【応用情報】R7秋試験の復習

はじめに

どうも、ハム二郎です。
まずは、10/12(日)のIPA試験を受験された皆様、お疲れ様でございました。
私も応用情報技術者試験(AP)を受験させていただき、自己採点では午前で4問届かずおそらく不合格という結果になりました

基本情報技術者試験(FE)に６月にて合格後、約3ヶ月間の中で計画的に学習を進めてきたので悔しさもありますが、同時に得られた知識と経験は非常に大きなものでした。

この記事では、自己採点結果の振り返りや今後について整理したいと思います。

目次

• 自己採点結果
• 内容復習
• 今後について

自己採点結果

戒めとして、下記に自己採点結果を残したいと思います。

問	回答	正解	正誤	問	回答	正解	正誤
1	ア	エ	×	41	ア	ア	○
2	エ	イ	×	42	ア	ア	○
3	イ	イ	○	43	ウ	ウ	○
4	ウ	ウ	○	44	イ	イ	○
5	イ	イ	○	45	エ	ア	×
6	ウ	イ	×	46	イ	エ	×
7	イ	ア	×	47	イ	イ	○
8	エ	エ	○	48	イ	イ	○
9	エ	イ	×	49	イ	エ	×
10	エ	ア	×	50	エ	エ	○
11	ア	イ	×	51	イ	ア	×
12	ウ	ウ	○	52	エ	エ	○
13	ア	ア	○	53	ア	ウ	×
14	イ	イ	○	54	ア	ア	○
15	エ	エ	○	55	イ	ア	×
16	イ	イ	○	56	エ	ア	×
17	エ	ウ	×	57	イ	イ	○
18	イ	イ	○	58	エ	エ	○
19	イ	エ	×	59	エ	ウ	×
20	ア	ア	○	60	イ	イ	○
21	イ	ア	×	61	ア	ア	○
22	ウ	ウ	○	62	エ	エ	○
23	イ	エ	×	63	イ	イ	○
24	ア	ウ	×	64	イ	ウ	×
25	エ	ウ	×	65	イ	イ	○
26	ウ	イ	×	66	ウ	ウ	○
27	エ	エ	○	67	ウ	ウ	○
28	ア	ア	○	68	イ	イ	○
29	ア	イ	×	69	ア	ア	○
30	ウ	ウ	○	70	イ	イ	○
31	ア	ア	○	71	ウ	イ	×
32	イ	ア	×	72	エ	イ	×
33	イ	イ	○	73	エ	ウ	×
34	イ	エ	×	74	ウ	エ	×
35	エ	エ	○	75	ウ	ウ	○
36	イ	イ	○	76	イ	エ	×
37	エ	ウ	×	77	ア	イ	×
38	ア	ア	○	78	エ	エ	○
39	ウ	エ	×	79	ウ	ア	×
40	エ	ア	×	80	ア	ア	○

※～問50：テクノロジー、問51～問60：マネジメント、問61～問80：ストラテジ

　集計結果
・正答数：44 / 80問（55点）
・合格ライン（60点）まで：約4問差（+5点必要）
・テクノロジー：27/50、マネジメント：5/10、ストラテジ：12/20

　敗因分析
①過去問を回すことだけに集中して、語句の意味や内容を深くまで理解できていなかった。
②焦りがあり、計算や基礎問など確実に取っておきたい問題で凡ミスした。
③テクノロジーで間違えすぎた。

内容復習

ここからは本格的な内容の復習をしますが、データ量の関係から、間違えた問題と正解したがうろ覚えだった問題のみ復習します。

[問1]　カルノー図

カルノー図 … 論理回路などにおいて論理式を簡単化するための表。行と列それぞれに記述された論理変数の組合せの結果が"真"ならば1、"偽"ならば0を該当セルに書き込む。

論理式の導き方
①表の中のすべての”1”が記入されているセルをグループ化して共通項を取り出す。
②共通項の論理積を作る。
③グループごとに生成した論理積同士の論理和をとり、等価な論理式を完成させる。
※グループ化は以下のという3つのルールに従って行います。

1. グループ化するすべてのセルの値は”1”
2. グループ化するセルの数は2ⁿ
3. カルノー図の上下の端および左右の端は連続していると考える

このルールに従い設問のカルノー図のグループ化を行うと、下図のようにすべての”1”を2つのグループで囲むことができる。

➡️赤い枠で囲ったグループはA̅B̅C̅D̅とA̅B̅CD̅のため、共通項は A̅B̅D̅、論理積は A̅・B̅・D̅ 。
➡️青い枠で囲ったグループは、 A̅BCD̅、ABCD̅、ABCD、A̅BCDのため、共通項はBD、論理積はB・Dになる。
➡️赤枠グループの論理積であるA̅・B̅・D̅と青枠グループの論理積であるB・Dの論理和であるA̅・B̅・D̅＋B・Dが正解となる。

[問２]　M/M/1モデル

M/M/1モデル…待ち行列理論における最も基本的なモデルの一つで、「ランダムに処理要求が来て(M)、処理に掛かる時間もランダムであり(M)、1台のサーバーで対応する」である状況を分析する。

多くのモデルを統一的に表すことができる便利な記法を 「ケンドールの記号」 と呼び、M/M/1モデルもこれに沿って下記のように考える。

到着率(M) / サービス時間(M) / 窓口の数(1)

M/M/1モデルのMは無記憶の「Memoryless」又はマルコフ過程の「Markovian」が由来。

【M/M/1モデルの構成要素】

• M：客の到着間隔が ランダム（ポアソン分布） であることを示す。
  　　単位時間あたりの到着数が一定である、または「到着がランダム」という意味。
• M：客1人あたりの サービス時間がランダム（指数分布） であることを示す。
  　　サービス時間が毎回一定ではなく、ばらばらであるという意味
• 1：サービスを提供する窓口が1つであることを示す。 

平均待ち時間 … サービス要求（＝処理要求）が発生してから、実際に処理が開始されるまでの待ち時間の平均値を指し、以下の式で表される。
平均待ち時間 = ρ / (1 - ρ) × T
・ ρ：利用率（0≦ρ≦1）
・ T：平均サービス時間

問題文には「1件の伝票データの処理時間は、平均T秒の指数分布に従う」とあり、平均サービス時間はT秒となる。
平均待ち時間がT秒以上となる利用率を求めたいため、上記の式で解がT秒以上となる利用率を求めればよい。つまり、

ρ / (1 - ρ) × T　≧　T
ρ / (1 - ρ) ≧ 1
ρ ≧ 1 - ρ
2ρ ≧ 1
ρ ≧ 0.5

上記から利用率が50％以上であるときに、平均待ち時間がT秒以上となることがわかる。

[問3] ROC曲線

ROC 曲線（Receiver Operatorating Characteristic curve）
…縦軸に真陽性率、横軸に偽陽性率を取って、様々なパターンのしきい値のときの真陽性率と偽陽性率をプロットしたときに描かれる曲線。
• 真陽性： “正しい”データを、“正しい”と予測
• 偽陽性： “間違い”データを、“正しい”と予測（第1種の誤り）
• 偽陰性： “正しい”データを、“間違い”と予測（第2種の誤り）
• 真陰性： “間違い”データを、“間違い”と予測
さらに、この4つの値を使って2値分類モデルの精度を示す指標として以下のものが挙げられる。

正解率…
実際のクラスと同じクラスを予測した割合

適合率…
陽性と予測したもののうち実際に陽性だった割合

真陽性率（再現率、感度）…
実際に陽性のものを正しく陽性と予測した割合

特異度…
実際に陰性のものを正しく陰性と予測した割合

偽陽性率…
実際に陰性のものを誤って陽性と予測した割合

新陽性率は「感度」や「TPR」、偽陽性率は「特異度」や「FPR」とも呼ばれる。
ROC曲線は縦軸1、横軸1のため、AUCの値が1に近づくほど判別能が高くなる。

PR 曲線
特にデータが不均衡な場合にモデルの性能を評価するためのグラフ。横軸に再現率、縦軸に適合率を取る。

AUC（Area Under the Curve）
…「曲線下の面積」を意味し、ROC 曲線または PR 曲線の下の面積を表す。これにより、モデルの全体的な性能を一つの数値で評価できる。

OC曲線（Operating Characteristic curve）
…縦軸にロットの合格率、横軸に不良率をとり、抜き取り検査の中でロットの品質と合格率を表した曲線。検査特性曲線とも呼ばれる。

[問4] CRC

CRC（Cyclic Redundancy Check）は直訳で 「巡回冗長検査」 といい、送信データにあらかじめ定めた生成多項式で求めた余りを、誤り検出用データとして付加し送信します。受信側では同じ生成多項式を用いて受信データを除算することで誤りの有無を判断します。ただし、この方法は誤りを訂正することはできません。

[問5] ベストフィット方式

ベストフィット方式 …　プログラミング、特にオペレーティングシステムがメモリを管理する際のアルゴリズムの一つ。
空きメモリ領域のうち、要求されたサイズに最も近い、最も小さい領域を割り当てる。
➡️一意検索であるハッシュは使用されない。

メリット：メモリの断片化を抑制する効果がある。
デメリット：割り当てた残りが小さな空きブロックとして多数残る。

関連する方式

• ファーストフィット方式：最初に見つかった、要求サイズを満たす空き領域を割り当てる方式です。
• ワーストフィット方式：割り当てた後に最も大きな残り領域ができる空き領域を割り当てる方式です。 

[問6] 線形探索法における平均比較回数

線形探索法…リストや配列などのデータ構造の先頭から要素を一つずつ順番に比較し、目的のデータを見つけるまで探索する最も基本的なアルゴリズム。

　線形探索の平均比較回数は「(N＋1)／2回」（Nが十分に大きい場合にはN／2回）
　➡️　2段階の線形探索が行われる。

平均比較回数 … 「最小比較回数＋最大比較回数÷2」
線形探索の場合、最小比較回数は1、最大比較回数は要素数となる（ただし、要素数が十分に大きい場合、最小比較回数の1は計算から除かれる）。

• 　ブロックの末尾要素に対する線形探索
  
n 個のデータを m 個ずつに分割することで、ブロック数は n÷m 個となる。
各ブロックの末尾データは昇順に並んでおり、この末尾要素を線形に探索して、目的のデータが存在するブロックを特定します。
目的のデータは必ず存在するという条件から、線形探索における平均比較回数は、最小1回・最大 n÷m 回のため、平均は n÷2m 回となります。

• 　該当ブロック内での線形探索
  該当ブロックには m 個のデータがあり、これらを順番に比較して目的のデータを特定します。
平均比較回数は m 個のデータに対して m÷2 回です。

以上より、2段階の線形探索における平均比較回数の合計は、m÷2 ＋ n÷2m

[問7] Scala

Scala … オブジェクト指向プログラミングと関数型プログラミングの両方を実行できるハイブリッド言語。
Java仮想マシン上で動作するため、Javaとの互換性が高い。Javaの後継のような言語のため、静的型付け言語に分類。

　静的型付け … 静的型付けはプログラムを書く際に予め型付けを行う。
静的型付けは事前にコンパイルを行うことで、プログラムの実行時には、型の整合性チェックの必要量が少なくなる。

　動的型付け … 動的型付けはプログラムを書く際に型付けは行わない。
動的型付けは事前にコンパイルを行わず、プログラムの実行時に、型の整合性チェックを行います。そのため、実行時の処理が遅い。
一方で、プログラムの記述量が少なく、文法の勉強コストが低いため、直感的にコードを書くことができる。

[問8] CPU命令処理方法

CISC（Complex Instruction Set Computer）… 「複合命令セットコンピュータ」。CPUが一度に複数の複雑な処理を実行可能なマイクロプロセッサー(CPU)の設計スタイルの一つ。

RISC（Reduced Instruction Set Computer)** … 「簡略命令セットコンピュータ」。CISCとは異なり、RISCは1つの命令で1つの処理のみを実行する。これにより、効率性は向上しますが、必要な命令の数は多くなる。

