問1
図のアーキテクチャのシステムにおいて,CPUからみた,主記憶装置とキャッシュメモリを合わせた平均読込み時間を表す式はどれか。ここで,読み込みたいデータがキャッシュメモリに存在しない確率をrとし,キャッシュメモリ管理に関するオーバヘッドは無視できるものとする。
正解:イ
確率 時間 期待値
ヒットしたとき 1-r x (1-r)・x
ヒットしないとき r y r・y +(
平均読込み時間 (1-r)・x+r・y
容量のデータは無関係
参照:「記憶階層とキャッシュメモリ」(hs-kioku-kaisou)
問2
磁気ディスク装置の仕様と格納対象データの条件が次のとおりに与えられている。ブロック化因数が20のときの必要領域は何トラックか。ここで,ブロックはトラックをまたがらないように割り当てるものとし,ファイル編成は順編成とする。
磁気ディスク装置の仕様
1トラック当たりの記憶容量 25,200バイト
ブロック間隔 500バイト
格納対象データの条件
レコード長 200バイト
レコード件数 10,000件
ア 80 イ 83 ウ 89 エ 100
正解:エ
1ブロックの容量:200[バイト/レコード]×20[レコード/ブロック]+500[バイト/ブロック]
=4,500[バイト/ブロック]
データのブロック数:10,000[レコード]/20[レコード/ブロック]
=500[ブロック]
1トラックのブロック数:25,200[バイト/トラック]/4,500[バイト/ブロック]
=5.6(切捨て)→5[ブロック/トラック]
必要なトラック数:500[ブロック]/5[ブロック/トラック]
=100[トラック]
参照:「磁気ディスクの容量計算」(hs-disk-youryo)
問3
入出力管理におけるバッファキャッシュ機能の記述として,適切なものはどれか。
- ア 一度アクセスしたデータブロックは再利用される可能性が高いので,入出力に利用したバッファ域をすぐには解放せずに,しばらく保持する。
- イ 仮想記憶に複数のバッファを用意してデータの参照と更新を行い,プログラム終了時に一括して磁気ディスクに書き込む。
- ウ 頻繁に使用するファイルに高速にアクセスするために,主記憶の一部を仮想的な記録媒体として割り当てる。
- エ ファイルの読取りを高速に行うために,複数のバッファを用意して,連続ブロックの先読みを行う。
正解:ア
バッファキャッシュ=CPU処理時間<<入出力時間
読込みの例:エ
書出しの例:プリンタのスプール
イ,ウは仮想記憶,エは部分的説明
参照:「記憶階層とキャッシュメモリ」(hs-kioku-kaisou)
問4[sd04-04]
問5
あるシステムにおいて,MTBFとMTTRがともに1.5倍になったとき,アベイラビリティ(稼働率)は何倍になるか。
ア 2/3 イ 1.5 ウ 2.25 エ 変わらない
正解:エ
稼働率=MTBF/(MTBF+MTTR)・・・分母・分子が1.5倍になる→稼働率は不変
参照:「RAS,MTBF,MTTR」(hs-mtbf-mttr)
問6[sd04-08]
問7[sd04-11]
問8[sd04-12]
問9
オブジェクト指向の概念で,上位のクラスのデータやメソッドを下位のクラスで再利用できる性質を何というか。
ア インヘリタンス イ カプセル化 ウ 抽象化 エ ポリモーフィズム
正解:ア
カプセル化:データとメソッドを一体化して外部から隠蔽
ポリモーフィズム:同じメッセージ(命令)でもオブジェクトにより異なる振る舞い
参照:「オブジェクト指向DB」(db-oodb)
問10
データの検査方法に関する記述のうち,適切なものはどれか。
- ア 検査数字による検査では,数字項目に1けたを追加し,ほかのけたの数字を使用して一定の計算を行い,計算値が追加した数字を超えないことを検査する。
- イ バランスチェックでは,仕訳データの借方と貸方のように,最終的な合計が一致すべき取引データを別々に集計して,両者が一致することを検査する。
- ウ フォーマットチェックでは,必ず入力しなければならない項目が漏れなく入力されているかどうかを検査する。
