問1
すべての命令が5サイクルで完了するように設計された、パイプライン制御にコンピュータがある。20命令を実行するのに何サイクル必要となるか。ここで、すべての命令は途中で停止することなく実行でき、1ステージは1サイクルで動作を完了するものとする。
ア 20 イ 21 ウ 24 エ 25
正解:ウ
パイプライン制御:前命令のステージが完了したら、次命令のステージが開始できる
図のようになるので、24サイクル→ウ
問2
2台のCPUからなるシステムがある。使用中でないCPUは、実行要求のあったタスクに割り当てられるようになっている。このシステムで、二つのタスクA、Bを実行し、それらのタスクは共通の資源Rを排他的に使用する。タスクA、Bをそれぞれ単独で実行した場合の動作順序と処理時間は表のとおりである。二つのタスクの実行を同時に開始した場合、二つのタスクの処理が完了するまでの時間は何ミリ秒か。ここで、OSのオーバーヘッドは考慮しないものとする。また、表の( )内の数字は処理時間を示すものとする。
タスク 単独実行時の動作順序と処理時間(ミリ秒)
A CPU(10)→資源R(50)→CPU(60)
B CPU(40)→資源R(50)→CPU(30)
ア 120 イ 140 ウ 150 エ 200
正解:イ
タスクA(青)、タスクB(赤)の処理は図のようになる。
二つのタスクの完了時間=140(イ)
問3
M/M/1の待ち行列モデルにおいて、窓口の利用率が50%のとき、平均待ち時間Wと平均サービス時間Tとの比 W/T はいくつか。
ア 0.33 イ 0.50 ウ 1.00 エ 2.00
正解:ウ
待ち行列の公式
λ L ρ 1 1 W ρ
ρ=─、 W=─=───×─、 T=─、 ∴ ─=───
μ λ 1-ρ λ μ T 1-ρ
ρ=0.5を代入すると、W/T=1.00 (→ウ)
参照:「待ち行列の基本形(M/M/1)」(or-que-mm1)
注意:参照先の公式では、問題のWはWqの記号になっている。
問4[su04-05]
問5
ADSLに関する記述として、適切なものはどれか。
- ア エコーキャンセラ方式と周波数分割方式では、上りと下りにそれぞれ別の周波数帯域を割り当てる必要がある。
- イ 既存のツイストペアの電話回線を利用しているので、高速のインターネットサービスと従来の電話サービスは同時には利用できない。
- ウ スプリッタは高周波と低周波の信号を電話線の両端で分離する機器であり、ADSLモデムに組み込まれている場合もある。
- エ 電話局とユーザとの間の最大距離は、回線のワイヤ径などの影響を受けないので、どのようなADSL方式でも同じである。
正解:ウ
アは×。エコーキャンセラ方式とは、下りデータと上りデータを同時に同じ周波数帯を使って流し、受信側でそれぞれのデータを分離して取り出す技術
イは×。ウのように、周波数でのい音声信号とデータ信号を分離するので、電話と共存できる。
ウは○。
エは×。伝送損失は収容局からの距離、電話回線(銅線)の太さ、分岐の数などで増大する。
問6[su05-05]
問7
モジュール分割の良否を、モジュール結合度の視点から評価する場合、最も適切な記述はどれか。
- ア 共通データ領域は、すべてのモジュールからアクセスできるようになっていることが望ましい。
- イ ソフトウェア全体のモジュール分割の良否は、モジュール間の結合度のうちで最も強いものがどのように分布しているかで判断するするのが望ましい。
- ウ 直接の呼び出し関係になっていないモジュール間で情報を交換するには、共通データ領域を用いるのが最も望ましい。
- エ 呼び出す側と呼び出される側のモジュール間のデータ受け渡しは、引数としてデータ項目を列挙するのが最も望ましい。
正解:エ
モジュール化は、部品化・再利用の観点から重要
モジュールの結合性⇔独立性(他モジュールによる影響を受けにくくする)。
結合度が低い(呼び出されるモジュールの内部をしる必要がない)ほうがよい。
結合度強(悪い)
内部結合
共通結合
外部結合:共通データ領域を用いる(ウは×)
制御結合
スタンプ結合
データ結合:引数で渡す→(エが○)
結合度弱(良い)
