ITパスポート 令和3年度 51-60問
ITパスポート 令和3年度 51-60問
問51
アジャイル開発を実施している事例として,最も適切なものはどれか。
ア AIシステムの予測精度を検証するために,開発に着手する前にトライアルを行い,有効なアルゴリズムを選択する。
イ IoTの様々な技術を幅広く採用したいので,技術を保有するベンダに開発を委託する。
ウ IoTを採用した大規模システムの開発を,上流から下流までの各工程における完了の承認を行いながら順番に進める。
エ 分析システムの開発において,分析の精度の向上を図るために,固定された短期間のサイクルを繰り返しながら分析プログラムの機能を順次追加する。
解答:エ
アジャイル開発は、細かい機能ごとに短期間で開発してはリリースするサイクルを繰り返しながら機能を追加していく開発手法です。
固定された短期間のサイクルを繰り返しながら分析プログラムの機能を順次追加するのはアジャイル開発を実施している事例です。
アはPoC(Proof of Concept)、イはアウトソーシング、ウはウォータフォール開発の事例です。
解説
開発プロセス・手法 に関する問題です。アジャイル開発は、細かい機能ごとに短期間で開発してはリリースするサイクルを繰り返しながら機能を追加していく開発手法です。
固定された短期間のサイクルを繰り返しながら分析プログラムの機能を順次追加するのはアジャイル開発を実施している事例です。
アはPoC(Proof of Concept)、イはアウトソーシング、ウはウォータフォール開発の事例です。
ポイント
アジャイル開発、今後も今流行のものとしてしばらく出題されるので要チェック。
問52
自社の情報システムに関して,BCP(事業継続計画)に基づいて,マネジメントの視点から行う活動a~dのうち,適切なものだけを全て挙げたものはどれか。
- 重要データのバックアップを定期的に取得する。
- 非常時用の発電機と燃料を確保する。
- 複数の通信網を確保する。
- 復旧手順の訓練を実施する。
解答:イ
BCPは、災害などによって経営資源が縮小された状況でも事業を継続、すばやく復旧できるよう、事前に立てておく行動計画です。
BCPの策定から試験運用、見直しのサイクルを繰り返して組織の事業継続のための能力を継続的に維持・改善する活動をBCM(事業継続マネジメント)といいます。
問題の活動のうちBCMの活動は、a~dすべてです。
解説
ファシリティマネジメントに関する問題です。BCPは、災害などによって経営資源が縮小された状況でも事業を継続、すばやく復旧できるよう、事前に立てておく行動計画です。
BCPの策定から試験運用、見直しのサイクルを繰り返して組織の事業継続のための能力を継続的に維持・改善する活動をBCM(事業継続マネジメント)といいます。
問題の活動のうちBCMの活動は、a~dすべてです。
ポイント
BCPが計画、BCMがその実行。
問53
ITサービスにおけるSLMに関する説明のうち,適切なものはどれか。
ア SLMでは,SLAで合意したサービスレベルを維持することが最優先課題となるので,サービスの品質の改善は補助的な活動となる。
イ SLMでは,SLAで合意した定量的な目標の達成状況を確認するために,サービスの提供状況のモニタリングやレビューを行う。
ウ SLMの目的は,顧客とサービスの内容,要求水準などの共通認識を得ることであり,SLAの作成が活動の最終目的である。
エ SLMを効果的な活動にするために,SLAで合意するサービスレベルを容易に達成できるレベルにしておくことが重要である。
解答:イ
SLMは、ITサービスの内容と品質を利用者側の責任者と合意しておく文書のことです。SLMで合意した目標の達成状況を確認するために、サービスの提供状況のモニタリングやレビューを行います。
サービスレベル維持の他、サービスの品質の改善もSLMの活動に入ります。SLMの目的はサービスの維持向上です。SLAの作成が活動の最終目的ではありません。また、サービスレベルは達成可能かどうかではなく、達成目標に基づいて定義します。
計画→活動の用語は多いので、セットで覚えよう。
解説
サービスマネジメントに関する問題です。SLMは、ITサービスの内容と品質を利用者側の責任者と合意しておく文書のことです。SLMで合意した目標の達成状況を確認するために、サービスの提供状況のモニタリングやレビューを行います。
サービスレベル維持の他、サービスの品質の改善もSLMの活動に入ります。SLMの目的はサービスの維持向上です。SLAの作成が活動の最終目的ではありません。また、サービスレベルは達成可能かどうかではなく、達成目標に基づいて定義します。
ポイント
SLAがサービスレベル合意書、SLMがそのレベルを達成するための活動。計画→活動の用語は多いので、セットで覚えよう。
問54
WBSを作成するときに,作業の記述や完了基準などを記述した補助文書を作成する。この文書の目的として,適切なものはどれか。
ア WBSで定義した作業で使用するデータの意味を明確に定義する。
イ WBSで定義した作業の進捗を管理する。
ウ WBSで定義した作業のスケジュールのクリティカルパスを求める。
エ WBSで定義した作業の内容と意味を明確に定義する。
解答:エ
