カテゴリ: 15 各種午前問題

問13 2層クライアントサーバシステムと比較した3層クライアントサーバシステムの特徴として,適切なものはどれか。
ア クライアント側で業務処理専用のミドルウェアを採用しているので,業務処理の追加・変更などがしやすい。
イ クライアント側で業務処理を行い,サーバ側ではデータベース処理に特化できるので,ハードウェア構成の自由度も高く,拡張性に優れている。
ウ クライアント側の端末には,管理が容易で入出力のGUI 処理だけを扱うシンクライアントを使用することができる。
エ クライアントとサーバ間でSQL文がやリ取りされるので,データ伝送量をネットワークに合わせて最少化できる。

【解説】
3層クライアントサーバシステムは、皆さんがよく使うWebのシステムと考えるとイメージしやすいでしょう。クライアント、アプリケーションサーバ(Webサーバ)、データベースの3つから構成されます。
クライアント側では基本的に処理をしません。なので、アやイは不正解です。また、クライアント側は入力を送るだけなので、シンクライアントで使用もできます。
エですが、SQL文は、サーバ間(アプリケーションサーバとデータベースサーバ)でやりとりされます。

【正解】 ウ

問14 MTBFMTTRに関する記述として,適切なものはどれか。
ア エラーログや命令トレースの機能によって,  MTTRは長くなる。
イ 遠隔保守によって,システムのMTBFは短くなり,  MTTRは長くなる。
ウ システムを構成する装置の種類が多いほど,システムのMTBFは長くなる。
エ 予防保守によって,システムのMTBFは長くなる。

【解説】
MTBF(Mean Time Between Failure)は平均故障間隔を意味し、 MTTR(Mean Time To Repair)は平均修復時間を意味します。アのエラーログなどにより、故障の原因を掴むことができます。MTTRは短くなります。イの遠隔保守をすることで、故障を未然に防ぐことができます。つまり、故障しなくなることからMTBFは長くなります。これは、選択肢エでも言えることで、エが正解選択肢です。
また、ウのように、装置が増えれば故障の確率も上がりますから、MTBFは短くなります。

【正解】 エ

問15 2台の処理装置から成るシステムがある。少なくともいずれか一方が正常に動作すればよいときの稼働率と,   2台とも正常に動作しなければならないときの稼働率の差は幾らか。ここで,処理装置の稼働率はいずれも0.9とし,処理装置以外の要因は考慮しないものとする。

ア 0.09  イ 0.10  ウ 0.18  エ 0.19

【解説】
①いずれか一方が正常に動作すればよい→両方壊れなければいい 
 両方故障する確率は、0.1 x 0.1 =0.01 よって、1 - 0.01 = 0.99 が稼働率になります。
②2台とも正常に動作
 稼働率は0.9 x 0.9 = 0.81 です。
両者の差は、0.99 - 0.81 = 0.18 です。

【正解】 ウ

問24 利用者が現在閲覧しているWebページに表示する,Webサイトのトップページからそのページまでの経路情報を何と呼ぶか。

ア サイトマップ  イ スクロールバー  ウ ナビゲーションバー エ パンくずリスト

【解説】
「パンくず」は、ヘンゼルとグレーテルにて、家に帰るための道しるべとしてパンくずを落としていったことに由来します(でも、鳩に食べられてしまい、道しるべにはならなかったのですが…)。Web上の経路を示すもので、私のサイトでも、以下のような「パンくずリスト」を掲載しています。

カテゴリ:5.午前問題 > 5.2 IPの午前問題

【正解】 エ

問25 DBMSにおいて,スキーマを決める機能はどれか。

ア 機密保護機能  イ 障害回復機能  ウ 定義機能  エ 保全機能

【解説】

【正解】 ウ

問26 インデックス方式のうち,キー値を基にして格納位置を算出するとき,異なったキー値でも同一の算出結果となる可能性があるものはどれか。
ア B+木インデックス
イ 転置インデックス
ウ ハッシュインデックス
エ ビットマップインデックス

【解説】
他の選択肢は覚えなくていいでしょう。ハッシュ関数では、違う値から同じハッシュ値になる可能性がゼロではありません。これを、シノニム(衝突)と言います。

【正解】 ウ

問27 関係“注文記録”の属性間に①~⑥の関数従属性があリ,それに基づいて第3正規形まで正規化を行って,“商品”,“顧客”,“注文”,“注文明細”の各関係に分解した。関係“注文明細”として,適切なものはどれか。ここで,   {X,Y}は,属性XとYの組みを表し, X→Yは,XがYを関数的に決定することを表す。また,実線の下線は主キーを表す。

 注文記録(注文番号,注文日,顧客番号,顧客名,商品番号,商品名,数量,販売単価)

〔関数従属性〕
①注文番号→注文日
②注文番号→顧客番号
③顧客番号→顧客名
④{注文番号,商品番号}→数量
⑤{注文番号,商品番号}→販売単価
⑥商品番号→商品名

ア 注文明細(注文番号,数量,販売単価)
イ 注文明細(注文番号,顧客番号,数量,販売単価)
ウ 注文明細(注文番号,顧客番号,商品番号,顧客名,数量,販売単価)
エ 注文明細(注文番号,商品番号,数量,販売単価)

【解説】
関数従属性は、Xが決まればYが決まるものを言います。たとえば、注文番号が決ると注文日も決まります。
この中で、注文の明細を一意に決めるには「注文番号」と「商品番号」の2つが必要です(④⑤より)。ですから、選択肢アとイは不適切です。また、ウは顧客番号→顧客名(③より)という、非正規な部分が残っていますから第三正規系になっていません。

【正解】 エ

問28   "出庫記録”表に対するSQL文のうち,最も大きな値が得られるものはどれか。

出庫記録
商品番号日付数量
NP2002015-10-103
FP2332015-10-102
NP2002015-10-111
FP2332015-10-112
ア SELECT AVG(数量)FROM出庫記録WHERE商品番号= 'NP200'
イ SELECT COUNT(*)FROM出庫記録
ウ SELECT MAX(数量)FROM出庫記録
エ SELECT SUM(数量)FROM出庫記録WHERE日付='2015-10-11'

【解説】
順に見て行きます。
ア:AVG(average)は平均を意味します。よって、平均値は2です。
イ:COUNT(*)はレコードがいくつかるかを意味します。結果は4行です。
ウ:MAXは最大値を意味します。よって、最大値は3です。
エ:SUMは合計を意味します。日付が'2015-10-11'の合計は3です。
この中で、最も大きな値になるのは、イの4です。

【正解】 イ

問29 ロックの両立性に関する記述のうち,適切なものはどれか。
ア トランザクションT1が共有ロックを獲得している資源に対して,トランザクションT2は共有ロックと専有ロックのどちらも獲得することができる。
イ トランザクションT1が共有ロックを獲得している資源に対して,トランザクションT2は共有ロックを獲得することはできるが,専有ロックを獲得することはできない。
ウ トランザクションT1が専有ロックを獲得している資源に対して,トランザクションT2は専有ロックと共有ロックのどちらも獲得することができる。
エ トランザクションT1が専有ロックを獲得している資源に対して,トランザクションT2は専有ロックを獲得することはできるが,共有ロックを獲得することはできない。

【解説】
「専有ロックをしているときは、他の人はロックできない」ことだけを理解しておけば、解ける問題です。正解はイです。

【正解】 イ

問30 1.5 Mビット/秒の伝送路を用いて12 Mバイトのデータを転送するのに必要な伝送時間は何秒か。ここで,伝送路の伝送効率を50%とする。

ア 16  イ 32  ウ 64  エ 128

【解説】
ビットとバイトで単位を揃えることに注意しましょう。12Mバイト = 12 x 8 = 96Mビットです。
伝送時間は、 96 ÷ (1.5 ÷ 2) = 128

【正解】 エ

問31 OSI基本参照モデルの第3層に位置し,通信の経路選択機能や中継機能を果たす層はどれか。
ア セション層  イ データリンク層  ウ トランスポート層  エ ネットワーク層

【正解】 エ

問32 LANに接続されたPCに対して,そのIPアドレスをPCの起動時などに自動設定するために用いるプロトコルはどれか。
ア DHCP  イ DNS  ウ FTP  エ PPP

【解説】
DHCP(Dynamic Host Configration Protocol)とは、言葉の通り、動的にホスト(Host)やPCのネットワークの設定(Configration)をするプロトコル(Protocol)です。

【正解】 ア

問33 IPv4にはなく,  IPv6で追加・変更された仕様はどれか。
ア アドレス空間として128ビットを割り当てた。
イ サブネットマスクの導入によって,アドレス空間の有効利用を図った。
ウ ネットワークアドレスとサブネットマスクの対によってIPアドレスを表現した。
エ プライベートアドレスの導入によって,IPアドレスの有効利用を図った。

【解説】
アは正解です。IPv4が32ビットであるのに対し、IPv6は128ビットです。
イはとエは、IPv4からある特徴です。
ウですが、アドレスはネットワークを表す部分とホストを表す部分から成ります。

【正解】 ア

問34 IPv4アドレスに関する記述のうち,適切なものはどれか。
ア 192.168.0.0~192.168.255.255は,クラスCアドレスなのでJPNICへの届出が必要である。
イ 192.168.0.0/24のネットワークアドレスは,192.168.0.0である。
ウ 192.168.0.0/24のブロードキャストアドレスは,192.168.0.0である。
エ 192.168.0.1は,プログラムなどで自分自身と通信する場合に利用されるループバックアドレスである。

【解説】
アはプライベートIPアドレスなので、届け出なしに自由に使えます。イは正解です。ウは、ブロードキャストアドレスは192.168.0.255です。ループバックアドレスは、127.0.0.1などになります。

【正解】 イ

問35 TCP/IPネットワークにおいて,  TCPコネクションを識別するために必要な情報の組合せはどれか。
ア IPアドレス,セッションID
イ IPアドレス,ポート番号
ウ MACアドレス,セッションID
エ ポート番号,セッションID

【解説】
セッションはイのIPアドレスとポート番号からなります。覚えましょう!

【正解】 イ

問51 図のアローダイアグラムで表されるプロジェクトは,完了までに最短で何日を要するか。
44689196.jpg

ア 115
イ 120
ウ 125
エ 130

【解説】
丸のついた数字の横に、所要日数の累計を書いておくとわかりやすいです。たとえば、②であれば30、③であれば30+5=35という感じです。④に関しては、①→②→③→④のルートと、①→②→④の2ルートがあります。それぞれ、30+5+0=35、30+30=60になります。遅い方が所要日数になります。このやり方で、すべての丸がついた数字に所要日数を記載していきます。すると、①→②→④→⑤→⑥→⑦が最も時間がかかるルートで、クリティカルパスになります。その所要時間は、30+30+0+30+30=120(日)です。

【正解】 イ

問52 表の機能と特性をもったプログラムのファンクションポイント値は幾らか。ここで,複雑さの補正係数は0.75とする。

ユーザファンクションタイプ個数重み付け係数
外部入力14
外部出力25
内部論理ファイル110
外部インターフェースファイル07
外部照会04

ア 18  イ 24  ウ 30  エ 32

【解説】
過去問では、ソフトウェアの開発規模見積りに利用されるファンクションポイント法の説明として、「外部仕様から、そのシステムがもつ入力、出力や内部論理ファイルなどの5項目に該当する要素の数を求め、さらに複雑さを考慮した重きを掛けて求めた値を合計して規模を見積もる。(H21PM午前2-問3)」と述べられています。この説明にありますように、それぞれを単純に掛け算すればいいことになります。
(1 x 4 + 2 x 5 + 1 x 10) x 0.75 = 18

【正解】 ア

問53 10人が0.5 kステップ/人日の生産性で作業するとき,30日間を要するプログラミンク作業がある。 10日目が終了した時点で作業が終了したステップ数は,10人の合計で30 kステップであった。予定の30日間でプログラミングを完了するためには,少なくとも何名の要員を追加すればよいか。ここで,追加する要員の生産性は,現在の要員と同じとする。

ア 2  イ 7  ウ 10  エ 20

【解説】
まず、全体の工数を計算します。「10人が0.5 kステップ/人日の生産性で作業するとき,30日間を要するプログラミンク作業」ですから、全体の工数は、10 x 0.5 x 30 = 150(kステップ) です。
残りの工数は、150k - 30k = 120k です。また、残りの日数は、30日 - 10日 = 20日です。
現在の生産性は、「10日目が終了した時点で作業が終了したステップ数は,10人の合計で30 kステップ」ですから、「1人が0.3kステップ/人日」の生産性です。このペースで、残りの120kを20日で仕上げますから、必要な人員を□人とすると、0.3 x □ x 20 = 120 の式が成り立ちます。 これを計算すると、□ = 20 よって、残りは20 -10 =10人が必要です。
   
【正解】 ウ

問54 プロジェクトのリスクに対応する戦略として,損害発生時のリスクに備え,損害賠償保険に加入することにした。PMBOKによれば,該当する戦略はどれか。
ア 回避
イ 軽減
ウ 受容
エ 転嫁

【解説】
正解はリスク転嫁です。リスク移転とも言われます。

【正解】 エ

問55 サービスデスク組織の構造とその特徴のうち,ローカルサービスデスクのものはどれか。
ア サービスデスクを1拠点又は少数の場所に集中することによって,サービス要員を効率的に配置したり,大量のコールに対応したりすることができる。
イ サービスデスクを利用者の近くに配置することによって,言語や文化が異なる利用者への対応,専用要員によるVIP対応などができる。
ウ サービス要員は複数の地域や部門に分散しているが,通信技術を利用することによって,単一のサービスデスクであるかのようにサービスが提供できる。
エ 分散拠点のサービス要員を含めた全員を中央で統括して管理することによって,統制のとれたサービスが提供できる。

【解説】
正解はイです。ローカルなので、利用者の近くに配置するのが特徴です。
ちなみに、選択肢アは、中央(セントラル)サービスデスク、ウはバーチャルサービスデスクの説明です。

【正解】 イ

問56 情報システムの安全性や信頼性を向上させる考え方のうち,フェールセーフはどれか。
ア システムが部分的に故障しても,システム全体としては必要な機能を維持する。
イ システム障害が発生したとき,待機しているシステムに切り替えて処理を続行する。
ウ システムを構成している機器が故障したときは,システムが安全に停止するようにして,被害を最小限に抑える。
エ 利用者が誤った操作をしても,システムに異常が起こらないようにする。

【解説】
正解はウです。フェールセーフは「セーフ(safe)」という「安全」という言葉が入っています。答えに「安全
」というキーワードが入っていることから、わかりやすかったと思います。
参考までに、アはフェールソフト、イはフォールトトレラント、エはフールプルーフです。

【正解】 ウ

問57 業務部門が起票した入力原票を,情報システム部門でデータ入力する場合,情報システム部門の業務として,適切なものはどれか。
ア 業務部門が入力原票ごとの処理結果を確認できるように,処理結果リストを業務部門に送付している。
イ 入力原票の記入内容に誤りがある場合は,誤りの内容が明らかなときに限り,入力担当者だけの判断で入力原票を修正し,入力処理している。
ウ 入力原票は処理期日まで情報システム部門で保管し,受領枚数の点検などの授受確認は,処理期日直前に一括して行うことにしている。
エ 入力済みの入力原票は,不正使用や機密情報の漏えいなどを防止するために,入力後直ちに廃棄することにしている。

【解説】
この問題は、間違いを探して消去法で答えるのがいいでしょう。
ア:適切です。
イ:「入力担当者だけの判断で入力原票を修正」するのは不適切で、業務部門に確認をすべきです。
ウ:「処理期日直前に一括して行う」のでは、内容の確認や、ミスをしたときのリカバリーができません。
エ:「入力後直ちに廃棄」しては、あとで確認ができなくなります。

【正解】 ア

問58 システム監査の実施体制に関する記述のうち,適切なものはどれか。
ア 監査依頼者が監査報告に基づく改善指示を行えるように,システム監査人は監査結果を監査依頼者に報告する。
イ 業務監査の一部として情報システムの監査を行う場合には,利用部門のメンバによる監査チームを編成して行う。
ウ システム監査人が他の専門家の支援を受ける場合には,支援の範囲,方法,監査結果の判断などは,他の専門家の責任において行う。
エ 情報システム部門における開発の状況の監査を行う場合には,開発内容を熟知した情報システム部門のメンバによる監査チームを編成して行う。

【解説】
こちらも、間違いを探して消去法で答えるのがいいでしょう。
ア:適切です。
イ:監査は、「利用部門のメンバ」ではなく、監査対象から独立した人が行うべきです。
ウ:他の専門家の責任ではなく、システム監査人が自ら責任を持つ必要があります。
エ:イと同じで、監査対象から独立した人が行うべきです。

【正解】 ア

問59 ソースコードバージョン管理システムが導入された場合に,システム監査において,ソースコードの機密性のチェックポイントとして追加することが適切なものはどれか。
ア バージョン管理システムに登録したソースコードの変更結果を責任者が承認していること
イ バージョン管理システムのアクセスコントロールの設定が適切であること
ウ バージョン管理システムの導入コストが適正な水準にあること
エ バージョン管理システムを開発部門が選定していること

【解説】
機密性という観点から、アクセスコントロールによる利用者の制限が求められます。

【正解】 イ

問60 スプレッドシートの処理ロジックの正確性に関わるコントロールを監査する際のチェックポイントはどれか。
ア スプレッドシートの作成者と利用者が同一であること
イ スプレッドシートのバックアップが行われていること
ウ スプレッドシートのプログラムの内容が文書化され検証されていること
エ スプレッドシートの利用者が定められていること

【解説】
スプレッドシートとは、表計算ソフトと考えてください。
コントロールとは文字通り「統制」を意味します。ログを取得したり、管理をすることで、「正確性」の統制が取れているかを考えましょう。

【正解】 ウ

問62 システム企画段階において業務プロセスを抜本的に再設計する際の留意点はどれか。
ア 新たな視点から高い目標を設定し,将来的に必要となる最上位の業務機能と業務組織のモデルを検討する。
イ 業務改善を積み重ねるために,ビジネスモデルの将来像にはこだわらず,現場レベルのニーズや課題への対応を重視して業務プロセスを再設計する。
ウ 経営者や管理者による意思決定などの非定型業務ではなく,購買,製造,販売,出荷,サービスといった定型業務を対象とする。
エ 現行業務に関する組織,技術などについての情報を収集し,現行の組織や業務手続に基づいて業務プロセスを再設計する。

【解説】
問題文に「抜本的に再設計」とあります。「抜本的」というキーワードから、選択肢アの「新たな視点から高い目標を設定」するのが最適です。
選択肢イやエは、現場レベルからの再設計ですから、「抜本的」とは言えません。また、ウは「意思決定」のプロセスなども重要な再設計項目になります。

【正解】 ア

問79 サイバーセキュリティ基本法の説明はどれか。
ア 国民に対し,サイバーセキュリティの重要性につき関心と理解を深め,その確保に必要な注意を払うよう努めることを求める規定がある。
イ サイバーセキュリティに関する国及び情報通信事業者の責務を定めたものであリ,地方公共団体や教育研究機関についての言及はない。
ウ サイバーセキュリティに関する国及び地方公共団体の責務を定めたものであり,民間事業者が努力すべき事項についての規定はない。
エ 地方公共団体を“重要社会基盤事業者”と位置づけ,サイバーセキュリティ関連施策の立案・実施に責任を負うと規定している。

