はじめに
- 令和4年度 システム監査技術者試験午前II 問題について問題と回答を載せています。
- 間違いがあればご指摘ください。
問題と解答
問1
- 情報ステムを対象としたデューデリジェンスの説明として,適切なものはどれか。
- ア
- 企業買収などの重要な判断を行う場合に,買収などの対象となる企業システムの価値やリスクを評価すること
- イ
- 情報システムの入力,処理など,日常業務プロセスの信頼性を確保すること
- ウ
- 情報セキュリティに係るリスクマネジメントを構築すること
- エ
- データにおける個人情報保護などの法令遵守確保すること
正答 ア
- デューデリジェンスとは投資を行うにあたって,投資対象となる企業や投資先の価値やリスクなどを調査すること。
- アが上記の通り正答。
- イはシステムにおける信頼性の内容。誤り。
- ウはリスクマネジメントの内容なので誤り。
- エは情報システムの称号対象として挙げられる「社会の規範」に関連するもの。誤り。
問2
- システム監査において実施される,“試査”に該当するものはどれか。
- ア
- 監査対象に最も適合した監査手続を決定するために,いくつかの監査技法を試行する。
- イ
- 計算モジュールの正確性を確認するために,ソースプログラムをレビューする。
- ウ
- 全てのトランザクションデータに監査手続を試験的に適用し,その処理の正当性について判断する。
- エ
- 抽出した一定件数のトランザクションデータに監査手続を適用し,データ全件の正当性について判断する。
正答 エ
- 試査とは母集団からサンプルを抽出,検証することで母集団の特性を導くことを試みること。
- アは監査手続を決定する方法について述べられているため誤り。
- イはコードレビューのことであり,試査とは関係ないため誤り。
- ウは全てと記載されている点が誤り。
- エが正答。
問3
- システム管理基準(平成30年)では,前文において同基準の活用における留意点について記述している。記述内容として,適切なものはどれか。
- ア
- システム管理及びシステム監査の趣旨を実現するためには,同基準にのっとって組織的に管理項目を運用しなければならない。
- イ
- 情報セキュリティの監査・管理を実施する場合には同基準ではなく,情報セキュリティ管理基準に基づいて監査・管理を実施しなければならない。
- ウ
- 大企業だけでなく,中小企業向けの情報システム化戦略,情報システム化実践にかかわる適切な自己診断及び監査にも使用できる。。
- エ
- 同基準を基に企業などが独自の管理基準を策定する場合には,同基準に規定された管理項目を,可能な限りそのまま採用することによって,管理の有効性を高める。
正答 ウ
- システム管理基準(平成30年)前文には以下の通り記述されている。
第1 に,大企業のみならず中小企業においても情報システム化戦略,情報システム化実践に関わる適切な自己診断及び監査実践を可能にすること。
- イは前文に以下の記述がある。これに一部反する内容(最小限の項目で体系化している,望ましいと記述されている点など)であるので誤り。
情報セキュリティの確保に焦点をおいて情報システムの監査・管理を実施する場合には,当基準でも情報セキュリティの確保に関連する最小限の項目で体系化しているが,それぞれの項目については,「情報セキュリティ管理基準(平成 28 年改正版」(経済産業省)などを活用して独自の管理基準を策定することが望ましい。
- ア,エは前文に以下の通り記述されており,反対の内容であるので誤り。
本基準の適用においては,基準に則って網羅的に項目を適用するような利用法は有効ではない。事業目的,事業分野における特性,組織体の業種・業態特性,情報システム特性などに照らして,適切な項目の取捨選択や各項目における対応内容の修正,情報システムの管理に関連する他の基準やガイドから必要な項目を補完するなど,監査及び管理の主旨が実現できるように独自の管理基準を策定して適用することが望ましい。
問4
- システム監査基準(平成30年)における“フォローアップ”の説明として,適切なものはどれか。
- ア
- 監査対象部門が,監査報告書の指摘事項及び改善勧告を基に改善実施計画の策定を行うこと
- イ
- 監査部門の責任者が,監査報告書を基に監査の実施状況と指摘事項の妥当性を確認すること
- ウ
- システム監査人,が監査報告書に記載した改善提案の実施状況に関する情報を収集し改善状況をモニタリングすること
- エ