アは×。共通データ領域はなるべく使わない。使うモジュールを絞る。
イは×。問題の意味不明。最も強い(悪い)ものの分布だけでは、分割の悪さにはならない。
問8[sd06-16]
問9
UMLのクラス図に記述できるものはどれか。
ア アクティビティ イ 状態名 ウ 多重度 エ ノード
正解:ウ
UMLのクラス図は次のようなものである→ウが○
アクティビティとは、単純にいえば機能のこと。アクティビティ図
状態名とは、オブジェクトの状態につける名称。ステートマシン図
ノードとは、単純にはクライアントやサーバなど。配置図
問10[sd02-17]
問11
あるシステムの開発工数を見積もると120人月であった。このシステムの開発を12か月で終えるように表に示す計画をたてた。プログラム作成工程には、何名の要員を確保しておく必要があるか。
工 程 工数比率(%) 期間比率(%)
仕様設計 35 50
プログラム作成 45 25
テスト 20 25
ア 7 イ 8 ウ 10 エ 18
正解:エ
工数:120人月×45%=54人月
期間:12月×25%=3月
要員数=54人月/3月=18人 (エ)
問12[su06-13]
問13
ソフトウェアの保守作業に関する記述のうち、適切なものはどれか。
- ア 影響範囲の調査を効率よく行うために、リポジトリなどのツールを使用する。
- イ リバースエンジニアリングのツールだけを用いて、新規ソフトウェアに移行する。
- ウ 利用者からの要求内容にかかわる変更部分だけについて単体テストを行う。
- エ 利用者からの要求の発生順に、ソフトウェアの保守作業を行う。
正解:ア
- アは○。リポジトリとはシステムを構成するプログラムや保守履歴などの情報を納めたデータベース。開発したプログラムがシステム全体とどのように関連しているかが明確になる。
- イは×。リバースエンジニアリングとは、実行プログラムからソースプログラムやフローチャートなどを作成する技術。
- ウは×。要求以外にも改訂が必要なこともある。単体テストだけでは他のプログラムに影響する部分のテストができない。
- エは×。緊急度、重要度などにより優先順位をつける。
参照:「ITサービスマネジメントとITIL」(std-itil)
問14
コンピュータとスイッチングハブ、または2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術はどれか。
ア スパニングツリー イ ブリッジ ウ マルチホーミング エ リンクアグリゲーション
正解:エ
- スパニングツリー:ネットワーク内にループが形成されたとき、データが永久に循環するのを防ぐ制御方法→参照:「データリンク層」(nw-datalink)
- ブリッジ:データリンク層で二つのセグメントを接続する機器≒スイッチングハブ→参照:「LANの接続機器」(nw-lan-kiki)
- マルチホーミング:同一宛先に異なる経路を確保する技術。回線トラブル対応
- リンクアグリゲーション:本文のとおり。高速なインタフェースを利用せずに帯域を増やせる。リンクアグリゲーションを使うことを「トランキング」という。
問15[su06-15]
問16
TCPのヘッダに含まれる情報はどれか。
ア 宛先ポート番号 イ パケット生存時間(TTL)
ウ 発信元IPアドレス エ プロトコル番号
問17
PPPに関する記述のうち、適切なものはどれか。
ア 交換網用のプロトコルであり、専用回線では使用することができない。
イ 半二重の伝送モード専用のプロトコルである。
ウ 非同期式のプロトコルであり、8ビットの伝送制御文字が使われる。
エ リンク確立フェーズの後に認証プロトコルを実行することができる。
正解:エ
PPP(Point to Point Protocol)は、ダイヤルアップでネットワークに接続するデータリンク層のプロトコル。これによりサーバからIPアドレスを受け取る。
当初は、むしろ専用回線を対象として開発され(アは×)、全二重通信の通信回線を対象にする(イは×)。接続相手の認証や伝送路の通信品質、情報の圧縮や暗号化などの機能拡張が行われている(エは×)。
