平成22年度 春期 応用情報技術者試験 問41−60 解答編



このページは

応用情報

(応用情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問41 JISQ27002における情報資産に対する脅威の説明はどれか。
情報資産に害をもたらすおそれのある事象の原因
情報資産に内在して、リスクを顕在化させる弱点
リスク対策に費用をかけないでリスクを許容する選択
リスク対策を適用しても解消しきれずに残存するリスク
解答
解説 それぞれの用語を以下にまとめます。

選択肢ア:脅威
選択肢イ:脆弱性
選択肢ウ:リスク保有
選択肢エ:残存リスク
問42 ネットワークの障害の原因を調べるために、ミラーポートを用意して、LANアナライザを使用するときに留意することはどれか。
LANアナライザがパケットを破棄してしまうので、測定中は測定対象外のコンピュータの利用を制限しておく必要がある。
LANアナライザにはネットワークを通過するパケットを表示できるので、盗聴などに悪用されないように注意する必要がある。
障害発生に備えて、ネットワーク利用者にLANアナライザの保管場所と使用方法を周知しておく必要がある。
測定に当たって、LANケーブルを一時的に切断する必要があるので、利用者に対して測定日を事前に知らせておく必要がある。
解答
解説 ミラーポートとは、すべてのポートに来たデータをコピーして通過させるもので、すべてのパケットを監視することができる特殊なポートです。また、アナライザとは、データを解析する機器のことです。

選択肢ア:アナライザがパケットを破棄することはありません。
選択肢イ:パケットの内容が暗号化されていない場合、パケットを読み取れてしまうので注意が必要です(正解)
選択肢ウ:アナライザは不正に使用すると、パケットを読み取ることができるので、限られた人にのみ使用をみとめるべきです。
選択肢エ:アナライザを使用する際には、ケーブルを切断する必要はありません。
問43 SQLインジェクションの説明はどれか。
Webアプリケーションに悪意のある入力を与えてデータベースの問合せや操作を行う命令文を組立てて、データを改ざんしたり不正に情報取得したりする攻撃
悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃
市販されているデータベース管理システムの脆弱性を利用して、宿主となるデータベースサーバを探して自己伝染を繰り返し、インターネットのトラフィックを急増させる攻撃
訪問者の入力データをそのまま画面に表示するWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送り、訪問者のブラウザで実行させる攻撃
解答
解説 SQLインジェクションとは、Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、想定外のSQL文を実行することです。これにより、管理者が表示させたくない情報が流出してしまう可能性があります。そのため、外部からの値を利用する場合には、値がフォーマット通りになっているかの入力検証やSQLの特殊な文字を解釈されないようにサニタイジングと呼ばれる無効化処理をする必要があります。

他の選択肢は以下のとおりです。
選択肢イ:クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)
選択肢ウ:ワーム
選択肢エ:クロスサイトスクリプティング(XSS)
問44 UML2.0において、オブジェクト間の相互作用を時間の経過に注目して記述するものはどれか。
アクティビティ図
コミュニケーション図
シーケンス図
ユースケース図
解答
解説 それぞれの図を以下にまとめます。

選択肢ア:フローチャートのように、逐次的な(分岐・合流などもある)処理の流れを表すのに利用します。
選択肢イ:オブジェクト間のメッセージのやり取りを表すのに利用します。
選択肢ウ:オブジェクト間のメッセージを時間順に表すのに利用します。
選択肢エ:システムへの機能的要求を明確にする手段として、利用者とシステムとのやり取りを表すのに利用します。
問45 モジュールの結束性(強度)が最も高いものはどれか。
あるデータを対象として逐次的に複数の機能を実行するモジュール
異なる入力媒体からのデータを処理するモジュール
単一の機能を実行するモジュール
特定の時点で必要とされる作業のすべてを含んでいるモジュール
解答
解説 モジュール結合度とモジュール強度について下にまとめます。