- システム監査人が,時間の関係で調査が完了しなかった監査項目を追跡調査して報告すること
正答 ウ
- 改善勧告のフォローアップを行うことで,システム監査人は次の役割を果たすことになる。
- 改善勧告の実現の促進
- 改善に向けた関連部門の調整
- 改善勧告の妥当性の確認
- フォローアップの方法として,次の3つがある。
- 改善計画及び改善報告書の提出
- 監査報告書に改善の具体的な内容を記載する。飛鳥あれば改善計画を提出させたり,詳細な改善計画の立案を行ったりする。
- 次回監査での確認
- 定期的に監査を行う場合,改善の実施状況を確認する。改善が不十分であれば再度改善報告を行う。
- フォローアップ監査の実施
- 重要な改善勧告について必要あればフォローアップ監査を行い,改善が進んでいるかどうかを確認する。
- 改善計画及び改善報告書の提出
- 監査対象部門が実施する場合フォローアップとは言わないため,アは誤り。
- フォローアップの内容ではない。イは誤り。
- 上述のフォローアップ監査に関する内容。ウが正答。
- 追跡調査はフォローアップではないため,エは誤り。
問5
- システム監査チームが監査結果の評価を行ったとき,一部の項目について,調査不足から監査人の意見が分かれた。この場合の監査チームの田泓として,最も適切なものはどれか。
- ア
- 意見の統一を図るために追加の監査手続きを実施する。
- イ
- 監査報告書を提出しない。
- ウ
- 多数決で意見を一つにまとめる。
- エ
- 分かれた意見を監査報告書に列挙する。
正答 ア
- システム監査において意見を表明する際には,合理的な監査証拠に基づく必要がある。監査人の意見が分かれるということは合理的な監査証拠が十分に集まっていない可能性が高い。この場合は追加の監査証拠を得るために追加の監査手続きを実施すべき。
- 上述のとおりアが正答。
- 監査を実施し監査報告書を提出しないということはない。イは誤り。(ただし監査証拠が集まらず,意見の表明を行わない場合はある)
- 意見の統一は監査証拠を十分に取得することで実施すべき。ウは誤り。
- 分かれた意見を監査報告書に記載すべきではない。エは誤り。
問6
- プライバシーマークを取得しているA社は,個人情報管理台帳の取扱いについて内部監査を行った。判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
- ア
- 個人情報管理台帳に,概数でしかつかめない個人情報の固有件数は概数だけで記載している。
- イ
- 個人情報管理台帳に,個人情報の名称,内容,利用範囲などの項目に加えて,個人情報の保管場所,保管方法,保管期限を記載している。
- ウ
- 個人情報管理台帳の機密性を守るための保護措置を講じている。
- エ
- 個人情報管理台帳の見直しは,新たな個人情報の取得があった場合にだけ行っている。
正答 エ
- 概数でよいとされている。アは誤り。
- 個人情報管理台帳には個人情報の項目,利用目的,保管場所,保管方法,アクセス権を管理する者,利用期限,保管期限が少なくとも含まれている必要があるとされている。イは誤り。
- 機密性を守るため保護措置を講じているのは適切な対応,ウは誤り。
- 個人情報管理台帳の内容は少なくとも1年に1度は見直すこととされている。エが正答。
問7
- JIS Q 27002;2014(情報セキュリティ管理策の実践のための規範)では,運用システムに対する監査活動の影響を最小限にするための管理策及び実施の手引を定めている。その中で守ることが最も望ましいとされている事項はどれか。
- ア
- 運用システムに影響を与えないよう,監査におけるテストについては,アクセス監視やログ取得の対象外とする。
- イ
- 運用システムや当該システム上のデータへのアクセスに関する監査要求事項については,当該システムの運用担当者に限定して同意を得る。
- ウ
- 監査におけるテストがシステムの可用性に影響する可能性がある場合は,当該テストを営業時間内に実施する。
- エ
- 監査におけるテストでソフトウェア及びデータにアクセスする場合は,読出し専用のアクセスに限定する。
正答 エ
- アについて「監査における試験を実施する際には,参照用の証跡を残すために,全てのアクセスを監視し,ログをとる。」とあるため誤り。
- イについて「システム及びデータへのアクセスに関する監査要求事項は,適切な管理層の同意を得る」必要があるため,運用担当者に限定するという点が誤り。
