スタートページWeb教材目次選択肢試験目次

su08 情報セキュリティアドミニストレータ
平成20年度


問1

すべての命令が5サイクルで完了するように設計された、パイプライン制御にコンピュータがある。20命令を実行するのに何サイクル必要となるか。ここで、すべての命令は途中で停止することなく実行でき、1ステージは1サイクルで動作を完了するものとする。
 ア 20  イ 21  ウ 24  エ 25

【解答】

正解:ウ

パイプライン制御:前命令のステージが完了したら、次命令のステージが開始できる
図のようになるので、24サイクル→ウ

問2

2台のCPUからなるシステムがある。使用中でないCPUは、実行要求のあったタスクに割り当てられるようになっている。このシステムで、二つのタスクA、Bを実行し、それらのタスクは共通の資源Rを排他的に使用する。タスクA、Bをそれぞれ単独で実行した場合の動作順序と処理時間は表のとおりである。二つのタスクの実行を同時に開始した場合、二つのタスクの処理が完了するまでの時間は何ミリ秒か。ここで、OSのオーバーヘッドは考慮しないものとする。また、表の( )内の数字は処理時間を示すものとする。
    タスク 単独実行時の動作順序と処理時間(ミリ秒)
     A  CPU(10)→資源R(50)→CPU(60)
     B  CPU(40)→資源R(50)→CPU(30)
 ア 120  イ 140  ウ 150  エ 200

【解答】

正解:イ

タスクA(青)、タスクB(赤)の処理は図のようになる。
二つのタスクの完了時間=140(イ)

問3

M/M/1の待ち行列モデルにおいて、窓口の利用率が50%のとき、平均待ち時間Wと平均サービス時間Tとの比 W/T はいくつか。
 ア 0.33  イ 0.50  ウ 1.00  エ 2.00

【解答】

正解:ウ

待ち行列の公式
   λ     L  ρ  1     1     W  ρ
 ρ=─、  W=─=───×─、  T=─、  ∴ ─=───
   μ     λ 1-ρ λ     μ     T 1-ρ

ρ=0.5を代入すると、W/T=1.00 (→ウ)

参照:「待ち行列の基本形(M/M/1)」(or-que-mm1
注意:参照先の公式では、問題のWはWqの記号になっている。

問4[su04-05]

問5

ADSLに関する記述として、適切なものはどれか。

【解答】

正解:ウ

アは×。エコーキャンセラ方式とは、下りデータと上りデータを同時に同じ周波数帯を使って流し、受信側でそれぞれのデータを分離して取り出す技術
イは×。ウのように、周波数でのい音声信号とデータ信号を分離するので、電話と共存できる。
ウは○。
エは×。伝送損失は収容局からの距離、電話回線(銅線)の太さ、分岐の数などで増大する。

問6[su05-05]

問7

モジュール分割の良否を、モジュール結合度の視点から評価する場合、最も適切な記述はどれか。

【解答】

正解:エ

モジュール化は、部品化・再利用の観点から重要
モジュールの結合性⇔独立性(他モジュールによる影響を受けにくくする)。
結合度が低い(呼び出されるモジュールの内部をしる必要がない)ほうがよい。

結合度強(悪い)
  内部結合
  共通結合
  外部結合:共通データ領域を用いる(ウは×)
  制御結合
  スタンプ結合
  データ結合:引数で渡す→(エが○)
結合度弱(良い)

アは×。共通データ領域はなるべく使わない。使うモジュールを絞る。
イは×。問題の意味不明。最も強い(悪い)ものの分布だけでは、分割の悪さにはならない。

問8[sd06-16]

問9

UMLのクラス図に記述できるものはどれか。
 ア アクティビティ  イ 状態名  ウ 多重度  エ ノード

【解答】

正解:ウ

UMLのクラス図は次のようなものである→ウが○

アクティビティとは、単純にいえば機能のこと。アクティビティ図
状態名とは、オブジェクトの状態につける名称。ステートマシン図
ノードとは、単純にはクライアントやサーバなど。配置図

問10[sd02-17]

問11

あるシステムの開発工数を見積もると120人月であった。このシステムの開発を12か月で終えるように表に示す計画をたてた。プログラム作成工程には、何名の要員を確保しておく必要があるか。
      工 程    工数比率(%) 期間比率(%)
     仕様設計     35      50
     プログラム作成  45      25
     テスト      20      25

 ア 7   イ 8   ウ 10   エ 18

【解答】

正解:エ

工数:120人月×45%=54人月
期間:12月×25%=3月
要員数=54人月/3月=18人 (エ)

問12[su06-13]