- エ リミットチェックでは,ファイル中のデータの最大値又は最小値が何であるかを検査する。
正解:イ
アはチェックデジット。JANコードなどに用いられている。
フォーマットチェックは数値項目の文字の入力,桁数のチェックなど
リミットチェックとは,入力できるデータの最大小値
参照:「テストの方法」(kj2-test-kiso)
問11
プログラムのテストに関する記述のうち,適切なものはどれか。
- ア 静的テストとは,プログラムを実行することなくテストする手法であり,コード検査,静的解析などがある。
- イ トップダウンテストは,仮の下位モジュールとしてのスタブを結合してテストするので,テストの最終段階になるまで全体に関係するような欠陥が発見しにくい。
- ウ ブラックボックステストは,分岐,反復などの内部構造を検証するため,すべての経路を通過するように,テストケースを設定する。
- エ プログラムのテストによって,プログラムにバグがないことが証明できる。
正解:ア
イ:前半は正しい。早期に全体の構造をチェックするのに適する。
ウ:これはホワイトボックステスト
エ:バグがあることは証明できるが,バグのないことを証明する手段はない。
参照:「テストの方法」(kj2-test-kiso)
問12
プロジェクトの工程管理や進捗管理に使用されるガントチャートの特徴として,適切なものはどれか。
ア 各作業の開始時点と終了時点が一目で把握できる。
イ 各作業の順序が明確になり,クリティカルパスが把握できる。
ウ 各作業の余裕日数が容易に計算できる。
エ プロジェクトの総所要日数が計算できる。
正解:ア
イ,ウ,エはPERT
参照:「グラフ」(
kj-graph-kiso),
「PERTの概要」(pt-intro)
問13
運用開始後のネットワーク構成の変更に関する記述のうち,最も適切なものはどれか。
- ア ネットワーク構成が複雑になるほどネットワーク管理ソフトウェアでの管理が困難となるので,経験豊富な担当者がその構成を変更する必要がある。
- イ ネットワーク構成を変更する場合は,ネットワークセキュリティを確保するため,すべてのユーザ業務を停止させてから実施する必要がある。
- ウ ネットワーク構築時にネットワーク構成の十分な検討を行い,運用開始後は変更しないようにする必要がある。
- エ 必要に応じていつでもネットワーク構成の変更を行うことができるように,機器台帳・管理台帳などの更新を適時実施する必要がある。
正解:エ
すべて望ましいことではあるが・・・
ア:属人的な対応では困る。
イ:全業務停止は現実的ではない。
ウ:それができれば苦労はない。環境は変化する。
エ:これが最も基本的。
問14
TCP/IPにおけるARPの説明として,適切なものはどれか。
ア IPアドレスからMACアドレスを得るプロトコルである。
イ IPネットワークにおける誤り制御のためのプロトコルである。
ウ ゲートウェイ間のホップ数によって経路を制御するプロトコルである。
エ 端末に対して動的にIPアドレスを割り当てるためのプロトコルである。
正解:ア
ア:ARP,イ:ICMP,エ:DHCP
→参照:「ネットワーク層とIP」(nw-ip)
ウ:RIP→参照:「経路制御(ルーティング)」(nw-routing)
問15
クラスBのIPアドレスで,サブネットマスクが16進数のFFFFFF80である場合,利用可能なホスト数は最大いくつか。
ア 126 イ 127 ウ 254 エ 255
正解:ア
80→000 0000→7ビット→27→128
ネットワークアドレスとブロードキャストアドレスの2個が必要なので,
ホスト数=128-2=126個
参照:「IPアドレス」(nw-ipaddress)
問16
無線LAN(IEEE802.11)で使用されるデータ暗号化方式はどれか。
ア SSID イ SSL ウ WAP エ WEP
正解:エ
SSID(Service Set IDentifier):無線LANで子機に親機の存在を認識させる機能
SSL(Secure Soket Layer):通信でのセキュリティプロトコル
