クリエイティブ・コモンズ(CC)とは?
- 著作者が著作物の利用許可(ライセンス)を分かりやすく表示するための仕組み。
- 利用者は、ライセンスに従えば自由に利用・共有・改変が可能。
- 著作権を放棄する仕組みではない
- 利用条件を明確にするための「標準化されたライセンス」
- Webコンテンツでよく利用される
構成要素
| マーク |
名称 |
意味 |
| BY |
表示(Attribution) |
作者のクレジット表示が必要(必須) |
| NC |
非営利(Non-Commercial) |
商用利用は不可 |
| ND |
改変禁止(No Derivatives) |
改変不可、コピーのみ可 |
| SA |
継承(Share Alike) |
改変した場合は同じCC条件で公開する |
例1:「著作権を放棄して自由に利用できる仕組み」
→ ✕ それは CC ではなくパブリックドメイン
(CC0 は著作権放棄に近いが、別扱い)
例2:「改変は可能だが、同じ条件で公開する必要がある」
→ 〇 CC BY-SA
例3:「商用利用さえしなければ自由に使える」
→ 〇 NC が付いているライセンス
まとめ
| ライセンス |
商用 |
改変 |
クレジット |
| CC BY |
○ |
○ |
必要 |
| CC BY-SA |
○ |
○(継承) |
必要 |
| CC BY-ND |
○ |
✕ |
必要 |
| CC BY-NC |
✕ |
○ |
必要 |
| CC BY-NC-SA |
✕ |
○(継承) |
必要 |
| CC BY-NC-ND |
✕ |
✕ |
必要 |
知的財産権
知的財産権
├─ 著作権・・・・・・・・創作された表現
│ ├─ 著作者人格権・・・著作者の利益・名誉を侵害する、著作物の利用
│ └─ 著作財産権・・・・著作物を公開することで得られる財産
├─ 産業財産権・・・・・・「技術・デザイン・ブランド」を守るための権利
│ ├─ 特許権・・・・・・発明
│ ├─ 実用新案権・・・・アイデア
│ ├─ 意匠権・・・・・・デザイン
│ └─ 商標権・・・・・・ロゴマーク
└─ 営業秘密・・・・・・・企業のノウハウ、アイデア(不正競争防止法)
産業財産権
- 広く 「技術・デザイン・ブランド」を守るための権利の総称
- 主に以下 4 つで構成される
| 権利名 |
対象 |
保護期間 |
特徴 |
| 特許 |
発明(高度な技術) |
20年 |
最も強い権利、審査あり |
| 実用新案 |
小発明(物品の形状・構造) |
10年 |
審査が簡易、技術保護 |
| 意匠 |
デザイン・形状(見た目) |
25年 |
見た目の保護 |
| 商標 |
ロゴ・ブランド名 |
10年(更新可) |
ブランド保護、永久に更新可能 |
「著作権」との違い
| 種類 |
保護対象 |
登録の必要 |
| 産業財産権 |
技術・デザイン・商標 |
審査・登録が必要 |
| 著作権 |
文書・音楽・写真・プログラムなど |
創作した瞬間に発生 |
サービスマーク
サービス(役務)を提供する事業者が、自社のサービスを他社と区別するためのマーク
例:
- Amazonのロゴ(サービスとしてのオンライン販売)
- Uberのロゴ
- 航空会社のロゴ
下請代金支払遅延等防止法(下請法)
- 親事業者(元請)が、下請事業者に対して 不当な取引行為をすることを禁止 し、下請企業を保護する法律
禁止されている行為
| 区分 |
内容 |
試験のキーワード |
| ① 下請代金の支払遅延 |
納品受領後 60日以内 に支払わない |
60日以内、支払遅延 |
| ② 代金の減額 |
一方的な値引き・請求額の引下げ |
一方的、減額要求 |
| ③ 不当な返品 |
納品後に正当な理由なく返品 |
納品済、正当理由なし |
| ④ 買いたたき |
著しく低い代金で発注 |
著しく低い価格、不当な代金 |
| ⑤ 受領拒否 |
下請が納品したのに受領を拒否 |
納品拒否、受領拒否 |
| ⑥ 不当な経済上の利益提供要求 |
負担強制(広告費・人件費・物品購入など) |
負担強制、利益の提供 |