問13

ソフトウェアの保守作業に関する記述のうち、適切なものはどれか。

【解答】

正解:ア

  • アは○。リポジトリとはシステムを構成するプログラムや保守履歴などの情報を納めたデータベース。開発したプログラムがシステム全体とどのように関連しているかが明確になる。
  • イは×。リバースエンジニアリングとは、実行プログラムからソースプログラムやフローチャートなどを作成する技術。
  • ウは×。要求以外にも改訂が必要なこともある。単体テストだけでは他のプログラムに影響する部分のテストができない。
  • エは×。緊急度、重要度などにより優先順位をつける。

参照:「ITサービスマネジメントとITIL」(std-itil

問14

コンピュータとスイッチングハブ、または2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術はどれか。
 ア スパニングツリー  イ ブリッジ  ウ マルチホーミング  エ リンクアグリゲーション

【解答】

正解:エ

  • スパニングツリー:ネットワーク内にループが形成されたとき、データが永久に循環するのを防ぐ制御方法→参照:「データリンク層」(nw-datalink
  • ブリッジ:データリンク層で二つのセグメントを接続する機器≒スイッチングハブ→参照:「LANの接続機器」(nw-lan-kiki
  • マルチホーミング:同一宛先に異なる経路を確保する技術。回線トラブル対応
  • リンクアグリゲーション:本文のとおり。高速なインタフェースを利用せずに帯域を増やせる。リンクアグリゲーションを使うことを「トランキング」という。

問15[su06-15]

問16

TCPのヘッダに含まれる情報はどれか。
 ア 宛先ポート番号  イ パケット生存時間(TTL)
 ウ 発信元IPアドレス  エ プロトコル番号

【解答】

正解:ア

相手先につなぐまではIP→参照:「ネットワーク層とIP」(nw-ip
  発信元も示す→ウは×
  TTL:無限に探し回るのを打ち切る手段→イは×
  プロトコル番号:上位プロトコルがTCPかUDPを指定→エは×
TCPの機能→参照:「トランスポート層とTCP/UDP」(nw-tcp
  パケットの欠落・重複などをチェック
  上位プロトコルの呼び出し→ポート番号で指定→アが○

問17

PPPに関する記述のうち、適切なものはどれか。
 ア 交換網用のプロトコルであり、専用回線では使用することができない。
 イ 半二重の伝送モード専用のプロトコルである。
 ウ 非同期式のプロトコルであり、8ビットの伝送制御文字が使われる。
 エ リンク確立フェーズの後に認証プロトコルを実行することができる。

【解答】

正解:エ

PPP(Point to Point Protocol)は、ダイヤルアップでネットワークに接続するデータリンク層のプロトコル。これによりサーバからIPアドレスを受け取る。
当初は、むしろ専用回線を対象として開発され(アは×)、全二重通信の通信回線を対象にする(イは×)。接続相手の認証や伝送路の通信品質、情報の圧縮や暗号化などの機能拡張が行われている(エは×)。 ウは調歩式の伝送方式であり、低速回線用である(ウは×)

問18[su02-15]

問19

SSLに関する記述のうち、適切なものはどれか。

【解答】

正解:ウ

暗号通信にSSL(セキュア・ソケット・レイヤー)を使い、VPN(実質的な専用線網)を構築する技術。
アは×。アプリケーションを限定しない。電子メールにも使われる。
イは×。共通鍵暗号方式と公開鍵暗号方式を組み合わせたハイブリッド暗号方式である。
ウは○。電子署名がなされる。
エは×。IPsec-VPNの説明である。SSL-VPNはトンネルモードを使用

問20[su05-17]

問21[su04-20]

問22

AESの暗号化方式を説明したものはどれか。
 ア 鍵長によって、段数が決まる。
 イ 段数は、6回以内の範囲で選択できる。
 ウ データの暗号化、複合、暗号化の順に3回繰り返す。
 エ 同一の公開鍵を用いて暗号化を3回繰り返す。

【解答】

正解:ア

AES(Advanced Encryption Standard)DESに代わる新しい共通鍵暗号方式
鍵長は128、192、256ビットの3つ
SPN(Substitution Permutation Network Structure)構造:転置,換字,暗号鍵とのXOR演算という処理の組み合わせを繰り返す。その繰り返し回数が段数。段数は鍵長で決まる。

問23

TLSの機能を説明したものはどれか。

【解答】

正解:ア

TLS(Transport Layer Security):Netscape社が開発したSSL(SSLv3)をベースにIETFが標準化した規格
アは○。SSL/TLSの機能
イは×。X.509の説明 ウは×。IPsecの説明
エは×。SSHの説明。r系コマンドとはローカル・ホストからリモート・ホストに対して各種の遠隔操作を行うコマンド群の総称。