- ウについて「 監査における試験がシステムの可用性に影響する可能性がある場合,こうした試験は営業時間外に実施する」必要があるため誤り。
- 「監査における試験は,ソフトウェア及びデータの読出し専用のアクセスに限定する。」とあるためエが正答。
問8
- システム管理基準(平成30年)において,経営陣がITガバナンスを成功に導くために採用することが望ましい原則としているものはどれか。
- ア
- 監視,情勢判断,意思決定,行動
- イ
- 計画,組織化,命令,調整,統制
- ウ
- 顧客重視,リーダーシップ,人々の積極的参加,プロセスアプローチ,改善,客観的事実に基づく意思決定,関係性管理
- エ
- 責任,戦略,取得,パフォーマンス,適合,人間行動
正答 エ
- 良質なITガバナンス実践のための6原則として以下がある。
- 責任(Responsibility)
- 組織内の個人及び部門は,ITの供給及び受容の両面の役割について,その責任を理解して受け入れる。処置に責任を負う人もまた,その処置を遂行する権限を持つ。
- 戦略(Strategy)
- 組織の事業戦略は,ITの現在及び将来の能力を考慮する。ITの戦略計画は,その現在及び進行中の事業戦略のニーズを満たす。
- 取得(Acquisition)
- ITの取得は,適切で継続的な分析を基礎として,明確で透明な意思決定による正当な理由に基づく。短期的・長期的な両面で利益,機会,コスト,リスクを適切に均衡させる。
- パフォーマンス(Performance)
- ITは組織を支援し,現在及び将来の事業のニーズに合うサービス,サービスレベル及びサービス品質を提供する点で目的に適合する。
- 適合(Conformance)
- ITは,必須である全ての法律及び規制に適合する。方針及び指針は,明確に定義,実施及び強制される。
- 人間行動(Human Behaviour)
- ITの方針,指針及び決定は,プロセスにおける人間の全ての現在及び発展するニーズを含み,人間行動を尊重する。
- 責任(Responsibility)
- アはOODAループの内容であるため誤り。
- イはファヨールのマネジメントの5機能であるため誤り。
- ウは品質マネジメント7原則であるため誤り。
- 上記6つを挙げているためエが正答。
問9
- 金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)”における,内部統制の基本的要素である“統制活動”はどれか。
- ア
- 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続である。
- イ
- 組織の気風を決定し,組織内の全ての者の統制に対する意識に影響を与えるものである。
- ウ
- 組織目標の達成を阻害する要因をリスクとして識別,分析及び評価し,適切な対応を行うプロセスである。
- エ
- 必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられることを確保することである。
正答 ア
- 内部統制を次の6つの枠組みでとらえることにしている。
- 統制環境
- 内部統制が適切に機能するために必要な組織環境のことで,ほかの基本的要素の基礎となる。具体的には,組織の価値基準,経営者の考え,組織風土,組織体制などが含まれる。
- リスクの評価と対応
- 組織目標の達成に影響を与える事象について,組織目標の達成を阻害する要因をリスクとして識別,分析及び評価し,当該リスクへの適切な対応を行う一連のプロセスである。
- 統制活動
- 経営者の命令及び指示が適切に実行されることをかくほするために定める方針及び手続を指し,権限及び職責の付与,職務の分掌等の広範な方針及び手続が含まれる。
- 情報と伝達
- 必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられることを確保することをいう。
- モニタリング
- 内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングには,業務に組み込まれて行われる日常的モニタリングと業務から独立した視点で実施される独立的評価がある。
- ITへの対応
- 組織目標を達成するためにあらかじめ適切な方針及び手続を定め,それを踏まえて,業務の実施において組織の内外のITに対し適切に対応することをいう。
- 統制環境
- アは統制活動の説明。正答。
- イは統制環境の説明と思われる。誤り。
- ウはリスクの評価と対応の説明と思われる。誤り