モジュールを表示できません
問46 プロセス制御などの事象駆動(イベントドリブン)による処理の仕様を表現する方法として、適切なものはどれか。
DFD
E−R図
クラス図
状態遷移図
解答
解説 イベントドリブンとは、逐次的な処理とは違って何かイベントが起こるのを待ち、イベントが発生したらあらかじめ決められた処理を行うというものです。キーボードやマウスなどがその代表的な例といえます。そのため、イベントドリブンには『ある状態であるイベントが起きたら、別の状態に遷移する』ということが記述できる、状態遷移図が記述に適しています。
DFD(Data Flow Diagram)とは、データの源泉・吸収・処理・蓄積などの関係を表現します。
E−R(エンティティーリレーションシップ)図とは、2つの実体と実体間の関係を表すのに適しています。リレーショナルデータベースの設計などで用いられます。
クラス図とは、クラス間の特化/汎化、集約/分解などを記述するものです。
問47 表は、現行プロジェクトのソフトウェアの誤りの発生、除去の実績及び次期プロジェクトにおける誤り除去の目標を記述したものである。誤りは、設計とコーディングの作業で埋め込まれ、デザインレビュー、コードレビュー及びテストですべて除去されるものとする。次期プロジェクトにおいても、ソフトウェアの規模と誤りの発生状況は変わらないと仮定したときに、テストで除去すべきソフトウェア誤りの比率は全体の何%となるか。

画像(問47)を表示できません
17.5
25
30
32.5
解答
解説 順番に計算していきます。

まず、今回も次回もバグは、設計とコーディングで50%ずつ含まれると予想されています。

今回のデザインレビューでは、設計の50%の誤りを検出でき、次回はその1.5倍なので、50×1.5=75%が摘出できると予想されます。
今回のコードレビューでは、コーディングの40%の誤りを検出でき、次回はその1.5倍なので、40×1.5=60%が摘出できると予想されます。

つまり、全体では、50%の75%+50%の60%=0.5×0.75+0.5×0.6=0.375+0.3=0.675が摘出できる計算になります。

よって、余りは1−0.675=0.325=32.5%程度バグが残っていることになります。
問48 あるプロジェクトについて、流れ図で示される部分に関するテストを、命令網羅で実施する場合、最小のテストケースは幾つか。ここで、各判定条件は流れ図に示された部分の先行する命令の結果から影響を受けないものとする。

画像(問48)を表示できません
18
解答
解説 ホワイトボックステストの手法について下にまとめます。

命令網羅:命令が必ず1度は実行されるようにする。つまり、if文(if-elseではない)では真だけ通過すればよい。
判定条件網羅(分岐網羅):すべての判定条件で、真と偽を1回以上行うようにする。
条件網羅(分岐条件網羅):すべての判定条件で、条件文の中のANDやORも真と偽のすべての組み合わせを行うようにする。
複数条件網羅:すべての条件の真と偽の組み合わせを1度は実行するようにする。

よって今回は、1箇所で最大3つに分岐するので、3つのテストケースがあれば十分といえます。
問49 ソフトウェアプロセスの標準化と最適化を推進し、製品やサービスの開発、調達及び保守活動において、組織のもつプロセスを改善するためのガイドラインを提供するものはどれか。
CMMI
COBIT
ITIL
ITSS
解答
解説 CMMI(Capability Maturity Model Integration)は能力成熟度モデル統合と略され、組織がプロセスを適切に管理できるように、守るべき指針を体系化したもので、以下のような段階に分かれています。

LV1:初期段階:何もルールがない
LV2:管理段階:システム開発の計画・コスト見積りの経験則ができている。
LV3:定義段階:システム開発の経験が組織として共有され、標準プロセスが確立している。
LV4:管理段階:プロセスからの定量的なフィードバックによって、継続的に改善されている。
LV5:最適化段階:プロセスの測定基準が定められ、組織的に分析が進められている。