MIMD（Multiple Instruction Multiple Data）… 複数の命令を複数のプロセッサで実行して、複数のデータを並行処理すること。

　並列処理には SISD、SIMD、MISD、MIMDという種類がある。

• SISD：　Single Instruction Single Data
• SIMD：　Single Instruction Multiple Data
• MISD：　Multiple Instruction Single Data
• MIMD：　Multiple Instruction Multiple Data

VLIW（Very Long Instruction Word）… 依存関係のない複数の命令をひとつの複合命令として同時に実行させる手法。

[問9] ユニファイドメモリ

フレームバッファ（frame buffer）… コンピュータ内部で一画面分の表示内容を丸ごと記憶しておくことができるメモリ領域やメモリ装置のこと。

➡️　つまり、画面表示用フレームバッファとは、コンピュータの画像表示に使われるバッファメモリで，CRTや液晶のディスプレイで画像を表示する際に，画面のすべての画素の色データを記憶するもの．

ユニファイドメモリ方式（UMA）… コンピュータのメインメモリ(DRAM)をCPUだけでなく他の装置でも同じように使用できるようにする仕組み。

➡️　これにより、CPUとGPUが主記憶（RAM）を共用できる。
別々のメモリ領域を持つのではなく、1つの主記憶を両者がアクセスするため、 VRAMなどを搭載する必要がなくなる。
➡️　つまり、この方式ではGPU専用のビデオメモリを別途搭載せず、主記憶の一部をフレームバッファとして使用します。これにより、メモリのコストが削減され、CPUとGPU間のデータ共有も効率化される。

[問10]

クロック周波数 … コンピューターのCPUなどが処理のタイミングを合わせるために使う 「クロック信号」が1秒間に何回発生するかを示す数値。単位はHz（ヘルツ）で、回/秒を表す。

クロック周波数でカウントアップする計算は以下の計算式で行う。

カウント数 = クロック周波数 (Hz)×経過時間(秒)

具体的には、クロック周波数(Hz)に経過時間（秒）を掛けることで、経過時間に何回クロックが刻まれたか（＝カウントされたか）を計算する。 

クロック信号が1周期分（1回の立ち上がりから次の立ち上がりまで）送られると1回のパルスが発生する。立ち上がりから次の立ち上がりまでも1周期とし計算に用いる理由は、電子回路が“波の全体（周期）”を基準に動作しているから。

➡️　具体的に、多くの回路（例：Dフリップフロップ*は「立ち上がり」で動作するため、「立ち上がり＝1クロックの瞬間」として扱う。しかし、次の立ち上がりまでの間に回路内部で処理（信号の安定、伝達など）が行われるため、波1つ分（立ち上がり→立ち下がり→次の立ち上がり）＝1周期 として扱う。

つまり、

クロック周波数=パルスが1秒間に何回発生するか(1秒あたりのパルス数) でもある。

ここで、図で言う「10,000カウント」は回転センサー出力信号1周期分（立ち上がり→次の立ち上がりまで）に要するカウント数を示していることから、
➡️1周期=10,000カウント
1 MHzは1M/秒であるため、1カウントあたりを求めるには1秒を1Mで割り、
➡️1カウント = 1 µs（マイクロ秒）
1周期 = 10,000カウント × 1 µs = 10,000 µs = 0.01秒
センサーはモーター1回転あたり2パルス出すので、1回転に要する時間は「パルス2周期分」
➡️0.01秒×2=0.02秒で1回転する
➡️1秒あたりの回転数は1回転×0.02秒=50回転

[問11] HPCマシン構成

HPC（High Performance Computing）… 膨大なデータに対し複雑な演算処理を高速に実行する。

　現状のHPCマシンの演算性能計算

・一つのコアの理論ピーク演算性能…10GFLOPS
・一つのノード…8コア
➡️1ノードあたりの総理論ピーク演算性能は10GFLOPS × 8 = 80GFLOPS
➡️全ノード数は1,000のため、全体の総理論ピーク演算性能は…80GFLOPS × 1,000 = 80,000GFLOPS、または80TFLOPSとなる。


　更新後のノード数と演算性能の計算
>更新条件
・コアの演算性能は2倍の20GFLOPS
・コア数は2倍の16
➡️1ノードあたりの演算性能は 20GFLOPS × 16 = 320GFLOPS
➡️総コア数が4倍になるとのことで、現状の総コア数は 8コア × 1,000ノード = 8,000コアのため、更新後は 8,000コア × 4 = 32,000コアになる。

➡️ノードあたりのコア数が16なので、必要なノード数は 32,000÷16= 2,000ノード
➡️したがって、総理論ピーク演算性能は 320GFLOPS × 2,000ノード = 640,000GFLOPS、または640TFLOPSとなる。

[問12] IaC

IaC（Infrastructure as Code）… サーバーやネットワーク機器などのインフラストラクチャの構成や設定をコードとして記述し、それを用いて自動的に管理や展開を行うアプローチ。

　メリット
・再現性 ： 同じ設定ファイルを使えば、どこでも同じ環境を再現可能
・自動化 ： 手作業の構築ミスを減らし、時間を短縮できる
・バージョン管理 ： コードとしてGitで管理できる（いつ・誰が変更したか追跡可能）
・スケーラビリティ ： 大規模インフラを自動的に展開・更新できる

[問13] 省略

[問14] キャパシティプランニング

キャパシティプランニング …システムやサービスが必要とするリソースの容量を予測し計画するプロセス。将来のユーザー数やデータ量を評価し、サービスの水準を維持するために適切なハードウェアやリソースを確保することを目的として実施される。

　モニタリング：現行システムを継続的にモニタリングし、処理能力・利用率・ボトルネックを把握してベースラインを作成する。
　分析・予測：ユーザー数やデータ量の将来増加、事業環境の変化によるトラフィック変動などを分析して負荷増大を見積もり、その結果からシステム能力の限界時期を予測する。
　計画：目標とする性能要件を満たすために、パフォーマンスチューニングやハードウェア増設を検討し、導入・変更計画をまとめる。
　実装：計画に従ってシステムを変更する

[問15] 処理到着順方式

ターンアラウンドタイム … 入力の開始時からすべての出力を受け取るまでに要する時間のこと。

処理時間順方式 … 処理時間の短いタスクを優先的に実行するスケジューリング方式。新たなタスクが到着すると処理の待ち行列に加わり、CPU が空くと待ち行列の中から予想処理時間が最も短いタスクが選択され、実行状態に移される。また、ジョブの多重度が 1なので、CPU は同時に 1 つのジョブしか処理できない。

これらの条件に従うと、CPU は次のようにジョブを処理することとなる。

【開始時点】到着しているのはジョブAだけなので、CPUはジョブAの処理を開始。
【1秒後】ジョブBが到着。CPUはジョブAの処理を続行。
【2秒後】ジョブAの処理が完了。同時にジョブCが到着。
※未処理のタスクの処理時間を比較すると B > C なのでCPUはジョブCの処理を開始。
【3秒後】ジョブDが到着。CPUはジョブCの処理を続行。
※処理時間は C > D だが、処理時間順方式はノンプリエンプティブな方式なのでタスクの切替えは発生しない。
【4秒後】ジョブEが到着する。CPUはジョブCの処理を続ける。
【5秒後】ジョブCの処理が完了する。
※未処理のタスクの処理時間を比較すると E < D < B なので、CPUはジョブEの処理を開始する。
【6秒後】ジョブEの処理が完了する。
　未処理のタスクの処理時間を比較すると D < B なので、CPUはジョブDの処理を開始する。
【8秒後】ジョブDの処理が完了する。
※CPUは最後に残ったジョブBの処理を開始する。
【12秒後】ジョブBの処理が完了し、全てのジョブの処理が完了する。

よって、タスクの完了順は「A → C → E → D → B」となる。
ジョブBが到着したのは開始から1秒後のため、ジョブBのターンアラウンドタイムは全体の処理時間12秒から1秒を引いた11秒となります。

[問16] セマフォ

I2C（Inter-Integrated Circuit) … 近距離の集積回路（IC）間通信に特化したシリアル通信プロトコル。コンピュータのバス構造において、データや制御信号を複数の線で同時に送る「パラレル通信」とは対照的に、わずか2本の信号線（SCLとSDA）を用いて情報を順番に送る「シリアル通信」の代表例。

キュー … 最初に入れたデータが最初に取り出されるようなデータ構造。FIFO (First In, First Out) とも呼ばれる。

セマフォ … 複数のプロセスが並行して動作し、一つの資源を共有する場合にそのアクセスを制御するための機構。あるタスクがセマフォを取得するとセマフォは1つ減り、逆に資源が解放されると1つ増える。セマフォが1以上であれば資源は使用可能で、0のときは資源へのアクセスは待たされる。この仕組みによって、同時更新が問題となる処理部分の排他制御を行う。
セマフォは、整数型の共有変数（セマフォ変数）と、その変数を扱うP操作（取得）・V操作（解放）によって管理される。

マルチスレッド … プロセッサ上でスレッドレベルの並列化を実現し、プロセッサの利用効率を高める方式。

ラウンドロビン … 各プロセスを待ち行列の順にタイムクウォンタムずつ実行し、終了しないときは待ち行列の最後につなぐ方式。

[問17] スレッドセーフ

スレッドセーフ … 複数のスレッドが同時に実行されてもデータの整合性が保たれ、予期せぬバグや不具合が起こらない状態。

[問18] 省略

[問19] キャッシュメモリ置換

LRU（Least Recently Used）… 最も長い時間アクセス(=参照)されていない要素を置換。

LFU（Least Frequently Used）… 最も使用頻度が少ない要素を置換。

FIFO（First-In-First-Out）…「先入れ先出し」を意味し.最初にデータやタスクが入力されたものを置換。

LIFO（Last-In-First-Out）…「後入れ先出し」を意味し、最も新しくロードされたものを置換。

[問20] 消費電力

消費電力(P)=電圧(V)×電流(A)

LEDの消費電力=2V×10mA=20W
ここで、回路全体の電圧は10Vであり、LEDにかかる電圧は2Vである。

電源電圧(V)=LED電圧(V1)+抵抗電圧(V2)

であることから、抵抗にかかる電圧は10V-2V=8V
抵抗の消費電力=10mA×8V=80W
全体の消費電力=20W+80W
よって、20%の割合となる。

[問21] 検出のための論理式

放された状態⇒押された状態を考えるため、スイッチの値では0⇒1を前提とする。
前回の状態…b=0
今回の状態…a=1
そして、この場合と他の場合に違いが出るか確認するため真理表を作成する。
※今回の場合では０の補集合は1であることに注意する。
➡️a=1,b=0の場合のみ1、その他は0となるのはa・bバーのみ。

[問22] 省略

[問23] 分周器

分周（ぶんしゅう）…入力された信号の周波数を特定の整数倍で割りより低い周波数に変換し、「周波数を下げる」こと。

つまり、 「32分周」とは周波数を32で割る。
よって、タイマーに入力されるクロック周波数は以下の通り。
16MHz÷32=500kHz
1Hzは1秒に1回の動作を示すため、500kHzで動作するダウンカウンターの1カウントあたりにかかる秒数は、
1秒÷500kHz=2マイクロ秒
初期値は150のため、カウンターの値が0になるまでかかる秒数は、
150×2マイクロ秒=300マイクロ秒

[問24] UI上のメニュー表示

アコーディオンメニュー
… クリック（またはタップ）すると、その項目の下方向にコンテンツが展開される。

•　再度クリックすると折りたたまれます（上下に開閉する動き）。
•　ページ内で情報を「たたんで見せる」仕組み。
•　FAQ（よくある質問）などで使用。

ドロップダウンメニュー
… 上のメニューから下にメニューが垂れ下がる（drop down） 形で表示。

•　主にナビゲーションバーやフォームの選択画面などで「カテゴリを選択 → サブ項目を表示」する時に使用。
•　「メニュー ▼」にマウスを乗せるまたはクリックすると、下にボックスが開く。
•　開いた部分は背景と少し浮き上がって見える（影がつく）デザインが多い。