問24

公開鍵暗号方式に関する方式として、適切なものはどれか。
 ア DESやAESなどの暗号方式がある。
 イ RSAや楕円曲線暗号などの暗号方式がある。
 ウ 暗号化鍵と複合鍵が同一である。
 エ 共通鍵の配送が必要である。

【解答】

正解:イ

ア、ウ、エは共通鍵暗号方式
参照「共通鍵暗号方式」(sec-angou-kyoutu)、「公開鍵暗号方式」(sec-angou-koukai

問25[su05-24]

問26

SQLインジェクション攻撃を防ぐ方法はどれか。

【解答】

正解:イ

SQLインジェクション攻撃とは
入力データの値によりデータベースからデータを取り出してHTMLをつくり表示をするWebページにおいて、不正にデータを取り出す操作を行う、データベースを操作する言語(SQL)を入力する攻撃。
防ぐには、SQL命令を受け付けないこと。
参照「SQLインジェクション」(sec-sql-injection
ア・ウは×。HTMLのタグを用いた攻撃は、クロスサイト・スクリプティングが多い。
エは×。オーバーフロー攻撃の手口

問27

表に示すテーブルX、Yへのアクセス要件に関して、JIS Q 27001:2006 (ISO/IEC 27001:2005) が示す「完全性」の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。
テーブルアクセス要件
X(注文テーブル)
  1. 調達課のユーザAが注文データを入力するため、又は内容を確認するためにアクセスする。
  2. 管理課のユーザBはアクセスしない。
Y(仕入先マスタテーブル)
  1. 調達課のユーザAが仕入先データを照会する目的だけでアクセスする。
  2. 管理課のユーザBが仕入先データのマスタメンテナンス作業を行うためにアクセスする。
 ア GRANT INSERT ON Y TO A  イ GRANT INSERT ON Y TO B
 ウ GRANT SELECT ON X TO A  エ GRANT SELECT ON X TO B

【解答】

正解:ア

JIS Q 27001 は情報セキュリティマネジメントシステムの規格≒ISMS適合性認定制度
参照「ISO27001、JIS Q 27001、ISMS適合性認定制度の関係」(std-iso27001-isms
ア 調達課に仕入先マスタテーブルのデータを作成する権限を与える
   調達課は照会をするだけ→完全が失われる
イ 管理課に仕入先マスタテーブルのデータを作成する権限を与える
ウ 調達課に注文ファイルのデータを照会する権限を与える
エ 管理課に注文ファイルのデータを照会する権限を与える

問28[ad041-54]

問29[su03-28]

問30

RADIUSに関する記述として、適切なものはどれか。

【解答】

正解:ア

アは○。RADIUS(Remote Authentication Dial In User Service) →参照:「無線LANとセキュリティ」
イは×。DHCPの説明 →参照:「ネットワーク層とIP」
ウは×。ディレクトリサービスの説明
エは×。VPN、VLANの説明 →参照:「ネットワークの暗号化、閉域化」

問31[su06-29]

問32

無線LANのセキュリティ技術に関する記述のうち、適切なものはどれか。

【解答】

正解:エ

ESS-ID(Extended Service Set Identifier)
無線LANでは、他の無線との混線を避けるため、アクセスポイントと端末の間のネットワークに名前をつけ、それが一致しない端末とは通信しないようにする。EAPは用いない(アは×)。
同じESS-IDをもつアクセスポイント間でないとローミングできない。(ウは×)
WEP(Wired Equivalent Privacy)
無線通信における暗号化技術。秘密鍵に40ビットのデータを使う旧来の方式と、128ビットのデータを使う新方式とが存在する(イは×)
EAP(Extensible Authentication Protcol)
PPPを発展させ、リモートアクセスによるユーザー認証の際に用いられるプロトコル。
RADIUS(Remote Authentication Dial In User Service)
ISPや企業内LANなどへのリモートアクセスを実現するとき、ユーザ認証、アクセス制御、アカウント情報管理を統括的に行う(エは○)

参照:「無線LANとセキュリティ」

問33

情報システムのリスクマネジメント全体の説明として、最も適切なものはどれか。

【解答】

正解:イ

「最も~」に注意=部分的な説明を×とする。 アは×。前半は正しいが、後半の「最適化」が不適切 →参照「リスク・コントロールとリスク・ファイナンス」(sec-control-finance
ウは×。事後対策だけになっている →参照「情報システム安全対策基準の主旨」(std-anzen-kijun-gaiyou
エは×。情報提供だけではない。PDCAの観点が必要 →参照「ISMSとPDCAサイクル」(sec-isms-pdca