WAP(Wireless Application Protocol):携帯電話などでの通信プロトコル
WEP(Wired Equivalent Privacy):無線通信における暗号化技術
問17
ATM交換機に関する記述として,適切なものはどれか。
- ア 事業所などの限られた範囲の構内に設置された内線電話機相互間の接続や,加入者電話回線と内線電話機との接続に用いる構内交換機の総称である。
- イ データをセルと呼ばれる固定長のブロックに分割し,各セルにあて先情報を含むヘッダを付加することによって,種々のデータを統一的に扱う交換機である。
- ウ データをブロック化された単位に区切って転送する蓄積型の交換機であり,伝送速度は数十kビット/秒程度までである。
- エ フレームと呼ばれる単位に区切られたデータを交換する交換機であり,伝送誤りに対する再送を行わないので,ネットワーク内の処理を高速化することができる。
正解:イ
アはPBX(構内電話交換機),ウはパケット交換,エはフレームリレー
ATM交換機は,これらを包含するが,最も特徴的なのはイ
参照:「データリンク層」(nw-datalink)
問18
2台のコンピュータを伝送速度64,000ビット/秒の専用線で接続し,1Mバイトのファイルを転送する。このとき,転送に必要な時間は約何秒か。ここで,伝送効率を80%とする。
ア 20 イ 100 ウ 125 エ 156
正解:エ
転送量=1[Mバイト]×8[ビット/バイト]=8×106[ビット]
転送速度=64,000[ビット/秒]×0.8=64×0.8×103[ビット/秒]
転送時間=転送量/転送速度=156[秒]
問19
LANの制御方式に関する記述のうち,適切なものはどれか。
- ア CSMA/CD方式では,単位時間当たりの送出フレーム数が増していくと,衝突の頻度が増すので,スループットはある値をピークとして,その後下がる。
- イ CSMA/CD方式では,一つの装置から送出されたフレームが順番に各装置に伝送されるので,リング状のLANに適している。
- ウ TDMA方式では,伝送路上におけるフレームの伝搬遅延時間による衝突が発生する。
- エ トークンアクセス方式では,トークンの巡回によって送信権を管理しているので,トラフィックが増大すると,CSMA/CD方式に比べて伝送効率が急激に低下する。
正解:ア
イは×。トークンパッシング方式の説明
ウは×。TDMAは時分割→衝突は発生しない
エは×。急激に低下するのはCSMA/CD方式の特徴
参照:「データリンク層」(nw-datalink)
問20
ネットワークを構成する装置の用途や機能に関する記述のうち,適切なものはどれか。
- ア ゲートウェイは,主にトランスポート層以上での中継を行う装置であり,異なったプロトコル体系のネットワーク間の接続などに用いられる。
- イ ブリッジは,物理層での中継を行う装置であり,フレームのフィルタリング機能をもつ。
- ウ リピータは,ネットワーク層での中継を行う装置であり,伝送途中で減衰した信号レベルの補正と再生増幅を行う。
- エ ルータは,データリンク層のプロトコルに基づいてフレームの中継と交換を行う装置であり,フロー制御や最適経路選択などの機能をもつ。
正解:ア
イ:ブリッジはデータリンク層
ウ:リピータは物理層
エ:ルータはネットワーク層
すべて後半は正しい。
参照:「LAN接続機器」(nw-lan-kiki)
問21[sd02-26]
問22[sd04-25]
問23
インターネット上で,安全なクレジット決済の取引処理を提供するために定められたプロトコルはどれか。
ア CII イ RAS ウ SET エ SSL
正解:ウ
CII(Center for the Information of Industry):日本電子機械工業会の標準化機構
あるいは同機構によるビジネスプロトコルのこと(EDIのようなもの)
RAS(Remote Access Service):リモートアクセス処理のこと
RSA(公開鍵暗号方式の一つ)の誤植?