ハンバーガーメニュー
… 「≡」アイコン を押すと、画面の横（主に左）からメニュー全体がスライドインする。

•　押すと暗いオーバーレイが出て、メニューが手前に表示される。

ポップアップメニュー
… ボタンやアイコンを押した その近くに小さなメニューが浮かび上がる。

•　コンテキストメニュー（右クリックメニュー）などで使われる。
•　ボタンのすぐ下や右側など、押した位置の「近く」に表示される。

[問25] 標本化定理

サンプリング（標本化）の目的は、アナログ信号（連続的な情報）をデジタル信号（離散的な情報）に変換して、コンピュータで扱えるようにする

アナログ信号（音、映像、電圧など）は連続的な波形だが、コンピュータは「0と1の離散値」しか扱えない。そのため、「サンプリング → 量子化 → 符号化」の3ステップでアナログをデジタル化する。

離散値 … 「1つずつ区切られた数（1, 2, 3, 4 …）」
連続値 … 「区切りのない滑らかな数（1.1, 1.11, 1.111,…（無限に細かい））」

アナログ信号は、時間とともに連続的に変化するが、コンピュータは「連続的な無限の値」を扱えない。
　つまり「重要な情報を失わずにデジタル化する」ための理論的根拠がサンプリング。

標本化定理（ナイキストの定理） … 元の信号を正確に得るための最小サンプリング周波数を定める。アナログ信号をデジタル化するためには、その信号の最大周波数の2倍以上のサンプリング周波数でサンプリングする必要があるという定理。

　2倍以上のサンプリング周波数が必要とされている理由は、上弦と下弦が合わさって1回の波であり、1周期に少なくとも山と谷の2点のサンプリングポイントが必要となるため。
つまり、この1Hzの信号を正しく記録するには、2回の記録をしなければならない。

　もし2点未満だと山と谷の一方しかサンプリングできなくなる。それにより波の形を正確に捉えることができず、異なる周波数成分が同じデジタル値にマッピングされるエイリアシングが発生する。

本問では信号の帯域幅が0〜20kHzのため、最高周波数は20kHz。
標本化定理に従えば、その2倍の40kHz＝40,000回／秒のサンプリングが必要ということになる。

1Hzは1秒間に1回の動作を示すため、40kHzのサンプリング周期は1秒を40,000回で割り
1秒 ÷ 40,000回 ＝ 25マイクロ秒となる。

[問26] BASE特性

BASE特性 … ACID特性と同じように、データベースの一貫性を説明するためのモデルで、次に示す3つの特性の頭文字を取ったもの。

BA：Basically Available（利用可能） - 基本的に利用可能である（可用性優先） 。つまり、ノード間のネットワークが分断されてもデータベースの利用が可能。
S：Soft State（ソフト状態）- 常に一貫性を保っている必要はないという性質。
E：Eventually Consistent（結果整合性）- すべてのノードが常に同じデータを持つわけではないが、時間の経過とともに更新情報が伝搬し、最終的には全てのノードのデータが一致するという一貫性モデル。即時性よりも可用性を重視する。このため、更新直後はノードによって異なる結果を返すことがある。

　従来型のデータベースのような厳密な一貫性を要求せず、結果整合性を保証するというのがBASE特性の基本的な考え方。BASE特性の概念は、クラウド上でビッグデータを扱うNoSQL（Not only SQL）のトランザクションに取り入れられている。
※逆に、RDBMS（Relational DataBase Management System）ではACID特性が取り入れられ、データの整合性と信頼性を保証している。

[問27] B+木インデックス

B+木インデックス … 木構造（ツリー構造） を持つインデックス。データが 「ソートされた順序（昇順）」 で格納され、値の大小関係を保ちながら効率的に検索できる。

• 木の高さが一定なので、検索・挿入・削除の効率が安定している。
• ディスクアクセスを最小限にする構造となっており、RDB（MySQLやPostgreSQLなど）で広く使われている。(※RDB … 「関係データベース（Relational DataBase）」)
⚠️ 単一のキー検索では、ハッシュインデックスよりやや遅いことがある。

ハッシュインデックス … データの値をハッシュ関数で変換して管理する方式。例えば「id = 100」のような完全一致検索を高速で行える。

• 並び順の情報は持たない。
• 等価検索（=） に特化している。
⚠️ 範囲検索が不得意（大小関係がない）、並び順検索が不可（ORDER BY に使えない）、再ハッシュはデータ量が増えると再計算が必要でコスト大となる。

[問28] RDBにおけるView

View … 関係データベース（RDB）において既存の表（テーブル）から作られた仮想的な表のこと。見た目は通常の表のように扱えるが、実際には実データを持たないSEELECT文の結果。

ビューはあくまで「仮想的な表」であるため、原則として結合ビューの更新は不可。
具体的には、複数テーブルからデータを引き出して作られる場合、「どのテーブルを更新すべきか」が曖昧になるため。ただし、下記の通り特別な場合には更新可能。

✅ 単純結合（1対1）… 更新可能な場合あり
更新対象が一意に特定できるため

⚠️ 1対多結合（外部キー結合）… 条件付きで可能
主キー側を更新するなら可、従属側は不可

❌ 多対多結合（中間テーブル経由）… 不可
更新先が複数テーブルにまたがるため曖昧

❌ 集約・DISTINCT・GROUP BY含む結合 … 不可
元データに戻せない（情報が失われる）

「和両立」… ビューと基礎表（元テーブル）の内容が矛盾しないように整合性を保つこと。 SQLでは WITH CHECK OPTION を指定することで、ビューの条件と異なるデータを挿入・更新できないよう制御できる。ビューが元テーブルと整合性を保ちながら更新できるかどうか（双方向の整合性）を意味する。

　なお、和両立でなく和集合演算（UNION, UNION ALL）でも定義できる。
その場合、両方のSELECT文で、列の数・データ型・順序が一致している必要がある。
※UNION：重複行を除外して結合　UNION ALL：重複行を含めて結合

　ビューの列名には基礎表とは別の列名を付けることができる。異なる列名を定義するには、SELECT文と同じくAS句を使用。

[問29]トランザクション

「トランザクション（Transaction）」 … データベースにおける一連の処理をひとまとめにして、すべて成功またはすべて失敗として扱う単位のことです。つまり「途中で止まってもデータが壊れないようにする仕組み」

⚙️ 4つのACID特性について

特性	名称	内容
A	原子性（Atomicity）	全処理がすべて成功またはすべて失敗
C	一貫性（Consistency）	データの整合性が常に保たれる
I	独立性（Isolation）	同時実行の影響を受けない
D	永続性（Durability）	COMMIT後の変更は失われない

多版同時実行制御（MVCC：MultiVersion Concurrency Control）… 複数のトランザクションが同時に実行されても整合性を保ちながらデータを安全に処理するという同時実行制御方式の一つ。

　従来の方式（単版の2相ロック）では「ロック」を使って他の操作を待たせるのに対し、MVCCではデータの複数バージョン（過去の状態）を保持して並行アクセスを許すのが特徴。具体的には以下の通り。

　トランザクションからの読書き要求に対して、トランザクション開始時点における同じデータのスナップショット（版、version）として保持しておき、並列実行されるトランザクションに対して提供するというアプローチにより、トランザクションの同時実行制御を行う仕組み。
これにより、読込みのロックと書込みのロックが競合することなくなり、トランザクションの一貫性を保ったまま同時実行性を向上させる。

　もし、MVCCを使用せず、複数のトランザクション（処理）が同時に実行されると以下のようなことが起こってしまう。

• ダーティリード
  　 … 未確定のデータを他のトランザクションが読んでしまう
• リードスキュー（不整合読み取り）
  　 … 読み取ったデータが途中で他の処理により変更される
• 更新競合
  　 … 同じデータを同時に更新して整合性が崩れる

これらを防ぐために「ロック制御」があるが、上記の通りロックは待ちが発生して性能が低下する。MVCCはこの欠点を補い、読み取り（SELECT）と書き込み（UPDATE）を同時に行えるようにする。

　MVCCでは、データの「古いバージョン」と「新しいバージョン」を両方保持する。トランザクションがデータを読むとき、その時点で有効だったスナップショット を参照する。

スナップショット（Snapshot）… 「ある時点のデータの状態をそのまま固定して保存した版」。特定の時刻におけるデータ全体の“写真（コピー）”を撮ったようなもの。

MVCCでは、各データに「トランザクションID」や「タイムスタンプ」を付与して管理する。トランザクションは自分の開始時点より新しいデータは見えず、ロックの代わりに「過去のバージョン」を保持し、スナップショット（開始時点の状態）を参照して読み取るため、ロックを使わず高速に実行できる。これにより、他の処理が同時に行われても一貫した結果を得ることができます。

✅ 特徴まとめ

• ロック待ちが発生しにくく高パフォーマンス
• 読み取り専用処理に最適
• 古いバージョンを定期的に削除（VACUUM等）する必要がある
  ※採用DB：PostgreSQL、MySQL(InnoDB)、Oracle Databaseなど。

2相ロッキングプロトコル … ロックを取得する段階（成長相）と解除する段階（縮退相） の2つのフェーズを明確に区別したロック方式です。

　トランザクションで読書きが必要となるたびに都度ロックをかけていき、全てのロックを取得した後にまとめて解除する、というルールでロックの取得と解除を行います。

WALプロトコル（Write Ahead Log "まずログを書け"）… 実際の操作に先行してログの即時書き出しを求める取り決め。

WALプロトコルの動作は次の2点に要約されます。
　データベースの更新は、まずそれをログを書き出してから行う（更新前ログ）
　トランザクションはコミットを行う前に、該当する全てのデータベース更新情報をログを書き出す（更新後ログ）

[問30]省略

[問31]リバースプロキシ

リバースプロキシ（Reverse Proxy）… クライアント（ユーザー）とサーバ（Webアプリなど）の間に立って、サーバ側の代理（逆方向のプロキシ）として動作するサーバのことです。

通常の「プロキシサーバ」はユーザーの代理だが、リバースプロキシはサーバの代理。
［クライアント］ → ［リバースプロキシ］ → ［Webサーバ群］

　主な役割

• 負荷分散（ロードバランシング）
• キャッシュによる高速化
• SSL終端によるセキュリティ強化
• サーバの匿名化・攻撃防御

　主な利用ソフト

• Nginx：高速・軽量な代表的プロキシ
• Apache (mod_proxy)：柔軟な設定が可能
• HAProxy：大規模向けロードバランサ
• AWS ALB / CloudFront：クラウド向け

[問32] アドレス割当て

CIDR（Classless Inter-Domain Routing）… クラスA〜CのIPアドレスクラスにとらわれずに、ネットワーク部とホスト部の区切りを1ビット単位で設定できる方式。

➡️ IPアドレス / プレフィックス長の形で表記し、ネットワーク部の長さ（プレフィックス）を自由に決められるため、クラスによる制限がなくなる。

DHCP（Dynamic Host Configuration Protocol）… ネットワーク機器にIPアドレスなどの設定情報を自動で割り当てる仕組み 。

DNS … ドメイン名・ホスト名とIPアドレスを結びつけて相互変換する（名前解決する）仕組み。

　ドメイン解決（名前解決）の流れ

例：「www.example.com」にアクセスする場合

1. ブラウザがDNSリゾルバ（DNSクライアント）に問い合わせ
2. リゾルバがルートDNSサーバへ問い合わせ（.com どこ？）
3. TLDサーバ（トップレベルドメイン：.com）を紹介される
4. TLDサーバが権威DNSサーバ（example.com の管理者）を紹介
5. 権威サーバからIPアドレスを取得
6. リゾルバがブラウザへ返す → 接続成功！

NAPT（Network Address Port Translation）…1つのグローバルIPアドレスを使って 複数の内部端末が同時にインターネット通信を行うための技術。プライベートIPアドレスとグローバルIPアドレスを相互変換するNATの考え方にポート番号を組み合わせたもの。

[問33] UDPとTCP

TCP （Transmission Control Protocol）…信頼性の高い通信を行う「コネクション型プロトコル」。データの順序制御・再送・確認応答を行う。

　主なヘッダ項目

• 送信元／宛先ポート番号
• シーケンス番号
• 確認応答番号（ACK）
• 制御フラグ（SYN, ACK, FIN など）
• チェックサム
• ウィンドウサイズ