WBSは、プロジェクトの対象となる作業を把握しやすいレベルまで要素分解し、階層化した構成図です。WBS自体は作業名と成果物が書かれた図なので、作業の記述や完了基準などを記述した補助文書が必要となります。補助文書の目的は、WBSで定義した作業の内容と意味を明確に定義することです。
解説
プロジェクトマネジメントに関する問題です。WBSは、プロジェクトの対象となる作業を把握しやすいレベルまで要素分解し、階層化した構成図です。WBS自体は作業名と成果物が書かれた図なので、作業の記述や完了基準などを記述した補助文書が必要となります。補助文書の目的は、WBSで定義した作業の内容と意味を明確に定義することです。
ポイント
WBSはマネジメント分野の鉄板問題だが、補助文書についての出題は初。今後も出るかも。
問55
有料のメールサービスを提供している企業において,メールサービスに関する開発・設備投資の費用対効果の効率性を対象にしてシステム監査を実施するとき,システム監査人が所属している組織として,最も適切なものはどれか。
ア 社長直轄の品質保証部門
イ メールサービスに必要な機器の調達を行う運用部門
ウ メールサービスの機能の選定や費用対効果の評価を行う企画部門
エ メールシステムの開発部門
解答:ア
システム監査人は、システム監査を行う人で、監査対象から独立していて客観性・公平性をもって監査を行うことが求められます。
メールサービスに関する開発・設備投資の費用対効果の効率性を対象にするので、運用、企画、開発すべての部門はかかわりがあり、独立性が確保できません。 この場合、社長直轄の品質保証部門が最も適しています。
とりあえず監査対象から独立している部門・人が行うのは大前提。
解説
システム監査に関する問題です。システム監査人は、システム監査を行う人で、監査対象から独立していて客観性・公平性をもって監査を行うことが求められます。
メールサービスに関する開発・設備投資の費用対効果の効率性を対象にするので、運用、企画、開発すべての部門はかかわりがあり、独立性が確保できません。 この場合、社長直轄の品質保証部門が最も適しています。
ポイント
社長直轄って全責任者である社長に忖度しないのだろうか、と疑問。とりあえず監査対象から独立している部門・人が行うのは大前提。
●●● テクノロジ ●●●
問56
インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって,利用者を偽のサイトへ誘導する攻撃はどれか。
ア DDoS攻撃 イ DNSキャッシュポイズニング
ウ SQLインジェクション エ フィッシング
解答:イ
IPアドレスとドメイン名の対応付けをDNSサーバに保存されたデータを書き換え、ユーザを悪意のあるサイトへ誘導する攻撃手法は、DNSキャッシュポイズニングです。
キャッシュは、対応付け情報を一時的に保存する記憶装置で、以降の変換を高速化しています。このキャッシュの偽情報をDNSサーバに登録させます。
DDoS攻撃はサーバに大量のデータを送信してサーバの機能を停止させる攻撃手法です。
SQLインジェクションはソフトウェアの脆弱性を利用して、データベースシステムを不正に操作します。
フィッシングは偽のWebサイトやメールで暗証番号やパスワードをだまし取る詐欺です。
解説
情報セキュリティに関する問題です。IPアドレスとドメイン名の対応付けをDNSサーバに保存されたデータを書き換え、ユーザを悪意のあるサイトへ誘導する攻撃手法は、DNSキャッシュポイズニングです。
キャッシュは、対応付け情報を一時的に保存する記憶装置で、以降の変換を高速化しています。このキャッシュの偽情報をDNSサーバに登録させます。
DDoS攻撃はサーバに大量のデータを送信してサーバの機能を停止させる攻撃手法です。
SQLインジェクションはソフトウェアの脆弱性を利用して、データベースシステムを不正に操作します。
フィッシングは偽のWebサイトやメールで暗証番号やパスワードをだまし取る詐欺です。
ポイント
攻撃手法は毎年のように増えていってるので、だいたいどんなものか特徴と名前だけは覚えよう。毎回絶対に2・3問は出るはず
問57
CPU,主記憶,HDDなどのコンピュータを構成する要素を1枚の基板上に実装し,複数枚の基板をラック内部に搭載するなどの形態がある,省スペース化を実現しているサーバを何と呼ぶか。
ア DNSサーバ イ FTPサーバ ウ Webサーバ エ ブレードサーバ
解答:エ
CPUや主記憶、HDDなどのコンピュータを構成する要素を搭載したボード型のコンピュータを、複数まとめて1つのラックに収納して使う形態をブレードサーバといいます。
解説
ハードウェア(コンピュータ・入出力装置)に関する問題です。CPUや主記憶、HDDなどのコンピュータを構成する要素を搭載したボード型のコンピュータを、複数まとめて1つのラックに収納して使う形態をブレードサーバといいます。
ポイント
DNSサーバ、FTPサーバ、Webサーバは物理的なサーバを指すこともあるが、特定の機能を示すことも多い。1台の物理的なサーバの中にFTPサーバ、Webサーバなど複数の機能を持つ場合がある。
問58
サーバルームへの共連れによる不正入室を防ぐ物理的セキュリティ対策の例として,適切なものはどれか。
ア サークル型のセキュリティゲートを設置する。
イ サーバの入ったラックを施錠する。
ウ サーバルーム内にいる間は入室証を着用するルールとする。
エ サーバルームの入り口に入退室管理簿を置いて記録させる。