ウは調歩式の伝送方式であり、低速回線用である(ウは×)
問18[su02-15]
問19
SSLに関する記述のうち、適切なものはどれか。
- ア SSL-VPNで使用できるアプリケーションは、HTTPプロトコルを使用するアプリケーションに限定される。
- イ 暗号化には、共通鍵暗号方式ではなく、公開鍵暗号方式が使われる。
- ウ 通信内容を暗号化する機能と通信相手を認証する機能を持つ。
- エ トランスポートモードとトンネルモードの二つのモードがある。
正解:ウ
暗号通信にSSL(セキュア・ソケット・レイヤー)を使い、VPN(実質的な専用線網)を構築する技術。
アは×。アプリケーションを限定しない。電子メールにも使われる。
イは×。共通鍵暗号方式と公開鍵暗号方式を組み合わせたハイブリッド暗号方式である。
ウは○。電子署名がなされる。
エは×。IPsec-VPNの説明である。SSL-VPNはトンネルモードを使用
問20[su05-17]
問21[su04-20]
問22
AESの暗号化方式を説明したものはどれか。
ア 鍵長によって、段数が決まる。
イ 段数は、6回以内の範囲で選択できる。
ウ データの暗号化、複合、暗号化の順に3回繰り返す。
エ 同一の公開鍵を用いて暗号化を3回繰り返す。
正解:ア
AES(Advanced Encryption Standard)DESに代わる新しい共通鍵暗号方式
鍵長は128、192、256ビットの3つ
SPN(Substitution Permutation Network Structure)構造:転置,換字,暗号鍵とのXOR演算という処理の組み合わせを繰り返す。その繰り返し回数が段数。段数は鍵長で決まる。
問23
TLSの機能を説明したものはどれか。
- ア TCPとアプリケーションとの間のレイヤにおいて、通信相手の認証や、暗号方式や暗号鍵のネゴシエーションを Handshake プロトコルで行う。
- イ 電子メールに対して、PKIを適用するためのデータフォーマットを提供する。
- ウ ネットワーク層のプロトコルであり、IPパケットの暗号化及び認証を行う。
- エ ログインやファイル転送の暗号通信を行う目的で、チャレンジレスポンスの仕組みを用いてrコマンド群の認証を行う。
正解:ア
TLS(Transport Layer Security):Netscape社が開発したSSL(SSLv3)をベースにIETFが標準化した規格
アは○。SSL/TLSの機能
イは×。X.509の説明
ウは×。IPsecの説明
エは×。SSHの説明。r系コマンドとはローカル・ホストからリモート・ホストに対して各種の遠隔操作を行うコマンド群の総称。
問24
公開鍵暗号方式に関する方式として、適切なものはどれか。
ア DESやAESなどの暗号方式がある。
イ RSAや楕円曲線暗号などの暗号方式がある。
ウ 暗号化鍵と複合鍵が同一である。
エ 共通鍵の配送が必要である。
正解:イ
ア、ウ、エは共通鍵暗号方式
参照「共通鍵暗号方式」(sec-angou-kyoutu)、「公開鍵暗号方式」(sec-angou-koukai)
問25[su05-24]
問26
SQLインジェクション攻撃を防ぐ方法はどれか。
- ア 入力値から、上位ディレクトリを指定する文字(../)を取り除く。
- イ 入力値から、データベースへの問い合わせや操作において特別な意味を持つ文字を解釈されないようにする。
- ウ 入力値に、HTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。
- エ 入力値の全体の長さが制限を超えていたときには受け付けない。
正解:イ
SQLインジェクション攻撃とは
入力データの値によりデータベースからデータを取り出してHTMLをつくり表示をするWebページにおいて、不正にデータを取り出す操作を行う、データベースを操作する言語(SQL)を入力する攻撃。
防ぐには、SQL命令を受け付けないこと。
参照「SQLインジェクション」(sec-sql-injection)
ア・ウは×。HTMLのタグを用いた攻撃は、クロスサイト・スクリプティングが多い。
エは×。オーバーフロー攻撃の手口
問27