| ⑦ 書面交付義務違反 |
発注時に書面を交付しない |
注文書なし、書面交付義務 |
| ⑧ 不当なやり直し・変更要求 |
過度な仕様変更を強制 |
仕様変更強制・不当なやり直し |
例
- 元請(大企業)が、下請のシステム開発会社へ 支払を遅らせる → 違反
- 元請が「バグ修正費をただでやって」と強制 → 不当に経済上の利益を提供させる → 違反
- 成果物納品後に「やっぱり要らない」→ 不当返品
請負契約
| 項目 |
内容 |
| 目的 |
完成した成果物の提供 |
| 報酬発生条件 |
成果物が完成したとき |
| 指揮命令 |
発注側(依頼者)は請負側に直接命令できない |
| リスク負担 |
完成までの作業方法は請負側の責任・裁量 |
| 品質保証 |
請負側は 瑕疵担保責任 を負う(欠陥の修補) |
偽装請負の典型パターン
| 偽装請負に該当するケース |
理由 |
| 発注側が外部作業者に直接指示している |
指揮命令権が発注側にあるため請負ではない |
| 発注側の社員と同じチームで常駐し、業務指示を受ける |
実態が労働者派遣になる |
| 発注側が勤務時間や休憩を管理する |
労働者の管理を発注側がしている |
| 成果物ではなく「労働力の提供」になっている |
契約の目的が請負と一致していない |
→ 形式は請負でも、働き方が派遣そのもの → 違法(偽装請負)
MTBF・MTTR
| 指標 |
意味 |
| MTBF(Mean Time Between Failures) |
故障してから次に故障するまでの平均時間(大きいほど良い) |
| MTTR(Mean Time To Repair) |
故障してから復旧するまでにかかる時間の平均(小さいほど良い) |
| 稼働率 |
MTBF ÷(MTBF + MTTR) |
IaaS / PaaS / SaaS
-
IaaS(Infrastructure as a Service:インフラストラクチャ提供)
- ハードウェアやネットワークなどの基盤を提供する形態
- 例:AWS EC2、Google Compute Engine、Azure VM
-
PaaS(Platform as a Service:アプリケーション実行基盤を提供)
- OS・ミドルウェア・ランタイムまでクラウド提供者が管理
- 例:AWS Lambda、Google App Engine、Heroku
-
SaaS(Software as a Service:完成されたアプリを提供)
- アプリケーションまで全てクラウド提供者が管理
- 例:Gmail、Salesforce、Office 365、Slack
責任分担の比較
クラウド利用における どこまで利用者が管理し、どこから提供者が管理するか
| 管理項目 |
オンプレミス |
IaaS |
PaaS |
SaaS |
| インフラ(基盤、物理サーバ) |
利用者 |
提供者 |
提供者 |
提供者 |
|
OS,ミドルウェア(DB、Webサーバ等) |
利用者 |
利用者 |
提供者 |
提供者 |
| アプリケーション |
利用者 |
利用者 |
利用者 |
提供者 |
| データ |
利用者 |
利用者 |
利用者 |
利用者 |
フェールソフト、フェールセーフ、フォールトトレランス
| 用語 |
意味 |
例 |
| フェールセーフ(fail safe) |
故障時は安全を最優先し、安全側に停止する |
電車の信号が壊れる → 強制停止 |
| フェールソフト(fail soft) |
故障時でも一部機能を制限して稼働を続ける |
サーバの片系故障 → 性能低下で稼働継続 |
| フールプルーフ(fool proof) |
機械やシステムの操作を間違えても、危険な状態にならないようにする |
電気ストーブ: 倒れると火が消える仕組み |
| 方式 |
稼働状態 |
障害時の挙動 |
停止時間 |
特徴 |
| フォールトトレランス |
完全二重化で同時処理 |
性能低下なしで継続 |
0 |
最強、超高価 |
| ホットスタンバイ |
予備も稼働中 |
無停止で切替 |
ほぼ0 |
高可用性(HA) |
