先日受けたシステム監査技術者試験について、自己採点を行いました。
午前2
自己採点結果:84点(午前2自己採点簿)
IPAから発表された公式解答を用いて採点しました。無事突破できたようです。
午後1
自己採点結果:88点(午後1自己採点簿)
TACおよびiTECから出ている解答速報を用いて、自己採点しました。基本的にOR条件で正解判定しています。iTECの重点対策をテキストに使ったためか、自分はiTECの解答にしっくり来ることが多かったですね。
調整によって採点が厳しくなり、実際の点数はもう少し下がるかなあ、と思っています。以前他区分で、自己採点結果がかなり良くても、結果が意外と厳しいことがあったので。
午後2
例によって、骨子のみ載せておきます。今回も鉄板ネタである、旅行商品販売システムを題材に用いました。再現時に改めて気づきましたが、設問イは骨子段階では十分に作成しておらず、サビマネの知識により即興で肉付けした部分が多いので、少し精度に不安が残りますね。大きく題意を外した箇所はないと思うので、自己採点結果は、一応Aとします。
設問ア
情報システムの概要
- 旅行商品販売システム
- 自分は、運用課のリーダーとして被監査側担当の立場である
- システムの利用者は、営業部員と一般消費者
- システムは、WEBサーバ2台、アプリサーバ2台、DBサーバ1台で構成している
- 経営会議で、99.9%以上の稼働率を要求されている
障害発生時の影響
- サービス停止による、売上機会の消失
- 顧客離れ。旅行商品の特性上、航空券や休みなど、購入タイミングがシビアであるため
- 近年、カウンター業務よりWEB経由の売上高が大きく伸長しているので、経営に与える影響も大きい
設問イ
可用性確保のためのコントロール
- WEBサーバとアプリサーバをデュアル構成で冗長化している
- メモリなどサーバの構成部品の二重化ではなく、様々な部品や論理不具合にも対応できるよう、サーバごと二重化した
- 故障時に1台運用となっても、負荷には耐えられる
- DBサーバはデータの同期が難しいため、待機系はコールドスタンバイさせている
障害対応のためのコントロール
- モニタリングソフトで、CPUやメモリの使用状況を監視し、異常を早期に検知する
- 即座に現状復帰を目指すインシデント対応プロセスと、根本解決を目指す問題管理プロセスを、分離する
- インシデント対応では、まずデータの参照だけでも出来れば、業務に与える影響を軽減できる
- 影響を受ける営業部員や一般消費者に、適切なタイミングで状況の連絡や報告をする
設問ウ
可用性確保の監査
- 経営とのSLAである99.9%を上回っているか、各サーバの障害発生状況を、インシデント受付記録から確認する
- 可用性確保のために、過剰なコストをかけていないか、比較検討会議の議事録や報告書をレビューする
- 可用性確保のための冗長化が、計画通りに実施されているか、実施報告書を確認する
障害対応の監査
- 障害対応規程が存在するか。検知の方法、対応プロセス、連絡体制が明記されているか、チェックリストに従い確認する
- 障害対応規程は、複数の部署で遵守すべき規程なので、経営レベルの承認がされているか、確認する
- 改訂日付が新しくなっているか、確認する
- 障害対応規程が正しく運用されているか、インシデント受付記録や障害対応報告書から確認する