【解説】
アは正解選択肢で、第9条に「国民の努力」としての記載があります。また、「地方公共団体の責務」や「重要社会基盤事業者の責務」(=民間事業者)などが規定されています。よって、イやウは不正解です。
選択肢エですが、地方公共団体と重要社会基盤事業者は別物です。

【正解】 ア

問80 独占禁止法の目的として,適切なものはどれか。
ア 公正かつ自由な競争を促進する。
イ 国際的な平和及び安全の維持を阻害する取引を防止する。
ウ 製造物の欠陥によって損害が生じたときの製造業者の責任を定める。
エ 特許権者に発明を実施する権利を与え,発明を保護する。

【解説】

【正解】 ア

問15 稼働率が最も高いシステム構成はどれか。ここで,並列に接続したシステムは,少なくともそのうちのどれか一つが稼働していればよいものとする。
ア 稼働率70%の同一システムを四つ並列に接続
イ 稼働率80%の同一システムを三つ並列に接続
ウ 稼働率90%の同一システムを二つ並列に接続
エ 稼動率99%の単一システム

【解説】
並列にした場合、全て壊れなけばシステムとして稼働します。なので、稼働率は、(1 - 全てが壊れる確率) で計算できます。
ア:故障率は0.3なので、1 - 0.3 x 0.3 x 0.3 x 0.3 = 99.19
イ:故障率は0.2なので、1 - 0.2 x 0.2 x 0.2  =  99.2
ウ:故障率は0.1なので、1 - 0.1 x 0.1  = 99
最も稼働率が高いのは、イの99.2です。

【正解】 イ

問16 コンピュータシステムの信頼性に関する記述のうち,適切なものはどれか。
ア システムの遠隔保守は,MTTRを長くし,稼働率を向上させる。
イ システムの稼働率は,MTTRとMTBFを長くすることによって向上する。
ウ システムの構成が複雑なほど,MTBFは長くなる。
エ システムの予防保守は,MTBFを長くするために行う。

【解説】
ア:遠隔保守をすることで、早期の復旧に寄与する可能性があります。よって、MTTRが長くなることはありません。
イ:稼働率MTBF÷(MTBFMTTR)で表されます。よってMTTRを長くすると、稼働率は悪くなります。
ウ:システムが複雑になれば、故障の可能性が高くなり、MTBFは短くなります。
エ:予防保守により、故障を未然に防ぐことができます。つまり、故障しなくなることからMTBFは長くなります。

【正解】 エ

問26 DBMSが,3層スキーマアーキテクチャを採用する目的として,適切なものはどれか。
ア 関係演算によって元の表から新たな表を導出し,それが実在しているように見せる。
イ 対話的に使われるSQL文を,アプリケーションプログラムからも使えるようにする。
ウ データの物理的な格納構造を変更しても,アプリケーションプログラムに影響が及ばないようにする。
エ プログラム言語を限定して,アプリケーションプログラムとDBMSを緊密に結合する。

【解説】
アはビューに関する内容です。

【正解】 ウ

問27 クライアントサーバシステムにおいて,クライアント側からストアドプロシージャを利用したときの利点として,適切なものはどれか。
ア クライアントとサーバの間の通信量を削減できる。
イ サーバ内でのデータベースファイルへのアクセス量を削減できる。
ウ サーバのメモリ使用量を削減できる。
エ データベースファイルの格納領域を削減できる。

【解説】
ストアドプロシージャとは、stored(サーバに蓄えられた) procedure(手続きorプログラム)です。クライアントからSQL文などで要求を毎回送るのではなく、あらかじめサーバ側に一連のProcedure(プログラム)を作成しておく。クライアントからは値だけを送ればいいので、通信量を削減できる利点があります。

【正解】 ア

問28 図のデータモデルを三つの表で実装する。このとき,“A社への売上50,000円を,2015年4月4日に現金勘定に計上した”ことを記録する“移動”表のa,bの適切な組合せはどれか。ここで,モデルの表記にはUMLを用いる。
平成27年度春(FE)(テクノロジ)_問28
勘定移動会計取引
勘定
コード
科目名移動
コード
借/貸金額取引
番号
取引
番号
計上日摘要
208売上ab50,000012201222015-04-04A社
510現金208貸方50,000012201242015-04-04A社
511預金510貸方50,0000124
812旅費812借方50,0000124

ab
208貸方
208借方
510貸方
510借方

【解説】
この問題は、財務の知識があると有利でした。制約に「一つの会計取引に関する「借方」金額の合計と「貸方」金額の合計は一致することとあります。ですから、bには借方を入れないと、合計金額が一致しません。また、「A社への売上50,000円を,2015年4月4日に現金勘定に計上」とあります。「売上(208)」と「現金(510)」が該当しますが、aのすぐ下が「売上(208)」ですから、「a」には「現金(510)」が入ることが分かります。

【正解】 エ

問29 新たにデータ項目の命名規約を設ける場合,次の命名規約だけでは回避できない問題はどれか。

〔C命名規約〕
(1)データ項目名の末尾には必ず“名”,“コード”,“数”,“金額”,“年月日”などの区分語を付与し,区分語ごとに定めたデータ型にする。
(2)データ項目名と意味を登録した辞書を作成し,異音同義語や同音異義語が発生しないようにする。

ア データ項目“受信年月日”のデータ型として,日付型と文字列型が混在する。
イ データ項目“受注金額”の取り得る値の範囲がテーブルによって異なる。
ウ データ項目“賞与金額”と同じ意味で“ボーナス金額”というデータ項目がある。
エ データ項目“取引先”が,“取引先コード”が取引先名”か,判別できない。

【解説】
消去法で考えましょう。
ア:「“年月日”などの区分語を付与し,区分語ごとに定めたデータ型にする」とありますから、回避できます。
ウ:「異音同義語や同音異義語が発生しないようにする」ことで、回避できます。
エ:「“名”,“コード”,“数”,“金額”,“年月日”などの区分語を付与」することで、回避できます。

【正解】 イ

問30 図は,DBMSが受け付けたクエリを実行するまでの処理の流れを表している①~③に入る処理の組合せとして,適切なものはどれか。
平成27年度春(FE)(テクノロジ)_問30
コード生成構文解析最適化
コード生成最適化構文解析
構文解析コード生成最適化
構文解析最適化コード生成

【解説】
これは、覚えていないと難しかったと思います。

【正解】 エ

問31 10 M バイトのデータを100,000ビット/秒の回線を使って転送するとき,転送時間は何秒か。ここで,回線の伝送効率を50%とし,1Mバイト=1000000バイトとする。

ア 200  イ 400  ウ 800  エ 1,600

【解説】
バイトをビットに直す(8倍する)ことを忘れないようにしましょう。
10 x 1000000 x 8 ÷ (100000 x 0.5) = 1600

【正解】 エ

問32 CSMA/CD方式のLANに接続されたノードの送信動作として,適切なものはどれか。
ア 各ノードに論理的な順位付けを行い,送信権を順次受け渡し,これを受け取ったノードだけが送信を行う。
イ 各ノードは伝送媒体が使用中かどうかを調べ,使用中でなければ送信を行う。衝突を検出したらランダムな時間経過後に再度送信を行う。
ウ 各ノードを環状に接続して,送信権を制御するための特殊なフレームを巡回させ,これを受け取ったノードだけが送信を行う。
エ タイムスロットを割り当てられたノードだけが送信を行う。

【解説】
イがCSMA/CDで正解選択肢です。ウがFDDIなどで利用されるトークンパッシング、エがTDMA(Time Division Multiple Access)です。

【正解】 イ

問33 LAN間接続装置に関する記述のうち,適切なものはどれか。
ア ゲートウェイは,OSI基本参照モデルにおける第1~3層だけのプロトコルを変換する。
イ ブリッジは,IPアドレスを基にしてフレームを中継する。
ウ リピータは,同種のセグメント間で信号を増幅することによって伝送距離を延長する。
エ ルータは,MACアドレスを基にしてフレームを中継する。

【解説】
正解はウです。ちなみに、イとエでは、「IPアドレス」と「MACアドレス」が逆です。

【正解】 ウ

問34 IPv6IPアドレスは何ビットか。

ア 32  イ 64  ウ 128  エ 256

【解説】
IPv4が32ビットなのに対し、IPv6は128ビットです。

【正解】 ウ

問35 TCP/IPを利用している環境で,電子メールに画像データなどを添付するための規格はどれか。

ア JPEG  イ MIME  ウ MPEG  エ SMTP

【解説】
MIME (Multipurpose Internet Mail Extensions)のことです。

【正解】 イ

問36 IPv4グローバルIPアドレスはどれか。
ア 118.151.146.138
イ 127.158.32.134
ウ 172.22.151.43
エ 192.168.38.158

【解説】
プライベートIPアドレスは(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)ですから、それ以外を探します。正解は、アです。また、127.0.0.0/8はループバックアドレスですからイも不正解です。
【正解】 ア

問47 E-R図の説明はどれか。
ア オブジェクト指向モデルを表現する図である。
イ 時間や行動などに応じて,状態が変化する状況を表現する図である。
ウ 対象とする世界を実体と関連の二つの概念で表現する図である。
エ データの流れを視覚的に分かりやすく表現する図である。

【解説】
E-R図は、データの実体(entity)とその関連(relationship)を表現します。

【正解】 ウ

問48 オブジェクト指向の考え方に基づくとき,一般に“自動車”のサブクラスといえるものはどれか。

ア エンジン  イ 製造番号  ウ タイヤ  エ トラック

【解説】
オブジェクト指向におけるオブジェクト間の代表的な関係には,is-a(汎化-特化)とpart-of(分解-集約)の二つがあります。前者の例は、「人間と動物」(人間は、動物の中の一つ)で、後者の例は、「タイヤと自動車」(タイヤは、自動車のパーツ)です。「汎化-特化」は「スーパークラス、サブクラス」の関係になります。サブクラス(is-a)になるのは、「トラックは、自動車の中の一つ」となり、トラックが正解です。

【正解】 エ

問52 プロジェクトに関わるステークホルダの説明のうち,適切なものはどれか。
ア 組織の内部に属しており,組織の外部にいることはない。
イ プロジェクトに直接参加し,間接的な関与にとどまることはない。
ウ プロジェクトの成果が,自らの利益になる者と不利益になる者がいる。
エ プロジェクトマネージヤのように,個人として特定できることが必要である。

【解説】
ア、イ:株主やそのプロジェクトに出資をしている金融機関など、組織外にて間接的に関与することも多々あります。
ウ:正解選択肢です。そのプロジェクトの成否の影響を受けるライバル企業も、ステークホルダーと言えます。
エ:個人として特定できる必要はありません。

【正解】 ウ

問53 プロジェクトスコープマネジメントにおいて,WBS作成のプロセスで行うことはどれか。
ア 作業の工数を算定して,コストを見積もる。
イ 作業を階層的に細分化する。
ウ 作業を順序付けして,スケジュールとして組み立てる。
エ 成果物を生成するためのアクティビティを定義する。

【解説】
WBSに関して過去問(H24春IP問41)では、「プロジェクトマネジメントにおいて計画を立てる際に用いられる手法の一つであり,プロジェクト全体を細かい作業に分割し,階層化した構成図で表すもの」とあります。よって、正解はイです。

【正解】 イ

問54 図は,あるプロジェクトの作業(A~I)とその作業日数を表している。このプロジェクトが終了するまでに必要な最短日数は何日か。
c8058bb7.jpg

ア 27  イ 28  ウ 29  エ 31

【解説】
最も時間がかかるクリティカルパス(Critical Path)を探しましょう。その工程は、A→B→G→D→Iです。よって、3 + 6 + 11  + 6 + 5 = 31 となります。 

【正解】 エ

問55 システムが正常に稼働するかどうかを確認するために,システムの利用部門の利用者と情報システム部門の運用者が合同で,本稼働前に運用テストを実施することになった。利用者が優先して確認すべき事項はどれか。
ア オンライン処理,バッチ処理などが,運用手順どおりに稼働すること
イ 決められた業務手順どおりに,システムが稼働すること
ウ 全てのアプリケーションプログラムが仕様書どおりに機能すること
エ 目標とする性能要件を満たしていること

【解説】
「利用部門の利用者」と「情報システム部門の運用者」の、どちらが実施する内容かを考えると答えが導けます。ア、ウ、エは、「情報システム部門の運用者」の確認事項です。

【正解】 イ

問56 ITILでは,可用性管理における重要業績評価指標(KPI)の例として,保守性を表す指標値の短縮を挙げている。この指標に該当するものはどれか。
ア 一定期間内での中断の数
イ 平均故障間隔
ウ 平均サービス回復時間
エ 平均サービス・インシデント間隔

【解説】
「保守性」を問われています。選択肢ウは、サービスの回復ですので、保守の観点のKPIになります。

【正解】 ウ

問57 ITサービスマネジメントのインシデント及びサービス要求管理プロセスにおいて,インシデントに対して最初に実施する活動はどれか。
ア 記録   イ 段階的取扱い   ウ 分類   エ 優先度の割当て

【解説】
まずは記録をすることが大事です。
「ア 記録」  →  「エ 優先度の割当て」 → 「ウ 分類」 → 「イ 段階的取扱い(エスカレーション)」→ 「解決及び終了」の流れで進んでいきます。(※出典:IT サービスマネージャ試験より)

【正解】 ア

問58 システムの費用を表すTCO(総所有費用)の意味として,適切なものはどれか。
ア 業務システムの開発に関わる費用の総額
イ システム導入から運用及び維持・管理までを含めた費用の総額
ウ システム導入時の費用の総額
エ 通信・ネットワークに関わるシステムの運用費用の総額

【解説】
正解はイです。ア、ウ、エなども含んだTotal(総)のCost(費用)がTCOです。

【正解】 イ

問59 ITに係る内部統制を評価し検証するシステム監査の対象となるものはどれか。
ア 経営企画部が行っている中期経営計画の策定の経緯
イ 人事部が行っている従業員の人事考課の結果
ウ 製造部が行っている不良品削減のための生産設備の見直しの状況
エ 販売部が行っているデータベースの入力・更新における正確性確保の方法

【解説】
「システム監査」ですから、「システム」に関するものを探せば、それが正解です。選択肢エの「データベースの入力・更新における正確性確保」は、システム監査の目的の一つである「信頼性」に該当します。

【正解】 エ

問60 システム監査実施体制のうち,システム監査人の独立性の観点から避けるべきものはどれか。
ア 監査チームメンバに任命された総務部のAさんが,他のメンバと一緒に,総務部の入退室管理の状況を監査する。
イ 監査部のBさんが,個人情報を取り扱う業務を委託している外部企業の個人情報管理状況を監査する。
ウ 情報システム部の開発管理者から5年前に監査部に異動したCさんが,マーケティング部におけるインターネットの利用状況を監査する。
エ 法務部のDさんが,監査部からの依頼によって,外部委託契約の妥当性の監査において,監査人に協力する。

【解説】
「システム監査基準2.1」には、「システム監査を客観的に実施するために、監査対象から独立していなければならない」とあります。アは独立性が確保されていません。総務部のAさんが、総務部の状況を監査しているからです。また、選択肢エにあるように、証拠を提出したり、ヒアリングに答えたりするなど、監査人への協力は問題ではありませんし、むしろ自然な行為です。

【正解】 ア

問61 システム監査人が監査報告書に記載する事項のうち,監査人の業務範囲を逸脱するものはどれか。
ア 改善の勧告  イ 改善の緊急性の判断  ウ 改善の指摘  エ 改善の命令

【解説】
システム監査基準では、「Ⅱ.システム監査の目的」として、「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」と述べています。
ここにあるように、保証を与えあるいは助言を行うことまでがミッションで、改善の命令までの権限はありません。

【正解】 エ

問62 企業活動におけるBPM(Business Process Management)の目的はどれか。
ア 業務プロセスの継続的な改善
イ 経営資源の有効活用
ウ 顧客情報の管理,分析
エ 情報資源の分析,有効活用

【解説】
BPRは、「企業の業務効率や生産性を改善するために,既存の組織やビジネスルールを全面的に見直して,再構築すること(H21春IP問20)」です。それを継続的に実施するのがBPMになります。

【正解】 ア

問63 ワークフローシステムを用いて業務改善を行ったとき,期待できる効果として適切なものはどれか。
ア 顧客の購入金額に応じて,割引などのサービスを提供できる。
イ 自社と取引先とのデータ交換の標準規約が提供できる。
ウ 書類の申請から決裁に至る事務手続の処理速度が上がる。
エ 保管する商品の倉庫内での搬入搬出作業の自動化が可能となる。

【解説】
ワークフローとは、ワーク(仕事)のフロー(流れ、手順)ですが、選択肢ウにあるような、事務処理業務の改善として利用されます。

【正解】 ウ

問64 ある営業部員の1日の業務活動を分析した結果は,表のとおりである。営業支援システムの導入によって訪問準備時間が1件当たり0.1時間短縮できる。総業務時間と1件当たりの顧客訪問時間を変えずに,1日の顧客訪問件数を6件にするには,“その他業務時間”を何時間削減する必要があるか。

1日の業務活動の時間分析表
     
総業務時間 1日の
顧客
訪問
件数
 顧客
訪問
時間
社内業務時間 
  訪問
準備
時間
その他
業務
時間
 
8.05.03.01.51.5 5件

ア 0.3  イ 0.5  ウ 0.7  エ 1.0

【解説】
現在は、1日に5件を訪問していますので、1件当たりの「顧客訪問時間」は1時間、「訪問準備時間」は0.3時間であることが分かります。1日の訪問件数を6件、つまり、1件増やすためには、1.3時間分の時間を捻出する必要があります。ただ、訪問準備時間は0.1 x 6 = 0.6 時間短縮されますから、残り0.7(= 1.3 - 0.6)時間の短縮が必要です。

【正解】 ウ

問80 日本工業標準調査会を説明したものはどれか。
ア 経済産業省に設置されている審議会で,工業標準化法に基づいて工業標準化に関する調査・審議を行っており,特にJlSの制定,改正などに関する審議を行っている。
イ 電気・電子技術に関する非営利の団体であり,主な活動内容としては,学会活動,書籍の発行,IEEE規格の標準化を行っている。
ウ 電気機械器具・材料などの標準化に関する事項を調査審議し,JEC規格の制定及び普及の事業を行っている。
エ 電子情報技術産業の総合的な発展に資することを目的とした団体であり,JEITA規格の制定及び普及の事業を行っている。

【解説】
日本工業標準調査会(JISC:Japanese Industrial Standards Committee)のサイト(http://www.jisc.go.jp/)には、「工業標準化法に基づいて経済産業省に設置されている審議会で、工業標準化全般に関する調査・審議を行っています。」と述べられています。
選択肢イはIEEEの説明です。ウとエは知らなくていいと思います。