| ウォームスタンバイ |
予備は半稼働 |
起動して切替 |
数秒〜数分 |
中可用性 |
| コールドスタンバイ |
電源OFF |
手動で起動 |
長時間 |
安いが遅い |
| フェールソフト |
一部機能停止 |
縮退運転で継続 |
0(性能低下あり) |
システムを止めない |
ITIL
- ITサービスを効果的かつ効率的に管理するための成功事例をまとめたガイドライン
- ITサービスマネジメント(ITSM)のベストプラクティス
| 用語 |
説明 |
重要ポイント |
| インシデント管理 |
障害対応 |
すぐ復旧が目的 ワークアラウンド(暫定回避策)を用いて運用を継続 |
| 問題管理 |
根本原因の排除 |
再発防止 |
| 変更管理 |
変更のリスク管理 |
無秩序変更を防ぐ |
| 構成管理 |
構成品目(サーバ、ソフト、設定など)を一元管理 |
CMDBで管理 |
| リリース管理 |
本番へ安全に反映 |
テスト・検証必須 |
| サービスデスク |
利用者窓口 |
ITIL唯一の“窓口” |
| SLA |
利用者と提供者間のサービス品質の合意文書 |
可用性・応答時間など |
| SLM |
SLAを維持するための活動 |
可用性・応答時間など |
| OLA |
部門間の品質合意 |
内部向け |
| 可用性管理 |
ダウン時間の最小化 |
プロアクティブ活動も含む |
| キャパシティ管理 |
性能・処理量の確保 |
過負荷防止 |
| ITサービス継続性管理 |
災害時の復旧計画 |
BCPとの関連 |
システム監査(情報システム監査)
-
情報システムが適切に管理され、安全で効率的に運用されているかを第三者が評価する活動
- 有効性(目的が達成されているか)
- 効率性(無駄なく運用されているか)
- 信頼性(正確に処理されているか)
システム監査のプロセス
- 監査計画の立案
- 監査対象・範囲など決定
- リスク高い箇所から先に監査(リスクベースドアプローチ(RBA))
- 予備調査
- 本調査
- 監査証拠(Audit Evidence)の収集
- 監査証拠は「十分性」「適切性」が重要キーワード
- 評価・結論作成
- 監査報告
- フォローアップ(改善指導)
システム監査の技法
| 技法 |
内容 |
| ウォークスルー |
業務の流れを実際に追いながら確認 |
| CAAT(キャット) |
コンピュータを活用した監査技法 |
| インタビュー |
関係者への聞き取り |
| 文書レビュー |
規程・ログ・記録などの確認 |
| 実査 |
在庫や機器を現物確認 |
内部統制
- 企業の業務が適切・効率的に行われ、法令違反や不正を防ぐための仕組みのこと
| 要素 |
内容(SG向けに要点化) |
| ① 統制環境 |
経営者の姿勢、企業文化、倫理観。内部統制の土台。 |
| ② リスク評価 |
業務リスクを識別・分析し、対応策を決める。 |
| ③ 統制活動 |
経営者の命令・指示を確実に実行するために定める方針や手続き。 |
| ④ 情報と伝達 |
必要な情報を適切に収集・共有する仕組み。 |
| ⑤ モニタリング(監視) |
内部統制が有効に運用されているか継続的に評価。 |
| ⑥ ITへの対応(IT統制) |
ITシステムを使う場合の統制。IT全般統制+IT業務処理統制。 |
RFI, RFP, RFQ
| 略語 |
正式名称 |
目的 |
いつ使う? |
出題ポイント |
| RFI |
Request For Information(情報提供依頼書) |
ベンダーの技術・製品情報を取得する |
検討の初期段階 |
「ベンダー選定前の情報収集」 |
| RFP |
Request For Proposal(提案依頼書) |
ベンダーから具体的な提案(機能・構成・体制・期間・費用等)をもらう |
要件が固まり、提案を比較したい段階 |
「要件を示して提案を依頼」 |
| RFQ |
Request For Quotation(見積依頼書) |
費用の見積を比較・精査する |
製品や仕様が確定した段階 |
「価格の見積を依頼」 |
BCP
