[https://www.youtube.com/watch?v=3963h5A21b8:embed:cite]

情報処理技術者試験の令和6年秋期問25を題材に、システム監査で頻出のIT統制についてサクラ先輩が分かりやすく熱血解説します。全般統制と業務処理統制の違いで迷っていませんか。この動画を見れば、ルールか機能かの見分け方が分かり、試験の引っかけ問題にも騙されなくなります。さらにAIを活用した最新の認証技術のトレンドも紹介しており、システム設計や監査の攻略に役立ちます。 この動画で学習すべき重要なキーワードについて説明します。まず基本となるのが全般統制と業務処理統制です。全般統制とはITGCとも呼ばれ、組織全体の環境を保証するためのものです。複数の業務に関係する方針や手続であり、システム開発のルールや保守、安全性確保、契約管理などがこれに該当します。また、アクセス管理に関する規程や権限の設定方針を定めたり、利用者に対して教育を行ったりすることも全般統制に含まれます。つまり、組織全体としての環境整備や、人に対するコントロール、ルールづくりが全般統制の役割です。一方で、業務処理統制とはITACとも呼ばれ、個別の業務プロセスや特定のシステムに直接組み込まれた機能やロジックのことを指します。データが正確に処理され記録されることを確保するためのもので、具体的な例としてはデータの入力チェックや自動計算、エラー修正などがあります。また、特定のアプリケーションシステム内で、利用者IDとパスワードによって正しい利用者を認証する仕組みそのものも業務処理統制に該当します。試験対策として注意すべきなのがアクセス管理という言葉です。アクセス管理と一言で言っても、誰にどのような権限を与えるかを決める方針やルールは全般統制となりますが、実際のログイン画面で入力されたパスワードをシステムがチェックして制御する機能は業務処理統制となります。言葉の表面だけにとらわれず、それが組織としての手続や方針なのか、それともシステム内部の機能やロジックなのかを見極めることが重要です。内部統制という大きな枠組みの中で、全般統制というルールがあり、その上で業務処理統制という機能が働くという二段構えの構造を理解することがポイントになります。さらに、これからのシステム環境を見据える上で知っておくべき概念がCARTAです。これは継続的かつ適応的にリスクと信頼を評価するアプローチを指します。従来の業務処理統制ではIDとパスワードによる静的な認証が主流でしたが、最新の現場ではAIによる分析や、ユーザーの振る舞い、コンテキスト、生体認証などを組み合わせて、常時リアルタイムにリスクを判定する仕組みへと進化しています。試験知識としての基本を押さえるとともに、このような最新のトレンドを理解しておくことで、より実務に役立つシステム設計や監査の知識を身につけることができます。