シーケンス番号 … TCPで送る各データ（セグメント）に「順序を識別する番号」を付けるためのフィールド。順序・再送・重複の制御を行う。

➡️　TCPの目的を達成するにはシーケンス番号が必要。

UDP（User Datagram Protocol）…軽量で高速な「コネクションレス型プロトコル」。信頼性よりもリアルタイム性を重視。

　主なヘッダ項目

• 送信元／宛先ポート番号
• 長さ（Length）
• チェックサム

➡️ データが届く順番や信頼性を保証しない代わりに、速度を優先しているため、「順番管理用のシーケンス番号」は不要。

　TCP vs UDP 比較表

項目	TCP	UDP
通信方式	コネクション型	コネクションレス型
信頼性	高い	低い
再送制御	あり	なし
フロー制御	あり	なし
遅延	大きい	小さい
用途	HTTP, SMTP, FTP	DNS, VoIP, 動画配信

[問34]

スパニングツリープロトコル（STP：Spanning Tree Protocol）… LANスイッチ間で発生する通信ループを防止するためのプロトコル。IEEE規格ではIEEE 802.1Dに定義されている。

IEEE（Institute of Electrical and Electronics Engineers：電気電子技術者協会）… 情報通信や電子工学の分野で非常に重要な国際組織であり、LAN・無線通信・ネットワーク規格（例：IEEE 802シリーズ）の標準化を担っている。

　スイッチングハブ（L2スイッチ）では、スイッチがポートに届いたイーサネットフレームを受け取り、「送信元MACアドレス」「宛先MACアドレス」「フレーム内容」などを解析し

スイッチングハブ（L2スイッチ）… MACアドレスを使って通信経路を自動的に学習・制御する装置。

イーサネットフレーム（Ethernet Frame）…LAN通信で使用される、データリンク層の基本データ単位。イーサネットという規格に従って通信するために、一旦細切れにされたデータのこと（フレーム≒パケット）。スイッチングハブはこのフレームを解析し、宛先MACアドレスをもとに転送を行う。なお、IPパケットを内包して転送される（カプセル化） 。

受信したフレームの送信元MACアドレスを確認し、「このMACアドレスはこのポートに接続されている」という情報をMACアドレステーブルに登録する。

次に、フレーム内の宛先MACアドレスを確認し、解析の結果に基づいてフレームを正しいポートに送出する。

1. フレーム受信
2. 送信元MACアドレスを記録（学習）
3. 宛先MACアドレスをMACテーブルで検索
4. 登録済みなら該当ポートへ転送（ユニキャスト）
5. 未登録なら全ポートに送信（フラッディング）

　これにより、同じネットワーク内の通信を必要な機器だけに転送できるようになる。

　しかし、複数経路でスイッチが接続されているとフレームが無限に回り続けるループが発生することがあります。

ループが起きると…
• 同じフレームが何度も回る（ブロードキャストストーム）
• スイッチのMACアドレステーブルが不安定になる
• 通信全体が麻痺（ネットワークダウン）

　これを防ぐために考え出されたのが STP（Spanning Tree Protocol）。

STPは、ネットワーク内の冗長経路のうち、不要なリンクを一時的にブロック（無効化）して、論理的にループのない木構造（＝スパニングツリー）を形成する。
具体的な動作としては、

1. ルートブリッジを選出（最も優先度が高いスイッチ）
2. 各スイッチが最短経路を決定
3. ループを防ぐために一部ポートをブロック

主要用語

用語	意味
BPDU	STP制御メッセージ
ルートブリッジ	中心スイッチ
ルートポート	最短経路ポート
指定ポート	通信中継用ポート
ブロッキングポート	ループ防止のため停止中

　STPの収束時間短縮を目的とした改良版
RSTP (802.1w)、Rapid STP

IGMP（Internet Group Management Protocol）… IGMPは、IPマルチキャスト通信において ホスト（端末）とルータ間でマルチキャストグループの参加・離脱を管理するプロトコル。

マルチキャスト …「同じデータを複数の受信者に効率よく届ける」仕組み。

➡️ しかし、そのためには「誰が受信したいのか」をネットワーク側が知る必要があるが、その“参加・離脱の管理”を行うのが IGMP 。

1. ルータが定期的に Query（照会） を送信
2. グループに参加中のホストが Report（参加報告） を返す
3. 参加ホストがいなくなれば、ルータはそのグループ転送を停止

　これにより、不要なマルチキャストパケットをネットワークに流さないようにします

RIP（Routing Information Protocol）…ルータ同士がネットワーク経路情報を自動交換する距離ベクトル型ルーティングプロトコル。

項目	内容
ルーティング方式	距離ベクトル方式
経路評価基準	ホップ数（最大15）
更新間隔	約30秒
通信プロトコル	UDP（ポート520）
対応範囲	小規模ネットワーク向け

1. 隣接ルータへルーティング情報を定期送信
2. 受信ルータはホップ数＋1で登録
3. 最短経路（ホップ数が最少）を選択して更新］

SIP（Session Initiation Protocol：セッション確立プロトコル）… 音声・映像などのリアルタイム通信を確立・制御・終了するためのアプリケーション層プロトコル。音声や映像そのものは送らず、通信の制御だけを担当する。

項目	内容
プロトコル層	アプリケーション層
主な役割	通話の確立・変更・終了
使用ポート番号	5060（UDP/TCP）
関連プロトコル	RTP（音声データ転送）

　主なメッセージ

メッセージ	内容
REGISTER	サーバへの端末登録
INVITE	通話の招待（セッション開始）
ACK	通話確立の確認
BYE	通話終了
CANCEL	呼び出しの取り消し

[問35]省略

[問36]サイバーキルチェーン

サイバーキルチェーン（Cyber Kill Chain）… サイバー攻撃を7つの段階に分けて分析し、 どの段階で防御すべきかを可視化したモデル。

• 各段階を「鎖（Chain）」として分析
• どこか1段階でも防げば攻撃を阻止できる
• 標的型攻撃・APT攻撃対策の基本モデル

　攻撃の7段階

段階	名称	内容
①	偵察（Reconnaissance）	攻撃対象の情報収集
②	武器化（Weaponization）	攻撃ツールやマルウェアの準備
③	配送（Delivery）	メールやWebを通じて送信
④	攻撃実行（Exploitation）	脆弱性を悪用して侵入
⑤	インストール（Installation）	バックドア設置
⑥	C2通信（Command & Control）	攻撃者との遠隔通信確立
⑦	目的達成（Actions on Objectives）	情報窃取・破壊・改ざんなど

[問37] 証明書

• SSL/TLS通信には「サーバ証明書」または「EV SSL証明書」を使用
• ユーザ認証には「クライアント証明書」
• ソフトウェアの正当性確認には「コードサイニング証明書」

コードサイニング（Code Signing：コード署名）… ソフトウェアやスクリプトに対してデジタル署名を行うプロセス。この署名により、ソフトウェアが正規のものであり、改ざんされていないことを保証する。具体的には、認証局（CA）から発行されたデジタル証明書を使用して、ソフトウェアに電子署名を付与する。

証明書	対象	主目的	利用例
EV SSL証明書	Webサーバ	企業の実在性確認とHTTPS通信	銀行・官公庁
クライアント証明書	利用者・端末	本人認証	社内システム・VPN
コードサイニング証明書	ソフトウェア	開発者証明・改ざん検出	アプリ配布
サーバ証明書	Webサーバ	通信暗号化・正当性証明	一般Webサイト

✅ まとめ

• すべて 「公開鍵基盤（PKI）」に基づく信頼の証明書であり、
• 対象（サーバ・利用者・ソフトウェア）によって用途が異なる。

[問38] サイドチャネル

サイドチャネル攻撃（Side Channel Attack）… 暗号装置やCPUの物理的な動作情報（電力・時間・電磁波など） を解析し、暗号鍵などの秘密情報を推測する攻撃手法。

• 暗号アルゴリズム自体ではなく、実装の弱点を狙う
• ハードウェア装置を対象とする
• 統計解析や波形解析を用いる

攻撃名	内容
タイミング攻撃	処理時間の差を解析
電力解析攻撃	電力消費の変動を解析（DPAなど）
電磁波解析攻撃	電磁波のパターンを解析

　防御策

• 処理時間を一定にする
• 電力や電磁波をランダム化／遮蔽
• ノイズを挿入して解析を困難にする

[問39] CRL（Certificate Revocation List）

CRL（Certificate Revocation List：証明書失効リスト）… 認証局（CA）が発行する「失効した電子証明書の一覧」。有効期限内でも、鍵の漏洩や不正利用などにより信用できなくなった証明書を無効化する。

➡️　PKI環境での証明書信頼性を維持するために不可欠な仕組み。デジタル証明書とCRLの仕様は、ITU X.509として標準化されている。

PKI （公開鍵基盤：Public Key Infrastructure）… 公開鍵暗号を安全に運用するための信頼の仕組み（基盤）。電子証明書を通じて「署名 → 検証 → 信頼」 の連鎖を技術的に保証する。

• 発行者：認証局（CA）
• 内容：失効証明書のシリアル番号と失効日時
• 配布場所：CRL配布ポイント（証明書内にURLが記載）
• 更新頻度：定期的（数時間〜1日おき）
• 公開期限：失効状態になったデジタル証明書の有効期限が切れるまで。

RFC 5280によれば、「CRLのエントリは、失効した証明書の有効期間を超えて定期的に発行されるCRLに記載されるまで、CRLから削除してはならない」

⚙️ 仕組みの流れ

1. 認証局が失効リスト（CRL）を発行
2. クライアントが証明書の有効性を確認する際にCRLを参照
3. 失効済みであれば通信を中断

CRLはセキュア（電子署名付きで安全）だが、リストの肥大化やリアルタイム性が低いなど弱点もある。
➡️　そのため、より即時性の高い確認方法としてOCSP（Online Certificate Status Protocol） が登場した。違いは以下の通り。

項目	CRL	OCSP
確認方法	リスト全体を取得	個別問い合わせ
即時性	低い	高い
通信量	多い	少ない

[問40] CSIRTとPSIRTの違い

項目	CSIRT	PSIRT
対象	自社の情報システム	自社の製品・サービス
主目的	社内のインシデント対応	製品の脆弱性対応
活動範囲	社内	社外（顧客含む）
成果物	報告書、再発防止策	パッチ、アドバイザリ

💡 CSIRT（Computer Security Incident Response Team）… 社内で発生する不正アクセス・情報漏えいなどの セキュリティインシデントに対応するチーム。

💡 PSIRT（Product Security Incident Response Team ）… 自社が開発・提供する製品やソフトウェアの脆弱性・不具合に対応するチーム。

✅ まとめ

• CSIRTは「自社を守る」チーム、PSIRTは「自社製品を守る」チーム。

[問41] JIS Q 27000:2019

　CIAトライアド（3要素）

機密性（Confidentiality）… 許可された者だけが情報にアクセスできること

完全性（Integrity）… 情報が改ざんされていないことを保証する性質

可用性（Availability）… 必要なときに情報やシステムを利用できること

　拡張要素

真正性（Authenticity）… エンティティは、それが主張するとおりのものであるという特性。つまり、情報の発信元や送信者が確かに本人であることを確認できる性質。主に電子署名や認証技術で保証される。

信頼性（Reliability）… システムや情報が期待どおりに正しく動作し、誤りなく安定している性質。冗長化やフェイルセーフ設計で確保される。

否認防止（Non-repudiation）… 情報の送信者が「送っていない」と否定できないようにする性質。電子署名やログ保全で保証される。

責任追跡性（Accountability）… 誰が・いつ・何を行ったかを追跡・証明できる性質。アクセスログや監査証跡で実現される。

[問42] CSPM（Cloud Security Posture Management）

CSPM（Cloud Security Posture Management：クラウドセキュリティ態勢管理）… クラウド環境の設定ミスやセキュリティリスクを継続的に監視・是正する仕組み。 AWS・Azure・GCPなどのセキュリティ設定を自動チェックし、コンプライアンス違反を防止する。主に IaaS や PaaS といったクラウド環境上のシステムをセキュリティを強化するために利用される。

• 設定状況の可視化
• コンプライアンス基準との照合（ISO, NIST, CISなど）
• リスク検出・アラート通知
• 自動修復（Remediation）
• 継続的なモニタリング