【正解】 ア

問13 バックアップシステム構成におけるホットサイトに関する記述として,適切なものはどれか。
ア 共同利用型のサイトを用意しておき,障害発生時に,バックアップしておいたデータやプログラムの媒体を搬入してシステムを復元し,業務を再開する。
イ 待機系サイトとして稼働させておき,ネットワークを介して常時データやプログラムの更新を行い,障害発生時に速やかに業務を再開する。
ウ 予備のサイトにハードウェアを用意して,定期的にバックアップしたデータやプログラムの媒体を搬入して保管しておき,障害発生時にはこれら保管物を活用してシステムを復元し,業務を再開する。
エ 予備のサイトをあらかじめ確保しておいて,障害発生時には必要なハードウェア,バックアップしておいたデータやプログラムの媒体を搬入してシステムを復元し,業務を再開する。

【解説】
ホットサイト、ウォームサイト、コールドサイト順に、復旧に時間がかかります。今回問われているのはホットサイトですから、最も再開しやすい状態のものを探せばいいでしょう。
正解はイです。アとウはウォームサイト、コールドサイト、エはハードウェアの搬入から始めていますから、コールドサイトです。

【正解】 イ

問14 東京~大阪及び東京~名古屋がそれぞれ独立した通信回線で接続されている。東京~大阪の稼働率は0.9,東京~名古屋の稼働率は0.8である。東京~大阪の稼働率を0.95以上に改善するために,大阪~名古屋にバックアップ回線を新設することを計画している。新設される回線の稼働率は,最低限幾ら必要か。

ア 0.167  イ 0.205  ウ 0.559  エ 0.625

【解説】
4a246f13.png











東京-名古屋間の稼働率をAとします。
全体の稼働率は以下の式になります。
1 - (1 - 0.9) x (1 - 0.8 x A) = 0.95
A = 0.625

【正解】 エ

問24 ある企業では,顧客マスタファイル,商品マスタファイル,担当者マスタファイル及び当月受注ファイルを基にして,月次で受注実績を把握している。各ファイルの項目が表のとおりであるとき,これら四つのファイルを使用して当月分と直前の3か月分の出力が可能な受注実績はどれか。

ファイル項  目備 考
顧客マスタ顧客コード,名称,担当者コード,前月受注
額,2か月前受注額,3か月前受注額
各顧客の担当者は1人
商品マスタ商品コード,名称,前月受注額,2か月前受
注額,3か月前受注額
 ―
担当者マスタ担当者コード,氏名 ―
当月受注顧客コード,商品コード,受注額当月の合計受注額

ア 顧客別の商品別受注実績  イ 商品別の顧客別受注実績
ウ 商品別の担当者別受注実績  エ 担当者別の顧客別受注実績

【解説】
ア、イ:顧客と商品をくくりつけるのは「当月受注」ファイルです。しかし、そのファイルは「当月分」しかなく、直前3か月分は出力できません。
ウ:商品と担当者を直接くくりつけるものはなく、「当月受注」と「顧客マスタ」ファイルが必要です。しかし、アと同様に、直前3か月分は出力できません。
エ:「顧客マスタ」ファイルには直前の3か月分の情報があり、「当月受注」ファイルから、当月分の情報も入手できます。また、「顧客マスタ」ファイルには担当者コードもあります。担当者別の顧客別受注実績を出力可能です。

【正解】 エ

問25 800×600ピクセル,24ビットフルカラーで30フレーム/秒の動画像の配信に最小限必要な帯域幅はおよそ幾らか。ここで,通信時にデータ圧縮は行わないものとする。

ア 350kビット/秒  イ 3.5Mビット/秒  ウ 35Mビット/秒  エ 350Mビット/秒

【解説】
800 x 600 x 24 x 30 = 345.6M(ビット/秒)の帯域が必要です。これを満たせるのは、エだけです。

【正解】 エ

問26 RDBMSにおけるスキーマの説明として,適切なものはどれか。
ア 実表ではない,利用者の視点による仮想的な表である。
イ データの性質,形式,他のデータとの関連などのデータ定義の集合である。
ウ データの挿入,更新,削除,検索などのデータベース操作の総称である。
エ データベースの一貫性を保持するための各種制約条件の総称である。

【解説】
正解はイです。参考までに、アはビュー、ウはSQLに代表されるデータ操作言語です。

【正解】 イ

問28 関係を第3正規形まで正規化して設計する目的はどれか。
ア 値の重複をなくすことによって,格納効率を向上させる。
イ 関係を細かく分解することによって,整合性制約を排除する。
ウ 冗長性を排除することによって,更新時異状を回避する。
エ 属性間の結合度を低下させることによって,更新時のロック待ちを減らす。

【解説】
正規化の目的は、データの矛盾や重複を排除することです。正規化により、データの整合性が確保されますから、データの不整合などといった更新時異状を回避することができます。

【正解】 ウ

問29 データベースのアクセス効率を低下させないために,定期的に実施する処理はどれか。

ア 再編成   イ データベースダンプ  ウ バックアップ  エ ロールバック

【解説】
ちなみに、イのデータベースのダンプとは、データベースを出力することで、バックアップのようなものです。エのロールバックとは、「更新前ジャーナルを用いて,トランザクション開始直前の状態にまでデータを復旧させる(H17秋NW午前問18)。」ことです。

【正解】 ア

問30 トランザクションの同時実行制御に用いられるロックの動作に関する記述のうち,適切なものはどれか。
ア 共有ロック獲得済の資源に対して,別のトランザクションからの新たな共有ロックの獲得を認める。
イ 共有ロック獲得済の資源に対して,別のトランザクションからの新たな専有ロックの獲得を認める。
ウ 専有ロック獲得済の資源に対して,別のトランザクションからの新たな共有ロックの獲得を認める。
エ 専有ロック獲得済の資源に対して,別のトランザクションからの新たな専有ロックの獲得を認める。

【解説】
「専有ロックをしているときは、他の人はロックできない」ことだけを理解しておけば、解ける問題です。正解はアです。

【正解】 ア

問31 符号化速度が192 k ビット/秒の音声データ2.4 Mバイトを,通信速度が128 k ビット/秒のネットワークを用いてダウンロードしながら途切れることなく再生するためには,再生開始前のデータのバッファリング時間として最低何秒間が必要か。
ア 50  イ 100  ウ 150  エ 250

【解説】
「192 k ビット/秒の音声データ2.4 Mバイト」ですから、再生時間は 2.4 x 1000 x 1000 x 8 ÷ (192 x 1000) = 100秒です。
しかし、「通信速度が128 k ビット/秒のネットワーク」を用いると、再生時間は 2.4 x 1000 x 1000 x 8 ÷ (128 x 1000) = 150秒 必要です。よって、差分の50秒を、バッファリングしておけば、途切れることなく再生できます。

【正解】 ア

問32 LANにおいて,伝送距離を延長するために伝送路の途中でデータの信号波形を増幅・整形して,物理層での中継を行う装置はどれか。

ア スイッチングハブ(レイヤ2スイッチ)  イ ブリッジ  ウ リピータ  エ ルータ

【解説】
物理層がキーワードです。正解はウです。ちなみに、アとイはデータリンク層、エはネットワーク層で中継を行います。

【正解】 ウ

問33 TCP/IPネットワークで,データ転送用と制御用に異なるウェルノウンポート番号が割り当てられているプロトコルはどれか。

ア FTP  イ POP3  ウ SMTP  エ SNMP

【解説】
FTPは、21番ポートが制御用ポートで、20番ポートがデータ転送用ポートです。

【正解】 ア

問34 次のネットワークアドレスとサブネットマスクをもつネットワークがある。このネットワークを利用する場合,PCに割り振ってはいけないIPアドレスはどれか。

 ネットワークアドレス:200.170.70.16
 サブネットマスク      :255.255.255.240

ア 200.170.70.17  イ 200.170.70.20  ウ 200.170.70.30  エ 200.170.70.31

【解説】
このネットワークは200.170.70.16/28ですから、 200.170.70.17~30 までのIPアドレスが利用できます。
両端の16と31ですが、200.170.70.16はネットワークアドレスとして利用され、200.170.70.31はブロードキャストですので、利用できません。

【正解】 エ

問35 TCP/IPのネットワークにおいて,サーバとクライアント間で時刻を合わせるためのプロトコルはどれか。
ア ARP  イ ICMP  ウ NTP  エ RIP

【解説】
NTP(Network Time Protocol)は、言葉の通り、ネットワーク(Network)上の機器の時刻(Time)を正確に維持するためのプロトコル(Protocol)です。

【正解】 ウ

問51 プロジェクトマネジメントで使用するWBSで定義するものはどれか。
ア プロジェクトで行う作業を階層的に要素分解したワークパッケージ
イ プロジェクトの実行,監視・コントロール,及び終結の方法
ウ プロジェクトの要素成果物,除外事項及び制約条件
エ ワークパッケージを完了するために必要な作業

【解説】
WBSは、「プロジェクト全体を細かい作業に分割し,階層化した構成図で表すもの(H24春IP問41)」です。このとき、プロジェクトにてコントロール可能な単位まで細分化をします。この最小の単位をワークパッケージといいます。

【正解】 ア

問52 図に示すアローダイアグラムは,あるシステムの開発作業を表したものである。クリティカルパスはどれか。
ef6958c6.jpg

ア A→B→G→L→N
イ A→B→H→K→N
ウ A→C→E→G→L→N
エ A→C→I→N

【解説】
順に計算をしましょう。
ア A→B→G→L→N 5 + 15 + 12 + 7 + 3 = 42
イ A→B→H→K→N  5 + 15 + 7 + 10 + 3 = 40
ウ A→C→E→G→L→N   5 + 10 + 8 + 12 + 7 + 3 = 45 
エ A→C→I→N  5 + 10 + 24 + 3 = 42
最も時間がかかるウが、クリティカルパスになり、重点管理が必要な工程と言えます。

【正解】 ウ

問53 システム開発の見積方法の一つであるファンクションポイント法の説明として,適切なものはどれか。
ア 開発規模が分かっていることを前提として,工数と工期を見積もる方法である。ビジネス分野に限らず,全分野に適用可能である。
イ 過去に経験した類似のシステムについてのデータを基にして,システムの相違点を調べ,同じ部分については過去のデータを使い,異なった部分は経験から規模と工数を見積もる方法である。
ウ システムの機能を入出力データ数やファイル数などによって定量的に計測し,複雑さとアプリケーションの特性による調整を行って,システム規模を見積もる方法である。
エ 単位作業量の基準値を決めておき,作業項目を単位作業項目まで分解し,その積算で全体の作業量を見積もる方法である。

【解説】
正解はウで、内容は選択肢にある通りです。情報処理技術者試験では、見積もり方法としてはファンクションポイント法が問われることがほとんどです。内容を理解しておきましょう。

【正解】 ウ

問54 システムを構成するプログラムの本数とプログラム1本当たりのコーディング所要工数が表のとおりであるとき,システムを95日間で開発するには少なくとも何人の要員が必要か。ここで,システムの開発にはコーディングの他に,設計やテストの作業が必要であり,それらの作業の遂行にはコーディング所要工数の8倍の工数が掛かるものとする。
プログラム
の本数
プログラム1本当たりの
コーディング所要工数 (人日)
入力処理201
出力処理103
計算処理59


ア 8  イ 9  ウ 12  エ 13

【解説】
まず、表から工数を計算します。
20 x 1 = 20 、10 x 3 = 30 、 5 x 9 = 45   合計95人日

設計やテストにはこれの8倍がかかるとあります。ということは、合計の工数は以下になります。
95 + 95 x 8 = 95 x 9 人日
95日で終わらすためには、9人が必要です。
【正解】 イ

問55 PMBOKによれば,プロジェクトのリスクマネジメントにおいて,脅威に対して適用できる対応戦略と好機に対して適用できる対応戦略がある。脅威に対して適用できる対応戦略はどれか。

ア 活用  イ 強化  ウ 共有  エ 受容

【解説】
PMBOKの内容を知らなくても、リスク対応の4つである「リスク移転」「リスク回避」「リスク保有(受容)」「リスク低減(最適化)」を知っていれば、エであることが分かったことでしょう。

【正解】 エ

問56 ITサービスを廃止する際には,使われていた資産を包括的に識別し,余分な資産の除去や解放を適切に行うことが重要である。除去すべきでない資産を誤って除去することが原因で起こる可能性がある事象はどれか。
ア 磁気ディスク内の使わなくなる領域の無駄使い
イ ソフトウェアやハードウェアの保守料金の過払い
ウ ソフトウェアライセンスの無駄使い
エ 廃止するITサービスと資産を共有している別のITサービスでのインシデントの発生

【解説】
ア~ウは、必要な資産を除去することには関係がありません。しかしエに関しては、必要な資産を除去するこtで、それを共用しているITサービスに影響が出る可能性があります。

【正解】 エ

問57 システムの運用に関する記述のうち,適切なものはどれか。
ア 故障した構成品目を切り離し,システムのより重要な機能を存続させることを,縮退運転という。
イ 障害時のファイルの回復を目的として,定期的にファイルを別の記憶媒体に保存することを,リストアという。
ウ チェックポイントで記録しておいたデータを使用して,プログラムの実行を再開することを,リブートという。
エ データベースを変更が行われた以前の状態に復元することを目的としたトランザクション処理の記録を,データログという。

【解説】
アは正解です。イはバックアップのことです。ウはプログラムの再開であればリスタートで、OSの再開であればリブートです。エはジャーナルファイルのことです。

【正解】 ア

問58 システム障害の発生時に,オペレータが障害の発生を確実に認知できるのはどれか。
ア サーバルームに室内全体を見渡せるモニタカメラを設置して常時監視する。
イ システムコンソールへ出力させるアラームなどのメッセージに連動して,信号表示灯を点灯する機能や報知器を鳴動する機能を設ける。
ウ 障害発生時にスナップショットダンプやメモリダンプを採取する機能を設ける。
エ 毎日定時にファイルをフルバックアップする機能を設ける。

【解説】
「確実に認知」するには、「信号表示灯を点灯する機能や報知器を鳴動する機能」が適しています。

【正解】 イ

問59 システム監査人の役割に関する記述のうち,適切なものはどれか。
ア 監査対象から独立し,かつ,専門的な立場で,情報システムのコントロールの整備・運用に対する保証又は助言を行う。
イ 仕様書どおりの処理が行われるかどうか,テストを行い,リリースを承認する。
ウ 情報システムの性能を評価し,システムの利用者に監査調書を報告する。
エ 情報システムの総合テストで発見された不具合の改善を,テスト担当者に指示する。

【解説】
システム監査基準には「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある」とあり、選択肢アが正解です。

【正解】 ア

問60 ソフトウェア資産管理に対する監査のチェックポイントとして,最も適切なものはどれか。
ア ソフトウェアの提供元の開発体制について考慮しているか。
イ ソフトウェアの導入時に既存システムとの整合性を評価しているか。
ウ ソフトウェアのライセンス証書などのエビデンスが保管されているか。
エ データベースの分割などによって障害の局所化が図られているか。

【解説】
ソフトウェア資産管理の目的の一つに、ライセンス管理があります。ライセンスを正しく把握し、違法となるような利用をしていないかを管理します。正解はウです。事前知識が無かったとしても、「資産管理」というキーワードに該当するものを探せば、正解を導けたことでしょう。

【正解】 ウ

問62 BPOを説明したものはどれか。
ア 自社ではサーバを所有せずに,通信事業者などが保有するサーバの処理能力や記憶容量の一部を借りてシステムを運用することである。
イ 自社ではソフトウェアを所有せずに,外部の専門業者が提供するソフトウェアの機能をネットワーク経由で活用することである。
ウ 自社の管理部門やコールセンタなど特定部門の業務プロセス全般を,業務システムの運用などと一体として外部の専門業者に委託することである。
エ 自社よりも人件費が安い派遣会社の社員を活用することで,ソフトウェア開発の費用を低減させることである。

【解説】
BPO(Business Process Outsourcing)は、そのフルスペルの通り、「ビジネスプロセス」そのものをアウトソーシングすることです。
参考までに、アはホスティング、イはSaaSなどのクラウドサービスです。

【正解】 ウ

問63 スマートグリッドの説明はどれか。
ア 健康診断結果や投薬情報など,類似した症例に基づく分析を行い,個人ごとに最適な健康アドバイスを提供できるシステム
イ 在宅社員やシニアワーカなど,様々な勤務形態で働く労働者の相互のコミュニケーションを可能にし,多様なワークスタイルを支援するシステム
ウ 自動車に設置された情報機器を用いて,飲食店・娯楽情報などの検索,交通情報の受発信,緊急時の現在位置の通報などが行えるシステム
エ 通信と情報処理技術によって,発電と電力消費を総合的に制御し,再生可能エネルギーの活用,安定的な電力供給,最適な需給調整を図るシステム

【解説】
スマートグリッド(smart grid)のグリッドは、「送電網」を意味します。

【正解】 エ

問64 BYOD (Bring Your Own Device)の説明はどれか。
ア 会社から貸与された情報機器を常に携行して業務にあたること
イ 会社所有のノートPCなどの情報機器を社外で私的に利用すること
ウ 個人所有の情報機器を私的に使用するために利用環境を設定すること
エ 従業員が個人で所有する情報機器を業務のために使用すること

【解説】
BYOD (Bring Your Own Device)は、フルスペルの通り、個人の情報機器(Own Device)を、業務のために持ってくる(Bring)ことです。

【正解】 エ

問66 共通フレームによれば,要件定義プロセスの活動内容には,利害関係者の識別,要件の識別,要件の評価,要件の合意などがある。このうち,要件の識別において実施する作業はどれか。
ア システムのライフサイクルの全期間を通して,どの工程でどの関係者が参画するのかを明確にする。
イ 抽出された要件を確認して,矛盾点や曖昧な点をなくし,一貫性がある要件の集合として整理する。
ウ 矛盾した要件,実現不可能な要件などの問題点に対する解決方法を利害関係者に説明し,合意を得る。
エ 利害関係者から要件を漏れなく引き出し,制約条件や運用シナリオなどを明らかにする。

【解説】
初めてみる言葉が多く、難しいと感じたかもしれません。しかし、4つの選択肢が、問題文の4つのどれに該当するかを考えれば正解が導けました。また、アには「関係者」というキーワードがあるので「利害関係者の識別」であることが分かります。ウには「合意」というキーワードがあるので「要件の合意」であることも分かります。残るはイかエですが、エには「要件を漏れなく引き出し」、「明らかにする」とありますから、「要件の識別」であることが分かります。

【正解】 エ

問67 CSR調達に該当するものはどれか。
ア コストを最小化するために,最も安価な製品を選ぶ。
イ 災害時に調達が不可能となる事態を避けるために,調達先を複数化する。
ウ 自然環境,人権などへの配慮を調達基準として示し,調達先に遵守を求める。
エ 物品の購買に当たってEDIを利用し,迅速・正確な調達を行う。

【解説】
CSR(Corporate Social Responsibility)は「企業の社会的責任」と言われ、単なる法令順守(コンプライアンス)以上に、積極的な社会活動です。CSRに関して、過去問(H21年秋AP午前問66 )では、「企業は組織の決定や活動が社会や環境に及ぼす影響に責任をもつ」とあります。なので、ア、イ、エのように、自社の利益だけではなく、ウのように自然環境や人権などにも配慮した調達をします。

【正解】 ウ

問70 プロダクトライフサイクルにおける導入期を説明したものはどれか。
ア 売上が急激に増加する時期である。市場が活性化し,新規参入企業によって競争が激化してくる。
イ 売上と利益が徐々に減少する時期である。追加投資を控えて市場から撤退することが検討される。
ウ 需要の伸びが鈍化してくる時期である。製品の品質改良などによって,シェアの維持,利益の確保が行われる。
エ 先進的な消費者に対して製品を販売する時期である。製品の認知度を高める戦略が採られる。