- エは情報と伝達の説明と思われる。誤り。
問10
- 金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)”に基づき,今年度改修した“自動化されたITに係る業務処理統制(ITAC)”の整備状況が有効であるとき,人手による内部統制よりも,サンプル数を減らし,サンプリングの対象期間を短くするなどITACの運用状況の評価作業を減らすことができる条件として,最も適切なものはどれか。
- ア
- ITACの前年度運用状況の評価が有効である。
- イ
- ITに係る全般統制が有効である。
- ウ
- 人手による業務処理統制の運用状況が有効である。
- エ
- 人手による業務処理統制の整備状況が有効である。
正答 イ
- 財務報告に係る内部統制の評価及び監査の基準に以下の記述がある。
ITを利用した内部統制は一貫した処理を反復継続するため,その整備状
況が有効であると評価された場合には,ITに係る全般統制の有効性を前提に,人
手による内部統制よりも,例えばサンプル件数を減らし,サンプルの対象期間を短
くするなど,一般に運用状況の評価作業を減らすことができる。
- これにより,イが正答となる。
問11
- 紙型,ICカード型又はサーバ型の前払式支払手段(プリペイドカード,電子マネーなど)の発行者に対し,その発行業務に係る情報の漏えい,滅失又は毀損の防止措置を求める法律はどれか。
- ア
- 資金決済法
- イ
- 消費者契約法
- ウ
- 電子帳簿保存法
- エ
- 特定商取引法
正答 ア
- アの資金決済法には,資金決済に関する法律(やや古い情報だが)に記載されているように,情報の漏えい,滅失又は毀損の防止措置を講じる必要があると定められている。
- イの消費者契約法とは,主に消費者と事業者の間の情報量や質,交渉力などの差異により生じた,消費者の誤認による契約を行った場合の契約の申込みや,契約意思表示の取り消しができるといもの。誤り。
- ウの電子帳簿保存法とは各税法で保存が義務付けられている帳簿・書類を電子データで保存するための規則を定めた法律。誤り。
- エの特定商取引法とは,事業者による違法・悪質な勧誘行為等を防止し,消費者の利益を守ることを目的とする法律のこと。誤り。
問12
- バックアップサイトを用いたサービス復旧方法の説明のうち,ウォームスタンバイの説明として,最も適切なものはどれか。
- ア
- 同じようなシステムを運用する外部の企業や組織と協定を結び,緊急時には互いのシステムを貸し借りして,サービスを復旧する。
- イ
- 緊急時にはバックアップシステムを持ち込んでシステムを再開し,サービスを復旧する。
- ウ
- 常にデータの同期がとれているバックアップシステムを用意しておき,緊急時にはバックアップシステムに切り替えて直ちにサービスを復旧する。
- エ
- バックアップシステムを用意しておき,緊急時にはバックアップシステムを起動してデータを最新状態にする処理を行った後にサービスを復旧する。
正答 エ
- ウォームスタンバイとは予備機を最小限のリソースで起動しておき,切り替え時に必要な手続き(リソース追加やサービス起動など)を行った後で切り替える方式。コールドスタンバイより切り替え時間は短いが,ホットスタンバイより切り替え時間が長い。
- アは携帯電話会社が提供している副回線サービス等が該当すると思われるが詳細は不明。ウォームスタンバイの説明ではないため誤り。
- イはコールドスタンバイの説明であるため誤り。
- ウはホットスタンバイの説明であるため誤り。
- エはウォームスタンバイの説明。正答。
問13
- システムAとシステムBのフルバックアップのデータ量は,それぞれ400Gバイトと600Gバイトである。次の条件でバックアップデータを磁気テープに記録する場合に,システムAとシステムBとで必要となる磁気テープの本数は,それぞれ最少で何本か。
[条件]
- 毎週,日曜日にフルバックアップを行った後,月曜日から土曜日までは毎日,差分バックアップを行う。この1週間分のデータをバックアップデータの1世代として管理する。
- バックアップデータは,3世代分を確保する。
- 1本の磁気テープには複数の世代のバックアップデータが記録できる。
- 1世代のバックアップデータは,複数の磁気テープにまたがって記録できる。
- 1週間分の世代バックアップのデータ量の合計は,フルバックアップのデータ量の25%である。
- 1本の磁気テープに記録できるデータ量は,1,000Gバイトである。