CASB（Cloud Access Security Broker：キャスビー「クラウドアクセスの仲介者」）… クラウドサービスの利用を可視化・制御・保護する仕組みであり、企業ユーザーとクラウドサービスプロバイダーの間に配置される統合セキュリティプラットフォーム。シャドーITの検出やデータ漏えい防止に有効。「クラウドの利用を守る」仕組み。

可視化（Visibility）、コンプライアンス（Compliance）、データセキュリティ（Data Security）、脅威防御（Threat Protection）の4つの柱を提供する。

• SaaS利用の安全管理
• アクセス制御、DLP機能
• API連携やプロキシ型で実装

SASE（Secure Access Service Edge：サシー）… ネットワークとセキュリティをクラウド上で統合提供する考え方。ゼロトラストに基づき、場所を問わず安全な通信を実現する。［ネットワーク＋セキュリティの一体化」

従来は「社内ネットワーク＝安全」「外部＝危険」という前提であったが、クラウド利用・テレワーク普及により境界型防御（Firewall）では限界が生じた。そこで、クラウド上でネットワーク＋セキュリティを一体化して提供するSASEが登場した。「クラウド時代のネットワーク全体を守る」仕組み。

• SD-WAN + セキュリティ機能の統合
• CASB, SWG, ZTNA, FWaaSを包括
• クラウド時代の新しいセキュリティ基盤

ZTNA（Zero Trust Network Access）… ゼロトラストの考え方に基づき、アクセス要求ごとに検証・最小権限で「その時点で安全と判断された場合のみ接続を許可」 する仕組み。VPNに代わる次世代のアクセス制御技術。ただしVPNのように全社ネットワークへ一括アクセスはできない。「社内だから安全・社外だから危険」という従来の考え方を捨て、“すべてのアクセスを検証する” セキュリティモデル。

従来のVPNやファイアウォールは「社内ネットワーク＝信頼できる」という前提で構築されていた。しかし、現在はクラウド利用の拡大やリモートワークの普及のような環境変化により、その前提が崩れている。この状況に対応するため、「信頼を前提としない＝ゼロトラスト」 の考え方が生まれ、その中心技術としてZTNAが登場した。

[問43] ポートスキャン方式

ポートスキャン … ネットワーク上のホストが開いているポート（サービス）を確認する行為。どのポートでどのサービスが動いているかを把握するための調査

TCPハーフスキャン（SYNスキャン／半開スキャン）… TCPの3者間ハンドシェイクの途中 （SYN→SYN/ACK）で接続を確定させずに切ることで、ポートの 「開閉」を判定 する方法（理論的には軽量で高速）。

SYN（Synchronize：同期信号）
ACK（Acknowledgment：肯定応答）
RST（Reset：リセット）

TCPはコネクション型プロトコル（通信相手の応答があってはじめて通信を開始する）であることから、データ転送を行う前にコネクションの確立を行う。通常のTCP接続は 「SYN → SYN/ACK → ACK」の3段階（3ウェイハンドシェイク）で確立される。

　しかし、ハーフスキャンは最終 ACK を送って接続を確立せず（RSTなどで切断する）に 「開いているか」を判断する。

　判定基準（理論）

• 相手が SYN/ACK を返す … 通常「ポートは開いている」（ACK＝了解）
• 相手が RST を返す … 「ポートは閉じている」
• 応答なしやタイムアウト … 「フィルタされている（ファイアウォール等）」と推定

UDPスキャン：UDPポートに対してパケットを送り、応答の有無（あるいはICMP応答）でポートの状態を推定する方法。UDPは無応答が普通なため判定が難しく、誤判定や遅延が発生しやすい。

UDPはコネクションレスで、送信先が何も返さないことが普通。したがって「応答がない＝開いている」とは直結しない。

　判定基準（理論）

• 送ったUDPパケットに対して ICMP Port Unreachable（到達不能） が返ってきたら … 「ポートは閉じている」
• 応答がまったくない（タイムアウト） … 「ポートは開いているかフィルタされている可能性」
• サービス固有の応答が返れば … 「開いている」

[問44] デジタルフォレンジックス

デジタルフォレンジックス… デジタル機器やネットワーク上のデータを収集・分析し、サイバー攻撃や不正行為の証拠を保全・解析する技術および手法。
「Forensics」は法科学・鑑識の意味で、デジタルフォレンジックスとは、コンピュータやスマートフォン、サーバなどの電子的証拠を科学的に調査・分析すること。

1. 収集
2. 検査
3. 分析
4. 報告

SIEM（Security Information and Event Management） … 組織内の各システムや機器から収集したログ・イベントをログ管理サーバに集約し、リアルタイムに相関分析するという、一元的な管理・分析によりセキュリティインシデントを早期に検知する仕組み。「Security Information Management（SIM）」と「Security Event Management（SEM）」の統合概念。

SIM（Security Information Management）… 各種ログを収集・保管・検索する。監査・証跡確認に強い。

SEM（Security Event Management）… イベントをリアルタイムに分析・検知する。攻撃検出・アラートに強い。

SIEMは上記2つを統合し、リアルタイム分析＋ログ管理 の両方を実現。ログを集約・相関分析し、攻撃の“兆候”を早期に見抜くことが目的。

• ログの収集・統合管理
• 相関分析による異常検知
• リアルタイムアラート通知
• 可視化ダッシュボード
• 監査・法令対応支援

1. 各種ログを収集
2. 正規化・分析
3. 相関ルールで異常検出
4. アラート通知・可視化

　関連技術との違い

技術	目的	SIEMとの関係
IDS/IPS	不正検知・防御	SIEMがログを統合して分析
EDR	端末監視	SIEMがイベントを集約
SOC	運用組織	SIEMを中心に監視を行う
SOAR	自動対応	SIEM検知後の対応を自動化

DLP（Data Loss Prevention：情報漏洩対策）… 機密情報や個人情報が組織外に漏えいすることを防ぐために、 データを検知・監視・制御するセキュリティ技術。

　データの検知（Discover）
　データの監視（Monitor）
　データの制御（Protect）

電子メールを外部に送る際に、本文及び添付ファイルを暗号化することによって、情報漏えいを防ぐなどする。

EDR（Endpoint Detection and Response）… 端末（エンドポイント）上の挙動を常時監視し、不審な活動を検知・記録・分析・対応するセキュリティ技術。 「侵入を前提とした防御」 の中核。

EDRは、従来のウイルス対策ソフト（アンチウイルス）では防ぎきれない未知の攻撃や内部不正の早期検知・対応を目的とする。

従来のセキュリティは「侵入を防ぐ」ことを重視していたが、現在は未知の攻撃や内部不正等の環境変化により防御の限界が生じている。
➡️ そのため、攻撃を完全に防ぐのではなく、侵入を前提として迅速に検知・対応する「EDR」へとシフトしている。

　検知（Detection）
　記録（Recording）
　分析（Analysis）
　対応（Response）

検知では、プログラムを実行する際に、プログラムファイルのハッシュ値と脅威情報を突き合わせることによって、プログラムがマルウェアかどうかを検査する。

関連技術との違い

技術	目的	関係
アンチウイルス	既知のマルウェア検出	補完関係
SIEM	ログ統合分析	EDRの検知情報を集約
SOAR	自動対応	EDRのアラートを処理
XDR	拡張検知・対応	EDRを含む上位概念

[問45] なりすましメール対策

DKIM（DomainKeys Identified Mail）… メールに電子署名を付与し、送信ドメインの正当性と改ざんの有無を 受信側がDNSに登録された公開鍵で検証する仕組み。

　送信側が秘密鍵で署名を作成
　DNSに公開鍵を登録
　受信側が公開鍵で署名を検証

S/MIME（Secure / Multipurpose Internet Mail Extensions）… 公開鍵暗号技術を用いて電子メールに暗号化と電子署名を付与し、改ざん・盗聴・なりすましを防ぐための仕組み。

　送信側が秘密鍵で署名を作成
　DNSやCA経由で公開鍵を共有
　受信側が公開鍵で署名を検証・復号

SPF（Sender Policy Framework）… 送信ドメインのDNSに登録された送信許可リストを用いて、 送信サーバの正当性を確認する仕組み。「どのサーバが送信してよいか」をDNSで定義する。

　送信ドメイン管理者がDNSにSPFレコードを登録
　受信側がDNSからそのレコードを取得
　実際の送信サーバIPと照合して認証

　SPF・DKIM・DMARC の関係

技術	役割	検証対象
SPF	サーバの正当性確認	送信サーバIP
DKIM	電子署名検証	メール内容
DMARC	SPF/DKIMの結果統合	ドメインポリシー

OP25B（Outbound Port 25 Blocking）… 送信メール（SMTP）の**ポート25番を、プロバイダ側で遮断（Outbound Blocking）**する仕組み。一般利用者が自分のパソコンから直接外部のメールサーバへメールを送信することを防ぎ、スパムメール（迷惑メール）対策を目的としています。

インターネットのメール送信にはSMTP（Simple Mail Transfer Protocol）が使われ、通信ポートはTCP25番ポートが既定。

しかし、感染したパソコン（ボット）や悪意ある利用者がこのTCP25番ポートを使って直接スパムメールを大量送信するケースが急増。

これを防ぐため、ISP（インターネットサービスプロバイダ）は OP25B を導入し、ポート25通信をブロック（遮断）している。代わりに、ポート587番（Submissionポート）を開放し、SMTP AUTH（送信者認証）により本人確認を行うことで、正規ユーザーのみがメール送信を行えるようにしている。

　プロバイダがポート25を遮断
　正規ユーザは587番ポート（Submission） を使用
　SMTP認証（SMTP AUTH）により本人確認を実施

なお、認証付き送信（Submission）であるSMTP AUTHの既定ポート番号は587であるため、送信ポートを25→587に変更する必要がある。

[問46] 要件定義関連用語

エピック（Epic）… システムやプロダクトにおける大きな機能要求や業務要件のまとまりであり、「要件定義の中間レベル」。アジャイル開発では、さらに細かい「ユーザーストーリー」に分割して開発を進める。

階層	内容	例
テーマ	全体の目的	顧客満足度の向上
エピック	大きな機能	会員登録機能
ユーザーストーリー	具体的な操作	メールで登録できる

　要件定義における主要な関係者と概念

ステークホルダ… システムに関わる全ての利害関係者。
例：経営者、利用者、開発者、ベンダーなど。要件定義では、意見調整と優先度整理が重要。

プロダクトオーナー… アジャイル開発における責任者。
「何を作るか」「どの順に作るか」を決定し、 開発チームとステークホルダの橋渡しを行う。

ペルソナ… 典型的な利用者を具体的に設定した架空の人物像。「誰のために作るか」を明確にする。UX設計や機能要件の判断基準に活用。

概念	主な目的
ステークホルダ	関係者間の利害調整
プロダクトオーナー	プロダクト価値の最大化
ペルソナ	利用者視点の共有

[問47] UML（Unified Modeling Language）

UML（Unified Modeling Language：統一モデリング言語）… システムやソフトウェアの構造・動作・設計を、視覚的に表現するための標準的な記法のこと。“Unified” は「統一」、つまり誰が見ても理解できる共通の設計言語という意味。

　UMLにおける主要な図の違い

図の種類	目的	主な対象	開発段階
ユースケース図	外部との関係を表す	アクターと機能	要件定義
アクティビティ図	処理の流れを表す	アクションや条件分岐	詳細設計
オブジェクト図	クラスの実体関係を表す	オブジェクト（インスタンス）	実装設計
コンポーネント図	システム構成を表す	モジュール・依存関係	アーキテクチャ設計

💬 ポイント

• ユースケース図：利用者の視点
• アクティビティ図：動作の流れ
• オブジェクト図：データのつながり
• コンポーネント図：システムの構成

[問48] 省略

[問49] Webアプリケーションソフトウェアの処理方式

CGI（Common Gateway Interface）… Webサーバと外部プログラムを連携させて動的なWebページを生成する仕組み。「フォーム入力 → 処理 → 結果をWebページとして返す」といった動的なWebページ生成を実現する、Webサーバとプログラムの橋渡し役。