表に示すテーブルX、Yへのアクセス要件に関して、JIS Q 27001:2006 (ISO/IEC 27001:2005) が示す「完全性」の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。
| テーブル | アクセス要件 |
|---|---|
| X(注文テーブル) |
|
| Y(仕入先マスタテーブル) |
|
ウ GRANT SELECT ON X TO A エ GRANT SELECT ON X TO B
正解:ア
JIS Q 27001 は情報セキュリティマネジメントシステムの規格≒ISMS適合性認定制度
参照「ISO27001、JIS Q 27001、ISMS適合性認定制度の関係」(std-iso27001-isms)
ア 調達課に仕入先マスタテーブルのデータを作成する権限を与える
調達課は照会をするだけ→完全が失われる
イ 管理課に仕入先マスタテーブルのデータを作成する権限を与える
ウ 調達課に注文ファイルのデータを照会する権限を与える
エ 管理課に注文ファイルのデータを照会する権限を与える
問28[ad041-54]
問29[su03-28]
問30
RADIUSに関する記述として、適切なものはどれか。
- ア ISPや企業内LANなどへのリモートアクセスを実現するとき、ユーザ認証、アクセス制御、アカウント情報管理を統括的に行う。
- イ LANに接続されたコンピュータに対して自動的にIPアドレスを割り当てる。
- ウ コンピュータごと、アプリケーションごとに個別に管理されていたユーザ情報やネットワーク資源の情報を、企業や組織全体のディレクトリ情報として格納し、統括的に管理する。
- エ 複数のLANやコンピュータシステムをインターネットや公衆回線を用いて、仮想的に同一のネットワークとして接続する技術であり、情報の機密性、完全性を提供する。
正解:ア
アは○。RADIUS(Remote Authentication Dial In User Service)
イは×。DHCPの説明
ウは×。ディレクトリサービスの説明
エは×。VPN、VLANの説明
問31[su06-29]
問32
無線LANのセキュリティ技術に関する記述のうち、適切なものはどれか。
- ア ESS-ID及びWEPを使ってアクセスポイントと通信するには、クライアントにEAP(Extensible Authentication Protcol)を実装する必要がある。
- イ WEPの暗号化鍵の長さは128ビットと256ビットがあり、どちらを利用するかによって処理速度とセキュリティ強度に差が生じる。
- ウ アクセスポイントにMACアドレスを登録して認証する場合、ローミング時にESS-IDを照合しない。
- エ 無線LANの複数のアクセスポイントが1台のRADIUSサーバと連携してユーザ認証を行うことができる。
正解:エ
- ESS-ID(Extended Service Set Identifier)
- 無線LANでは、他の無線との混線を避けるため、アクセスポイントと端末の間のネットワークに名前をつけ、それが一致しない端末とは通信しないようにする。EAPは用いない(アは×)。
同じESS-IDをもつアクセスポイント間でないとローミングできない。(ウは×) - WEP(Wired Equivalent Privacy)
- 無線通信における暗号化技術。秘密鍵に40ビットのデータを使う旧来の方式と、128ビットのデータを使う新方式とが存在する(イは×)
- EAP(Extensible Authentication Protcol)
- PPPを発展させ、リモートアクセスによるユーザー認証の際に用いられるプロトコル。
- RADIUS(Remote Authentication Dial In User Service)
- ISPや企業内LANなどへのリモートアクセスを実現するとき、ユーザ認証、アクセス制御、アカウント情報管理を統括的に行う(エは○)
問33
情報システムのリスクマネジメント全体の説明として、最も適切なものはどれか。
