに限らず、企画・開発・運用・保守といったIT活用全般のあるべき姿を扱います。守備範囲が「セキュリティ限定」か「IT全般」かで区別すると混同しません。

Q. なぜ令和5年に改訂されたのですか?

クラウドサービスの普及やDX(デジタルトランスフォーメーション)の進展で、IT活用の前提が大きく変わったためです。改訂版では世界的なITガバナンス強化の流れを受け、経営層がITをどう統制するかという記載が手厚くなり、アジャイル開発やクラウド活用も考慮されました。試験では最新版(令和5年)の用語が問われ始めているので、改訂があった事実は押さえておくと安心です。

Q. 応用情報の午後(記述)でも本基準の暗記は必要ですか?

条文の丸暗記は不要です。午後のシステム監査の問題は、基準の知識そのものより、問題文に書かれた事例に沿って「どこにリスクがあり、何を確認すべきか」を読み取って解答する形式が中心です。本基準はあくまで「監査の観点はライフサイクル全体に及ぶ」という土台の理解として役立てれば十分です。