【解説】
プロダクトライフサイクル(PLC)には、導入期、成長期、成熟期、衰退期の4つがあります。
アは成長期、イは衰退期、ウは成熟期、エは導入期です。

【正解】 エ

問36 手順に示す処理を実施することによって,メッセージの改ざんの検知の他に,受信者Bができることはどれか。

〔手順〕
送信者Aの処理
(1)メッセージから,ハッシュ関数を使ってダイジェストを生成する。
(2)秘密に保持している自分の署名生成鍵を用いて,(1)で生成したダイジェストからメッセージの署名を生成する。
(3)メッセージと, (2)で生成した署名を受信者Bに送信する。
受信者Bの処理
(4)受信したメッセージから,ハッシュ関数を使ってダイジェストを生成する。(5)(4)で生成したダイジェスト及び送信者Aの署名検証鍵を用いて,受信した署名を検証する。

ア メッセージが送信者Aからのものであることの確認
イ メッセージの改ざん部位の特定
ウ メッセージの盗聴の検知
エ メッセージの漏えいの防止

【解説】
メッセージの署名をしています。ディジタル署名の目的を考えると正解に近づきます。ディジタル署名の目的は、
①改ざん防止(完全性)、②なりすまし防止(真正性)、③否認防止、の3つです。よって、アが正解です。
選択肢イですが、改ざんは検知できますが、改ざん部位の特定はできません。選択肢ウですが、盗聴の検知をする仕組みはほぼ無いと言っていいでしょう。選択肢エですが、上記の手順を確認する中に、メッセージの暗号化の記載がありません。

【正解】 ア

問37 暗号解読の手法のうち,ブルートフォース攻撃はどれか。
ア 与えられた1組の平文と暗号文に対し,総当たりで鍵を割り出す。
イ 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ 暗号化装置の動作を電磁波から解析することによって解読する。
エ 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。

【解説】
アが正解です。参考までに、ブルート(Brute)とは「猛獣」の意味し、フォース(Force)は「力」を意味します。
http://sc.seeeko.com/archives/3946331.html

【正解】 ア

問38 Xさんは,  Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので,公開鍵暗号方式を使って暗号化して送信したい。そのときに使用する鍵はどれか。
ア Xさんの公開鍵
イ Xさんの秘密鍵
ウ Yさんの公開鍵
エ Yさんの秘密鍵

【解説】
内容を秘密にするには、Yさんしか知らない鍵(Yさんの秘密鍵)で復号できるようにすることです。よって、暗号化の鍵としては、「Yさんの秘密鍵」のペアになる「Yさんの公開鍵」で暗号化します。

【正解】 ウ

問39 標的型攻撃メールで利用されるソーシャルエンジニアリング手法に該当するものはどれか。
ア 件名に“未承諾広告※”と記述する。
イ 件名や本文に,受信者の業務に関係がありそうな内容を記述する。
ウ 支払う必要がない料金を振り込ませるために,債権回収会社などを装い無差別に送信する。
エ 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信する。

【解説】
「標的型」ですから、無差別ではなく、標的とした人にだけ送信するものです。選択肢ウやエは「無差別」ですから不正解です。選択肢アは、迷惑メール(SPAMメール)です。正解は選択肢イです。日本年金機構への標的型メールでも、年金業務に関連する内容だったと言われています。

【正解】 イ

問40 ISMS適合性評価制度の説明はどれか。
ア ISO/IEC 15408 に基づき,  IT関連製品のセキュリティ機能の適切性・確実性を評価する。
イ JIS Q 15001に基づき,個人情報について適切な保護措置を講じる体制を整備している事業者などを認定する。
ウ JIS Q 27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。
エ 電子政府推奨暗号リストに基づき,暗号モジュールが適切に保護されていることを認証する。

【解説】
選択肢ウが正解です。JIS Q 27001に適合しているかどうかが審査されます。参考までに、選択肢イのJIS Q 15001はプライバシーマーク制度に関するものです。

【正解】 ウ

問41 ネットワーク障害の原因を調べるために,ミラーポートを用意して,  LANアナライザを使用できるようにしておくときに留意することはどれか。
ア LANアナライザがパケットを破棄してしまうので,測定中は測定対象外のコンピュータの利用を制限しておく必要がある。
イ LANアナライザはネットワークを通過するパケットを表示できるので,盗聴などに悪用されないように注意する必要がある。
ウ 障害発生に備えて,ネットワーク利用者に対してLANアナライザの保管場所と使用方法を周知しておく必要がある。
エ 測定に当たって,  LANケーブルを一時的に切断する必要があるので,ネットワーク利用者に対して測定日を事前に知らせておく必要がある。

【解説】
アですが、パケットを破棄しません。
イは正解選択肢です。
ウは不正解です。選択肢イにあるように、盗聴などに悪用される懸念があります。
エは、一時的に切断する必要はありません。

【正解】 イ

問42 SQLインジェクション攻撃を防ぐ方法はどれか。
ア 入力中の文字がデータベースへの問合せや操作において,特別な意味をもつ文字として解釈されないようにする。
イ 入力にHTMLタグが含まれていたら,HTML タグとして解釈されない他の文字列に置き換える。
ウ 入力に上位ディレクトリを指定する文字列(../)が含まれているときは受け付けない。
エ 入力の全体の長さが制限を超えているときは受け付けない。

【解説】
難しかったかもしれません。SQLがデータベースを操作する構文であることを理解していれば、アが導け出せたことでしょう。ちなみに、選択肢イは、主にクロスサイトスクリプティング、選択肢ウはディレクトリトラバーサル、選択肢エは、バッファオーバーフロー対策です。

【正解】 ア

問43 ワームの検知方式の一つとして,検査対象のファイルからSHA-256を使ってハッシュ値を求め,既知のワーム検体ファイルのハッシュ値のデータベースと照合することによって,検知できるものはどれか。
ア ワーム検体と同一のワーム
イ ワーム検体と特徴あるコード列が同じワーム
ウ ワーム検体とファイルサイズが同じワーム
エ ワーム検体の亜種に当たるワーム

【解説】
「検査対象のファイルからハッシュ値」を求めています。元の値を少しでも変更すれば、ハッシュ値は全く違うものになります。よって、検知できるのは、選択肢アの同一のワームのみです。

【正解】 ア

問44 パケットフィルタリング型ファイアウォールがルール一覧に基づいてパケットを制御する場合,パケットAに適用されるルールとそのときの動作はどれか。ここでファイアウォールでは,ルール一覧に示す番号の1から順にルールを適用し,一つのルールが適合したときには残りのルールは適用しない。

〔ルール一覧〕
番号送信元
アドレス
宛先
アドレス
プロトコル送信元
ポート番号
宛先
ポート番号
動作
110.1.2.3****通過禁止
2**TCP*25通過許可
3*10.2.3.*TCP*25通過許可
4*****通過禁止
注記 *は任意のものに適合するパターンを表す。

〔パケットA〕
送信元
アドレス
宛先
アドレス
プロトコル送信元
ポート番号
宛先
ポート番号
10.1.2.310.2.3.4TCP210025
ア 番号1によって,通過を禁止する。
イ 番号2によって,通過を許可する。
ウ 番号3によって,通過を許可する。
エ 番号4によって,通過を禁止する。

【解説】
問題文には、「ルール一覧に示す番号の1から順にルールを適用」とあります。ルールを上から見て行くと、番号1はパケットAに合致します。*は任意のものに適合するからです。よって、アが適用され、動作としては「通過禁止」になります。

【正解】 ア

問45 2要素認証に該当するものはどれか。
ア 2本の指の指紋で認証する。
イ 虹彩とパスワードで認証する。
ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。
エ 異なる二つのパスワードで認証する。

【解説】
2要素ですから、2つの要素が必要です。アは「指」という一つの要素で、ウもエも「パスワード」という一つの要素による認証です。
選択肢イは、「虹彩」という生体認証と、パスワードという知識認証の2つの要素で認証します。

【正解】 イ

問37 キーロガーの悪用例はどれか。
ア 通信を行う2者間の経路上に割り込み,両者が交換する情報を収集し,改ざんする。
イ ネットバンキング利用時に,利用者が入力したパスワードを収集する。
ウ ブラウザでの動画閲覧時に,利用者の意図しない広告を勝手に表示する。
エ ブラウザの起動時に,利用者がインストールしていないツールバーを勝手に表示する。

【解説】
アは、中間者攻撃です。
イはキーロガーの例です。キーロガーとはKeystroke(キー入力)のlogging(記録を取る)という意味です。イのように、悪意を持ったマルウェアが、ネットバンキング利用時のIDとパスワードを盗みます。それを外部の第三者に送信することで、その人のネットバンク口座を悪用することができます。
キーロガーに関しては、以下の解説も参考にしてください。
http://sc.seeeko.com/archives/3967912.html
ウやエは広告(advertise)を表示するアドウェア考えればいいでしょう。 

【正解】 イ

問38 ディジタル署名における署名鍵の用い方と,ディジタル署名を行う目的のうち,適切なものはどれか。
ア 受信者が署名鍵を使って,暗号文を元のメッセージに戻すことができるようにする。
イ 送信者が固定文字列を付加したメッセージを署名鍵を使って暗号化することによって,受信者がメッセージの改ざん部位を特定できるようにする。
ウ 送信者が署名鍵を使って署名を作成し,それをメッセージに付加することによって,受信者が送信者を確認できるようにする。
エ 送信者が署名鍵を使ってメッセージを暗号化することによって,メッセージの内容を関係者以外に分からないようにする。

【解説】
アですが、ディジタル署名は手書きのサインと同じです。サインをすることで、文書の暗号化はしません。なので、そもそも暗号文に対して何かの処理をすることはありません。
イもアと同様に、メッセージの暗号化はしません
ウは正解です。送信者は、送信者でしか知りえない秘密鍵を使って署名を作成します。受信者は、それを送信者の公開鍵を使って復号することで、正規の送信者かどうかを確認します。
エもアやイと同様で、メッセージの暗号化を目的とはしません。

【正解】 ウ

問39 データベースで管理されるデータの暗号化に用いることができ,かつ,暗号化と復号とで同じ鍵を使用する暗号化方式はどれか。
ア AES
イ PKI
ウ RSA
エ SHA-256

【解説】
問題文に「暗号化と復号とで同じ鍵を使用する」ということから、共通鍵暗号方式であることが分かります。暗号化方式には、以下の3つがあります。
共通鍵暗号
公開鍵暗号
ハッシュ関数
この中で、①の共通鍵暗号方式はアです。②の公開鍵暗号方式はウのRSAは、③ハッシュ関数はエのSHA-256 です。

【正解】 ア

問40 公開鍵暗号方式を用いて,図のようにAさんからBさんへ,他人に秘密にしておきたい文章を送るとき,暗号化に用いる鍵Kとして,適切なものはどれか。
71bb7264.jpg

ア Aさんの公開鍵
イ Aさんの秘密鍵
ウ Bさんの公開鍵
エ 共通の秘密鍵

【解説】
この問題は、「公開鍵暗号方式を用いて」とありますから、エは違います。「共通の」とあるからです。
また、「他人に秘密にしておきたい」とありますから、Bさんでしか復号できないようにすればいいのです。Bさんしか知らない情報は、Bさんの秘密鍵です。ですから、それに対応する暗号の鍵は、Bさんの公開鍵です。

【正解】 ウ

問41 バイオメトリクス認証には,身体的特徴を抽出して認証する方式と行動的特徴を抽出して認証する方式がある。行動的特徴を用いているものはどれか。
ア 血管の分岐点の分岐角度や分岐点間の長さから特徴を抽出して認証する。
イ 署名するときの速度や筆圧から特徴を抽出して認証する。
ウ 瞳孔から外側に向かって発生するカオス状のしわの特徴を抽出して認証する。
エ 隆線によって形作られる紋様からマニューシヤと呼ばれる特徴点を抽出して認証する。

【解説】
これは難しい問題です。知らない人も多いでしょうが、正解することは可能です。このように、自分が知らない問題も多く登場しますが、問題文から丁寧に答えを探しましょう。
ポイントは、「行動的特徴」という部分です。よって、イが正解です。身体的特徴と行動的特徴については、IPAのサイトにも解説があり、以下にまとめていますので参考にしてください。
http://sc.seeeko.com/archives/5011189.html
ア:静脈認証
イ:サイン認証
ウ:虹彩認証
エ:指紋認証

【正解】 イ

問42 SQLインジェクション攻撃の説明はどれか。
ア Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文を入力して,データベースのデータを不正に取得したり改ざんしたりする攻撃
イ 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
ウ 市販されているDBMS脆弱性を利用することによって,宿主となるデータベースサーバを探して自己伝染を繰り返し,インターネットのトラフィックを急増させる攻撃
エ 訪問者の入力データをそのまま画面に表示するWebサイトに対して,悪意のあるスクリプトを埋め込んだ入力データを送ることによって,訪問者のブラウザで実行させる攻撃 

【解説】
SQLインジェクションは、セキュリティでは大事な用語なので、きちんと覚えておきましょう。
アはSQLインジェクションです。
イは、クロスサイトリクエストフォージェリです。以下の解説も参考にしてください。http://sc.seeeko.com/archives/3857185.html
ウはよくわかりませんが、自己伝染を繰り返しとあることから、そのようなマルウェアがあると考えればいいでしょう。
エはXSSです。以下の解説も参考にしてください。
http://sc.seeeko.com/archives/3857182.html

【正解】 ア

問43 Webサーバのコンテンツの改ざんを検知する方法のうち,最も有効なものはどれか。
ア Webサーバのコンテンツの各ファイルの更新日を保管しておき,定期的に各ファイルの更新日と比較する。
イ Webサーバのコンテンツの各ファイルのハッシュ値を保管しておき,定期的に各ファイルからハッシュ値を生成し,比較する。
ウ Webサーバのメモリ使用率を定期的に確認し,バッファオーバフローが発生していないことを確認する。
エ Webサーバヘの通信を監視し, HTTP, HTTPS以外の通信がないことを確認する。

【解説】
改ざんを検知するには、保存しておいた元のファイルと、現在のファイルを比較すればいいです。なので、アもイも正解になります。ただ、問題文には「最も有効なもの」とあります。Webサーバのコンテンツは大容量化していますので、数Mバイトとか、それ以上になることもあるでしょう。ハッシュ値で比較するイが効率的です。
ウですが、メモリ使用率を定期的に確認してバッファオーバ―フローが発生しているか気が付くかが疑問です。また、バッファオーバーフローをしなくても改ざんされることはあります。
エですが、確かに、コンテンツを改ざんするには、FTPのアカウントを乗っ取ることが一番いいでしょう。しかし、HTTP, HTTPSの通信にて不正な改ざんをされる可能性もあります。

【正解】 イ

問44 ファイルの属性情報として,ファイルに対する読取り,書込み,実行の権限を独立に設定できるOSがある。この3種類の権限は,それぞれに1ビットを使って許可,不許可を設定する。この3ビットを8進数表現0~7の数字で設定するとき,次の試行結果から考えて,適切なものはどれか。
〔試行結果〕
① 0を設定したら,読取り,書込み,実行ができなくなってしまった。
② 3を設定したら,読取りと書込みはできたが,実行ができなかった。
③ 7を設定したら,読取り,書込み,実行ができるようになった。

ア 2を設定すると,読取りと実行ができる。
イ 4を設定すると,実行だけができる。
ウ 5を設定すると,書込みだけができる。
工 6を設定すると,読取りと書込みができる。

【解説】
Linuxなどで、755などのパーミッションをご存じの方には、簡単な問題だったと思います。
上記の関係を表にすると以下になります。
数字読取書き込み実行
0XXX
1XX
2XX
3X
4XX
5X
6X
7

この問題は、読取に1、書き込みに2、実行に4という数字があると考えると楽です(2進数の仕組みを解説すると長くなるので、覚えちゃいましょう!)。そして、不可能な場合は0になると考えましょう。
すると、問題文の以下はこう考えられます。
① 0を設定したら,読取り,書込み,実行ができなくなってしまった。
→読取り(0),書込み(0),実行(0)で、合計0
② 3を設定したら,読取りと書込みはできたが,実行ができなかった。
→読取り(1),書込み(2),実行(0)で、合計3
③ 7を設定したら,読取り,書込み,実行ができるようになった。
→読取り(1),書込み(2),実行(4)で、合計7

同じ考えで、設問を見ましょう。
ア 2を設定すると,読取りと実行ができる。
→読取り(1),書込み(2),実行(0)で、合計3であるべきです。
イ 4を設定すると,実行だけができる。
→読取り(0),書込み(0),実行(4)で、合計4で、正解です。
ウ 5を設定すると,書込みだけができる。
→読取り(0),書込み(2),実行(0)で、合計2であるべきです。
工 6を設定すると,読取りと書込みができる。
→読取り(1),書込み(2),実行(0)で、合計3であるべきです。

【正解】 イ

問45 社員が利用するスマートフォンにディジタル証明書を導入しておくことによって,当該スマートフォンから社内システムヘアクセスがあったときに,社内システム側で確認できるようになることはどれか。

ア 当該スマートフォンがウイルスに感染していないこと
イ 当該スマートフォンが社内システムへのアクセスを許可されたデバイスであること
ウ 当該スマートフォンのOSに最新のセキュリティパッチが適用済みであること
エ 当該スマートフォンのアプリケーションが最新であること

【解説】
証明書とは何を表すかを考えると、答えが想像できたと思います。たとえば、身分証明書はその人が本人であることを証明します。正解はイです。正規のディジタル証明書がインストールされたデバイススマートフォンやパソコンのこと)かどうかを確認することができます。
証明書がインストールされたスマートフォンは、貸し借りによって違う人が使う可能性があります。なので、ここは許可された「人」ではなく、「デバイス」になっています。
ちあみに、それ以外の選択肢のウイルス感染(選択肢ア)やセキュリティパッチの適用状況(選択肢イ)、アプリケーションが最新かどうか(選択肢エ)は、ディジタル署名書では判断ができません。

【正解】 イ

問46 コンピュータやネットワークのセキュリティ上の脆弱性を発見するために,システムを実際に攻撃して侵入を試みる手法はどれか。
ア ウォークスルー
イ ソフトウェアインスペクション
ウ ペネトレーションテスト
エ リグレッションテスト

【解説】
アのウォークスルーは、システムやソフトウェアのレビューの方法です。ウォーク(歩いて)スルー(通り過ぎる)という言葉からイメージされるように、気軽に行うレビューです。※正確な語源はもう少し違うようです。
イですが、インスペクション(inspection)とは「調査」という意味です。ソフトウェアインスペクションとは、机上でのソフトウェアの調査を意味します。
ウですが、「ペネトレイト」の言葉はマンガ「SLAM DUNK」(集英社)でも使われていました。ドリブルなどで中に「侵入する」という意味です。ペネトレーションテストとは、侵入するテストなので、正解選択肢です。
エですが、リグレッション(regression)とは、「後退」を意味します。後ろに進むから後退テストです。ソフトウェアを改修すると、これまで正常だった部分にも影響が出ている可能性があります。なので、本来ならすでに終わっている正常部分にもテストをする(すでに終わった部分をやり直しているという意味で、後退している)ものです。リグレッションテストは「回帰テスト」と表現されることもありあmす。