- ア 事故や災害の発生を防止したり、それが万一発生した場合には損失を最小限にしたりする手段であり、回避、最適化、移転、保有などの手段がある。
- イ 情報システムの機能特性を損なう不安定要因やシステムに内在する脆弱性を識別して、企業活動に生じる損失を防止、軽減するとともに、合理的なコストでの対策を行う。
- ウ 情報システムの機能に障害が生じた際に、業務の中断や機密漏えいを、防止または軽減する緊急時対策を行う。
- エ リスクを経済的な範囲で最小化するコントロールを設計するために必要な情報を提供する。
正解:イ
「最も~」に注意=部分的な説明を×とする。
アは×。前半は正しいが、後半の「最適化」が不適切
→参照「リスク・コントロールとリスク・ファイナンス」(sec-control-finance)
ウは×。事後対策だけになっている
→参照「情報システム安全対策基準の主旨」(std-anzen-kijun-gaiyou)
エは×。情報提供だけではない。PDCAの観点が必要
→参照「ISMSとPDCAサイクル」(sec-isms-pdca)
問34
金融庁の「財務報告に係る内部統制の評価及び監督の基準」において、内部統制に関係を有する者の役割と責任の記述のうち,適切なものはどれか。
- ア 株主は、組織のすべての活動について最終的な責任を有する。
- イ 監査役は、内部統制の整備及び運用に係る基本方針を決定する。
- ウ 経営者は、取締役の職務の執行に対する監査の一環として、独立した立場から、内部統制の整備及び運用状況を監視、検証する役割と責任を有する。
- エ 内部監査人は、モニタリングの一環として、内部統制の整備及び運用状況を検討、評価し、必要に応じて、その改善を促す職務を担っている。
正解:エ
アは×。経営者
イは×。経営者
ウは×。監査役
エは○。
参照「日本版SOX法の概要」(std-jsox-gaiyo)
問35
情報システムのコンテンジェンシープランに関する記述のうち,適切なものはどれか。
- ア コンテンジェンシープランの目的は、リスクを回避するためのコントロールを設計することである。
- イ 障害の抑制・防止対策が適切に設定されているシステムは、コンテンジェンシープランの対象外である。
- ウ 障害復旧までの見込み時間の長さによって、いくつかの対応方法を盛り込んだコンテンジェンシープランを策定する。
- エ ソフトウェアのバグによるシステムの停止はコンテンジェンシープランの対象外である。
正解:ウ
コンテンジェンシープラン=緊急対策
アは×。回避だけでなく、復旧の対策が必要。
イは×。そのようなシステムでもリスクは発生する。
ウは○。短時間・長時間で対策が異なる。
エは×。脅威の要因は限定できない。
問36[ad052-55]
問37
共通フレーム2007(SLCP-JCF2007)の目的はどれか。
- ア ISO/IEC のSLCPの内容を基にして、対象範囲にシステム監査を加え、ソフトウェア取引に関する提案責任と管理責任を明確にすること
- イ ソフトウェア開発作業全般にわたって「共通の物差し」を使うことによって、作業範囲・作業内容を明確にし、取得者と供給者の取引内容を明確にすること
- ウ ソフトウェアを適切に購入・使用するためのガイドラインを示すことによって、ソフトウェアの適切な取引及び管理を促進すること
- エ 特定の業種やシステム形態、開発方法論などに極力依存しないよう配慮し、社内の部門間での取引を除く受発注契約をスムーズに遂行すること
正解:イ
イが○。共通フレームの定義である。→参照「共通フレーム2007」(std-kyotu-frame)
アは×。前半は正しい。責任については対象外
ウは×。参照「ソフトウェア管理ガイドライン」(std-software-guideline)
エは×。前半は正しい。後半は「情報システム・モデル取引・契約書」(std-model-keiyaku)
問38
情報セキュリティの評価基準 JIS X 5070(ISO/IEC 15408)の説明のうち、適切なものはどれか。
- ア IT製品およびシステムの、経済産業省による情報セキュリティマネジメント適合性評価制度に用いられる評価基準