問34

金融庁の「財務報告に係る内部統制の評価及び監督の基準」において、内部統制に関係を有する者の役割と責任の記述のうち,適切なものはどれか。

【解答】

正解:エ

アは×。経営者
イは×。経営者
ウは×。監査役
エは○。
参照「日本版SOX法の概要」(std-jsox-gaiyo

問35

情報システムのコンテンジェンシープランに関する記述のうち,適切なものはどれか。

【解答】

正解:ウ

コンテンジェンシープラン=緊急対策
アは×。回避だけでなく、復旧の対策が必要。
イは×。そのようなシステムでもリスクは発生する。
ウは○。短時間・長時間で対策が異なる。
エは×。脅威の要因は限定できない。

問36[ad052-55]

問37

共通フレーム2007(SLCP-JCF2007)の目的はどれか。

【解答】

正解:イ

イが○。共通フレームの定義である。→参照「共通フレーム2007」(std-kyotu-frame
アは×。前半は正しい。責任については対象外
ウは×。参照「ソフトウェア管理ガイドライン」(std-software-guideline
エは×。前半は正しい。後半は「情報システム・モデル取引・契約書」(std-model-keiyaku

問38

情報セキュリティの評価基準 JIS X 5070(ISO/IEC 15408)の説明のうち、適切なものはどれか。

【解答】

正解:イ

JIS X 5070「セキュリティ技術 - 情報技術セキュリティの評価基準」
  IT製品及びシステムのセキュリティ特性を評価するための規格→イが○
アはセキュリティ監査基準

問39

JIS Q 27001:2006 のリスクマネジメントで採用されているセーフガードはどれか。

【解答】

正解:エ

JIS Q 27001:「情報セキュリティマネジメントシステム-要求事項」
 その第三者認定がISMS適合性認証制度
アは×。リスクマネジメント全体を指している
イは×。脆弱性の説明
ウは×。保護要求
エは○。セーフガードとは管理策のこと
参照「ISO27001(JIS Q 27001)」(std-iso27001

問40

SAML(Security Assertion Markup Language)の説明として、最も適切なものはどれか。

【解答】

正解:エ

アは×。UDDI(Universal Description,Discovery and Integration)の説明
イは×。IPsec、SSLなど
ウは×。XKMS(XML Key Management Specification)公開鍵をサーバーサイドで管理
エは○。
問題文のフルスペルから、認証に関係するXML仕様であることは明白
「シングルサインオン」を実現するための規格でもある

問41

ベンチマーキングを説明したものはどれか。

【解答】

正解:イ

アは×。コア・コンピタンス→参照「コア・コンピタンスとアウトソーシング」(kj1-core-competance
イは○。→参照「ベストプラクティス」(kj1-best-practice
ウは×。アウトソーシング
エは×。PPM→参照「PPM」(kj1-ppm

問42

問題解決能力の育成方法で、日常起こるマネジメント上の問題を多数提示して、一定時間内に判断し処理させる手法はどれか。
 ア インバスケット  イ ケーススタディ  ウ 親和図法  エ ロールプレイ

【解答】

正解:ア

問43

改善の効果を定量的に評価するとき、複数の項目で評価した結果を統合し、定量化する方法として重みづけ総合評価法がある。表の中で優先すべき改善案はどれか。
    評価項目  評価項目     改 善 案
          の重み   案1 案2 案3 案4
    省力化    4     6  8  2  5
    期間短縮   3     5  5  9  5
    資源削減   3     6  4  7  6

 ア 案1  イ 案2  ウ 案3  エ 案4

【解答】

正解:イ

案1の評価値
  4×6+3×5+3×6=57
同様にして
  案2=59(最大)、 案3=56、 案4=53

問44

全社レベルの業務モデルを作成するときの留意点はどれか。

【解答】

正解:イ

「全社レベル」→全体最適化の観点
「業務」→望ましい、あるべき姿としてのビジネスプロセス
アは×。業務モデルの段階で詳細化は不適切
イは○。業務はPDCA→意思決定活動や計画活動も重要
ウは×。現行プロセスと理想プロセスとの調和
エは×。エンティティである。重複をなくすことが最適化になる

問45[ad031-75]

問46[fe131-72]

RFIDを説明したものはどれか。

【解答】

正解:イ

RFID(Radio Frequency Identification)とは微小な無線ICチップ→イが○
アは×。電子マネー。部分的な説明
ウは×。2次元コード、QRコードの説明
エは×。生体認証、バイオメトリックスの説明