- Business Continuity Plan:事業継続計画
- 災害・事故・サイバー攻撃などで事業が中断した場合でも、重要業務を中断させない/早期に復旧させるための計画
落札方式
| 方式名 |
どう決めるか |
使う場面 |
キーワード |
| 総合評価落札方式 |
価格+品質などを総合評価 |
技術力・品質が重要な調達 |
価格と品質を総合評価 |
| 最低価格落札方式 |
もっとも安い入札価格 |
仕様が明確で比較容易 |
最も低価格の者が落札 |
| 企画競争(プロポーザル方式) |
企画・提案内容で決定 |
新規技術・実証・創造性 |
提案内容で選定、価格重視でない |
| 随意契約 |
指名した特定相手と直接契約 |
緊急・独占技術・少額調達 |
競争を行わない契約 |
| 指名競争入札 |
行政が選んだ特定の数社で競争 |
専門性が必要・実績重視 |
特定の業者のみ招く |
| 公募型指名競争 |
公募→応募者から指名→入札 |
民間委託・専門性が高い業務 |
公募後に指名選定 |
| 企画提案型公募(公募型プロポーザル) |
公募+提案内容審査 |
技術・サービス比較したいとき |
公募で提案を募る |
パレート図、チェックシート、アローダイアグラム、決定木
| 手法 |
何をするもの? |
主な特徴 |
ポイント |
| パレート図 |
重要な要因を見極める |
棒グラフ+累積折れ線、80:20 |
最も重要な要因の特定、問題の“原因の優先順位”を決めたいとき |
| チェックシート |
データ収集 |
形式統一、簡易記録 |
現場でデータを“数える”・“分類する”ための簡易集計票、最も多い問い合わせタイプ を把握 |
| アローダイアグラム(PERT) |
工程・順序管理 |
矢印と節点、クリティカルパス |
作業の順序と全体の最短完了時間を知りたい、どこが遅れると致命的なのか |
| 決定木 |
最適な意思決定 |
木構造、確率、期待値計算 |
期待値比較で判断、不確実性のある状況で最適な意思決定をしたい |
混合戦略、純粋戦略、マクシマックス原理、マクシミン原理
| 用語 |
定義 |
意味 |
ポイント |
| 純粋戦略 |
一つの戦略を100%選択 |
ぶれない選択 |
「確率なし」 |
| 混合戦略 |
複数戦略を確率的に選択 |
相手に読まれにくい戦略 |
「確率で選ぶ」 |
| マクシマックス |
最大利益が最も大きい戦略 |
楽観的 |
「最大の最大」 |
| マクシミン |
最小利益が最も大きい戦略 |
悲観的・安全重視 |
「最悪の中で最善」 |
0C曲線、バスタブ曲線、ポアソン分布、ワイブル分布
| 用語 |
まとめ |
観点 |
| OC曲線 |
不良率と合格確率の関係 |
消費者危険・生産者危険 |
| バスタブ曲線 |
故障率の時間推移 |
初期・偶発・摩耗の3区間 |
| ポアソン分布 |
ランダムに少数の事象 |
故障回数・問い合わせ件数 |
| ワイブル分布 |
故障率の推移を表現 |
βの値と故障パターン |
インボイス制度
| 項目 |
ポイント |
| インボイス制度 |
適格請求書の保存が仕入税額控除の要件 |
| 適格請求書 |
登録番号・税率・税額・取引内容の記載が必須 |
| 発行事業者 |
課税事業者のみ。登録するとT+13桁番号 |
| 保存要件 |
帳簿+適格請求書の両方保存 |
| 電子インボイス |
電子的保存はOK、電子帳簿保存法と連動 |
| 免税事業者問題 |
取引から除外されやすくなる |
先入先出法(FIFO)
- 在庫評価方法の一つで、
「先に仕入れたものから先に消費・販売される」とみなす方法
例題:先入先出法で、①売上原価 ②期末在庫額を求めよ
| 日付 |
内容 |
| 4/1 |
100円 × 10個 仕入 |
| 4/10 |
120円 × 10個 仕入 |
| 4/20 |
15個販売 |
- 4/1仕入分(100円 × 10個) → まず全部売る
- 残り5個は 4/10仕入分(120円 × 5個)
- 売上原価 = 1,000 + 600 = 1,600円
- 期末在庫 = 120円 × 5個 = 600円
AI社会原則