- 不要になったバックアップデータだけとなった磁気テープは,再利用する。
- 磁気テープ中の,ブロック間の使用できないギャップ領域は考慮しない。
- システムAは1世代のデータを保管するために,400Gバイト+400*0.25Gバイトで500Gバイト必要。
- これによりシステムAの場合は1本の磁気テープに2世代保存できる。
- 2本の磁気テープに4つの世代のデータを保管している場合を考える。下から2番目の条件により,バックアップ時には不要な世代のみの場合に磁気テープが再利用できることから,2本の磁気テープではバックアップ取得時に一時的に2世代しか保存できていない状態が発生する。
- そのためシステムAは3本の磁気テープが必要。
- システムBは同様に考えると3世代バックアップを取得する場合,750Gバイトのデータを3本に別々に保管する必要がある。
- これは250Gバイトの空きの領域が再利用できない(500Gのフルバックアップデータを入れられない)ため,フルバックアップ->差分バックアップの順であれば,常に750Gバイトを保存し続けることになる。
- いずれにしても最悪の状況は750Gバイトのデータを3本の磁気テープに保存している状態であるのでこの想定でよい。
- システムAと同様に考えると4本必要となる。
- 以上より,正答はウ。
- JIS X 9251:2021 において,個人識別可能情報の処理任官する潜在的なプライバシー影響の,特定,分析,評価,協議,伝達及び対応の計画を立てるための全体的なプロセスと定義されているものはどれか。
- ア
- eKYC
- イ
- GDPR
- ウ
- PIA
- エ
- PII
- eKYCとはelectlic KYCの略。KYCとはKnow Your Customerの略で本人確認手続きの総称を指す。eKYCとはこの本人確認手続きをオンラインで電子的に行うことを指す。アは問題文の説明と異なるため誤り。
- GDPRとはGeneral Data Protection Regulationの略でEU一般データ保護規則を指す。イは過り。
- PIAとはPrivacy Impact Assessmentの略でプライバシー影響評価を指す。個人情報の収集を伴う情報システムの企画,構築,改修にあたり,情報提供者のプライバシーへの影響を「事前」に評価し,情報システムの構築・運用を適正に行うことを促す一連のプロセスをいう。ウが正答。
- PIIとはPersonal Identifiable Informationの略で個人情報を指す。エは誤り。
- インターネットのショッピングサイトで,商品の広告をする際に,商品の販売価格,商品の代金の支払時期及び支払い方法,商品の引渡時期,売買契約の解除に関する事項などの表示を義務付けている法律はどれか。
- ア
- 商標法
- イ
- 電子契約法
- ウ
- 特定商取引法
- エ
- 不正競争防止法
- 商標法とは自己の商品・サービスと他社の商品・サービスとを区別するために使用するロゴやマーク(商標)を保護するための法律。アは過り。
- 電子契約法とはECサイトなどの利用時に操作誤りなどで消費者の意図しない契約が行われた場合にそれを無効できるなど消費者を守る法律。事業者側は確認画面を設けるなどの事前対応が必要となる。イは過り。
- 特定商取引法には,訪問販売や勧誘,通信販売など,消費者との間にトラブルが生じやすい取引に関して,事業者が守るべきルールが定められており,消費者の利益を保護するためのもの。広告表示の規則や支払い,引渡し等の通知が必要であると定められている。そのためウが正答。(参考)
- 不正競争防止法とは,不正競争によって営業上の利益を侵害され,または侵害されるおそれがある者に対し,不正競争の防止・予防請求権を付与することにより,不正競争の防止を図るとともに,その営業上の利益を侵害された者の損害賠償,差止請求,刑事罰などを整備することによって,事業者間の公正な競争を確保すること。エは誤り。
- コンティンジェンシー理論の説明はどれか。
- ア
- いかなる状況でも最適な組織形態は存在せず,組織の在り方は個々の企業が置かれた外部環境に依存するという考え方
- イ
- 意思決定は,選択機会,問題,解及び参加者という諸要素が偶発的に結びついて行われるという考え方
- ウ
- 事業計画には,災害などの不測の事態を想定した基本的な対応方針をあらかじめ組み込んでおくという考え方
- エ
- 組織形態は個々の企業が採用する経営戦略に応じて決定され,戦略が組織形態に先行するという考え方