SSL:インターネット通信での暗号化方式
問24
JPCERT/CC(JPCERTコーディネーションセンター)では,インシデントを六つのタイプに分類している。
Scan: プローブ,スキャン,そのほかの不審なアクセス
Abuse: サーバブログラムの機能を悪用した不正中継
Forged: 送信ヘッダを詐称した電子メールの配送
Intrusion: システムへの侵入
DoS: サービス運用妨害につながる攻撃
Other: その他
次の三つのインシデントとタイプの組合せのうち,適切なものはどれか。
インシデント1:ワームの攻撃が試みられた形跡があるが,侵入されていない。
インシデント2:ネットワークの輻輳(ふくそう)による妨害を受けた。
インシデント3:DoS用の踏み台プログラムがシステムに設置されていた。
インシデント1 インシデント2 インシデント3
ア Abuse DoS Intrusion
イ Abuse Forged DoS
ウ Scan DoS Intrusion
エ Scan Forged DoS
正解:ウ
インシデント1:攻撃が試みられた形跡→不審なアクセス→Scan
インシデント2:輻輳による妨害→サービス運用妨害→DoS
インシデント3:システムに設置→システムへの侵入→Intrusion
問25
マクロウイルスの感染に関する記述のうち,適切なものはどれか。
- ア 感染したプログラムを実行すると,マクロウイルスが主記憶にロードされ,その間に実行したほかのプログラムのプログラムファイルに感染する。
- イ 感染したフロッピーディスクからシステムを起動すると,マクロウイルスが主記憶にロードされ,ほかのフロッピーディスクのブートセクタに感染する。
- ウ 感染した文書ファイルを開くと,テンプレートやスプレッドシートにマクロウイルスが感染して,その後,別に開いたり新規作成したりした文書ファイルに感染する。
- エ マクロがウイルスに感染しているかどうかは容易に判断できるので,文書ファイルを開く時点で感染を防止することができる。
正解:ウ
「マクロ」ウイルス=WordやExcelのマクロにウイルスを忍ばせる
アは×。通常のウイルスの説明
イは×。ブートセクタウイルス(ブーストラップウイルス)の説明
エは×。「容易に判断できる」が微妙だが,一般人がワクチンなして判断するのは困難
参照:「ウイルスの種類」(sec-virus-shurui)
問26
ネットワーク監視型侵入検知ツール(NIDS)の導入目的はどれか。
ア 管理下のサイトへの不正侵入の試みを記録し,管理者に通知する。
イ 攻撃が防御できないときの損害の大きさを判定する。
ウ サイト上のファイルやシステム上の資源への不正アクセスであるかどうかを判定する。
エ 時間をおいた攻撃の関連性とトラフィックを解析する。
正解:ア
NIDS(Network Intrusion Detection System):一般にIDSといわれる
ホスト型とネットワーク型がある。
イのような事項はツールではなく,リスク分析での人間的判断
ウはホスト型IDS
エはIDSそのものではなく,その解析ツール(MRTGなど)
参照:「ネットワークセキュリティ技術」(nw-sec-gijutsu)
問27
情報システムへの脅威とセキュリティ対策の組合せのうち,適切なものはどれか。
脅威 セキュリティ対策
ア 地震と火災 フォールトトレラント方式のコンピュータ
によるシステムの二重化
イ データの物理的な盗難と破壊 ディスクアレイやファイアウォール
ウ 伝送中のデータヘの不正アクセス HDLCプロトコルのCRC
エ メッセージの改ざん 公開鍵暗号方式を応用したデジタル署名
正解:エ
アは×。地震→耐震設備,火災→防火壁,消火設備など
イは×。アクセス制御,データの暗号化,バックアップなど
ウは×。暗号化など
エは○。
問28
ネットワークの非武装セグメント(DMZ)の構築や運用に関する記述のうち,適切なものはどれか。
- ア DMZのサーバの運用監視を内部ネットワークから行うことは,セキュリティ上好ましくないので,操作員がサーバのコンソールから監視するようにする。
- イ データ保持用のサーバを,DMZのWebサーバから切り離して内部ネットワークに設置することによって,重要データがDMZに置かれることを避ける。
- ウ 不正侵入をリアルタイムに検出するソフトウェアは,DMZではなく,重要なサーバが設置されている内部ネットワークで稼働させる。
- エ メールサーバをDMZに設置することによって,電子メールの不正中継を阻止できる。
正解:イ
アは×。運用監視を内部ネットワークから行うことは,セキュリティ上好ましい。