解答:ア
共連れは、正式に認証される人と一緒に入退室することです。
一人ずつ通過することを前提としたサークル型のセキュリティゲートの設置は、共連れによる不正入室を防ぐ物理的セキュリティ対策に有効です。
サーバの入ったラックを施錠するは盗難防止に有効な手段です。サーバルーム内にいる間は入室証を着用するルールとすることは、他の人がいなかったり、いても気づかなかったりしたら意味がありません。入退室管理簿の記録は、記入しなければいいので無意味です。
解説
情報セキュリティ対策・情報セキュリティ実装技術に関する問題です。共連れは、正式に認証される人と一緒に入退室することです。
一人ずつ通過することを前提としたサークル型のセキュリティゲートの設置は、共連れによる不正入室を防ぐ物理的セキュリティ対策に有効です。
サーバの入ったラックを施錠するは盗難防止に有効な手段です。サーバルーム内にいる間は入室証を着用するルールとすることは、他の人がいなかったり、いても気づかなかったりしたら意味がありません。入退室管理簿の記録は、記入しなければいいので無意味です。
ポイント
共連れによる不正入室を防ぐ物理的セキュリティ対策としては、ゲート設置の他、監視カメラや警備員配置、アンチパスバック方式などが有効。
問59
Aさんが,Pさん,Qさん及びRさんの3人に電子メールを送信した。Toの欄にはPさんのメールアドレスを,Ccの欄にはQさんのメールアドレスを,Bccの欄にはRさんのメールアドレスをそれぞれ指定した。電子メールを受け取った3人に関する記述として,適切なものはどれか。
ア PさんとQさんは,同じ内容のメールがRさんにも送信されていることを知ることができる。
イ Pさんは,同じ内容のメールがQさんに送信されていることを知ることはできない。
ウ Qさんは,同じ内容のメールがPさんにも送信されていることを知ることができる。
エ Rさんは,同じ内容のメールがPさんとQさんに送信されていることを知ることはできない。
解答:ウ
To Pさん ToとCcの宛先がわかる。Bccはわからない
Cc Qさん ToとCcの宛先がわかる。Bccはわからない
Bcc Rさん ToとCcとBccの宛先がわかる
このルールにより、PさんとQさんはお互い同じ内容のメールがきていることを知ることはできますが、同じ内容のメールがRさんにも送信されていることはわかりません。 Rさんは同じ内容のメールがPさんとQさんに送信されていることを知ることができます。
選択肢の中で適切なのは、「Qさんは,同じ内容のメールがPさんにも送信されていることを知ることができる」のみです。
ToとCcで受け取ったメールを全員に返信するときは、Bccに指定されていた人は送信先に入らない。
わからない場合は実際に試してみよう!
解説
ネットワーク応用に関する問題です。To Pさん ToとCcの宛先がわかる。Bccはわからない
Cc Qさん ToとCcの宛先がわかる。Bccはわからない
Bcc Rさん ToとCcとBccの宛先がわかる
このルールにより、PさんとQさんはお互い同じ内容のメールがきていることを知ることはできますが、同じ内容のメールがRさんにも送信されていることはわかりません。 Rさんは同じ内容のメールがPさんとQさんに送信されていることを知ることができます。
選択肢の中で適切なのは、「Qさんは,同じ内容のメールがPさんにも送信されていることを知ることができる」のみです。
ポイント
受信の場合と、返信したときの状況も出題される。ToとCcで受け取ったメールを全員に返信するときは、Bccに指定されていた人は送信先に入らない。
わからない場合は実際に試してみよう!
問60
情報システムにおける二段階認証の例として,適切なものはどれか。
ア 画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。
イ サーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。
ウ 利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。
エ 利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。
解答:ウ
二段階認証は、1つめの認証が完了してから2つめの認証を行うように、二段階に分けて認証することです。
利用者IDとパスワードを入力して認証を行った後、秘密の質問への答えを入力することによってログインするのは二段階認証の例です。
画面に表示されたゆがんだ文字列の画像を読み取って入力するのは、プログラムによる自動ログイン対策です。イはアンチパスバックです。 エはIDとパスワード画面が2つに分かれているだけです。
解説
情報セキュリティ対策・情報セキュリティ実装技術 に関する問題です。二段階認証は、1つめの認証が完了してから2つめの認証を行うように、二段階に分けて認証することです。
利用者IDとパスワードを入力して認証を行った後、秘密の質問への答えを入力することによってログインするのは二段階認証の例です。
画面に表示されたゆがんだ文字列の画像を読み取って入力するのは、プログラムによる自動ログイン対策です。イはアンチパスバックです。 エはIDとパスワード画面が2つに分かれているだけです。
ポイント
複数の認証方法を組み合わせた認証は多要素認証。