- コンティンジェンシー理論とは,リーダに対するものと組織に対するものの2つがある。
- 今回の設問は組織に対するもの。
- アが正しい。
- イはゴミ箱モデルの説明。誤り。
- 機会はゴミ箱に見立てられており,他の3種類のエージェントである参加者,問題,解決策が出入りするゴミ箱として特徴づけられている。
- ウはBCP(事業継続計画)の説明。誤り。
- 事業継続計画とは,企業が自然災害などの緊急事態に遭遇した場合,事業資産の損害を最小限にとどめつつ,中核となる事業の継続あるいは早期復旧を可能とするために,平常時に行うべき活動や緊急時における事業継続のための方法,手段などを取り決めておく計画のこと。
- エはアルフレッド・チャンドラーの「組織は戦略に従う」の説明と思われる,誤り。
- AESの特徴はどれか。
- ア
- 鍵長によって,段数が決まる。
- イ
- 段数は,6段以内の範囲で選択できる。
- ウ
- データの暗号化,復号,暗号化の順に3回繰り返す。
- エ
- 同一の公開鍵を用いて暗号化を3回繰り返す。
- 鍵長は128,192,256の3つから選択でき,それぞれ段数は10,12,14である。アは正しい。
- ここでいう段数とは暗号化の回数と考えてよい。
- 上述の通り段数は10-14であるので,イは誤り。
- 各段では復号はしないため,ウは誤り。
- AESは共通鍵暗号方式であるため,エは誤り。
- 公開鍵暗号方式を使った暗号通信をn人が相互に行う場合,全部で何個の異なる鍵が必要になるか。ここで,一組の公開鍵と秘密鍵は2個と数える。
- ア
- n+1
- イ
- 2n
- ウ
- n(n-1)/2
- エ
- n^2
- 100人の送受信者が公開鍵を使い通信するため,1人が他99人と通信するときに1つの秘密鍵と1つの公開鍵が必要となる。つまり2つの鍵が必要になる。
- これは秘密鍵は1人だけもっていれば,同じ公開鍵を99人が知っていても復号できないため成り立つ。共通鍵ではこのようにはできない。(鍵を知っていれば他の98人の通信も復号できてしまう)
- 2人目も同様に2つの鍵が必要。2つの鍵で最初に考えた1人目とも通信できるので相互にやり取りができる。
- 以下n人目まで同じ考えでそれぞれ2つの鍵があればよいことがわかる。
- n人目まで考えるとn×2で2n個の鍵が必要。よってイが正答。
- マルウェアの検出方法であるビヘイビア法を説明したものはどれか。
- ア
- あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し,同じパターンがあればマルウェアとして検出する。
- イ
- マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
- ウ
- マルウェアへの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアを検出する。
- エ
- マルウェアへの感染によって生じるデータの読込の動作,書込みの動作,通信などを監視して,マルウェアを検出する。
- アはパターンマッチング法の説明。誤り。
- イはチェックサム法やインテグリティチェック法の説明。誤り。
- ウはコンペア法の説明。誤り。
- エはビヘイビア法の説明。正答。
- ISP“A”管理下のネットワークから別のISP“B”管理下の宛先にSMTPで電子メールを送信する。電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。
- ア
- ISP“A”管理下の固定IPアドレスのPCから送信しようとしたが,受信者の承諾を得ていなかった広告の電子メール
- イ
- ISP“A”管理下の固定IPアドレスのPCから送信しようとしたが,送信元IPアドレスがDNSで逆引きできなかった電子メール
- ウ
- ISP“A”管理下の動的IPアドレスのPCからISP“A”のメールサーバを経由して送信される電子メール
- エ
- ISP“A”管理下の動的IPアドレスのPCからISP“A”のメールサーバを経由せずに直接送信される電子メール
- OP25Bとは,Outbound Port 25 Blockingの略。
- 各ISPが「動的IPアドレス」から外部の25番ポートに向けた通信を行う場合にそれを外部に出さないよう遮断する,といもの。
- これにより外部のSMTPサーバの不正利用を防ぎ,身元不明なアドレスからのスパムメール等の送信を減らせると考えられている。