【正解】 ウ

問1 著作者の権利である著作権が発生するのはどの時点か。

ア 著作物を創作したとき
イ 著作物を他人に譲渡したとき
ウ 著作物を複製したとき
エ 著作物を文化庁に登録したとき

【解説】
特許の場合は、出願して登録されてはじめて権利が認められます。ところが著作権は、著作物を創作したときに著作権が発生します(無方式主義と言います)。

【正解】 ア

問2 不正競争防止法で保護される,自社にとっての営業秘密に該当するものはどれか。
 ここで,いずれの場合も情報はファイリングされており,ファイルには秘密であることを示すラベルを貼ってキャビネットに施錠保管し,閲覧者を限定して管理しているものとする。

ア 新製品開発に関連した,化学実験の未発表の失敗データ
イ 専門家,研究者の学会で発表した,自社研究員の重要レポート
ウ 特許公報に基づき調査した,他社の特許出願内容
エ 不正に取得した,他社の重要顧客リスト

【解説】
不正競争防止法において,営業秘密となる要件は,“秘密として管理されていること”,“事業活動に有用な技術上又は営業上の情報であること”「公然と知られていないこと」(H21春AP午前78を編集)です。よって、失敗データであろうが、秘密として管理されているアが正解です。例え失敗データでも、新製品開発には重要な情報です。

【正解】 ア

問3 請負契約によるシステム開発作業において,法律で禁止されている行為はどれか。

ア 請負先が,請け負ったシステム開発を,派遣契約の社員だけで開発している。
イ 請負先が,請負元と合意の上で,請負元に常駐して作業している。
ウ 請負元が,請負先との合意の上で,請負先から進捗状況を毎日報告させている
エ 請負元が,請負先の社員を請負元に常駐させ,直接作業指示を出している。

【解説】
派遣契約と違い、請負契約では直接作業指示を出すことができません。
http://sm.seeeko.com/archives/65870857.html
それ以外は、禁止されている行為ではありません。

【正解】 エ

問10 プライバシーマーク制度で評価されるマネジメントシステムが,管理の対象とするものはどれか。
ア 営業秘密   
イ 個人情報
ウ 肖像権
エ 情報システム

【解説】
プライバシーマーク制度は、「事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度(平成17年SW午前問76)」です。
http://sc.seeeko.com/archives/3829228.html

【正解】 イ

問24 個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じるとを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。このうち,人的安全管理措置の具体例として,適切なものはどれか。

ア 安全管理に対する規程と従業員による体制の整備
イ 安全管理に対する従業員の役割及び責任についての周知や教育の実施
ウ 個人データを取り扱う情報システムへの従業員ごとのアクセス制御
エ 従業員の入退出管理や個人データを記録した媒体の施錠管理

【解説】
アは組織的安全管理措置、イは人的安全管理措置、ウは技術的安全管理措置、エは物理的安全管理措置です。
http://sc.seeeko.com/archives/3967953.html

【正解】 イ

問28 アクセス管理者は,不正アクセスからコンピュータを防御する役割を担う。不正アクセス禁止法において,アクセス管理者が実施するよう努力すべきこととして定められている行為はどれか。

ア アクセス制御機能の有効性を検証する。
イ アクセス囗グを定期的に監督官庁に提出する。
ウ 複数の人員でアクセス状況を常時監視する。
エ 利用者のパスワードを定期的に変更する。

【解説】

【正解】 ア

問49 リスクマネジメントを推進するために,リスクマネジメントシステムの導入のための実行計画を最初に策定した。その後に行う活動を次のa~cに分けて行うとき,PDCAサイクルに従った実施順序として,適切なものはどれか。

  a 実行計画に従ってリスク対策を実施する。
  b 実施の効果を測定し,リスクマネジメントシステムの有効性を評価する。
  c リスクマネジメントシステムに関する是正一改善措置を実施する。

ア a → b → c
イ a → c → b
ウ c → a → b   
エ c → b → a

【解説】

【正解】 ア
 
問51 情報セキュリティの対策を,技術的セキュリティ対策,人的セキュリティ対策及び物理的セキュリティ対策の三つに分類するとき,物理的セキュリティ対策に該当するものはどれか。

ア 従業員と守秘義務契約を結ぶ。
イ 電子メール送信時にディジタル署名を付与する。
ウ ノートPCを保管するときに施錠管理する。
エ パスワードの変更を定期的に促す。

【解説】

【正解】 ウ

問55 ワンタイムパスワードに関する記述中のa,bに入れる字句の適切な組合せはどれか。

 利用者は,トークンと呼ばれる装置などを用いて生成された[   a   ]のパスワードを使って認証を受ける。このパスワードをワンタイムパスワードと呼び,これを利用することで,パスワードの漏えいによる[   b   ]のリスクを低減することができる。
416627bd.jpg

【解説】

【正解】 エ

問56 無線LANのセキュリティを向上させるための対策はどれか。

ア ESSIDをステルス化する。
イ アクセスポイントへの電源供給はLANケーブルを介して行う。
ウ 通信の暗号化方式をWPA2からWEPに変更する。
エ ローミングを行う。

【解説】

【正解】 ア

問58 情報セキュリティの観点から,システムの可用性を高める施策の例として,最も適切なものはどれか。

ア 生体認証を採用する。
イ ディジタル署名を行う。
ウ データを暗号化する。
エ ハードウェアを二重化する。

【解説】

【正解】 エ

問59 バイオメトリクス認証に関する記述として,適切なものはどれか。

ア 認証用データとの照合誤差の許容値を大きくすると,本人を拒否してしまう可能性と他人を受け入れてしまう可能性はともに小さくなる。
イ 認証用のIDやパスワードを記憶したり,鍵やカード類を携帯したりする必要がない。
ウ パスワードやトークンなど,他の認証方法と組み合わせて使うことはできない。
エ 網膜や手指の静脈パターンは経年変化が激しいので,認証に使用できる有効期間が短い。

【解説】

【正解】 イ

問62 ISMSの情報セキュリティ方針に関する記述として,適切なものはどれか。

ア 情報セキュリティ方針は,トップマネジメントが確立しなければならない。
イ 情報セキュリティ方針は,社外に公表してはならない。
ウ 一度制定した情報セキュリティ方針は変更できない。
エ 個人情報や機密情報を扱わない従業者には,情報セキュリティ方針を周知しなくてもよい。

【解説】

【正解】 ア

問69 PDCAモデルに基づいて]:SMSを運用している組織において,始業時の手順に従って業務用PCに適用されていないセキュリティパッチの有無を確認し,必要なパッチを適用している。この活動はPDCAサイクルのうちどれに該当するか。

ア P   イ D    ウ C   エ A

【解説】

【正解】 イ

問70 暗号方式には共通鍵暗号方式と公開鍵暗号方式がある。共通鍵暗号方式の特徴として,適切なものはどれか。

ア 暗号化通信する相手が1人のとき,使用する鍵の数は公開鍵暗号方式よりも多い。
イ 暗号化通信に使用する鍵を,暗号化せずに相手へ送信しても安全である。
ウ 暗号化や復号に要する処理時間は,公開鍵暗号方式よりも短い。
エ 鍵ペアを生成し,一方の鍵で暗号化した暗号文は他方の鍵だけで復号できる。

【解説】

【正解】 ウ

問73 情報セキュリティにおけるクラッキングの説明として,適切なものはどれか。

ア PCなどの機器に対して,外部からの衝撃や圧力,落下,振動などの耐久テストを行う。
イ 悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う。
ウ システム管理者として,ファイアウォールの設定など,情報機器の設定やメンテナンスを行う。
エ 組織のセキュリティ対策が有効に働いていることを確認するために監査を行う。

【解説】

【正解】 イ

問74 スマートフォンを安全に利用するために行うこととして,適切なものはどれか。

ア OSはアップデートせず,購入時の状態のままで利用する。
イ 権限昇格などの改造を行い,機能を強化する。
ウ パスワードによる画面のロック機能を設定する。
エ 有用と思うアプリケーションであれば,どのようなWebサイトからダウンロードしてもよい。

【解説】

【正解】 ウ


問75 コンピュータウイルスに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。

 OSやアプリケーションの[   a   ]を突くようなウイルスの感染予防には,ウイルス定義ファイルを最新の状態に保つことや[   b   ]が必要である。

f2ae1aa5.jpg

【解説】

【正解】 ウ

問80 ISMSに関する記述のうち,適切なものはどれか。

ア ISMSのマネジメントサイクルは,セキュリティ事故が発生した時点で開始し,セキュリティ事故が収束した時点で終了する。
イ ISMSの構築,運用は,組織全体ではなく,必ず部門ごとに行う。
ウ ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
エ 情報セキュリティ方針は,具体的なセキュリティ対策が記述されたものである。

【解説】

【正解】 ウ

問81 不正アクセスを行う手段の一つであるIPスプーフィングの説明として,適切なものはどれか。

ア 金融機関や有名企業などを装い,電子メールなどを使って利用者を偽のサイトヘ誘導し,個人情報などを取得すること
イ 侵入を受けたサーバに設けられた,不正侵入を行うための通信経路のこと
ウ 偽の送信元IPアドレスをもっだパケットを送ること
エ 本人に気付かれないように,利用者の操作や個人情報などを収集すること

【解説】

【正解】 ウ

問83 PKIにおいて,電子証明書が正当性を証明しているものはどれか。

ア  暗号化アルゴリズム
イ 共通鍵
ウ  公開鍵
エ 秘密鍵

【解説】

【正解】 ウ

問84 社員に対する情報セキュリティ教育の実施に関する記述a~dのうち,適切なものだけを全て挙げたものはどれか。

a 情報セキュリティ違反をした者に対する再教育に当たっては,同じ過ちを繰り返さないための予防処置も含める。
b 新入社員に対する研修プログラムに組み込む。
c 対象は情報システム部門に所属する社員に限定する。
d 定期的な実施に加えて,情報セキュリティに関わる事件や事故が発生した後にも実施する。

ア a, b, d  イ a, c, d   ウ a, d  エ b, c

【解説】
aは正解です。事前に罰則規定を伝えておくことや、教育時に誓約書を書かせるなど、違反がそもそも起こらないようにすることも大事です。
bは正解です。新入社員はセキュリティの重要性などを十分に理解していない可能性が高いので、入社直後の新入研修に組み込むべきです。
cは不正解です。社員を限定せず、全社員を対象とすべきです。
dはその通りです。
正解はa,b,dなので、アが正解です。

【正解】 ア

問2 個人情報の取得,活用事例に関する記述a~cのうち,個人情報保護法で禁止されていない行為だけを全て挙げたものはどれか。
a 自社商品の情報を送ることを明示して,景品付きアンケートを実施して集めた応募者リストを使い,新商品のキャンペーンメールを送信した。
b テレビの故障についてメールで問い合わせてきた個人に,冷蔵庫のキャンペーン案内のファイルを回答のメールに添付して送信した。
c 転職者が以前の職場の社員住所録を使い,転職の挨拶状も兼ねて新会社のキャンペーンチラシを送付した。

ア a
イ a, b
ウ b, c
エ c

【解説】

【正解】 ア


問15 ディジタルコンテンツのコピープロテクトは,ディジタルコンテンツに関する著作者の権利を保護するための技術である。コピープロテクトを無効化する機能をもつプログラムの販売を禁止しているものはどれか。

ア コンピュータ不正アクセス対策基準
イ 著作権法
ウ 電気通信事業法
エ 不正アクセス行為の禁止等に関する法律

【解説】
著作者の権利を保護するものですから、素直に著作権法が該当します。あまりに素直な問題なので、逆に迷った人もいるでしょう。ただ、アとエの選択肢は不正アクセスです。ウはNTTなどの電気通信事業を行う者に対してその枠組みやルールなどを規定したものです。

【正解】 イ


問39 システム監査における評価に関する記述のうち,適切なものはどれか。
ア 監査証拠がない部分は,推測によって評価する。
イ 監査証拠に基づいて評価しなければならない。
ウ システム利用部門の意向に従い評価する。
エ 被監査部門の意向に従い評価する。

【解説】
システム監査は、システムの健康診断と言われています。適切なシステムになっているかの検査をします。また、システム監査とは別に、情報セキュリティ監査もあります。
 健康診断をするときに、患者の意向に従って、病気なのに健康と嘘をつくのはいけません。また、検査結果を考慮せずに推測で病気と判断しては、患者は混乱します。常識で考えると、適切な証拠を基づいて評価をすべきですから、イが正解です。

【正解】 イ

問40 情報システムのリスクに対するコントロールが適切に整備運用されていることを検証するための手段として,最も適切なものはどれか。
ア BCP
イ ITIL
ウ ITガバナンス
エ システム監査

【解説】

【正解】 エ

問43 情報システムの品質マネネジメントには,成果物の品質要求事項や品質標準を定め,それらを達成するための方法を明確にする品質計画プロセスがある。
 品質計画プロセスの考え方として,適切なものはどれか。
 
ア 過去のシステム開発プロジェクトの成果物に全く同じものが無ければ,過去の品質標準は参考にならない。
イ 全てのプロジェクトでスケジュールを最優先すべきなので,目標とする品質を達成させるためのレビューやテストの期間は短くしてよい。
ウ 全てのプロジェクトで品質を最優先し,成果物の品質を高めるためには予算に制約を設定すべきではない。
エ 目標とする品質を達成させるための活動によってもたらされる,手直しの減少や生産性の向上,ステークホルダの満足度の向上などの効果と,必要なコストを比較検討する。

【解説】

【正解】 エ

問47 情報セキュリティ基本方針、又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており,企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。
ア 情報セキュリティボリシ
イ 情報セキュリティマネジメントシステム
ウ ソーシヤルエンジニアリング
エ リスクアセスメント

【解説】

【正解】 ア

問53 ISMSにおけるセキュリティリスクへの対応には,リスク移転,リスク回避,リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。
ア セキュリティ対策を行って,問題発生の可能性を下げた。
イ 問題発生時の損害に備えて,保険に入った。
ウ リスクが小さいことを確認し,問題発生時は損害を負担することにした。
エ リスクの大きいサービスから撤退した。

【解説】

【正解】 エ

問54 ある認証システムでは虹彩認証とパスワード認証を併用しており,認証手順は次
  のとおりである。この認証システムの特徴として,適切なものはどれか。
〔認証手順〕
① 虹彩認証に成功するとログインできる。
② 虹彩認証に3回失敗するとパスワードの入力を求める。
③ 正しいパスワードを入力することでログインできる。
④ パスワード認証に3回失敗するとアカウントがロックアウトされる。
ア 虹彩認証と併用しているので,パスワードの定期的な変更を行わなくても安全
 である。
イ 体調の変化などによって虹彩認証が失敗しても,パスワードを入力することで
 ログインができるので,利便性が高い。
ウ 本人固有の生体情報も認証に使用するので,パスワード認証だけに比べて認証
 の強度が高い。
エ 万が一,虹彩認証で他人を本人と識別してしまっても,パスワード認証によっ
 てチェックすることができるので,認証の強度が高い。
 
【解説】

【正解】 イ

問55 ブラウザとWebサーバ間でSSLを使った通信を行うことを示すURLの先頭の記述として,適切なものはどれか。
ア http://
イ https://
ウ shttp://
エ ssl://

【解説】

【正解】 イ

問56 情報セキュリティに関する用語である可用性,完全性,機密性及び脆弱性のうち,ISMSが組織の情報資産に対して維持管理すべき特性としているものだけを全て挙げたものはどれか。
ア 可用性,完全性
イ 可用性,完全性,機密性
ウ 完全性,機密性
エ 完全性,機密性,脆弱性

【解説】

【正解】 イ

問61 ワンタイムパスワードを用いることによって防げることはどれか。
ア 通信経路上におけるパスワードの盗聴
イ 不正侵入された場合の機密ファイルの改ざん
ウ 不正プログラムによるウイルス感染
工 漏えいしたパスワードによる不正侵入
【解説】

【正解】 エ

問63 社内の情報セキュリティ教育に関する記述のうち,適切なものはどれか。
ア 再教育は,情報システムを入れ替えたときだけ実施する。
イ 新入社員へは,業務に慣れた後に実施する。
ウ 対象は,情報資産にアクセスする社員だけにする。
エ 内容は,社員の担当業務,役割及び責任に応じて変更する。

【解説】
アですが、情報システムを入れ替えたときだけではなく、年に1回などと定期的に実施する必要があります。
イですが、業務になれる前に不正を行って事件や事故を起こす可能性があります。入社直後の研修でも実施すべきです。
ウは、全社員を対象にすべきです。
エは正解です。業務や役割などによって、教育すべき内容が変わります。教育の効果の面からも、内容を変更すべきです。

【正解】 エ

問66 スパイウェアが目的としている動作の説明として,最も適切なものはどれか。
ア OSやソフトウェアの動作を不安定にする。
イ ファイルシステム上から勝手にファイルを削除する。
ウ ブラウザをハイジャックして特定の動作を強制する。
エ 利用者に気付かれないように個人情報などを収集する。

【解説】

【正解】 エ

問68 PCにおける有害なソフトウェアへの情報セキュリティ対策として,適切なものは
  どれか。
ア 64ビットOSを使用する。
イ ウイルス定義ファイルは常に最新に保つ。
ウ 定期的にハードディスクをデフラグする。
エ ファイルは圧縮して保存する。
【解説】

【正解】 イ

問69 ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。
ア 運用担当者のセキュリティ意識が低い。
イ サーバ室の天井の防水対策が行われていない。
ウ サーバヘのアクセス制御が行われていない。
エ 通信経路が暗号化されていない。
【解説】

【正解】 ア

問70 Webブラウザの利用方法①~③のうち,セキュリティリスクが軽減する利用方法
  だけを全て挙げたものはどれか。
① IDとパスワードをWebブラウザに記憶させる。
② JavaScr i ptを無効にする。
③ 管理者権限でPCにログインし, Webブラウザを利用する。

ア ①,②   イ ①,③   ウ ②    エ ②,③

【解説】

【正解】 ウ

問71 隣の部屋に他社が引っ越してきた頃から,自社の無線LANの通信速度が低下した。
  原因を調査して,自社の無線LANの設定を変更することで,元の通信速度に戻った。
  このときに変更した内容として,適切なものはどれか。ここで,自社のESSIDは,そ
  の引っ越してきた他社のものとは異なる文字列である。
ア 暗号化のキー文字列を変更した。
イ 暗号化の設定をWEPからWPA2に変更した。
ウ ステルス機能を設定した。
エ 無線チャネルを変更した。

【解説】

【正解】 エ

問73 共通鍵暗号方式の説明として,適切なものはどれか。
ア 暗号化以外に,ディジタル署名にも利用される。
イ 公開鍵暗号方式に比べて,復号速度は一般的に遅い。
ウ 代表的な方式として, RSA方式がある。
エ 通信相手ごとに異なる共通鍵が必要である。

【解説】

【正解】 エ

問74 無線LANにおいて,端末とアクセスポイント間で伝送されているデータの盗聴を防
  止するために利用されるものはどれか。
ア ANY接続拒否
イ ESSIDステルス
ウ MACアドレスフィルタリング
エ WPA2
【解説】