問47

Webページの著作権に関する記述のうち、適切なものはどれか。

【解答】

正解:エ

アは×。Webページに掲載することは営利目的でなくても、私的利用にはならない
  公衆送信権→参照「著作権の体系」(std-chosakuken-taikei
イは×。通常は無料利用権の提供であり、著作権は作成者に残る
  →参照「購入ソフトウェアと著作権」(std-chosakuken-kounyu-soft
ウは×。データそのものはプログラムとは別個のものである
エは○。URLそのものやリンクは著作権法の侵害にならないが、
  編集の独自性とコメントにより著作物とみなされる。
  →参照「プログラムと著作権」(std-chosakuken-program

問48[su06-51]

問49

申請や届出などの行政手続きをインターネットで実現させる電子申請の特徴はどれか。
 ア 申請・届出書が提出されたと認められるのは送信した時点である。
 イ 代理人ではなく本人に限り申請を行うことができる。
 ウ 手数料の納付は、クレジットカードに限定されている。
 エ 本人確認のため、電子署名や電子証明書を使用することができる。

【解答】

正解:エ

アは×。原則として申請書類を受領した時点
 具体的には送信確認画面で「はい」をクリックし、到達確認通知画面に表示された時刻
イは×。事前に電子申請システム上で電子委任状を作成することにより代理申請は可能
ウは×。むしろクレジットカード利用には制限がある。
エは○。電子署名法

問50

電子署名法に規定されているものはどれか。

【解答】

正解:ウ

アは×。実際には公開鍵暗号技術が用いられるが、法律では規定していない
イは×。紙の文書には電子署名を行う方法がないし、その意義もない
ウは○。これが電子署名法の基本。そでの場合に実印と同じ効力
エは×。ほとんどは地方自治体、民間の認証局である。

問51

「システム管理基準」に従えば、データ管理のポイントとなるものはどれか。
 ア システムテストは、開発当事者以外の者が参画すること
 イ ソフトウェアの利用状況を記録し、定期的に分析すること
 ウ 適切なアクセスコントロールを行っていること
 エ プログラムテスト結果を評価し、記録及び保管すること

【解答】

正解:ウ

内容そのものは正しいが「データ管理」かどうかが問題
アは×。「システムテスト・ユーザ受入れテスト」
イは×。「ソフトウェア管理」
エは×。「プログラミング」
「システム管理基準」の「データ管理」には次の10項目があげられている。

  1. データ管理ルールを定め、遵守すること。
  2. データへのアクセスコントロール及びモニタリングは、有効に機能すること。→(ウが○)
  3. データのインテグリティを維持すること。
  4. データの利用状況を記録し、定期的に分析すること。
  5. データのバックアップの範囲、方法及びタイミングは、業務内容、処理形態及びリカバリの方法を考慮して決定すること。
  6. データの授受は、データ管理ルールに基づいて行うこと。
  7. データの交換は、不正防止及び機密保護の対策を講じること。
  8. データの保管、複写及び廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
  9. データに対するコンピュータウイルス対策を講じること。
  10. データの知的財産権を管理すること。

問52

システム監査におけるヒアリングを実施する際に、システム監査人の対処として、適切なものはどれか。

【解答】

正解:イ

システム監査者は、経営者に自分の判断を報告することが任務
 コンサルタントではない。→アやウは×
 (報告後、経営者からの求めに応じて、担当者にアドバイスすることはできる)
事実に基づく監査が重要(独断はいけない)→イは○
そのため、多様な立場の人にヒアリングする必要がある→エは×

問53

システム監査人の役割と権限に関する記述のうち、適切なものはどれか。
 ア システム監査人によるシステム監査によって、法令による会計監査を代替できる。
 イ システム監査人は、システム管理者に対して監査の実施に協力するよう要請できる。
 ウ システム監査人は、セキュリティ方針を決定できる。
 エ システム監査人は、被監査部門に対して改善命令を出すことができる。

【解答】

正解:イ

アは×。両者は無関係
  システム監査:システム監査人による任意監査
  会計監査:公認会計士による法的監査
イは○。被監査部門は監査に協力する義務
ウは×。経営者の任務。システム監査人には決定権、命令権はない
エは×。経営者に助言・勧告をするだけ

問54

「情報セキュリティ監査制度」において、情報セキュリティ監査が確保すべきものはどれか。
 ア 情報技術のセキュリティ  イ 情報基盤のセキュリティ
 ウ 情報資産のセキュリティ  エ 情報システムのセキュリティ

【解答】

正解:ウ

情報技術、情報基盤、情報システムは情報資産の一部情報資産には、
参照:「情報セキュリティ監査制度の概要」(std-security-kijun-gaiyou

問55[su05-54]


本シリーズの目次へ