- イ IT製品およびシステムの、セキュリティ機能にかかわる部分の評価基準
- ウ IT製品およびシステムの、セキュリティ機能を含むシステム全体の評価基準
- エ IT製品のうち、OSとハードウェアを対象とするセキュリティレベルの評価基準
正解:イ
JIS X 5070「セキュリティ技術 - 情報技術セキュリティの評価基準」
IT製品及びシステムのセキュリティ特性を評価するための規格→イが○
アはセキュリティ監査基準
問39
JIS Q 27001:2006 のリスクマネジメントで採用されているセーフガードはどれか。
- ア ITシステムの資源に影響を及ぼす不確かな事象を識別、制御、除去、又は低減する総合的なプロセス
- イ 脅威によって影響を受ける資産または資産グループの弱さ
- ウ 重要情報を含む資産をどのように管理、保護、および分配するかを統制する規則、指令、および実践
- エ リスクを低減する実践、手順、又はメカニズム
正解:エ
JIS Q 27001:「情報セキュリティマネジメントシステム-要求事項」
その第三者認定がISMS適合性認証制度
アは×。リスクマネジメント全体を指している
イは×。脆弱性の説明
ウは×。保護要求
エは○。セーフガードとは管理策のこと
参照「ISO27001(JIS Q 27001)」(std-iso27001)
問40
SAML(Security Assertion Markup Language)の説明として、最も適切なものはどれか。
- ア Webサービスに関する情報を広く公開し、それらが提供する機能などを検索可能にするための仕組み
- イ 権限のない利用者による傍受、読み取り、改ざんから電子メールを保護して送信するためのプロトコル
- ウ デジタル署名に使われる鍵情報を効率よく管理するためのWebサービスプロトコル
- エ 認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝送するためのWebサービスプロトコル
正解:エ
アは×。UDDI(Universal Description,Discovery and Integration)の説明
イは×。IPsec、SSLなど
ウは×。XKMS(XML Key Management Specification)公開鍵をサーバーサイドで管理
エは○。
問題文のフルスペルから、認証に関係するXML仕様であることは明白
「シングルサインオン」を実現するための規格でもある
問41
ベンチマーキングを説明したものはどれか。
- ア 企業独自のノウハウや技術などによって競争優位を維持・強化できる分野に対して、資金と人材を集中的に投入する。
- イ 自社の業務プロセスを改革する際に、他社のベストプラクティスと比較分析を行う。
- ウ 新規分野への進出や、事業の拡大、再編などのために、他社の経営資源を獲得し活用する。
- エ それぞれの事業を、市場成長率と市場占有率のマトリックスによって分析し、経営資源の最適な配分を行う。
正解:イ
アは×。コア・コンピタンス→参照「コア・コンピタンスとアウトソーシング」(kj1-core-competance)
イは○。→参照「ベストプラクティス」(kj1-best-practice)
ウは×。アウトソーシング
エは×。PPM→参照「PPM」(kj1-ppm)
問42
問題解決能力の育成方法で、日常起こるマネジメント上の問題を多数提示して、一定時間内に判断し処理させる手法はどれか。
ア インバスケット イ ケーススタディ ウ 親和図法 エ ロールプレイ
正解:ア
問43
改善の効果を定量的に評価するとき、複数の項目で評価した結果を統合し、定量化する方法として重みづけ総合評価法がある。表の中で優先すべき改善案はどれか。
評価項目 評価項目 改 善 案
の重み 案1 案2 案3 案4
省力化 4 6 8 2 5
期間短縮 3 5 5 9 5
資源削減 3 6 4 7 6
ア 案1 イ 案2 ウ 案3 エ 案4
正解:イ
案1の評価値
4×6+3×5+3×6=57
同様にして
案2=59(最大)、 案3=56、 案4=53
問44
全社レベルの業務モデルを作成するときの留意点はどれか。