【正解】 エ

問75 ISMSの運用において,監査結果をインプットとし, ISMSを継続的に改善するための是正処置及び予防処置を行うプロセスはPDCAサイクルのどれにあたるか。
ア P
イ D
ウ C
工 A

【解説】

【正解】 エ

問78 受け取ったデータが改ざんされていることを検知するのに使われる技術はどれか。
ア 圧縮
イ ディジタル署名
ウ パスワード認証
エ フィルタリング

【解説】

【正解】 イ

問81 組織の活動に関する記述a~dのうち, ISMSの特徴として,適切なものだけを全て挙げたものはどれか。
a 一過性の活動でなく改善と活動を継続する。
b 現場が主導するボトムアップ活動である。
c 導入及び活動は経営層を頂点とした組織的な取組みである。
d 目標と期限を定めて活動し,目標達成によって終了する。
ア a, b
イ a, c
ウ b, d
工 c, d

【解説】

【正解】 イ

問83 PCのブラウザでURLが“https://”で始まるサイトを閲覧したときの通信の暗号化に関する記述のうち,適切なものはどれか。
ア PCからWebサーバヘの通信だけが暗号化される。
イ WebサーバからPCへの通信だけが暗号化される。
ウ WebサーバとPC間の双方向の通信が暗号化される。
エ どちらの方向の通信が暗号化されるのかは, Webサーバの設定による。

【解説】

【正解】 ウ

問84 クロスサイトスクリプディングに関する記述として,適切なものはどれか。
ア Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者の
 ブラウザに送ってしまう脆弱性を利用する。
イ Webページの入力項目にOSの操作コマンドを埋め込んでWebサーバに送信し,サ
 ーバを不正に操作する。
ウ 複数のWebサイトに対して,ログインIDとパスワードを同じものに設定するとい
 う利用者の習性を悪用する。
エ 利用者に有用なソフトウェアと見せかけて,悪意のあるソフトウェアをインストールさせ,利用者のコンピュータに侵入する。
 
【解説】

【正解】 ア

問21 個人情報保護法における“個人情報”だけを全て挙げたものはどれか。
 a 記号や数字だけからなるハンドルネームを集めたファイル
 b 購入した職員録に載っている取引先企業の役職と社員名
 c 電話帳に載っている氏名と住所,電話番号
 d 取引先企業担当者の名刺データペース
ア a, b
イ a, c, d
ウ b, c
エ b, c, d

【解説】
個人情報とは、以下に書きましたように、「特定の個人を識別することができる」ものです。
http://sc.seeeko.com/archives/3967953.html
なので、その情報があれば、同姓同名ではなく、「剣持成子だ!」と特定できるものを探します。
すると、b,c,dはズバリ名前や会社などが記載されていますから、個人を特定できます。
一方のaは、ハンドルネームからは、誰かは分かりません。

【正解】 エ

問23 インターネット上の脅威となる行為のうち,不正アクセス禁止法で禁止されているものはどれか。
ア セキュリティホールを利用してWebサイトに侵入する。
イ 不正なデータ送信や大量のトラフィックなどで,ターゲットのコンピュータやネットワーク機器に負荷をかけ,サービス不能にする。
ウ 傍受した無線LANの電波を解析して,競合他社の技術情報を読み取る。
エ 利用者の意図とは無関係な画像を表示するウイルス付きのメールを特定の相手に故意に送付する。

【解説】
不正アクセス禁止法は、「利用権限をもたない第三者が、他人のIDやパスワードを使ってネットワークに接続されたコンピュータを利用可能にする行為及びその助長行為を処罰の対象にしている法律(H21SC秋午前Ⅰ問30より)」です。
この観点で選択肢を確認します。
アはセキュリティホールを利用するという観点から、ネットワーク経由での侵入と考えられます。Webサイトのサーバに直接ログインするのであれば、セキュリティホールを突く必要が無いからです。
イは、ウ、エは、「他人のIDやパスワードを使って」いませんので、対象外です。
不正アクセス禁止法に関しては、以下も参照ください。
http://sc.seeeko.com/archives/3829556.html

【正解】 ア

問26 監査役の役割の説明として,適切なものはどれか。
ア 公認会計士の資格を有して,会社の計算書類を監査すること
イ 財務部門の最高責任者として職務を執行すること
ウ 特定の事業に関する責任と権限を有して,職務を執行すること
エ 取締役の職務執行を監査すること

【解説】
アは、公認会計士で、監査役が内部の人間であるのに対し、外部監査を行います。
イやウは不正解で、財務であったり、特定の事業を行うことが仕事ではなく、エにあるように「取締役の職務執行を監査すること」が職務であり、役割です。

監査役については、以下を参照ください。
http://sm.seeeko.com/archives/65868347.html

【正解】 エ

問47 情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセスはどれか。
ア リスク対応
イ リスクの特定
ウ リスク評価
エ リスク分析

【解説】
まず、リスクマネジメントの流れを思い出してください。
http://sc.seeeko.com/archives/3826517.html
ここにあるように、リスク分析(リスク因子の特定、リスクの算出)→リスク評価→リスク対応 の流れです。
今回は、リスク分析によって算出されたリスクをもとに、基準と比較するということなので、リスク評価になります。

リスク分析とリスク評価の違いが難しいことだと思います。
リスク評価に関しては、以下も参照ください。
http://sc.seeeko.com/archives/3828380.html

【正解】 ウ

問50 スマートフォンの取扱いに関する記述のうち,セキュリティの観点から不適切な行動はどれか。
ア スマートフォン内の消えてしまうと困るデータは,スマートフォンとは別の場所に暗号化して保存する。
イ スマートフォンにもウイルスは感染する可能性があるので,ウイルス対策ソフトを導入する。
ウ スマートフォンの購入時が最もセキュリティが高い状態なので,OSの更新はしないで使い続ける。
エ スマートフォンを紛失した場合,遠隔からの強制ロックとデータの強制削除を行う。

【解説】
これは簡単だったことと思います。ア、イ、エは正解です。
ウですが、購入時が最もセキュリティが高いというのは、不要なアプリがインストールされていないという点では間違ってもいないかもしれませんが、必ずしも最も高いとは言い切れません。そのときに、重大なセキュリティホールが発見され、その更新がされていないかもしれないからです。また、OSの更新はするべきです。セキュリティホールを修正してくれるからです。

【正解】 ウ

問51 次の認証方式の特徴に関する記述として,適切なものはどれか。
・ 利用者にはあらかじめ乱数表が渡されている。
・乱数表に印刷された数字は利用者ごとに異なる。
・ システムが要求する乱数表の座標位置に記載された数字をパスワードとして入力する。(座標位置は毎回異なる。)
・ 正しいパスワードの入力が確認できた場合に認証が成功する。
672f4dd3.jpg

ア システムが要求する乱数表の座標位置が同じでも,パスワードは毎回異なる。
イ 知識による認証の一種である。
ウ 盗聴したパスワード利用による,なりすましの防止に有効である。
エ 乱数表を他人に渡しても安全である。

【解説】
アは不正解です。乱数表は変わらないので、乱数表の座標位置が同じであれば、パスワードは毎回同じです。
イは不正解です。知識認証の代表例はパスワードです。それ以外に、所有物認証、生体認証があります。今回は、何を知っているかではありません。どの乱数表を持っているかという所有物認証です。知識は使っていませんし、この乱数表を誰かに渡せば、それを受け取った人が認証に成功します。
ウは、正解です。この仕組みであれば、パスワードは毎回異なります。ですから、仮にパスワードが盗聴されたとしても、第三者が今後もログインすることはできません。
エは当然ながら安全ではありません。乱数表があれば、システムにログインすることができます。

【正解】 ウ

問54 セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり,外出先で使用したPCを会社に持ち帰った際に,ウイルスに感染していないことなどを確認するために利用するものはどれか。
ア DMZ
イ IDS
ウ 検疫ネットワーク
エ ファイアウォール

【解説】
検疫ネットワークです。以下の解説も確認ください。
http://sc.seeeko.com/archives/3836041.html

ちなみに、アのDMZは、非武装地帯のことです。詳しくは以下を参照ください。http://nw.seeeko.com/archives/50935415.html
イのIDSは、・・・
エのファイアウォールは以下です。
http://nw.seeeko.com/archives/50897858.html
【正解】 ウ

問55 PKI(公開鍵基盤)における電子証明書に関する記述のうち,適切なものはどれか。
ア 通信内容の改ざんがあった場合,電子証明書を発行した認証局で検知する。
イ 電子メールに電子証明書を付与した場合,送信者が電子メールの送達記録を認証局に問い合わせることができる。
ウ 電子メールの送信者が公開鍵の所有者であることを,電子証明書を発行した認証局が保証することによって,なりすましを検出可能とする。
エ 認証局から電子証明書の発行を受けた送信者が,電子メールにディジタル署名を付与すると,認証局がその電子メールの控えを保持する。

【解説】
PKIについては、詳しくは以下に解説しています。
http://sc.seeeko.com/archives/cat_125390.html
PKI(Public Key Infrastructure)は、その直訳が意味するとおり、公開鍵基盤という意味です。よって、PKIとは、公開鍵を利用したセキュリティの枠組みと考えればいいでしょう。
今回は、設問文に「電子証明書」とあります。ここでは、電子メールなどに電子証明書をつけることで、何ができるかを考えるとよいでしょう。
アですが、ディジタル署名をつけたメールが改ざんされた場合、受信者側にてそれを検知することができます。ですが、認証局では検知できません。
イですが、電子メールに電子証明書を付与すると、受信側にて、送信者の確認をすることができます。ですが、送達記録の確認は、認証局ではできません。認証局とは切り離してメールのやり取りをするからです。
ウですが、

【正解】 ウ

問57 生体認証による'入退室管理システムに全社員を登録し,社内の各部屋に入室を許可する社員を設定した。退室は管理していない。a~dの記述のうち,この入退室管理システムで実現できることだけを全て挙げたものはどれか。
 a 権限のある社員だけに入室を許可する。
 b 入室者が部屋にいた時間を記録する。
 c 入室を試みて,拒否された社員を記録する。
 d 部屋にいる人数を把握する。

ア a, b, c
イ a, c
ウ a, d
工 b, c, d

【解説】

【正解】 イ

問58 不正アクセスなどに利用される,コンピュータシステムやネットワークに存在する弱点や欠陥のことを何というか。
ア インシデント
イ セキュリティホール
ウ ハッキング
エ フォレンジック

【解説】

【正解】 イ

問59 情報セキュリティにおける脅威であるバッファオーバフローの説明として,適切なものはどれか。
ア 特定のサーバに大量の接続要求を送り続けて,サーバが他の接続要求を受け付けることを妨害する。
イ 特定のメールアドレスに大量の電子メールを送り,利用者のメールボックスを満杯にすることで新たな電子メールを受信できなくする。
ウ ネットワークを流れるパスワードを盗聴し,それを利用して不正にアクセスする。
エ プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。

【解説】

【正解】 エ

問60 認証技術を,所有物による認証,身体的特徴による認証及び知識による認証の三つに分類したとき,分類と実現例①~③の適切な組合せはどれか。
① ICカードを用いた認証
② ID,パスワードによる認証
③ 指紋による認証
8d7f56c2.jpg


【解説】

【正解】 イ

問61 組織で策定する情報セキュリティポリシに関する記述のうち,最も適切なものはどれか。
ア 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順
 の策定も経営者が行うべきである。
イ 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順
 も社外に公開することが求められている。
ウ 情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであ
 るが,最上位の情報セキュリティ基本方針は業界標準の雛形をそのまま採用する
 ことが求められている。
エ 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報
 セキュリティ基本方針は組織全体で統一させるべきである。

【解説】

【正解】 エ

問62 ペネトレーションテストの説明として,適切なものはどれか。
ア システムに対して,実際に攻撃して侵入を試みることで,セキュリティ上の弱
 点を発見する。
イ システムに対して,通常以上の高い負荷をかけて,正常に機能するかどうかを
 確認する。
ウ プログラムを変更したときに,その変更によって想定外の影響が現れていない
 かどうかを確認する。
エ 利用者にシステムを実際に使ってもらうことで,使いやすさを確認する。

【解説】

正解】 ア

問63 リスク対策のうち,ソーシャルエンジニアリングへの対策に該当するものはどれか。
ア 電子メールは,メールサーバでウイルス検査をしてから配信する。
イ 電力供給の停止に備えて,自家発電装置を設置する。
ウ 電話で重要情報を伝達するときの方法を定めて,その手順に従って行う。
エ 入荷物は,受取場所で危険物が含まれないことを検査してから使用場所へ移す。

【解説】

【正解】 ウ

問64 電子メールの宛先入力欄におけるBCCに関する記述として,適切なものはどれか。
ア BCCに指定した宛先には,自動的に暗号化された電子メールが送信される。
イ BCCに指定した宛先には,本文を削除した件名だけの電子メールが送信される。
ウ BCCに指定した宛先のメールアドレスは,他の宛先には通知されない。
エ BCCに指定した宛先は,配信エラーが発生したときの通知先になる。

【解説】

【正解】 ウ

問67 情報セキュリティの要素である機密性,完全性及び可用性のうち,完全性を高め
  る例として,最も適切なものはどれか。
ア データの入力者以外の者が,入力されたデータの正しさをチェックする。
イ データを外部媒体に保存するときは,暗号化する。
ウ データを処理するシステムに予備電源を増設する。
エ ファイルに読出し用パスワードを設定する。

【解説】

【正解】 ア

問69 バイオメトリクス認証の例として,適切なものはどれか。
ア 本人だけが知っているパスワードで認証する。
イ 本人だけがもっている身分証明書で認証する。
ウ 本人の指紋で認証する。
エ ワンタイムパスワードを用いて認証する。

【解説】

【正解】 ウ

問75 あるWebサーバにおいて,五つのディレクトリが図のような階層構造になっている。
  このとき,ディレクトリBに格納されているHTML文書からディレクトリEに格納され
  ているファイルimg.jpgを指定するものはどれか。ここで,ディレクトリ及びファイ
  ルの指定は,次の方法によるものとする。
ディレクトリ及びファイルの指定方法〕
(1)ファイルは,“ディレクトリ名/…/ディレクトリ名/ファイル名”のように,経
 路上のディレクトリを順に“/”で区切って並べた後に“/”とファイル名を指定
 する。
(2)カレントディレクトリは∵’で表す。
(3)1階層上のディレクトリぱ。。”で表す。
(4)始まりが“/”のときは,左端にルートディレクトリが省略されているものと
 する。
(5)始まりが“/”,“。”,“‥”のいずれでもないときは,左端にカレントディレク
 トリ配下であることを示ず。/”が省略されているものとする。
IP_75
ア .. /A/D/E/img.jpg
イ ../D/E/img. jpg
ウ ./A/D/E/img. jpg
エ ./D/E/img. jpg

【解説】

【正解】 イ

問76 無線LANの暗号化方式はどれか。
ア ESSID
イ HTTPS
ウ P0P3
エ WPA2

【解説】

【正解】 エ

問77 暗号化通信で使用する鍵a~cのうち,セキュリティ上,第三者に知られてはいけ
  ないものだけを全て挙げたものはどれか。
 a 共通鍵暗号方式の共通鍵
 b 公開鍵暗号方式の公開鍵
 c 公開鍵暗号方式秘密鍵

ア a, b
イ a, c
ウ b, c
エ C

【解説】

【正解】 イ

問78 ISMSを構築する組織において,企業の経営方針に基づいて情報セキュリティ基本
  方針を策定した。これは, ISMSPDCAサイクルのどのプロセスで実施されるか。
ア P
イ D
ウ C
エ A

【解説】

【正解】 ア

問80 物理的セキュリティ対策の不備が原因となって発生するインシデントの例として,
  最も適切なものはどれか。
ア DOS攻撃を受け,サーバが停止する。
イ PCがコンピュータウイルスに感染し,情報が漏えいする。
ウ 社員の誤操作によって,PC内のデータが消去される。
エ 第三者がサーバ室へ侵入し,データを盗み出す。

【解説】

【正解】 エ

問83 社内のISMS活動の一環として,サーバのセキュリティについて監査を行うことに
  なった。最初に実施することとして,適切なものはどれか。
ア 監査の計画書を作成する。
イ サーバのセキュリティ設定を見直す。
ウ 全てのサーバの監査用囗グの所在を確認する。
エ 証弱性検査ツールを利用して,サーバの脆弱性を確認する。

【解説】

【正解】 ア

問10 個人情報取扱事業者が個人情報を第三者に渡した事例のうち,個人情報保護法において,本人の同意が必要なものはどれか。

ア 警察から捜査令状に基づく情報提供を求められたので,従業員の個人情報を渡した。
イ 児童虐待のおそれのある家庭の情報を,児童相談所,警察,学校などで共有した。
ウ フランチャイズ組織の本部から要請を受けたので,加盟店側が収集した顧客の個人情報を渡した。
エ 暴力団などの反社会的勢力情報や業務妨害行為を行う悪質者の情報を企業間で共有した。

【解説】

【正解】 ウ

問13 インターネットに接続しているコンピュータ環境において,不正アクセス禁止法で規制されている,不正アクセスを助長する行為に該当するものはどれか。

ア 住所や氏名などの個人情報を不正に詐取するプログラムを作成して配布する。
イ 商用の音楽コンテンツを,ブログで不特定多数がダウンロードできる状態にする。
ウ 他人のIDとパスワードを,本人に無断で第三者に口頭で伝える。
エ 特定のWebサイトに対する大量のアクセスを扇動する書込みを,電子掲示板に投稿する。

【解説】

【正解】 ウ

問19 国民生活の安心や安全を損なうような企業の法令違反行為の事実を,労働者が公益通報者保護法で定められた通報先に通報した場合,その労働者は同法によって解雇などの不利益を受けないよう保護される。次の労働者の行為のうち,労働者が公益通報者保護法の保護を受けられる事例はどれか。

ア 企業秘密漏えい禁止の就業規則に反するが,勤務先の通報対象事実を,法に基づいて定められた通報先に実名で通報した。
イ 勤務先の業務とは無関係な,勤務先の同僚の私生活における法令違反の事実を,法に基づいて定められた通報先に実名で通報した。
ウ 勤務先の不適切な行為が通報対象事実に該当するかを確認するため,弁護士に相談した。
エ 不特定多数が閲覧できるWebサイトに,勤務先の法令違反の事実を投稿した。

【解説】

【正解】 ア

問24 営業秘密を保護する法律はどれか。

ア 実用新案法  イ 著作権法
ウ 特許法     エ 財務

【解説】

【正解】 エ

問39 構築された内部統制の整備状況を評価するために,リスクコントロ-ルマトリクスを利用する。リスクコントロールマトリクスの利用に関する次の記述中の, a, bに入れる字句の適切な組合せはどれか。
 
 リスクと[ a ]を記述して,[ b ]を評価する。

b5493a14.jpg
 

【解説】

【正解】 エ

問51 パスワードの解読方法のーつとして,全ての文字の組合せを試みる総当たり攻撃がある。“0”から“9”の10種類の文字を使用できるパスワードにおいて,桁数を4桁から6桁に増やすと,総当たり攻撃でパスワードを解読するための最大の試行回数は何倍になるか。