もともとWebは、HTMLファイルをサーバから送る静的な仕組みであったが、CGIはそこに 「動的処理」を加える技術として登場した。

　ユーザーがフォームを送信
　WebサーバがCGIを呼び出し
　CGIプログラムが処理・HTML出力
　結果をブラウザへ返す

PWA（Progressive Web App）… Web技術で作られたWebアプリをネイティブアプリのように動作させる仕組み。ホーム画面追加・オフライン動作・プッシュ通知が可能。

　下記のサービスワーカーの機能を用いてWebアプリケーションをオフラインで起動させたり、バックグラウンドでデータを同期させたりする。

サービスワーカー（Service Worker）… PWA（Progressive Web App）を支える中核技術の1つ。Webブラウザのバックグラウンドで動作するJavaScriptプログラムのことで、Webアプリを「オフラインでも動作可能」にしたり、「プッシュ通知」や「キャッシュ制御」を行うための仕組み。

セマンティックWeb（Semantic Web）… Web上の情報に“意味（セマンティクス）”を表すメタデータを付与して、コンピュータが自動的にWebページの情報の収集や加工を行えるようにする仕組み。

従来のWebは、HTMLを用いた人間が読むための情報構造（見た目中心）であったが、コンピュータは文章の「意味」を理解できないため、検索や自動処理には限界があった。
セマンティックWebでは、これらを機械が区別し、関係を理解できるようにすることを目指す。

　主要技術

技術	役割
RDF	データ間の関係を定義（主語–述語–目的語）
OWL	概念の分類と推論（オントロジー）
Schema.org / JSON-LD	構造化データの記述に利用

マッシュアップ… 異なる複数のWebサービスや既存のデータを**“混ぜ合わせる（Mash up）”ことで新しい機能を生み出す**技術です。

[問50] 著作者人格権

💡著作者人格権 … 著作者が自分の著作物に対して持つ「人格的利益を守る権利」。
創作者の意図や尊厳を守るために設けられた権利で、他人に譲渡することはできない。

　主な3つの権利

権利名	内容
公表権	公開の時期・方法を決める権利
氏名表示権	名前の表示方法を決める権利
同一性保持権	内容を勝手に改変されない権利

➡️　契約時に著作者人格権について何も決めていなければ、著作者が「公表しない」「名前を出してほしい」「勝手に変更するな」と主張した場合、それに従わなければならない。
そのため、著作権の譲渡特約とともに「著作者人格権を行使しない」とする不行使条項を入れておくのが一般的。

• 一身専属（譲渡不可・相続不可）
• 著作権（財産権）とは異なり、人格的な保護が目的
• 作品の改変・匿名化・無断公開などが侵害の対象になる

[問51] JIS Q 21500 におけるスコープ群（Scope Subject Group）

JIS Q 21500（＝ISO 21500:2012） … あらゆる種類・規模のプロジェクトに適用できる プロジェクトマネジメントの国際的な手引き。

スコープ群（Scope Subject Group）… プロジェクトにおいて 「何を達成し、何を含めないのか」 を明確に定義・管理する領域を指す。

　スコープ群の目的

• プロジェクトが提供すべき成果物（Deliverables）と、それを達成するために必要な作業範囲（Work）を定義・管理すること。

　スコープ群の主なプロセス

プロセス	内容
スコープの定義（Define Scope）	プロジェクトで何を作るのか、どこまでを範囲とするのかを明確化する。成果物の概要・除外範囲・制約条件などを文書化する。
WBSの作成（Create Work Breakdown Structure）	成果物を階層的に分解し、最小作業単位（ワークパッケージ）まで細かく整理する。スコープの基準点となる。
活動の定義（Define Activities）	各ワークパッケージを実行可能な作業単位（アクティビティ）に分解し、担当・順序・依存関係を明確にする。
スコープのコントロール（Control Scope）	計画された範囲と実際の作業の差異を監視し、変更要求が発生した場合は正式な承認プロセスを通じて対応する。

➡️ 実務では、WBSを中心にスコープを共有する 。これにより、図解や階層構造を用いることで、チーム全員が共通認識を持てる。

[問52] タックマンモデル

タックマンモデル … チームが形成から解散に至るまでの発達段階を示す理論。
チームは「形成 → 混乱 → 統一 → 機能 → 解散」という流れで成熟していく。

　各フェーズの概要

段階	英語名	日本語名	特徴
①	Forming	成立期	チームが結成されたばかり。目的やルールが不明確。
②	Storming	動乱期	意見の衝突・役割の曖昧さが発生。
③	Norming	安定期	信頼関係とルールが整い、協調が生まれる。
④	Performing	遂行期	チームが自律的に高い成果を出す。
⑤	Adjourning	解散期	プロジェクト終了。成果を称え、振り返りを行う。

　リーダーの役割の変化

• 成長期：方向性を示す
• 動乱期：対立を建設的に導く
• 安定期：自律を促す
• 遂行期：支援者として成果を最大化
• 解散期：感謝と振り返りを行う

[問53] 人月計算

①　元のメンバーが行う予定だった作業工数
元のメンバーは7月半ばから9月末まで作業に従事できなくなるので、
「4人 × 2.5月 ＝ 10人月」

②　必要な増員数
増員するメンバーは、8月初めからこの作業に着手して9月末に完了させる必要があるので、
「10人月 ÷ 2月 ＝ 5人」

③　人件費の減少
元のメンバーが抜けることにより
「100万円 × 4人 × 2月 ＝ 800万円」、

④　人件費の増加
増員メンバーにより
「100万円 × 5人 × 2.5月 ＝ 1,250万円」です。

したがって差額は、
「1,250万円 − 800万円 ＝ 450万円」

[問54] 省略

[問55] サービス可用性管理

FTA（Fault Tree Analysis：故障木解析）… 「望ましくない事象（トップ事象）」が発生する原因を論理的にツリー構造で解析し、発生経路・原因・確率を明らかにする手法。トップダウン型の分析。発生経路・原因・確率を明らかにする手法

　トップ事象を設定（例：システム停止）
　原因を階層的に分解
　AND／ORゲートで論理関係を表現
　基本事象を特定
　発生確率を算出・リスク対策を立案

FMEA（Failure Mode and Effects Analysis：故障モード影響解析）… 各部品や工程の故障モード（どんな壊れ方をするか） を洗い出し、その影響・発生頻度・検出のしやすさを評価し、実際に故障が起きた場合のアクションを決める手法。ボトムアップ型の要素や部品から影響をたどる予防的リスク分析。

手法	アプローチ	目的	適用段階
FTA	トップダウン	事故・故障の原因追及	トラブル発生後の分析、システム安全設計
FMEA	ボトムアップ	故障の未然防止・優先度分析	設計・製造の初期段階

CFIA（Component Failure Impact Analysis：構成要素故障影響解析）… システムを構成する各コンポーネント（部品・機能・モジュールなど）が故障した場合、その故障がシステム全体に与える影響範囲を分析する手法

• システム内の各コンポーネントが故障した際に、どの機能やサービスが停止・低下するかを明確化する。
• 障害発生時に「どの程度業務影響が広がるか」を可視化する。
• 重要度の高い箇所を特定し、冗長化・バックアップ設計の優先度を決定する。

⚙️ CFIAの手順

ステップ	内容
① 対象システムの特定	分析対象となるシステムの構成要素（サーバ・ネットワーク・機能モジュールなど）を洗い出す。
② 機能と依存関係の整理	各コンポーネントがどの機能に依存しているかを明確にする。
③ 故障時の影響分析	各構成要素が故障した場合、どの機能やサービスに影響が出るかを整理する。
④ 影響度の分類	影響範囲を「高（全停止）」「中（性能低下）」「低（限定的）」などに分類。
⑤ 対策・冗長化設計	影響度の高い部分について、冗長構成・フェールオーバー・監視強化を検討する。

💬 ポイント
CFIAは「どの部分が壊れたら、どこまで止まるのか？」を可視化する手法。
FMEAやFTAと組み合わせることで、予防・原因・影響の3方向からバランスの取れたリスクマネジメントが実現できます。

SPOF分析（Single Point of Failure Analysis：単一障害点分析）… システムやインフラ、業務プロセスの中で単一障害点という「1箇所の故障が全体に波及するリスク」を特定し、 耐障害性（Fault Tolerance）を高める ための分析手法。

単一障害点（SPOF：Single Point of Failure）… 1つの構成要素の故障によってシステム全体が停止・機能不全に陥る箇所 のことを指す。

SPOF分析の目的は次の3点にまとめられる。

• システム全体の信頼性・可用性を確保する
• クリティカルな箇所（障害影響が大きい要素）を特定する
• 冗長化・分散化などによって単一障害点を排除する

⚙️ SPOF分析の手順

ステップ	内容
① システム構成の可視化	ネットワーク図、構成図、業務フローなどを作成して、構成要素を洗い出す。
② 依存関係の整理	各コンポーネントがどの要素に依存して動作しているかを整理。
③ 故障シナリオの想定	各構成要素が故障した場合に、どの範囲・機能に影響が出るかを検討。
④ 影響範囲の評価	「全停止」「部分停止」「性能低下」など、影響の度合いを分類。
⑤ 対策立案	冗長化（HA構成）、負荷分散（LB）、クラスタリング、バックアップなどの対策を検討。

　SPOF分析と他手法との関係（まとめ）

手法	目的	視点
FTA（故障木解析）	障害の原因を論理的に分析（トップダウン）	「なぜ止まったか」
FMEA（故障モード影響解析）	故障モードを予測し、リスクを定量化（ボトムアップ）	「どう壊れるか」
CFIA（構成要素影響分析）	構成要素ごとの影響範囲を評価	「どこまで影響が広がるか」
SPOF分析	単一障害点を特定して冗長化を検討	「どこが止まると全部止まるか」

[問56] サービスマネジメント

ITSM（IT Service Management：ITサービスマネジメント）… ITシステムやサービスを「安定的かつ価値のある形」で提供・運用するための管理体系。ITを単なる技術運用としてではなく、ビジネス価値を提供するサービス として管理・最適化する考え方。

　ITSMは、ITライフサイクル全体（設計・提供・運用・改善）を管理する。

フェーズ	主な活動
サービス戦略	サービスの目的・価値を定義する
サービス設計	サービス内容、SLA、運用体制を設計する
サービス移行	新サービスの導入や変更を実施する
サービス運用	日常的な運用・障害対応・ユーザサポート
継続的改善	KPIをもとに改善を行う

ITIL（Information Technology Infrastructure Library） …ITSMの実践的なガイドラインとして世界的に用いられている、 ITサービスマネジメント（ITSM）のベストプラクティス集。

　ITILの構成（主なプロセス）

カテゴリ	主なプロセス	内容
インシデント管理	Incident Management	障害発生時の迅速な復旧（サービス停止時間を最小化）
問題管理	Problem Management	根本原因の分析と再発防止策の実施
変更管理	Change Management	システム変更のリスク評価・承認・追跡
構成管理	Configuration Management	構成要素（CI）の関係性を管理（CMDB）
リリース管理	Release Management	新機能・修正の展開とリリース統制
サービスレベル管理	Service Level Management	SLA（サービス品質）の策定・監視
キャパシティ管理	Capacity Management	リソースの最適化と性能維持
可用性管理	Availability Management	ステム稼働率・冗長性の確保
継続性管理	IT Service Continuity	災害時にもサービスを継続するための仕組み

SVS（Service Value System：サービス価値システム）… 最新の ITIL 4 で導入された中核概念であり、 組織が ITサービスを通じて価値（Value）を共創するための仕組み全体 を表す。つまり、ITサービスの運用・改善を単なる手順ではなく、「価値を生み出す一連のシステム（Value Co-Creation）」として捉えるフレームワーク。

　SVSの構成要素

要素	内容
ガバナンス	組織の方針・意思決定を支える管理体制
プラクティス（Practices）	各種管理プロセス（ITIL v3のプロセスに相当）
継続的改善	定期的な評価・改善サイクル
サービス価値チェーン（SVC）	価値を生み出す一連の活動の流れ