イは○。これにより外部ネットワークからデータ保持用のサーバにアクセスされない。
ウは×。外部からDMZへのアクセスを監視するので,DMZにおくのが適切。
エは×。不正中継はサーバの設定による。
問29[su07-32]
SSLに関する記述のうち,適切なものはどれか。
- ア SSLで使用する個人認証用のデジタル証明書は,ICカードやUSBデバイスに格納できるので,格納場所を特定のパソコンに限定する必要はない。
- イ SSLは特定ユーザ間の通信のために開発されたプロトコルであり,事前の利用者登録が不可欠である。
- ウ デジタル証明書にはIPアドレスが組み込まれているので,SSLを利用するWebサーバのIPアドレスを変更する場合は,デジタル証明書を再度取得する必要がある。
- エ 日本国内では,SSLで使用する共通鍵の長さは,128ビット未満に制限されている。
正解:ア
イは×。Webブラウザに標準装備されている。利用者登録は不要。
ウは×。デジタル証明書とIPアドレスとは直接の関係はない。
エは×。世界共通である。
問30
「情報セキュリティ監査制度:情報セキュリティ管理基準」において,情報セキュリティ基本方針の目的として記述されている内容はどれか。
ア 情報セキュリティのための経営陣の指針および支持を規定するため
イ 人為的ミス,盗難,不正行為,又は設備誤用によるリスクを軽減するため
ウ 組織内の情報セキュリティを管理するため
エ 組織の資産を適切に保護し,管理するため
正解:ア
「情報セキュリティ管理基準」は
「1 セキュリティ基本方針
1.1 情報セキュリティ基本方針 目的:情報セキュリティのための経営陣の指針及び支持を規定するため」
となっている。
参照:「情報セキュリティ監査制度の概要」(std-security-kijun-gaiyou)
問31[sd04-27]
問32[sd04-28]
問33[sd04-29]
問34
JISQ9001(ISO9001:2000)を適用して,ソフトウェアの品質マネジメントシステムを構築する。その方針を示した次の文章中のa~dに当てはまる組合せはどれか。
トップマネジメントは,[ a ]に基づいた製品の品質保証に加えて顧客の満足度の向上を目指し,[ b ]を組織全体のパフォーマンスと効率との継続的な改善の手引として[ c ]を確立・実行・維持し,プロセスの改善を推進する。また,[ c ]に基づいてコスト,納期,安全,環境などの経営要素の維持向上と併せて[ d ]を推進する。
a b c d
ア JISQ9001 JISQ9004 QMS TQM
イ JISQ9001 JISQ9004 TQM QMS
ウ JISQ9004 JISQ9001 QMS TQM
エ JISQ9004 JISQ9001 TQM QMS
注 QMS(Quality Management System),TQM(Total Quality Management)
正解:ア
Q9001シリーズ:品質マネジメントシステム=QMS
Q9000:基本及び用語
Q9001:要求事項
Q9004:パフォーマンス改善の指針
QMS:Q9001の継続的改善の仕組み
TQM:顧客満足,環境保全,従業員満足など広い意味でのQMS
参照:「ISO 9001(JIS Q 9001)」(std-iso9001)
問35
JISX5070(ISO15408;情報技術セキュリティ評価基準)に関する記述のうち,適切なものはどれか。
- ア 開発と並行して評価はできず,評価対象となる製品の開発が完了してから,評価を開始する。
- イ 情報資産に損害を与える危険性として,機密性,完全性を損なうだけではなく,可用性を損なう脅威も対象としている。
- ウ 評価対象となる製品は,要件定義,概要設計,詳細設計を行った後にプログラム開発を行う,ウォータフォール型開発方式に従わなければならない。
- エ 保証維持の基準は含まれないが,セキュリティ要件や環境の変化などに伴って行われる評価済み製品の再評価の手順を対象範囲としている。
正解:イ
JISを知らなくても、情報セキュリティ対策=CIA(機密性,完全性,可用性)は知っているはず
参照:「情報セキュリティの3要件(機密性・完全性・可用性)」(sec-cia)
問36
ISMSのPDCAサイクルモデルにおいて,DOフェーズで実施される事項はどれか。
ア 重要な不適合部分の是正 イ セキュリティ教育 ウ セキュリティポリシの策定 エ 内部監査
正解:イ
アはA(見直し・改善),ウはP(計画),エはC(チェック・監査)
参照:「ISMSとPDCAサイクル」(sec-isms-pdca)