ア 1.5
イ 20
ウ 100
エ 1,024

【解説】

【正解】 ウ

問53 DOS攻撃によってサーバが受ける直接的な被害はどれか。

ア 暗号化してあるデータが解読される。
イ 管理者用パスワードが変更される。
ウ コンピュータウイルスに感染する。
エ サービスの提供が阻害される

【解説】

【正解】 エ

問54 ファイルサーバの運用管理に関する記述a~dのうち,セキュリティ対策として有効なものだけを全て挙げたものはどれか。

a アクセスする利用者のパスワードを複雑かつ十分な長さに設定する。
b 許可されたIPアドレスのPCだけからアクセスできるように設定する。
c ゲストユーザにもサーバヘアクセスできる権限を与える。
d サーバのアクセスログを取得し,定期的に監査する。

ア a, b, d
イ a, d
ウ b. c
エ b. d

【解説】

【正解】 ア

問61 マルウェアに関する説明a~cとマルウェアの分類の適切な組合せはどれか。

a 感染したコンピュータが,外部からの指令によって,特定サイトヘのー斉攻撃,スパムメールの発信などを行う。
b キー囗ガーなどで記録された利用者に関する情報を収集する。
c コンピュータシステムに外部から不正にログインするために仕掛けられた侵入路である。

5eaba0ee.jpg


【解説】

【正解】 ウ

問66 データを暗号化することによって防ぐことのできる脅威はどれか。

ア 誤操作によるデータの削除
イ ソーシヤルエンジニアリング
ウ 通信内容の盗聴
エ データが保管されるサーバヘのDOS攻撃

【解説】

【正解】 ウ

問72 情報セキュリティのリスクアセスメントにおける,資産価値,脅威,脆弱性及びリスクの大きさの関係として,適切なものはどれか。

ア 脅威の大きさは,資産価値,脆弱性及びリスクの大きさによって決まる。
イ 資産価値の大きさは,脅威,脆弱性及びリスクの大きさによって決まる。
ウ 脆弱性の大きさは,資産価値,脅威及びリスクの大きさによって決まる。
エ リスクの大きさは,資産価値,脅威及び脆弱性の大きさによって決まる。

【解説】

【正解】 エ

問75 情報セキュリティポリシに関する文書を,基本方針,対策基準及び実施手順の三つに分けたとき,これらに関する説明のうち,適切なものはどれか。

ア 経営層が立てた基本方針を基に,対策基準を策定する。
イ 現場で実施している実施手順を基に,基本方針を策定する。
ウ 現場で実施している実施手順を基に,対策基準を策定する。
エ 組織で規定している対策基準を基に,基本方針を策定する。

【解説】

【正解】 ア

問76 セキュリティ対策の目的①~④のうち,適切なアクセス権を設定することによって効果があるものだけを全て挙げたものはどれか。

   ① DOS攻撃から守る。
   ② 情報漏えいを防ぐ。
   ③ ショルダハッキングを防ぐ。
   ④ 不正利用者による改ざんを防ぐ。

ア ①,②
イ ①,③
ウ ②,④
エ ③,④

【解説】

【正解】 ウ

問79 送信する電子メールの本文と添付ファイルを暗号化し,宛先に指定した受信者だけが内容を読むことができるようにしたい。このとき使用する技術として,最も適切なものはどれか。

ア APOP
イ I MAP
ウ S/MIME
エ SSL

【解説】


【正解】 ウ

問82 情報セキュリティに関する対策a~dのうち,ウイルスに感染することを防止するための対策として,適切なものだけを全て挙げたものはどれか。

  a ウイルス対策ソフトの導入
  b セキュリティパッチ(修正モジュール)の適用
  c ハードディスクのパスワード設定
  d ファイルの暗号化

ア a, b
イ a, b, c
ウ a, d
エ b. c

【解説】

【正解】 ア

問84 システムで利用するハードディスクをRAIDミラーリング構成にすることによって,高めることができる情報セキュリティの要素はどれか。

ア 可用性
イ 機密性
ウ 真正性
エ 責任追跡性

【解説】

【正解】 ア

問4 個人情報に該当しないものはどれか。

ア 50音別電話帳に記載されている氏名,住所,電話番号
イ 自社の従業員の氏名,住所が記載された住所録
ウ 社員コードだけで構成され,他の情報と容易に照合できない社員リスト
エ 防犯カメラに記録された,個人が識別できる映像

【解説】
個人情報とは、以下にあるように、「特定の個人を識別することができるもの」です。
http://sc.seeeko.com/archives/3967953.html
アとイは、典型的というか、基本的な個人情報です。住所と氏名があれば、本人が簡単に特定できます。また、エの「個人が識別できる」とあるので、個人情報です。氏名が含まれていなくても、個人情報になりえます。
ウですが、社員コードだけでは、それが誰であるかを特定することはできません。それと、社員名簿がリンクされていれば別ですが、「他の情報と容易に照合できない」とありますので、個人情報ではないのです。

【正解】 ウ

問9 インターネットを利用した広告において,あらかじめ受信者からの同意を得て,受信者の興味がある分野についての広告をメールで送るものはどれか。

ア アフィリェイト広告
イ オーバーレイ広告
ウ オプトアウトメール広告
エ オプトインメール広告

【解説】

【正解】 エ

問27 不正アクセス禁止法において,規制されている行為はどれか。

ア ウイルスに感染した個人所有のPCから会社ヘメールを送信して,ウイルスを社内へ広めた。
イ 会社でサーバにアクセスして,自宅で業務を行うための情報をUSBメモリにダウンロードして持ち帰った。
ウ 会社の不法行為を知って,その情報を第三者の運営するWebサイトの掲示板で公開した。
エ 他人のネットワークアクセス用のIDとパスワードを,本人に無断でアクセス権限のない第三者に教えた。

【解説】

【正解】 エ

問50 バイオメトリクス認証に該当するものはどれか。

ア 顔写真を印刷した,ICチップ内蔵のIDカードの目視による認証
イ 個人ごとに異なるユーザIDとパスワードによる認証
ウ てのひらを読取り機にかざすことによる認証
エ 人間には判別できるが機械的に判別できないような文字を正しく読み取ることができるかどうかによる認証

【解説】

【正解】 ウ

問56 リスクマネジメントに含まれる四つのプロセスであるリスク対応,リスク特定,リスク評価,リスク分析を実施する順番として,適切なものはどれか。

ア リスク特定→リスク評価→リスク分析→リスク対応
イ リスク特定-タリスク分析-タリスク評価-タリスク対応
ウ リスク評価→リスク特定→リスク分析→リスク対応
エ リスク分析→リスク特定→リスク対応→リスク評価

【解説】

【正解】 イ

問57 ISMSを運用している組織において,退職者が利用していたIDを月末にまとめて
  削除していたことについて,監査で指摘を受けた。これを是正して退職の都度削除
  するように改めるのは, ISMSPDCAサイクルのどれに該当するか。

ア P
イ D
ウ C
エ A

【解説】

【正解】 エ

問60 AさんがBさんに署名付きメールを送信したい。S/MIME (Secure/Multipurpose Internet Mai L Extensions)を利用して署名付きメールを送信する場合の条件のうち,適切なものはどれか。

ア Aさん,Bさんともに,あらかじめ,自身の公開鍵証明書の発行を受けておく必要がある。
イ Aさん,Bさんともに,同一のISP (Internet Service Provider)に属している必要がある。
ウ Aさんが属しているISPS/MIMEに対応している必要がある。
エ Aさんはあらかじめ,自身の公開鍵証明書の発行を受けておく必要があるが,Bさんはその必要はない。

【解説】

【正解】 エ

問72 情報セキュリティ対策に関する記述a~cのうち,通信内容を暗号化することによって実現できることだけを全て挙げたものはどれか。

  a 通信途中に改ざんされたデータを復旧する。
  b 通信内容を第三者に知られないようにする。
  c 盗聴された場合に,盗聴した者を特定する。

ア a
イ a, b
ウ a, c
エ b

【解説】

【正解】 エ

問73 Webの通信で使用されるHTTPSに関する説明のうち,適切なものはどれか。

ア HTTPによる通信を二重化して可用性を高めるためのプロトコルである。
イ HTTPよりも通信手順を簡略化するためのプロトコルである。
ウ SSLを使って通信内容を暗号化するためのプロトコルである。
エ Webを使った商取引の成立を保証するためのプロトコルである。

【解説】

【正解】 ウ

問74 ゼロディ攻撃の説明として,適切なものはどれか。

ア TCP/IPプロトコルのポート番号を順番に変えながらサーバにアクセスし,侵入口と成り得る脆弱なポートがないかどうかを調べる攻撃
イ システムの管理者や利用者などから,巧妙な話術や盗み見などによって,パスワードなどのセキュリティ上重要な情報を入手して,利用者になりすましてシステムに侵入する攻撃
ウ ソフトウェアに脆弱性が存在することが判明したとき,そのソフトウェアの修正プログラムがベンダから提供される前に,判明した脆弱性を利用して行われる
 攻撃
エ パスワードの割り出しや暗号の解読を行うために,辞書にある単語を大文字と小文字を混在させたり数字を加えたりすることで,生成した文字列を手当たり次
 第に試みる攻撃

【解説】

【正解】 ウ

問75 情報セキュリティの機密性を直接的に高めることになるものはどれか。

ア 一日の業務の終了時に機密情報のファイルの操作囗グを取得し,漏えいの痕跡がないことを確認する。
イ 機密情報のファイルにアクセスするときに,前回のアクセス日付が適正かどうかを確認する。
ウ 機密情報のファイルはバックアップを取得し,情報が破壊や改ざんされてもバックアップから復旧できるようにする。
エ 機密情報のファイルを暗号化し,漏えいしても解読されないようにする。

【解説】

【正解】 エ

問77 マルウェアの説明として,適切なものはどれか。

ア インターネットから社内ネットワークへの不正侵入を検知する仕組み
イ コンピュータウイルス,ワームなどを含む悪意のあるソフトウェアの総称
ウ ネットワークを介し,コンピュータ間でファイル共有を行うソフトウェアの総称
エ 話術や盗み聞きなどによって,社内の情報を盗み出す行為

【解説】

【正解】 イ

問79 企業内ネットワークからも,外部ネットワークからも論理的に隔離されたネットワーク領域であり,そこに設置されたサーバが外部から不正アクセスを受けたとしても,企業内ネットワークには被害が及ばないようにするためのものはどれか。

ア DMZ
イ DNS
ウ DoS
エ SSL

【解説】

【正解】 ア

問81 無線LANのセキュリティにおいて,アクセスポイントが接続要求を受け取ったときに,端末固有の情報を基にアクセス制御を行う仕組みはどれか。

ア ESSID
イ MACアドレスフィルタリング
ウ WEP
エ WPA

【解説】

【正解】 イ

問83 ポットへの感染防止の対策として,適切でないものはどれか。
                   -
ア ウイルス対策ソフトを導入する。
イ ハードディスクを暗号化する。
ウ 不審なWebサイトの閲覧を控える。
エ 見知らぬ差出人からの電子メールの添付ファイルは安易に開かない。

【解説】

【正解】 イ

問19 ファイルシステム絶対パス名を説明したものはどれか。
ア あるディレクトリから対象ファイルに至る幾つかのパス名のうち,最短のパス名
イ カレントディレクトリから対象ファイルに至るパス名
ウ ホームディレクトリから対象ファイルに至るパス名
エ ルートディレクトリから対象ファイルに至るパス名

【解説】
過去問(H25年秋FE午後問11)を参考にすると、「絶対パスはルートディレクトリを起点として表したパスで、相対パスは任意のノートを起点として表したパス」です。
よって、正解はエになります。

【正解】 エ

問36 ソーシャルエンジニアリングに分類される手口はどれか。
ア ウイルス感染で自動作成されたバックドアからシステムに侵入する。
イ システム管理者などを装い,利用者に問い合わせてパスワードを取得する。
ウ 総当たり攻撃ツールを用いてパスワードを解析する。
エ バッファオーバフローなどのソフトウェアの脆弱性を利用してシステムに侵入す
 る。

【解説】
ソーシャル(social)とは「社会的な」という意味ですから、技術的以外の方法でセキュリティを脅かすのがソーシャルエンジニアリングです。その例は、イにあるような「システム管理者などを装い,利用者に問い合わせてパスワードを取得する」ことです。それ以外の選択肢は、技術的な攻撃になります。

【正解】 イ

問37 ディジタル証明書をもつA氏が,B商店に対して電子メールを使って商品の注文を行うときに,A氏は自分の秘密鍵を用いてディジタル署名を行い,B商店はA氏の公開鍵を用いて署名を確認する。この手法によって実現できることはどれか。ここで,A氏の秘密鍵はA氏だけが使用できるものとする。

ア A氏からB商店に送られた注文の内容は,第三者に漏れないようにできる。
イ A氏から発信された注文は,B商店に届くようにできる。
ウ B商店に届いた注文は,A氏からの注文であることを確認できる。
エ B商店は,A氏に商品を売ることが許可されていることを確認できる。

【解説】
ディジタル署名の目的は、①改ざん防止(完全性)、②なりすまし防止(真正性)、③否認防止です。正解はウです。目的の②にあるように、間違いなくA氏からの注文であることが確認できます。
選択肢アは不正解です。書類に手書きのサインをすることをイメージしてください。サインした書類は暗号化されていません。ディジタル署名では、暗号化はされません。

【正解】 ウ

問38 情報漏えい対策に該当するものはどれか。

ア 送信するデータにチェックサムを付加する。
イ データが保存されるハードディスクをミラーリングする。
ウ データのバックアップ媒体のコピーを遠隔地に保管する。
エ ノート型PCのハードディスクの内容を暗号化する。

【解説】
アはチェックサムを付加することで、改ざんを検知できます。
イは、ディスク障害に備えることができます。
ウは、万が一の時のバックアップとして有効です。
この中で、盗難などによる情報漏えい対策となるものはあるでしょうか。どれも対策にはなりません。
正解はエです。ハードディスクを暗号化しておけば、万が一盗難にあったとしても、その内容を読み取られることがないからです。

【正解】 エ

問39 リスクアセスメントに関する記述のうち,適切なものはどれか。

ア 以前に洗い出された全てのリスクへの対応が完了する前に,リスクアセスメントを実施することは避ける。
イ 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。
ウ 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。
エ リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。

【解説】
アセスメントとは「評価」という意味です。リスクを評価することがリスクアセスメントです。
では、選択肢を順に見て行きましょう。
アは不正解です。リスクへの対応が完了していなかったとしても、次のリスクが顕在化する可能性があります。必要に応じてリスクアセスメントをすべきです。
イは不正解です。過去のデータを参考にすることで、効率的なリスクアセスメントが可能になります。
ウは正解です。優先順位をつけないと、対策費用が莫大になってしまいます。
エは不正解です。リスクが顕在化する前にリスクアセスメントをするべきです。

【正解】 ウ

問40 1台のファイアウォールによって,外部セグメント, DMZ,内部ネットワークの三つのセグメントに分割されたネットワークがある。このネットワークにおいて, Webサーバと,重要なデータをもつDBサーバから成るシステムを使って,利用者向けのサービスをインターネットに公開する場合,インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。
ここで,ファイアウォールでは,外部セグメントとDMZ間及びDMZと内部ネットワーク間の通信は特定のプロトコルだけを許可し,外部セグメントと内部ネットワーク間の通信は許可しないものとする。

ア WebサーバとDBサーバをDMZに設置する。
イ WebサーバとDBサーバを内部ネットワークに設置する。
ウ WebサーバをDMZに,DBサーバを内部ネットワークに設置する。
エ Webサーバを外部セグメントに,DBサーバをDMZに設置する。

【解説】
利用者向けにサービスを提供するためには、Webサーバを公開しなければいけません。そこで、WebサーバはDMZに設置して公開します。しかし、DBサーバは内部ネットワークに置くべきです。なぜなら「重要なデータをもつ」からです。このような構成にしても、WebサーバとDBサーバは通信が可能なので、システムとしては正常に動作することができます。
正解はウです。

【正解】 ウ

問41 WAF (Web Application Firewall)を利用する目的はどれか。
ア Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。
イ Webサーバ内でワームの侵入を検知し,ワームの自動駆除を行う。
ウ Webサーバのコンテンツ開発の結合テスト時にWebアプリケーションの脆弱性や不整合を検知する。
エ Webサーバのセキュリティホールを発見し,0Sのセキュリティパッチを適用する。

【解説】
WAFとは、Web Application Firewallという言葉通り、Webアプリ用のファイアウォールです。ですから、選択肢アが正解です。
イにあるようなワームの除去は、ウイルス対策ソフトで駆除を行います。

【正解】 ア

問42 ウイルス対策ソフトのパターンマッチング方式を説明したものはどれか。

ア 感染前のファイルと感染後のファイルを比較し,ファイルに変更が加わったかどうかを調べてウイルスを検出する。
イ 既知ウイルスのシグネチャと比較して,ウイルスを検出する。
ウ システム内でのウイルスに起因する異常現象を監視することによって,ウイルスを検出する。
エ ファイルのチェックサムと照合して,ウイルスを検出する。

【解説】
パターンマッチング法は、最も基本的なウイルス検出方法です。具体的には、あらかじめ登録されたウイルス定義ファイルを用いて検査をします。ですから、正解はイです。
ウはビヘイビア法と呼ばれる振る舞い検知の方法です。エはチェックサム方式と言われます。

【正解】 イ

問43 HTTPS(HTTP over SSL/TLS)の機能を用いて実現できるものはどれか。

ア SQLインジェクションによるWebサーバヘの攻撃を防ぐ。
イ TCPポート80番と443番以外の通信を遮断する。
ウ Webサーバとブラウザの間の通信を暗号化する。
工 Webサーバヘの不正なアクセスをネットワーク層でのパケットフィルタリングによって制限する。

【解説】
SSL(Secure Socket Layer)はNetscape社が開発した暗号化の仕組みです。オンラインバンキングなどでは、https通信を使った暗号化通信がなされています。正解はウです。
アは、WAFやIPSが該当します。イはファイアウォールのパケットフィルタリングなどで実現することができます。

【正解】 ウ

問44 ディレクトリトラバーサル攻撃に該当するものはどれか。

ア Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,想定外のSQL文を実行させる。
イ Webサイトに利用者を誘導した上で, WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のプラウザで悪意のあるスクリプトを実行させる。
ウ セッションIDによってセッションが管理されるとき,ログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
エ パス名を含めてファイルを指定することによって,管理者が意図していないファイルを不正に閲覧する。

【解説】
トラバーサル(traversal)とは「横断」という意味です。ディレクトリトラバーサルは横断的にファイルにアクセスします。今回の正解はエで、パスの指定を操作することで、管理者が意図していないファイルを不正に閲覧するのがディレクトリトラバーサルです。参考までに、アはSQLインジェクション、イはクロスサイトスクリプティング、ウはセッションハイジャックの説明です。

【正解】 エ

問45 Webサーバの検査におけるポートスキャナの利用目的はどれか。
ア Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
イ Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティボリシとの相違を調べる。
ウ Webサーバヘのアクセス履歴を解析して,不正利用を検出する。
エ 正規の利用者IDでログインし, Webサーバのコンテンツを直接確認して,コンテンツの脆弱性を検出する。