💬 サービス価値チェーン（SVC）の活動

1. Plan（計画）
2. Improve（改善）
3. Engage（関係構築・コミュニケーション）
4. Design & Transition（設計と移行）
5. Obtain/Build（構築・調達）
6. Deliver & Support（運用・提供）

🔄　ITILの主なフレームワーク連携
ITILは、他のマネジメント手法と併用されることが多い。

フレームワーク	組み合わせ効果
ISO/IEC 20000	ITSMの国際標準（ITIL準拠の認証制度）
COBIT	ITガバナンス（経営層の視点）
DevOps	開発と運用の連携による継続的デリバリー
PMBOK	プロジェクトマネジメントとの整合
ISO 27001	情報セキュリティマネジメントとの統合

[問57] 省略

[問58] システム監査基準での用語

用語	概要
所見	監査証拠に基づく判断・評価結果、監査で発見したこと、または発見したことに基づく考えや意見
正当な猜疑心	批判的に検証する姿勢、何事をも当然のこととせず疑ってみる、または確認してみる心
正当な注意	専門家としての慎重さと配慮、監査の実施過程で監査人として当然払うべき注意
独立性	客観的・中立的立場の保持、第三者から不当な影響や圧力等を受けていない状態
再現性	他の標準的な監査人が監査を実施した場合であっても同じ検証結果を得られること

　独立性 … 精神的独立性 と 外観的独立性 から構成

• 精神的独立性 … 誠実に行動し、客観性を保持という精神的な態度を堅持できること。
• 外観的独立性 … 監査対象先から独立した立場で実施されていること。

[問58] システム監査人

　監査人の基本的役割

区分	内容
1. 評価者として	組織の情報システムが、方針・法令・内部統制に照らして妥当であるかを客観的に評価する。
2. 検証者として	管理・運用・リスク対策が、実際に有効に機能しているかを証拠に基づいて検証する。
3. 助言者として	監査所見に基づき、改善の方向性を提言し、フォローアップによって組織改善を支援する。
4. 信頼性確保者として	経営層・第三者に対して、ITサービスの健全性・透明性を保証する。

　監査の実施からフォローアップまで

段階	監査人の主な活動	目的
① 監査計画の立案	目的・範囲・手法を策定し、リスクに基づく重点監査計画を作成	効率的・効果的な監査の実施
② 予備調査	対象システムの構成・運用実態を把握	監査設計の精度向上
③ 本調査（実施）	監査証拠を収集・分析し、評価を行う	有効性・信頼性の検証
④ 所見・報告書作成	問題点・改善提言を整理し報告書を作成	経営層への助言
⑤ フォローアップ	改善状況・効果を確認し、再発防止を支援	継続的改善の実現

　最後のフォローアップは、監査対象部門が主体となって実施される改善を、監査人が事後的に確認するという性質。改善計画の策定やその実行への関与は、監査人の独立性と客観性を損なうため、監査人が改善活動を自ら実施することはなく、また実施に関して責任を負わない。

　つまり、被監査側が実施する改善計画を見守り（=モニタリング）、改善計画が適切に遂行されるように助言を行う。

[問60] システム監査基準における検証・評価

システム監査 … 監査人は「組織の情報システムが適切に運用されているか」を ガバナンス → マネジメント → コントロール の三層構造で評価し監査報告の利用者にその適切性等に対する保証を与える、または改善のための助言を行うもの。

層	意味	主な評価観点
ガバナンス	経営層による組織の目標達成を確実にするための枠組み	IT戦略の整合性、責任体制、方針の明確化
マネジメント	計画・構築・運営・監視及び評価の管理活動	PDCAの実施、リスク対応、レビュー体制
コントロール	リスクを防ぐ具体的手続き	アクセス管理、ログ監査、バックアップなど

[問61] プログラムマネジメント

プログラムマネジメント … PMBOKガイド第5版では、「プログラムの戦略目標と成果価値を達成するために、プログラム全体の調和を保ちつつ一元的にマネジメントすること」と定義されている。活動全体を複数のプロジェクトの結合体と捉え、複数のプロジェクトの連携、統合、相互作用を通じて価値を高め、組織全体の戦略の実現を図る手法。

　単一のプロジェクトを成功させる「プロジェクトマネジメント」に対し、プログラムマネジメントは「複数のプロジェクトを束ねて、より大きな価値を生み出す」ことを目的とする。

PMO（Project Management Office）…組織全体または部門内において、 プロジェクトマネジメントの標準化・支援・統制を行う専門組織。プロジェクトマネージャ （PM）を直接補佐し、プロジェクトが計画通り・品質通り・コスト内で完了できるよう支援する役割を担う。

比較項目	PMO	プログラムマネジメント
目的	プロジェクト管理の「仕組み」を支援・監督する	複数プロジェクトを統合し、戦略目標を達成する
対象	組織全体のプロジェクト管理体制	関連する複数のプロジェクト群
役割	標準化・教育・支援・統制	各プロジェクトの成果を束ねて価値創出
焦点	「プロジェクト運営の最適化」	「成果・価値の最大化」
責任者	PMOリーダー（またはオフィス部門）	プログラムマネージャ（PgM）
時間軸	継続的（組織内の恒常機能）	プログラム期間中（一定の終期あり）

[問62] SOA（Service Oriented Architecture）

SOA（Service Oriented Architecture）…システムをサービス（Service）という独立した機能単位に分け、それらを組み合わせて業務処理を行うアーキテクチャ（設計思想）。

　従来のようにシステム全体を一体型（モノリシック）で構築するのではなく、業務機能をモジュール化して再利用性と柔軟性を高めることを目的とする。

　各サービスは独立した部品であるため、再利用や機能の入替え、システムの再構築がしやすく、特定の言語やプラットフォームに依存しない。

ERP（Enterprise Resource Planning：統合基幹業務システム）… 企業の主要な経営資源である人・モノ・金・情報などの企業の業務プロセスを一元的に管理し、業務の効率化・情報の一元化・経営判断の迅速化を実現するための仕組み。

フィット＆ギャップ分析（Fit & Gap Analysis）… システム導入や業務改善の際に、「企業の業務プロセス、システム化要求などのニーズ」と、「ソフトウェアパッケージの機能性」との間にどのような一致（フィット）と不一致（ギャップ） があるか、どれだけ適合しどれだけ乖離しているかを整理・分析する手法。

特に ERP（統合基幹業務システム） や パッケージソフト導入 の要件定義フェーズで多用

[問63] アソシエーション分析

アソシエーション分析（Association Analysis）… データの中から 「項目同士の関連性や法則性（共起関係）」を発見するためのデータマイニングの手法。 特に、マーケットバスケット分析（Market Basket Analysis）として知られている。「Association」は「つながり」や「関連性」 などの意味。

例：「パンを買う人は、バターも買う傾向がある」
このように、「Aが起きたとき、Bも一緒に起きる確率が高い」という “隠れたパターン”を見つけるのが目的。

アソシエーション分析ではルールの“強さ”や“信頼度”を定量的に評価するため、主に次の3つの指標を用いる。

指標	意味	計算式
支持度（Support）	全取引の中で「AとBが同時に起きる割合」	support(A→B) = P(A∩B)
確信度（Confidence）	「Aが起きたときBも起きる確率」	confidence(A→B) = P(B
リフト値（Lift）	AとBの同時発生が偶然以上かを示す	lift(A→B) = P(B

回帰分析…「結果となる変数（目的変数）」が「要因となる変数（説明変数）」によってどのように影響を受けるかを最小二乗法で表す分析手法。

例：気温の変化が売行きにどの程度影響するかなどの事象の予測

因子分析… 多数の変数の情報（観測変数）の背後にある共通の要因（共通因子）を仮定しモデル化して分析する手法。

主成分分析（PCA）… 多数の変数の情報（観測変数）をできるだけ少ない指標や次元（合成変数）で要約する手法。データのもつ情報をできる限り損なわずに全体の傾向を可視化することができる。

[問64] PBP法

PBP法（Payback Period法：回収期間法）… ある投資案件に対して 投資額が何年で回収できるか を示す指標。具体的に、投資から生み出されたキャッシュフローで投資額を回収できるまでの期間を求め、その期間の長短で投資の有利・不利を比較し、回収できる期間が短いほど、良い投資と判断する。

初期投資額 ÷ 年間キャッシュフロー（一定の場合）

⚠️ 注意点（デメリット）

• 将来キャッシュフローの 時間的価値（貨幣価値の変化）を考慮しない。
  　割引率を用いない。
• 投資回収後のキャッシュフローを無視しており、長期的な収益性を評価できない。
• 投資規模を十分に反映しないため、回収期間が短くても小規模案件を過大評価するリスクがある。
• 「何年以内なら妥当」といった明確な基準がない。

🔄 関連する指標との比較

指標	対象	時間価値考慮	長期収益性	用途
PBP法	投資回収期間	×（基本版）	×（回収後無視）	簡易評価・流動性重視
割引PBP法	投資回収期間（割引考慮）	○	×	PBPの改良版
NPV法	投資の現在価値	○	○	精緻評価・長期視点
IRR法	内部収益率	○	○	収益性の割合評価

[問66] 実費償還契約

定額契約 … 完了のために要したコストや作業工数にかかわらず、契約で定めた一定額を支払う契約。

実費償還契約 … 購入者が提供者に実際に発生したコストをそのまま支払う契約。

[問67] 売り手の4P、買い手の4C

• 4Pは「企業がどう売るか」
• 4Cは「顧客がどう感じるか」

🔄 4Pと4Cの対応関係

売り手の視点（4P）	買い手の視点（4C）	関係性の説明
Product（製品）	Customer Value（価値）	製品の機能や性能より、顧客にとっての価値が重要。
Price（価格）	Cost（コスト）	価格だけでなく、時間・手間・心理的負担も含めて検討。
Place（流通）	Convenience（利便性）	どこで買えるかより、どれだけ簡単に手に入るかが重要。
Promotion（販促）	Communication（コミュニケーション）	一方的な宣伝より、顧客との信頼関係が重視される。

[問68] 経営戦略フレームワーク

ポジショニングマップ（Positioning Map）… 市場における自社・競合・顧客の位置関係を可視化 することで、差別化ポイントや空白ニーズ（ホワイトスペース）を見つける。

切り口となる二つの要素をX軸、Y軸として、市場における自社又は自社製品のポジションを表現したもの。

戦略マップ（Strategy Map）… 組織のビジョン・戦略目標を 因果関係で整理し、共有するためのツール。「バランス・スコアカード（BSC）」の中核要素として用いられる。

財務、顧客、内部ビジネスプロセス、学習と成長という四つの視点を基に、課題、施策、目標の因果関係を表現する。

ビジネススクリーン（Business Screen）… 複数事業を比較・評価して、経営資源の配分方針を決定する。 いわゆる「事業ポートフォリオ分析」の一種。

市場の魅力度、自社の優位性という二つの軸から成る四象限に自社の製品や事業を分類して表現する。 ただし、一般的なビジネススクリーンは 3×3の9象限 。

ビジネスモデルキャンバス（Business Model Canvas）…
ビジネスの仕組みを 1枚で俯瞰的に整理・設計 するフレームワーク。新規事業やスタートアップの立ち上げ時に多用される。

どのような顧客層に対して、どのような経営資源を使用し、どのような製品・サービスを提供するのかを表現する。

[問69] 経営・開発・企画で使われる代表的手法

フィージビリティスタディ（Feasibility Study：実現可能性調査）…新しい事業・システム・製品を実施する前に、実際に実現できるか（Feasibleか）を多面的に検討 し投資前評価する。

例：企業が新規事業立ち上げや海外進出する際の検証、公共事業の採算性検証、情報システムの導入手段の検証など。

デルファイ法（Delphi Method）… 専門家の知見をもとに、将来予測や意思決定を行う。直接議論せず、複数回の匿名アンケートで合意を形成する。

例：技術革新、社会変動などに関する未来予測。

ブレーンストーミング（Brainstorming）…集団（小グループ）によるアイディア発想法の一つで、会議の参加メンバー各自が自由奔放にアイディアを出し合い、互いの発想の異質さを利用して連想を行うことによって、さらに多数のアイディアを生み出そうという集団思考法発想法。