- ただし認証している場合や固定IPアドレスの場合は25番ポートの通信,外部への通信は遮断しない。
- よってエが正答。
- データベースのデータを更新するトランザクションが,実行途中で異常終了したとき,更新中のデータに対してお紺われる処理はどれか。
- ア
- 異常終了時点までのトランザクションの更新ログ情報を破棄することによって,データをトランザクション開始前の状態に回復する。
- イ
- チェックポイント時点からコミットが完了しているトランザクションの更新ログ情報を使ってロールフォワードすることによって,データを回復する。
- ウ
- トランザクションの更新ログ情報を使い異常終了時点までロールフォワードすることによって,データを回復する。
- エ
- トランザクションの更新ログ情報を使いロールバックすることによって,データをトランザクション開始前の状態に回復する。
- トランザクションには,処理がすべて実行されるか,または全く実行されない状態で終了する性質(原子性)がある。
- そのため異常終了した場合はなにも実行しなかった状態に戻す。
- 更新後ログ情報を使わないと元に戻せないため,アは誤り。
- ロールフォワードは障害が発生した場合などに行う操作。イは誤り。
- 異常終了時点までロールフォワードできたとしても,異常終了した処理を実行していない状態になるため原子性が保てない。ウは誤り。
- エが正答。
- DNSSECに関する記述として,適切なものはどれか。
- ア
- DNSサーバへのDoS攻撃を防止できる。
- イ
- IPSecによる暗号化通信が前提となっている。
- ウ
- 代表的なDNSサーバの実装であるBINDの代替として使用する。
- エ
- デジタル署名によってDNS応答の正当性を確認できる。
- DNSSECとはDNS Security Extensionsの略で,DNSの応答の正当性を保証するための拡張仕様。DNSキャッシュポイズニング攻撃への有効な対策。
- DoS攻撃の対策としては,再帰的問い合わせの拒否や特定のドメイン以外からのアクセス拒否等がある。アは誤り。
- IPSecはネットワーク通信を暗号化するプロトコル群。DNSSECと直接の関係はないためイは誤り。
- BINDとは権威DNSサーバとキャッシュDNSサーバの両方の機能を持つオープンソースソフトウェアのこと。ウは誤り。
- 最近はキャッシュポイズニングやDoS攻撃等により2つを同居させるのは危険であると考えられるようになった。
- エが正答。
- JIS X 0153:2015(利用者用文書類の設計者及び作成者のための要求事項)によれば,システム及びソフトウェアの利用者用文書類の利用モードには“教習モード”及び“参照モード”がある。“参照モード”の利用者用文書に対する要求事項として,適切なものはどれか。
- ソフトウェアの利用経験のない人が作業を遂行できるようにするために,作業を実行するときにソフトウェアの使用法を教える利用モード
- ソフトウェアの機能に慣れている利用者のために,選択した要素の全ての事実を含み,特定の情報への迅速なアクセスを提供する利用モード
- ア
- エラーメッセージの説明には,問題の識別,推定される原因,及び利用者が行うことが望ましい是正処置を含める。
- イ
- ソフトウェアの命令については,利用者が一般的な作業で使用する命令の情報だけを記述する。
- ウ
- 文書の章立ては,簡単な作業を複雑な作業の前に,一般的な作業を頻繁には行わない作業の前に,初期作業を後続作業の前に提示する構成にする。
- エ
- 文書の情報には,読者層の中でも最も経験のない利用者がソフトウェアの機能を使って,選択した作業を遂行できるために必要な最小限の情報を含める。
- JIS X 0153:2015は日本工業規格で,システム及びソフトウェア技術−利用者用文書類の設計者及び作成者のための要求事項と呼ばれる。
- JIS X 0153:2015に以下の記述がある。
- アは11.10の内容であり,参照モードの内容。正答。
- イは11.8の内容に反するもので教習モードであると考えられる。誤り。
- ウは10.1.1の内容であり,教習モードの内容。誤り。
- エは11.1の内容であり,教習モードの内容。誤り。
- バリューチェーンでは,付加価値を生み出す事業活動を五つの主活動と四つの支援活動に分類している。支援活動に該当するものはどれか。
- ア
- 技術開発
- イ
- 購買物流
- ウ
- サービス
- エ
- 製造