- ア 業務モデルとしてビジネスプロセスとデータクラスとの関係を明らかにするために、データクラスに含まれるデータ項目を詳細にしておく必要がある。
- イ 業務モデルは企業活動のモデルでもあるので、ビジネスプロセスには、業務レベルの活動だけではなく意思決定活動や計画活動も含む必要がある。
- ウ 業務モデルは全社情報システム構築の基本構造となるもので、ビジネスプロセスはその企業の現行プロセスをそのまま反映させる必要がある。
- エ データクラスはエンティティではないので、データクラス間でデータの重複があったとしても、現状を反映していく必要がある。
正解:イ
「全社レベル」→全体最適化の観点
「業務」→望ましい、あるべき姿としてのビジネスプロセス
アは×。業務モデルの段階で詳細化は不適切
イは○。業務はPDCA→意思決定活動や計画活動も重要
ウは×。現行プロセスと理想プロセスとの調和
エは×。エンティティである。重複をなくすことが最適化になる
問45[ad031-75]
問46
RFIDを説明したものはどれか。
- ア ICカードや携帯電話に保存される貨幣的価値による決済手段のことで、POSレジスタなどで用いられている。
- イ 極小の集積回路にアンテナを組み合わせたもので電子荷札に利用され、無線自動認識技術によって対象の識別や位置確認などができる。
- ウ 縦横のマトリックスに白黒の格子状のパターンで情報を表し、情報量が多く数字だけでなく英字や漢字データも格納できる。
- エ 人間の身体的特徴としての生体情報を、個人の識別・認証に利用する技術で、指紋認証、静脈認証などがある。
正解:イ
RFID(Radio Frequency Identification)とは微小な無線ICチップ→イが○
アは×。電子マネー。部分的な説明
ウは×。2次元コード、QRコードの説明
エは×。生体認証、バイオメトリックスの説明
問47
Webページの著作権に関する記述のうち、適切なものはどれか。
- ア 営利目的ではなく趣味として、個人が開設しているWebページに他人の著作物を無断掲載しても、私的使用であるから著作物の侵害にはならない。
- イ 作成したプログラムをインターネット上でフリーウェアとして公開した場合、配布されたプログラムは、著作権法による保護の対象とはならない。
- ウ 試用期間中のシェアウェアを使用して作成したデータを、試用期間終了後もWebページに掲載することは、著作権の侵害に当たる。
- エ 特定の分野ごとにWebページのURLを収集し、簡単なコメントを付けたリンク集は、著作権法で保護される。
正解:エ
アは×。Webページに掲載することは営利目的でなくても、私的利用にはならない
公衆送信権→参照「著作権の体系」(std-chosakuken-taikei)
イは×。通常は無料利用権の提供であり、著作権は作成者に残る
→参照「購入ソフトウェアと著作権」(std-chosakuken-kounyu-soft)
ウは×。データそのものはプログラムとは別個のものである
エは○。URLそのものやリンクは著作権法の侵害にならないが、
編集の独自性とコメントにより著作物とみなされる。
→参照「プログラムと著作権」(std-chosakuken-program)
問48[su06-51]
問49
申請や届出などの行政手続きをインターネットで実現させる電子申請の特徴はどれか。
ア 申請・届出書が提出されたと認められるのは送信した時点である。
イ 代理人ではなく本人に限り申請を行うことができる。
ウ 手数料の納付は、クレジットカードに限定されている。
エ 本人確認のため、電子署名や電子証明書を使用することができる。
正解:エ
アは×。原則として申請書類を受領した時点
具体的には送信確認画面で「はい」をクリックし、到達確認通知画面に表示された時刻
イは×。事前に電子申請システム上で電子委任状を作成することにより代理申請は可能
ウは×。むしろクレジットカード利用には制限がある。
エは○。電子署名法
問50
電子署名法に規定されているものはどれか。
- ア 電子署名技術は公開鍵暗号技術によるものと規定されている。