プロダクトライフサイクル（Product Life Cycle：PLC）…製品・サービスが市場でどのように成長・衰退していくかを理解し、各段階に応じた戦略を立てる。

導入期、成長期、成熟（市場飽和）期、衰退期の4段階で表現する。

[問70]アンゾフの成長マトリクス

アンゾフの成長マトリクス（Ansoff Growth Matrix）… 経営学者イゴール・アンゾフ（IgorAnsoff）が提唱した企業の成長戦略を4つの方向性から整理するフレームワーク 。

　「既存／新規」の 製品軸 と 市場軸 の組み合わせによって、 どのように事業を拡大していくかを明確にする。

	既存製品	新製品
既存市場	① 市場浸透戦略	② 新製品開発戦略
新市場	③ 新市場開拓戦略	④ 多角化戦略

戦略名	製品軸	市場軸	リスク	代表的な目的
市場浸透	既存	既存	★☆☆☆	シェア拡大・再購入促進
新市場開拓	既存	新規	★★☆☆	新顧客層・海外進出
新製品開発	新規	既存	★★★☆	顧客単価アップ・商品拡張
多角化	新規	新規	★★★★	新分野進出・長期成長

[問71] MESと3層モデル

MES（Manufacturing Execution System：製造実行システム）… 工場の「生産現場の実行・制御」を担う情報システム。MESは下記の表では実行層にあたり、上位のERP（計画層）と下位の制御システム（制御層）をつなぐ重要な役割を果たす。

工場の情報システムは一般的に次の 3層モデル（階層構造） に分類される。

階層	システム例	主な目的
上位層：計画層	ERP（基幹業務システム）	経営資源全体の最適化（生産計画・販売・在庫・会計など）
中位層：実行層	MES（製造実行システム）	現場の生産状況をリアルタイムで把握・制御
下位層：制御層	PLC・SCADA・工作機械	機械や装置を直接制御・データ取得

[問72] PLM

PLM（Product Lifecycle Management：製品ライフサイクル管理）… PLMとは、製品の「企画・設計・開発・製造・保守・リサイクル」に至るプロセスにおいて、製品に関する情報であるライフサイクル全体を一元的に管理する仕組み。

🔗 他システムとの関係（ERP・MESとの違い）

システム	主な対象	役割
PLM	製品情報（設計・仕様・図面）	製品ライフサイクル全体の管理
MES	製造実行（現場オペレーション）	生産現場の進捗・品質を管理
ERP	経営資源（人・物・金・情報）	企業全体の計画・資源配分を管理

🔧 3つを連携させることで、設計 → 製造 → 経営 の情報が一貫した
「デジタル製造（Digital Manufacturing）」が実現する。

FMS（Flexible Manufacturing System：フレキシブル生産システム）… 多品種少量生産に対応するために、自動化された工作機械・搬送装置・制御システムを柔軟に組み合わせた生産システム。具体的に、NC工作機械、自動搬送装置、倉庫などを有機的に結合し、コンピュータで集中管理する。

MRP（Materials Requirements Planning：資材所要量計画）… 製造に必要な資材や部品を「必要な時に、必要な量だけ」確保するための計画手法。製品の生産計画に基づいてその生産に必要な資材の所要量を展開し、これを基準にして資材の需要とその発注時期を算出する。

SCM（Supply Chain Management：サプライチェーンマネジメント）…
製品が「原材料の調達（＝供給）」から「製造」「流通」「販売」「消費」に至るまでの一連の流れ（サプライチェーン）を最適化してリアルタイムで交換し管理する仕組み。

[問73] LPWA（Low Power Wide Area）

LPWA（Low Power Wide Area）… 「低消費電力（Low Power）」で「広範囲通信（Wide Area）」を実現する。通信速度は1kbps未満と低速だが、Wi-FiやBluetoothの届かない数km〜数十km先まで通信できる。IoT（Internet of Things）の普及に伴い、電池で長期間稼働し、かつ遠距離通信が可能な通信方式として注目されている。

WiGig（Wireless Gigabit）…60GHz帯の高周波数帯を利用して、最大約7Gbpsの超高速無線通信を実現する次世代無線規格です。

Wi-Fiの一種ではあるが、従来の2.4GHz／5GHz帯とは異なる60GHz帯を使用するため、「短距離・超高速・低遅延」 を特徴としている。GHz帯を使う近距離無線通信であり、4K、8Kの映像などの大容量データを高速伝送することに適している。

PLC（Power Line Communication：電力線通信）… 既存の電力線（電気の配線）を通信回線として利用する技術。スマートメーターの自動検針などに適している。

I²C（Inter-Integrated Circuit）… 2本の信号線だけで複数のデバイス間通信を行うシリアル通信方式 。同じ基板上の回路およびLSI間の通信に適している。主にマイコンと周辺デバイス（センサー、LCD、EEPROMなど）間で使用され、簡単・省配線・低速で確実な通信 を目的としている。

[問74] 経済的発注量

年間の発注回数 … 「年間需要量 ÷ 経済的発注量 N 」

年間の発注費はこれに 1 回当たりの発注費用を乗じて、

(100,000 ÷ N) × 5,000 = 500,000,000 / N（円）

年間の保管費 … 平均在庫数（経済的発注量 N / 2）× 1 個当たりの年間保管費

在庫は時間の経過とともに発注した数量から次第に減っていき、最終的にゼロになるため、平均在庫数は経済的発注量 N の半分 になる。

(N ÷ 2) × 1,000（円）

両者が等しくなる N を方程式で求めると

500,000,000 / N（円）= (N ÷ 2) × 1,000（円）

1,000,000 = N^2

N = ±1,000

（N > 0 より）
N = 1,000 （個）

[問75] 線形計画法

製品1台当たりの利益は同額であるため、部品を余すことなく使い、最も多く作ることのできる組合せが部品の最適配分となる。その解法として「線形計画法」がある。

線形計画法（Linear Programming：LP）… 制約条件のもとで目的関数を最大化または最小化するための数学的最適化手法。簡単に言えば、「限られた資源（制約条件）」の中で「利益を最大にする」「コストを最小にする」などを 数式で最適化する方法。

本問では「X＋Yの最大化」を目的関数として、連立方程式で求める。

[問76] 自己資本比率

自己資本比率（Equity Ratio）… 企業が保有する総資本（=総資産）のうち、自己資本（負債+純資産）が占める割合を示す指標。

総資本と総資産の違い…
「総資本」と「総資産」は似ていますが、視点が異なるだけで、数値的には同じ 。
両者は企業の**バランスシート（貸借対照表）**の左右を指しており、 以下のような関係がある。

総資産（左側）＝ 負債 ＋ 自己資本（右側）＝ 総資本

自己資本とは…
企業が外部からの借入に頼らず、自社で調達・蓄積した返済不要の資金。貸借対照表（バランスシート）の 「純資産の部」に該当し、純資産の額と同じになる。

自己資本 ＝ 資本金 + 資本剰余金 + 利益剰余金 − 自己株式
自己資本比率（％）= 自己資本 ÷ 総資本（（=総資産）=負債＋純資産）×100

企業の「財務の安定性（安全性）」を測る代表的な指標であり、 倒産リスクの低さや長期的な経営の健全性を判断する際に使われる。

🏢 用語の意味

用語	意味
自己資本（純資産）	返済不要の資金。資本金、利益剰余金など、企業自身で調達した資金
他人資本（負債）	銀行借入金、社債など、将来返済が必要な資金
総資産	自己資本＋他人資本。企業が保有する全ての資産

【貸借対照表（Balance Sheet）】

資産の部（左側）		負債・純資産の部（右側）
流動資産		流動負債
固定資産		固定負債
		純資産（自己資本）
		・資本金
		・利益剰余金
総資産		総資本（=負債 + 純資産）

※ 常に「総資産 ＝ 総資本」が成り立つ。

　他の財務指標との関係

指標	内容	自己資本比率との関係
負債比率	負債 ÷ 自己資本	自己資本比率と逆の関係
流動比率	流動資産 ÷ 流動負債	短期的な支払能力を評価
固定比率	固定資産 ÷ 自己資本	固定資産を自己資本でどれだけ賄えているかを示す

[問77] 利益最大化計算

優先順位をつけるため、どちらの方が効率よく利益を上げられるかを考える。

機械1時間当たりの利益 = 製品1個当たりの利益 ÷ 製造時間

• 製品A：　(30,000 − 18,000) ÷ 8 ＝ 1,500円／時間
• 製品B：　(25,000 − 10,000) ÷ 12 ＝ 1,250円／時間

　よって、最大の利益を得るために全ての時間を製品Aに使う。

1年間に製造できる製品Aの個数：15,000時間 ÷ 8時間 ＝ 1,875個

この数量をもとに営業利益を算出。

• 売上総利益：　(30,000 − 18,000) × 1,875 ＝ 22,500,000円
• 年間の固定費：15,000,000円

　22,500,000円 − 15,000,000円 ＝ 7,500,000円

[問78]プログラムにおける著作権

プログラムの著作物のうち、その著作物を作成するために用いる次の3つのものについては、
著作権保護の対象外としています。

• プログラム言語 … プログラムを表現する手段としての文字その他の記号およびその体系をいう。
• 規約 … 特定のプログラムにおける前号のプログラム言語の用法についての特別の約束をいう。
• 解法 … プログラムにおける電子計算機に対する指令の組合せの方法をいう。

[問79] IT分野での意匠

意匠法で保護対象となる「意匠」とは、工業上の利用性があり、製品の価値や魅力を高める形状・デザイン のことです。IT分野での意匠では**「操作画像」「表示画像」など**がある。

　対象となるもの

• ハードウェアの形状・模様・色彩（例：スマホ本体）
• ソフトウェアの画面デザイン（GUI／アイコン）
• 物品に記録されない画像そのもの（クラウド表示画像など）
• ソフトウェアパッケージ・表示部を含むデザイン

[問80] 労働施策総合推進法

労働施策総合推進法… 働きやすい職場環境の整備や労働者の能力発揮を促進することを目的とした法律。広く雇用対策の施策を定めているが、通称「パワハラ防止法」と呼ばれるように、職場におけるパワーハラスメントを防止する施策を含む法律。

🔎 パワーハラスメントの定義

次の3つの要素をすべて満たすものと定義されている。

1️⃣ 職場において行われる優越的な関係を背景とした言動であること。
2️⃣ 業務上必要かつ相当な範囲を超えたもの。
3️⃣ 労働者の就業環境が害されるもの。

🔎 代表的な言動の６類型

• 身体的な攻撃（殴打・足蹴りなど）
• 精神的な攻撃（侮辱・長時間の叱責など）
• 人間関係からの切り離し（孤立・無視など）
• 過大な要求（明らかに不能な業務の強制など）
• 過小な要求（必要性のない雑務、仕事を与えないなど）
• 個の侵害（私的事項への立ち入り、性的指向・病歴等の暴露など）

💡現時点では、刑罰を直接定める条文は無いが、厚生労働大臣による「助言・指導・勧告」「企業名の公表」など行政措置が可能。

🔎令和2年（2020年）6月1日：大企業に対して雇用管理上の措置義務化。
🔎令和4年（2022年）4月1日：中小企業に対しても義務化（それまで努力義務）となった。

💡 法律上、事業主は以下の通り「雇用管理上必要な措置」を講じることが 義務化されている。

• 方針の明確化および周知・啓発
• 相談体制の整備
• 事後対応（迅速かつ適切な対応）
• 不利益取扱いの禁止
• その他参考措置（プライバシー保護、再発防止のための分析・改善など。）

今後について

ここまで読んでいただき、ありがとうございました。
ほぼ全問の復習内容をQiitaにまとめるのは正直かなり大変でしたが、今回の試験内容はもう忘れることはないと思いますし、何より大きな達成感がありました。また、今回の復習を通じて、自分の弱点や理解の浅かった分野を明確にできたのも大きな収穫です。

今後は学び直しを進めつつ、資格学習と並行して現在開発中のPython × Kivyアプリの完成を目指し、 得た知識を「試験」だけでなく「実装」にも活かしていきます。

今後ともよろしくお願いいたします。