- 日本政府(内閣府)が示した AIを社会で安全・公正に利用するための原則
| 原則名 |
ポイント(試験向け要約) |
| 人間中心 |
AIは人間の尊厳・権利を尊重 |
| 教育・リテラシー |
AIを使う側の能力向上 |
| プライバシー保護 |
個人情報の適切な取り扱い |
| セキュリティ確保 |
サイバー攻撃・悪用の防止、堅牢性 |
| 公共競争確保 |
独占、不正競争の防止 |
| 公平性・説明責任・透明性 |
AI利用状況、判断根拠の説明 |
| イノベーション促進 |
国際化、多様化、官民連携、人材流動性の確保 |
BSC, EVA, NPV, ROI
| 指標 |
説明 |
重要ポイント |
計算の有無 |
| BSC(Balanced Scorecard Card) |
戦略を4つの視点から評価 |
財務・顧客・内部プロセス・学習成長 |
計算なし |
| EVA(Economic Value Added) |
資本コストを考慮した利益 |
営業利益-資本コスト |
あり(簡単) |
| NPV(Net Present Value) |
将来価値を現在価値に割り引く |
NPV > 0 で投資実行 |
あり |
| ROI(Return On Investment) |
投資の効率を表す |
時間価値を考慮しない点が弱み |
あり |
サイバー攻撃まとめ
認証・アカウントを狙う攻撃
| 攻撃手法 |
内容(何をする?) |
主な対策(試験で問われやすい) |
| ブルートフォース攻撃 |
パスワードを総当たりで試す |
アカウントロック、多要素認証 |
| 辞書攻撃 |
辞書にある単語でパスワードを試す |
複雑なパスワード設定 |
| パスワードリスト攻撃 |
他サイトから漏えいしたID・PWを使う |
MFA、使い回し禁止 |
| リプレイ攻撃 |
正規通信を盗聴し再送信 |
ワンタイムパスワード、nonce |
| セッションハイジャック |
セッションIDを盗み、なりすます |
HTTPS、CookieのSecure属性 |
Webアプリケーション攻撃
| 攻撃手法 |
内容 |
主な対策 |
| XSS |
スクリプトを注入し実行 |
エスケープ処理 |
| CSRF |
利用者になりすまし操作 |
CSRFトークン |
| SQLインジェクション |
SQL文を改ざん |
プレースホルダ |
| OSコマンドインジェクション |
OSコマンド実行 |
入力値検証 |
| ディレクトリトラバーサル |
不正にファイル参照 |
パス制限 |
サービス停止を狙う攻撃(DoS系)
| 攻撃手法 |
内容 |
試験ポイント |
| DoS攻撃 |
大量通信でサービス停止 |
単一攻撃元 |
| DDoS攻撃 |
複数端末からDoS |
ボットネット使用 |
| SYN Flood攻撃 |
TCP接続を枯渇 |
SYNパケット悪用 |
| Smurf攻撃 |
ICMPで増幅 |
ブロードキャスト悪用 |
ソーシャルエンジニアリング
| 攻撃手法 |
内容 |
試験ポイント |
| フィッシング |
偽サイトで情報詐取 |
メール誘導 |
| 標的型攻撃 |
特定組織を狙う |
添付ファイル |
| スピアフィッシング |
個人を狙う |
巧妙な文面 |
| ビッシング |
電話による詐欺 |
音声詐欺 |
| ショルダーハッキング |
盗み見 |
物理対策 |
マルウェア関連
| 種類 |
内容 |
特徴 |
| ウイルス |
他に寄生 |
単体では動かない |
| ワーム |
自己増殖 |
ネットワーク拡散 |
| トロイの木馬 |
正規ソフトを装う |
内部侵入 |
| ランサムウェア |
データ暗号化 |
身代金要求 |
| スパイウェア |
情報窃取 |
気付かれにくい |
ネットワーク・情報収集系攻撃
| 攻撃手法 |
内容 |
試験ポイント |
| ポートスキャン |
開放ポート探索 |
攻撃準備段階 |
| スニッフィング |
通信盗聴 |
暗号化で防止 |
| なりすまし |
IP/MAC偽装 |
認証強化 |
| 中間者攻撃(MITM) |
通信介入 |
証明書検証 |