- イ 電子署名には、電磁的記録以外であって、コンピュータ処理の対象にならないものも含まれる。
- ウ 電子署名には、民事訴訟法における押印と同様の効力が認められている。
- エ 電子署名の認証業務を行うことができるのは、政府が運営する認証局に限られる。
正解:ウ
アは×。実際には公開鍵暗号技術が用いられるが、法律では規定していない
イは×。紙の文書には電子署名を行う方法がないし、その意義もない
ウは○。これが電子署名法の基本。そでの場合に実印と同じ効力
エは×。ほとんどは地方自治体、民間の認証局である。
問51
「システム管理基準」に従えば、データ管理のポイントとなるものはどれか。
ア システムテストは、開発当事者以外の者が参画すること
イ ソフトウェアの利用状況を記録し、定期的に分析すること
ウ 適切なアクセスコントロールを行っていること
エ プログラムテスト結果を評価し、記録及び保管すること
正解:ウ
内容そのものは正しいが「データ管理」かどうかが問題
アは×。「システムテスト・ユーザ受入れテスト」
イは×。「ソフトウェア管理」
エは×。「プログラミング」
「システム管理基準」の「データ管理」には次の10項目があげられている。
- データ管理ルールを定め、遵守すること。
- データへのアクセスコントロール及びモニタリングは、有効に機能すること。→(ウが○)
- データのインテグリティを維持すること。
- データの利用状況を記録し、定期的に分析すること。
- データのバックアップの範囲、方法及びタイミングは、業務内容、処理形態及びリカバリの方法を考慮して決定すること。
- データの授受は、データ管理ルールに基づいて行うこと。
- データの交換は、不正防止及び機密保護の対策を講じること。
- データの保管、複写及び廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
- データに対するコンピュータウイルス対策を講じること。
- データの知的財産権を管理すること。
問52
システム監査におけるヒアリングを実施する際に、システム監査人の対処として、適切なものはどれか。
- ア ヒアリングの結果、調査対象の現状に問題があると判断した場合は、その調査対象のあるべき姿について被監査部門の専門的な相談に応じる。
- イ ヒアリングの結果、問題と思われる事項を発見した場合は、その裏付けとなる記録の入手や現場確認を行う。
- ウ ヒアリングを行っている際に、被監査部門との間で見解の相違が生じた場合は、相手が納得するまで十分に議論を行う。
- エ 被監査部門のヒアリング対象者が複数の場合は、職制上の上位者から集中的に話を聞く。
正解:イ
システム監査者は、経営者に自分の判断を報告することが任務
コンサルタントではない。→アやウは×
(報告後、経営者からの求めに応じて、担当者にアドバイスすることはできる)
事実に基づく監査が重要(独断はいけない)→イは○
そのため、多様な立場の人にヒアリングする必要がある→エは×
問53
システム監査人の役割と権限に関する記述のうち、適切なものはどれか。
ア システム監査人によるシステム監査によって、法令による会計監査を代替できる。
イ システム監査人は、システム管理者に対して監査の実施に協力するよう要請できる。
ウ システム監査人は、セキュリティ方針を決定できる。
エ システム監査人は、被監査部門に対して改善命令を出すことができる。
正解:イ
アは×。両者は無関係
システム監査:システム監査人による任意監査
会計監査:公認会計士による法的監査
イは○。被監査部門は監査に協力する義務
ウは×。経営者の任務。システム監査人には決定権、命令権はない
エは×。経営者に助言・勧告をするだけ
問54
「情報セキュリティ監査制度」において、情報セキュリティ監査が確保すべきものはどれか。
ア 情報技術のセキュリティ イ 情報基盤のセキュリティ
ウ 情報資産のセキュリティ エ 情報システムのセキュリティ
正解:ウ
情報技術、情報基盤、情報システムは情報資産の一部情報資産には、
参照:「情報セキュリティ監査制度の概要」(std-security-kijun-gaiyou)
問55[su05-54]