- バリューチェーンは「価値連鎖」を意味する言葉であり,企業が行う事業活動を価値創造のための一連の流れとして捉えるもの。経営戦略やマーケティングで活用される。
- 主活動は製品やサービスを生み出して顧客に提供するまでの一連の流れに関して,直接的に関わる事業活動を指すもので,製造業などでは例えば以下の五つ。
- 支援活動とは主活動を支えるもの。以下のようなもの。
- アは支援活動の1つであるので正答。
- イは主活動の1つであるので誤り。
- ウは主活動の1つであるので誤り。
- エは主活動の1つであるので誤り。
- ある顧客層の今後3年間を通しての,年間顧客維持率が40%,顧客1人当たりの年平均売上高が200万円,売上高コスト比率が50%と想定される場合,今後3年間のLTV(顧客1人当たりの生涯価値)何万円か。ここで,割引率は考慮しないものとする。
- ア
- 62.4
- イ
- 156
- ウ
- 210
- エ
- 312
- 売上高コスト比率が50%であるので、売り上げに含まれる利益は100万円。
- 3年間通して維持率が40%であるので,1人当たりの利益が100万円であるならば,以下の通り売り上げが減少すると見込める。
- これらを総計すると156万円となり,正答はイ。
- 出典:令和4年度 システム監査技術者試験 午前II 問題問1から問25まで
| システムの磁気テープの本数 | システムBの磁気テープの本数 | |
|---|---|---|
| ア | 2 | 3 |
| イ | 2 | 4 |
| ウ | 3 | 4 |
| エ | 3 | 5 |
正答 ウ
問14
正答 ウ
問15
正答 ウ
問16
正答 ア
| 対象 | 概要 |
|---|---|
| リーダ | どのような状況でも最高のパフォーマンスを発揮するリーダーシップは存在しない |
| 組織 | 組織がよい成果をあげるためには外部環境や企業の目標,戦略,技能,規模などに適応した構造になることが必要であるとする理論 |
問17
正答 ア
問18
正答 イ
問19
正答 エ
問20
正答 エ
問21
正答 エ
問22
正答 エ
問23
[教習モード]
[参照モード]
正答 ア
10.1.1 教習モードの文書類の構造
作業指向の教習モードの文書類は,
...(中略)...
学習を容易にするため,簡単な作業を複雑な作業の前に,一般的な作業を頻繁には行わない作業の前に,初期作業を後続の作業の前に提示するよう構成することが望ましい。
...(後略)...
11.1 情報の完全性
...(中略)...
教習モードの文書類は,読者層の中で最も経験のない人々がソフトウェアの機能を使って選択した作業を遂行できるために完全な情報を含まなければならない。
...(中略)...
教習モードの文書類は,利用者が作業を実行するために必要なものだけを含んでいることが望ましい。
11.8 ソフトウェアの命令についての情報
...(中略)...
参照モードの文書類は,予約語又は命令の参照一覧表を含まなければならない。
...(後略)...
11.10 エラーメッセージ及び問題解決の内容
...(中略)...
参照モードの文書類は,問題の識別,推定される原因,及び利用者が行うことが望ましい是正処置とともに各エラーメッセージを含まなければならない。
...(後略)...
問24
正答 ア
| 主活動 | 概要 |
|---|---|
| 購買物流 | 製品を製造するために原材料の入手・貯蔵・配分などを行う活動 |
| 製造 | 設備のメンテナンスなども含めた,原材料を加工して製造するための活動 |
| 出荷物流 | 梱包・保管・輸送・受注処理など,作成した製品を倉庫や店舗に運ぶ活動全般を指す |
| 購買・マーケティング | 製品の販売や広告・販促・営業活動などを指す |
| サービス | 製品やサービスを提供した後の修理・メンテナンスなどのアフターサービス,問い合わせへの対応などの活動 |
| 支援活動 | 概要 |
|---|---|
| 全般管理 | 経営企画・財務・総務など,企業活動が円滑に行われるための支援活動 |
| 人事・労務管理 | 給与の支払いや社会保険の手続き,社員教育などの活動 |
| 技術開発 | 製品開発や品質向上,生産工程の効率化など技術に関する全般の活動 |
| 調達 | 社外から必要な原材料や物品・サービスなどを購入したり,契約したりする活動 |
問25
正答 イ
| 年数 | 売上見込み(万円) |
|---|---|
| 1年目 | 100 |
| 2年目 | 40 |
| 3年目 | 16 |