【解説】
ポートスキャンとは、言葉の通り、ポート(port)をスキャン(scan:調べる)ことです。ポートスキャンをするときのツールがポートスキャナです。Webサーバで不要なサービスが稼働していないかは、ポートをスキャンすることで調査ができます。

【正解】 ア

問59 システム監査人の役割に関する記述のうち,適切なものはどれか。
ア 監査対象から独立し,かつ,専門的な立場で,情報システムのコントロールの整備・運用に対する保証又は助言を行う。
イ 仕様書どおりの処理が行われるかどうか,テストを行い,リリースを承認する。
ウ 情報システムの性能を評価し,システムの利用者に監査調書を報告する。
エ 情報システムの総合テストで発見された不具合の改善を,テスト担当者に指示する。

【解説】

【正解】 ア

問36 メッセージ認証符号におけるメッセージダイジェストの利用目的はどれか。
ア メッセージが改ざんされていないことを確認する。
イ メッセージの暗号化方式を確認する。
ウ メッセージの概要を確認する。
エ メッセージの秘匿性を確保する。

【解説】

【正解】 ア

問37 PKI(公開鍵基盤)の認証局が果たす役割はどれか。
ア 共通鍵を生成する。
イ 公開鍵を利用しデータの暗号化を行う。
ウ 失効したディジタル証明書の一覧を発行する。
エ データが改ざんされていないことを検証する。

【解説】

【正解】 ウ

問38 ICカードとPINを用いた利用者認証における適切な運用はどれか。
ア ICカードによって個々の利用者を識別できるので,管理負荷を軽減するために全利用者に共通のPINを設定する。
イ ICカードの表面に刻印してある数字情報を組み合わせて,PINを設定する。
ウ ICカード紛失時には,新たなICカードを発行し,PINを再設定した後で,紛失したICカードの失効処理を行う。
エ ICカードを配送する場合には,PINを同封せず,別経路で利用者に知らせる。

【解説】

【正解】 エ

問39 情報セキュリティにおける“完全性”を脅かす攻撃はどれか。
ア Webページの改ざん
イ システム内に保管されているデータの不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴

【解説】

【正解】 ア

問40 会社や団体が,自組織の従業員に貸与するスマートフォンに対して,セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組みはどれか。
ア BYOD(Bring Your Own Device)
イ ECM(Enterprise Contents Management)
ウ UTE(Long Term Evolution)
エ MDM(Mobile Device Mangement)

【解説】

【正解】 エ

問41 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
ア ソーシャルエンジニアリング
イ トロイの木馬
ウ パスワードクラック
エ 踏み台攻撃

【解説】

【正解】 ア

問42 パスワードを用いて利用者を認証する方法のうち,適切なものはどれか。

ア パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
イ パスワードに対応する利用者IDのハッシュ値を登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して比較する。
ウ パスワードをハッシュ値に変換して登録しておき,認証時に入力されたパスワードをハッシュ関数で変換して比較する。
エ パスワードをハッジュ値に変換して登録しておき,認証時に入力された利用者IDをハッシュ関数で変換して比較する。

【解説】

【正解】 ウ

問43 企業内ネットワークやサーバに侵入するために攻撃者が組み込むものはどれか。
ア シンクライアントエージェント
イ ストリクトルーティング
ウ ディジタルフォレンジック
エ バックドア

【解説】

【正解】 エ

問44 PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に,宛先ポートとしてTCPポート番号80が多く使用される理由はどれか。
ア DNSのゾーン転送に使用されるので,通イ言がファイアウォールで許可されている可能性が高い。
イ WebサイトのHTTPS通信での閲覧に使用されることから,侵入検知システムで検知される可能性が低い。
ウ Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い。
エ ドメイン名の名前解決に使用されるので,侵入検知システムで検知される可能性が低い。

【解説】

【正解】 ウ

問45 生体認証システムを導入するときに考慮すべき点として,最も適切なものはどれか。
ア システムを誤作動させるデータを無害化する機能をもつライブラリを使用する。
イ パターンファイルの頻繁な更新だけでなく,ヒューリスティックスなど別の手段と組み合わせる。
ウ 本人のディジタル証明書を信頼できる第三者機関に発行してもらう。
エ 本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。

【解説】

【正解】 エ

問13 データベース(DB)へのアクセスを行うブラウザからのリクエスト処理を,Webサーバが受信し解読した後に行う一連の実行処理の順序はどれか。ここで,Webサーバはリクエスト処理ごとにDBへの接続と切断を行うものとする。

 〔実行処理〕
 ①DBの切断
 ②DBへのアクセス
 ③DBへの接続
 ④HTML文書の組立て
 ⑤SQL文の組立て
 ⑥ブラウザヘの送信

ア ③,②,⑤,④,⑥,①
イ ③,④,②,⑤,⑥,①
ウ ③,④,⑤,②,⑥,①
エ ③,⑤,②,④,⑥,①

【解説】
選択肢を見ると、③、⑥、①は共通しています。よって、「②DBへのアクセス」「④HTML文書の組立て」「⑤SQL文の組立て」の順序を考えます。
たとえば、ブラウザで検索文字を入力し、DBで検索して、売り上げデータの結果を返す処理を考えましょう。ブラウザからは、「3月」などの値が来ますから、それをDBが分かる言葉であるSQL文に組み立てます(⑤)。次に、DBにアクセスし(②)、DBからの結果をHTMLに表記して(④)返します。

【正解】 エ

問15 フェールセーフ設計の考え方に該当するものはどれか。
ア 作業範囲に人間が入ったことを検知するセンサが故障したとシステムが判断した場合,ロボットアームを強制的に停止させる。
イ 数字入力フィールドに数字以外のものが入力された場合,システムから警告メッセージを出力して正しい入力を要求する。
ウ 専用回線に障害が発生した場合,すぐに公衆回線に切り替え,システムの処理能力が低下しても処理を続行する。
エ データ収集システムでデータ転送処理に障害が発生した場合,データ入力処理だけを行い,障害復旧時にまとめて転送する。

【解説】
正解はアです。フェールセーフは、Safety(安全)というキーワードが示すとおり,故障発生時にシステムや人に対して安全に働くような仕組みです。イはフールプルーフ(fool proof)、ウとエは、フェールソフトやフォールバックの考え方です。
 
【正解】 ア

問25 SQL文を実行する際に,効率が良いと考えられるアクセス経路を選択する関係データベース管理システムRDBMS)の機能はどれか。

ア オプティマイザ  イ ガーベジコレクション  ウ クラスタリング  エ マージソート

【解説】
オプティマイズ(optimize)とは「最適化」を意味する言葉で、DBに限った言葉ではありません。をRDBMSオプティマイザは,統計情報を用いて、最適なアクセス経路を選択します。

【正解】 ア

問26 項目aの値が決まれば項目bの値が一意に定まることを,a→bで表す。例えば,社員番号が決まれぱ社員名が一意に定まるという表現は,社員番号→社員名である。この表記法に基づいて,図の関係が成立している項目a~jを,関係データベース上の三つのテーブルで定義する組合せとして,適切なものはどれか。
60f200b7.jpg

ア テーブル1(a)
  テーブル2(b,c,d,e)
  テーブル3(f,g,h,i,j)
イ テーブル1(a,b,c,d,e)
  テーブル2(b,f,g,h)
  テーブル3(e,i, j)
ウ テーブル1(a,b,f,g,h)
  テーブル2(c,d)
  テーブル3(e,i, j)
エ テーブル1(a,c,d)
  テーブル2(b,f,g,h)
  テーブル3(e,i, j)

【解説】
データベース設計の細かな説明をここではしませんが、具体例を考えてみると分かりやすいと思います。
上記の例を以下に作成しましたので、参考にしてください。
テーブル1:社員(a社員ID,b部署ID,c社員名,d性別,e役職ID)
テーブル2:部署(b部署ID,f部署名,g部署所在地,h連絡先)
テーブル3:役職(e役職ID,i役職名,jランク)

【正解】 イ

問27 関係データベースの操作のうち,射影(projection)の説明として,適切なものはどれか。
ア ある表の照会結果と,別の表の照会結果を合わせて一つの表にする。
イ 表の中から特定の条件に合致した行を取り出す。
ウ 表の中から特定の列だけを取り出す。
エ 二つ以上の表の組から条件に合致した組同士を合わせて新しい表を作り出す。

【解説】
データベースの操作で馴染み深いのは、顧客データベースから、条件に該当する顧客を出力するなどの行を選択(select)することです。一方、射影(projection)では、行ではなく列を取り出します。

【正解】 ウ

問28 “商品”表記“在庫”表に対する次のSQL文の結果と同じ結果が得られるSQL文はどれか。ここで,下線部は主キーを表す。

  SELECT 商品番号 FROM 商品
     WHERE 商品番号 NOT IN (SELECT 商品番号 FROM 在庫)
商品在庫
商品番号商品名単価倉庫番商品番号在庫数

ア SELECT 商品番号 FROM 在庫
    WHERE EXISTS (SELECT 商品番号 FROM 商品)
イ SELECT 商品番号 FROM 在庫
    WHERE NOT EXISTS (SELECT 商品番号 FROM 商品)
ウ SELECT 商品番号 FROM 商品
    WHERE EXISTS (SELECT 商品番号 FROM 在庫
              WHERE 商品.商品番号=在庫.商品番号)
エ SELECT 商品番号 FROM 商品
    WHERE NOT EXISTS (SELECT 商品番号 FROM 在庫
                WHERE 商品.商品番号=在庫.商品番号)

【解説】

【正解】 エ

問29 トランザクションが,データベースに対する更新処理を完全に行うか,全く処理しなかったかのように取り消すか,のどちらかの結果になることを保証する特性はどれか。

ア 一貫性(consistency)  イ 原子性(atomicity)  ウ 耐久性(durability)  エ 独立性(isolation)

【解説】
ア:「一貫性(consistency)」とは、「同一データベースに対する同一処理は,何度実行しても結果は同じである(H27春高度午前1問9不正解選択肢」ことです。
イ:正解選択肢です。
ウ:「耐久性(durability)」とは、「トランザクション完了後にハードウェア障害が発生しても,更新されたデータベースの内容は保証される(H27春高度午前1問9不正解選択肢」ことです。
エ:「独立性(isolation)」とは、「一つのトランザクションの処理結果は,他のトランザクション処理の影響を受けない(H27春高度午前1問9不正解選択肢」ことです。

【正解】 イ

問30 OSI基本参照モデルの各層で中継する装置を,物理層で中継する装置,データリンク層で中継する装置,ネットワーク層で中継する装置の順に並べたものはどれか。
ア ブリッジ,リピータ,ルータ
イ ブリッジ,ルータ,リピータ
ウ リピータ,ブリッジ,ルータ
エ リピータ,ルータ,ブリッジ

【解説】
リピータは物理層(第1層),ブリッジはデータリンク層(第2層),ルータはネットワーク層(第3層)で動作します。

【正解】 ウ

問31 TCP/IPネットワークでDNSが果たす役割はどれか。
ア PCやプリンタなどからのIPアドレス付与の要求に対し,サーバに登録してあるIPアドレスの中から使用されていないIPアドレスを割り当てる。
イ サーバにあるプログラムを,サーバのIPアドレスを意識することなく,プログラム名の指定だけで呼び出すようにする。
ウ 社内のプライベートIPアドレスグローバルIPアドレスに変換し,インターネットヘのアクセスを可能にする。
エ ドメイン名やホスト名などとIPアドレスとを対応付ける。

【解説】
DNS(Domain Name System)の役割は、エが正解です。参考までに、アはDHCP、ウはNAT(またはNAPT)の説明です。

【正解】 エ

問32 IPv6アドレスの特徴として,適切なものはどれか。
ア アドレス長は96ビットである。
イ 全てグローバルアドレスである。
ウ 全てのIPv6アドレスとIPv4アドレスを,1対1に対応付けることができる。
エ 複数のアドレス表記法があり,その一つは,アドレスの16進数表記を4文字(16ビット)ずつコロン“:”で区切る方法である。

【解説】
ア:IPv6のアドレス長さは128ビットです。
イ:ユニークローカルユニキャストアドレスという名のプライベートアドレスもあります。
ウ:IPv6アドレスの方が、IPv4よりも何万倍も数が多いですから、完全に1対1にすることは無理です。
エ:正解選択肢です。例えば、2001:0db8:0000:0000:0000:ffee:0042:8329(省略表記は2001:db8::ff00:42:8329)のように表記されます。

【正解】 エ

問33 インターネットにおける電子メールの規約で,ヘッダフィールドの拡張を行い,テキストだけでなく,音声,画像なども扱えるようにしたものはどれか。

ア HTML  イ MHS  ウ MIME  エ SMTP

【解説】
ア:HTMLは、「タグを使ってWebページの論理構造やレイアウトが指定できるマークアップ言語(H24春IP問67)です。
イ:MHS(Message Handling System)は、メール関連の規格ですが、使用されないため無視して構いません。
ウ:正解選択肢です。
エ:SMTPは、「電子メールを転送するためのプロトコル(H17秋FE午前問52)」です。

【正解】 ウ

問34 IPネットワークにおいて,ICMPのエコー要求,エコー応答,到達不能メッセージなどによって,通信相手との接続性を確認するコマンドはどれか。

ア arp  イ echo  ウ ipconfig  エ ping

【解説】
例えば、Windowsコマンドプロンプトにて、以下のようなICMPプロトコルpingコマンドを実行することで、通信相手(今回は192.168.1.1)との接続性が確認できます。
c:\>ping 192.168.1.1
192.168.1.1 に ping を送信しています 32 バイトのデータ:
192.168.1.1 からの応答: バイト数 =32 時間 =19ms TTL=64
192.168.1.1 からの応答: バイト数 =32 時間 =11ms TTL=64

【正解】 エ

問35 IPv4で192.168.30.32/28のネットワークに接続可能なホストの最大数はどれか。

ア 14  イ 16  ウ 28  エ 30

【解説】
192.168.30.32/28のネットワークは、192.168.30.32から192.168.30.47までの16個のIPアドレスです。しかし、32はネットワークアドレスを指し、47はブロードキャストで使用しますから、ホストとして利用できるのは16-2=14個になります。

【正解】 ア

問51 システム開発進捗管理やソフトウェアの品質管理などで用いられるPDCAサイクルの“P”,“D”,“C”,“A”は,それぞれ英単語の頭文字をとったものである。3番目の文字“C”が表す単語はどれか。

ア Challenge  イ Change  ウ Check  エ Control

【解説】
PDCAは、plan(計画),do(実行),check(評価),act(改善)です。

【正解】 ウ

問53 図に示すプロジェクト活動のクリティカルパスはどれか。
08eb1a70.jpg

ア A→B→E→I→L
イ A→C→D→E→H→K
ウ A→C→F→I→L
エ A→C→G→J→L

【解説】
順に計算をしましょう。
ア A→B→E→I→L  2 + 3 + 1 + 2 + 3 = 11
イ A→C→D→E→H→K  2 + 3 + 1 + 1 + 3 + 2 = 12
ウ A→C→F→I→L  2 + 3 + 3 + 2 + 3 = 13
エ A→C→G→J→L  2 + 3 + 4 + 2 + 3 = 14
最も時間がかかるエが、クリティカルパスになり、重点管理が必要な工程です。

【正解】 エ

問54 ある新規システムの開発規模を見積もったところ,500FP(ファンクションポイント)であった。このシステムを構築するプロジェクトには,開発工数の他にシステムの導入や開発者教育の工数が10人月必要である。また,プロジェクト管理に,開発と導入・教育を合わせた工数の10%を要する。このプロジェクトに要する全工数は何人月か。ここで,開発の生産性は1人月当たり10FPとする。

ア 51  イ 60  ウ 65  エ 66

【解説】
ファンクションポイントなどの意味を正確にしらなくても、なんとなくで求められたことでしょう。
まず、システムの開発規模が500FP、開発の生産性は1人月当たり10FP、の記述から、開発には50人月がかかることが分かります。次に開発以外の工数は10人月ですから、合計60人月。プロジェクト管理は、その10%ですから、6人月。合計すると、全工数は66人月になります。

【正解】 エ

問55 システムの移行方式の一つである一斉移行方式の特徴として,最も適切なものはどれか。
ア 新旧システム間を接続するアプリケーションが必要となる。
イ 新旧システムを並行させて運用し,ある時点で新システムに移行する。
ウ 新システムへの移行時のトラブルの影響が大きい。
エ 並行して稼働させるための運用コストが発生する。

【解説】
移行には、大きく一斉移行方式と段階移行方式の2つがあります。一斉に移行するのか、段階的に移行するかの違いです。ア、イ、エは、段階移行方式の特徴です。段階的に移行しますから、新旧両方のシステムが混在するのです。一方の、一斉移行は、一気に移行してしまいますから、エのような並行運用のコストはありません。しかし、ウにありますように、移行に失敗したときには、その影響範囲が大きいという問題もあります。

【正解】 ウ

問56 ITサービスマネジメントにおける“既知の誤り(既知のエラー)”の説明はどれか。
ア 根本原因が特定されている又は回避策が存在している問題
イ サービスデスクに問合せがあった新たなインシデント
ウ サービスマネジメント計画での矛盾や漏れ
エ 静的検査で検出したプログラムの誤り

【解説】
「未知の問題」と「既知のエラー」の両者を合わせて理解しましょう。問題管理プロセスでは、根本原因が分かってない「未知の問題」の究明をします。根本原因が分かり、回避策が存在している問題は「既知のエラー」と言われます。

【正解】 ア

問57 次の条件でITサービスを提供している。SLAを満たすための,1か月のサービス時間帯中の停止時間は最大何時間か。ここで,1か月の営業日は30日とし,サービス時間帯中は保守などのサービス計画停止は行わないものとする。

 〔SLAの条件〕
  ・サービス時間帯は,営業日の午前8時から午後10時までとする。
  ・可用性を99.5%以上とする。

ア 0.3  イ 2.1  ウ 3.0  エ 3.6

【解説】
1か月のサービス提供時間は、14時間(午前8時から午後10時) x 30日 = 420時間です。可用性は99.5%ですから、420 x 99.5 = 417.9時間以上稼働している必要があります。逆に、420 - 417.9 = 2.1 時間は停止することができます。

【正解】 イ

問59 システム設計の段階において,利用者要件が充足されないリスクを低減するコントロールを監査するときのチェックポイントはどれか。
ア システム設計書に基づき,プログラム仕様書を作成していること
イ システムテスト要件に基づいてテスト計画を作成し,システム運用部門の責任者の承認を得ていること
ウ プログラミングは定められた標準に従っていること
エ 利用部門が参画して,システム設計書のレビューを行っていること

【解説】
ポイントは、「システム設計の段階において」という記述です。アやウは、設計段階ではなく開発段階における内容です。エにあるように、設計書のレビューすることで、利用者要件が充足されるように要求することができます。

【正解】 エ

問60 “システム管理基準”に基づいて,システムの信頼性,安全性,効率性を監査する際に,システムが不正な使用から保護されているかどうかという安全性の検証項目として,最も適切なものはどれか。
ア アクセス管理機能の検証
イ フェールソフト機能の検証
ウ フォールトトレラント機能の検証
エ リカバリ機能の検証

【解説】
権限の無い人による不正使用を防ぐには、アクセス権の設定などによるアクセス管理が重要です。

【正解】 ア

↑このページのトップヘ