ITパスポート 令和5年度 問53：system_auditに関する問題

答えは a です。

この問題は「ルールを“決める”側」と「ルールに“従って動く”側」を見分けます。スポーツでいえば、ルールブックを作るのが“決める側”、試合でそれを守ってプレーするのが“従う側”です。

• a「IT投資の判断基準を確立」→ 基準＝ルールを作っている。決める側。
• b「SLAを守るための運用管理」→ ルールに従って動いている。
• c「プロジェクトの予算管理」→ 決めた予算の中で動いている。
• d「標準手法に従ってプロジェクトを進める」→ ルールに従って動いている。

👉 覚え方：「“基準・方針を作る”＝決める側」。

判断基準を作っている a が正解です。

なぜこれが正解か

正解は a。本問はITガバナンスの考え方で、活動を「ルールを決める（方針・基準の策定＝統治／ガバナンス側）」と「ルールに従って行動する（実行＝マネジメント側）」に分ける。aのIT投資判断基準の確立は、判断のよりどころ（基準＝ルール）を作る活動なのでルールを決める側に該当する。

各選択肢の解説

• a 正しい：投資判断の“基準”を確立＝ルール（方針）を決める活動。
• b 誤り：SLA遵守のためのオペレーション管理＝決められたSLAに従う実行活動。
• c 誤り：開発プロジェクトの予算管理＝決められた予算枠内で行う実行活動。
• d 誤り：標準開発手法に準拠した個別プロジェクトの推進＝定められた標準に従う実行活動。

覚え方・ひっかけ注意

「基準・方針・標準を“作る”＝決める側」「それに“従う・遵守する・準拠する”＝行動する側」。選択肢の動詞に注目し、「確立」「策定」なら決める側、「遵守」「準拠」「管理（運用）」なら従う側と判定する。bcdは“すでに決まったもの”に従う言い回しが目印。

理論的背景

ITガバナンスはCOBIT（Control Objectives for Information and related Technology）などのフレームワークで体系化されており、「組織がITを効果的・効率的・安全に活用するための統治構造（Governance）と管理（Management）」を包含する概念である。ITガバナンスの核心は「ITに関する意思決定構造の確立」であり、IT戦略の方向性・IT投資の優先順位・IT関連リスクの許容度・IT組織の役割分担などを決定するルール・権限・プロセスを整備することを意味する。

本問の問いは「ルールを決める活動」と「ルールに従って行動する活動」の区別であり、この対比はITガバナンスの「Governance（統治：ルールを決める）」と「Management（管理：ルールに従って運営する）」の区別と対応している。

「IT投資判断基準の確立（選択肢a）」は、どのようなIT投資を行うべきかの判断基準（優先順位・ROI閾値・リスク許容度・承認プロセスなど）を組織的に決定する活動であり、これはまさに「ルールを決める活動」＝ガバナンス活動である。一度基準が確立されれば、それに従って個々のIT投資案件が評価・承認・却下されるという「ルールに従った管理活動」が実行される。

実務での使われ方

IT投資判断基準の実践例として、多くの大企業では「IT投資委員会（Investment Review Board）」や「IT Steering Committee」を設置し、IT投資案件の評価基準（戦略適合性・ROI・リスク評価・優先度スコア）を事前に定めている。年間IT予算の配分においても、システム保守（Run the Business）・業務改善（Change the Business）・革新的投資（Transform the Business）という3カテゴリへの配分方針を規程として定めることが大企業での標準的なガバナンス実践である。

デジタル庁・経済産業省の「IT経営基準」や「DX推進指標」においても、IT投資の評価・意思決定プロセスの透明性がITガバナンス成熟度の評価項目として含まれている。2023年に改訂された「コーポレートガバナンス・コード」では、デジタル技術・情報セキュリティに関するリスクをCGコードの文脈でボードが監督することが求められており、IT投資判断基準の確立が取締役会レベルのガバナンス課題として明確化されている。

残り3選択肢（SLA遵守のためのオペレーション管理・開発プロジェクトの予算管理・標準開発手法に準拠したプロジェクト推進）はいずれも、事前に確立されたルール・基準・方針に従って業務・プロジェクトを運営・管理する「マネジメント活動」であり、ルールそのものを決める活動ではない。

試験での位置づけ

ITパスポートのシステム監査・ITガバナンス分野では、「ガバナンス（統治・ルール設定）」と「マネジメント（管理・ルール遵守）」の区別が繰り返し問われる。この概念的区別はCOBIT 5/2019フレームワークにおいて明確に定義されており、試験の頻出論点となっている。

ITガバナンスの実践フレームワークとして、COBIT（Control Objectives for Information and related Technologies）・ITIL（ITサービスマネジメント）・ISO/IEC 38500（ITガバナンス国際規格）の概要を押さえておくと有効である。ISO/IEC 38500は取締役会・経営幹部がITガバナンスを実践するための6原則（責任・戦略・獲得・パフォーマンス・適合・人間行動）を定めており、IT投資判断基準の確立はその「戦略」と「獲得」の原則に直接対応する。

基本情報技術者試験ではCOBITの構成・ISMSとの関係・内部統制との統合まで問われる。情報処理安全確保支援士・システム監査技術者試験ではITガバナンスの成熟度評価（CMMI・COBIT PAM）・ITリスクマネジメントフレームワーク（COBIT Risk・ISO 31000）まで扱われる。

選択肢の発展補足

選択肢b（SLA遵守のためのオペレーション管理）：SLA（Service Level Agreement）はサービス品質の合意文書であり、その内容に従ってサービスを監視・管理することがSLM（Service Level Management）＝オペレーション管理である。SLAという「ルール（基準値）」が先に存在し、それを守るための「管理活動」が選択肢bであるため、「ルールに従った行動」に該当する。

選択肢c（開発プロジェクトの予算管理）：プロジェクト管理は承認された予算・スコープ・スケジュールという「制約条件（ルール）」の範囲内でプロジェクトを遂行する管理活動。予算の「決定」ではなく「管理（モニタリング・コントロール）」であることがポイントで、既存のルールに従った実行活動に分類される。

選択肢d（標準開発手法に準拠した個別プロジェクトの推進）：標準開発手法（組織内の開発標準・テンプレート・ガイドライン）という「ルール」が先に存在し、個別プロジェクトはそのルールに準拠して推進される「ルールに従った行動」の典型例。「標準を確立する」活動はルール設定だが、「標準に準拠してプロジェクトを進める」はルール遵守の実行活動である。