問37
マトリックス組織の特徴を説明したものはどれか。
- ア 権限の委譲,分権による新しいセクショナリズムが発生し,部門利益の部分極大化を追求したり,長期的成果よりも短期的成果を優先したりする傾向がある。
- イ 全社の製品やサービスよりも自己の職務に関心をもつようになり,過度の権限の集中が起こり,意思決定が遅延する傾向がある。
- ウ 組織上,業務上で同じような部門や職能が重複して設けられるという無駄が生じ,二重投資,三重投資が行われる傾向がある。
- エ 組織のメンバは,二つの異なる組織に属することになり,複数の報告関係が公式に存在するので,責任を負うべき管理者があいまいになる傾向がある。
正解:エ
ア・ウは事業部制・分社化,イは職能制組織
参照:「代表的な組織形態」(kj4-soshiki-kanri)
問38
企業経営における,ステークホルダ重視の目的はどれか。
ア 企業存続の危機につながりかねない,経営者や社員の不法行為を防ぐ。
イ 競合他社に対する差別化の源泉となる経営資源を保有し,強化する。
ウ 経営者の権力行使をけん制し,適切な意思決定を行える仕組みを作る。
エ 顧客,株主,地域,社員といった利害関係者の満足度を向上させ,企業の継続した発展を図る。
正解:エ
ステークホルダ=(利害)関係者。株主,従業員,顧客,銀行・・・
ア,イ,ウは部分的
ア:コンプライアンス(法令遵守)
イ:コアコンピタンス
ウ:経営ガバナンス
問39[sd02-35]
問40
EDIを説明したものはどれか。
- ア OSI基本参照モデルに基づく電子メールサービスの国際規格であり,メッセージの生成・転送・処理に関する総合的なサービスである。これによって,異機種間の相互接続が可能となる。
- イ 通信回線を介して,商取引のためのデータをコンピュータ(端末を含む)間で交換することである。その際,当事者間で必要となる各種の取決めには,標準的な規約を用いる。
- ウ ネットワーク内で伝送されるデータを蓄積したり,データのフォーマットを変換したりするサービスなど,付加価値を加えた通信サービスである。
- エ 発注情報をデータエントリ端末から入力することによって,本部又は仕入先に送信し,発注を行うシステムである。これによって,発注業務の省力化,物流・在庫管理の効率化を図ることができる。
正解:イ
EDIは商取引のビジネスプロトコル
→参考:「EDI(標準プロトコル)」
(kj3-edi)
アは×。OSI基本参照モデルは技術的なプロトコルであり,これはMHS(Message Handling System)
ウは×。これはVAN(Value Added Network:付加価値通信網)サービス
エは×。EOS(Electronic Ordering System:オンライン発注システム)
→参考:「EOS」
(kj3-kouri-eos)
問41
通信傍受法に関する記述のうち,適切なものはどれか。
- ア 通信傍受法の制定に伴い,電気通信事業法に定められた通信の秘密に関する条文が変更された。
- イ 犯罪が予見できる場合は,電気通信事業者の判断によって傍受することができる。
- ウ 傍受が許可される期間は,関与する犯罪の重大さによって決定され,期間の上限は特に定められていない。
- エ 傍受を実施する際,電気通信事業者は正当な理由なく協力を拒んではならない。
正解:エ
アは×:電気通信事業法の通信秘密の原則は生きている。通信傍受法は例外規定
イは×:傍受できるのは検察官と司法警察員
ウは×:組織的な殺人,薬物,銃器,密入国に限定
エは○:第十一条「検察官又は司法警察員は、通信事業者等に対して、傍受の実施に関し、傍受のための機器の接続その他の必要な協力を求めることができる。この場合においては、通信事業者等は、正当な理由がないのに、これを拒んではならない。」
問42[sd04-48]
問43[sd02-49]
問44[sd04-49]
問45
ボリュームライセンス契約を説明したものはどれか。
- ア 企業などソフトウェアの大量購入者向けに,マスタを提供して,インストールの許諾数をあらかじめ取り決める契約
- イ 使用場所を限定した契約であり,特定の施設の中であれば台数や人数に制限なく使用が許される契約
- ウ 標準の使用許諾条件を定め,その範囲で一定量のパッケージの包装を解いたときに,権利者と購入者との間に使用許諾契約が自動的に成立したと見なす契約
- エ ユーザ側が使用を許諾する量的条件を示し,ソフトウェアメーカがそれを記載した契約
正解:ア
ボリュームライセンスの説明としてはアが適切
エはその契約までのプロセスと考えられる
イはサイトライセンス
ウはシュリンクラップ契約という
参照:「購入ソフトウェアと著作権」(std-chosakuken-kounyu-soft)
問46
システム監査で利用する統計的サンプリング法に関する記述のうち,適切なものはどれか。
- ア サンプルの抽出に無作為抽出法を用い,サンプルの監査結果に基づく母集団に関する結論を出すに当たって,確率論の考え方を用いる。
- イ 抽出されるサンプル数は,統計的サンプリングと非統計的サンプリングの選択を決定付ける重要な判断基準である。
- ウ 抽出するサンプルを統計的に決定する手法ではなく,サンプルに対して監査手続を実施した結果を統計的に評価する方法である。
- エ 無作為抽出法を用いるだけではなく,システム監査人が経験的判断を加味して,サンプルを抽出する。
正解:ア
問47
システム監査の特質に関する記述のうち,適切なものはどれか。
- ア システム監査は,監査対象から独立した立場で行う情報システムの監査であり,システムの企画・開発・運用・保守に責任を負うものではない。
- イ システム監査は,情報システムが「システム監査基準」に準拠しているかどうかを確かめる監査である。
- ウ システム監査は,内部監査として行われるが,監査人は経営者および監査対象部署から独立していなければならない。
- エ システム監査は,法定監査ではないので,監査役が行ってはならない。
正解:ア
監査人は監査対象から独立
アは○。監査は,対象業務に実施に責任を負うものではない。
イは×。監査基準ではなく管理基準に準拠しているかである。
ウは×。本来は外部監査。内部監査では監査対象部署から独立するが経営者から独立する必要はない。
エは×。前半は正しいが,監査役が行ってはならない理由はない。
法定監査の例=会計監査(強制的) ⇔ 任意監査
参照:「システム監査基準の概要」(std-kansa-kijun-gaiyou)
問48
システムテスト(総合テスト)で使用するテストデータの作成に対する監査項目はどれか。
- ア テストチームが,業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか。
- イ 品質保証部門が,要求仕様を満たしているシステムであることをテストするテストデータを作成しているか。
- ウ プログラマが,自分で作成したプログラムのすべての経路をテストするテストデータを作成しているか。
- エ プログラミングチームが,プログラム間のインタフェースをテストするテストデータを作成しているか。
正解:ア
「テストチーム」があいまいだが,受け入れテストとしてのシステムテストのテストデータは利用部門が作成するべき
ウは単体テスト,エは結合テストの段階
参照:「テストの方法」(kj2-test-kiso)
問49
「ISMS認証基準」の詳細管理策を基に設定した,ノート型パソコンに対する物理的安全対策の妥当性を確認するための監査手続はどれか。
- ア オフィス内を視察し,不在者のノート型パソコンが施錠されたキャビネットに保管されていることを確認する。
- イ 教育計画および教育記録を閲覧し,ノート型パソコンの安全管理についての社員教育が適切に行われていることを確認する。
- ウ 実際にノート型パソコンを操作して,パスワードを入力しないと起動できない仕組みになっていることを確認する。
- エ ノート型パソコンの管理ルールを調べ,社外に持ち出す場合には申請書を提示し,セキュリティ管理者の許可を得るルールになっていることを確認する。
正解:ア
セキュリティ対策
物理的対策(ア)
論理的対策(ウ)
人的対策(イ)
管理的対策(エ)
参照:「ISO27001、JIS Q 27001、ISMS適合性認定制度の関係」(std-iso27001-isms)、
「情報セキュリティ対策の種類」(sec-taisaku-kubun)
問50
「情報セキュリティ監査制度:情報セキュリティ管理基準」における利用者のアクセス管理のコントロールはどれか。
- ア 悪意のあるソフトウェアからシステムを保護するための検出および防止の管理策,並びに利用者に認知させるための手順を導入すること
- イ 情報システムにおける特権の割当ておよび使用を制限し,管理すること
- ウ 取扱いに慎重を要する情報や重要な情報の機密性を保護するために,暗号化をすること
- エ 利用者のパスワード選択および使用は,正しいセキュリティ慣行に従うこと
正解:イ
ア:「通信及び運用手順」,ウ:「システムの開発及び保守」
エは「アクセス制御」だが「利用者の責任」であり,コントロールとはいえない