COBIT(Control Objectives for Information and related Technology)は、ITガバナンスや内部統制のために、IT管理のベストプラクティスをまとめたものです。
ITILは(Information Technology Infrastructure Library)は、ITサービスマネジメントにおけるベストプラクティスをまとめたもので、ITサービス運用で重要なものです。
ITSSは(IT skill standard)は、経済産業省が定めているIT関連能力を分野ごとに体系化しスキルやキャリアを示した指標です。
問50 あるソフトウェア開発部門では、開発工数E(人月)と開発規模L(キロ行)との関係が、E=5.2L0.98で表される。L=10としたときの生産性(キロ行/人月)は、およそ幾らか。
0.2
0.5
1.9
5.2
解答
解説 生産規模Eは5.2L0.98≒5.2L1で、L=10なので、52(人月)となります。生産性の単位はキロ行/人月なので、L/Eで求められることが分かります。つまり、10/52=0.1923≒0.2となります。
問51 多くのプロジェクトライフサイクルに共通する特性はどれか。
プロジェクト完成時のコストに対してステークホルダが及ぼす影響の度合いは、プロジェクトの終盤が最も高い。
プロジェクトの開始時は不確実性の度合いが最も高いので、プロジェクト目標が達成できないリスクが最も大きい。
プロジェクト要員の必要人数は、プロジェクトの開始時点が最も多い。
変更やエラー訂正にかかるコストは、プロジェクトの初期段階が最も高い。
解答
解説 選択肢を順に見ていきます。

選択肢ア:ステークホルダ(利害関係者)との影響度合いはプロジェクトの立上げ時が最も高いといえます。
選択肢イ:プロジェクトの立上げ時には決められることが少なく、内在するリスクが最も大きいです。(正解)
選択肢ウ:プロジェクト要員の必要人数は、プロジェクトにより様々ですが、中盤あたりが一番多くなるのが一般的です。
選択肢エ:初期の変更はすぐに直せますが、終盤に行われる変更はかなりのコストがかかります。
問52 図のプロジェクトを最短の日数で完了したいとき、作業Eの最遅開始日は何日日か。

画像(問52)を表示できません
12
13
17
解答
解説 まず、このプロジェクトのクリティカルパスを求めると『A → B → D → F → G』となり、20日となります。

画像(問52kai)を表示できません

作業Eの開始前が9日で、余裕+作業4日後に17日となるので、17−9−4=4日が余裕となるので、9+4=13日に遅くても始めなければなりません。
問53 プロジェクト品質マネジメントの活動を品質計画、品質保証、品質管理に分類したとき、品質保証の活動として適切なものはどれか。
プロジェクトで定めた品質基準に対して不満足な結果が発生したときに、その原因を取り除くための方法を決める。
プロジェクトで定めた品質基準を確実に満たすための、計画的かつ体系的な活動を行う。
プロジェクトの遂行結果が、定められた品質基準に適合しているかどうかを監視する。
プロジェクトの遂行結果に対する適切な品質基準を設定し、それを満たす手順を定める。
解答
解説 まず、品質計画、品質保証、品質管理の3つを以下にまとめます。

品質計画:品質を定義し、それを確保する計画をたてる。
品質保証:品質を保証するための活動や、保証の証拠を提供する活動を行う。
品質管理:品質を維持・向上させるための活動を行う。

選択肢ア:品質管理
選択肢イ:品質保証
選択肢ウ:品質管理
選択肢エ:品質計画
問54 ITIL v3における問題管理プロセスの目標はどれか。
インシデントに対する既存ITサービスへの変更や新規サービスの導入を効果的かつ安全に実施する。
インシデントによって中断したITサービスを合意した時間内に復旧する。
インシデントの根本原因を突き止めて排除したり、インシデントの発生を予防したりする。
利用者に単一窓口を提供し、事業への影響を最小限にし、通常サービスへ復帰できるように支援する。
解答
解説 サービスサポートプロセスはITILを構成するプロセスのひとつで、ITサービス運営に手法について書かれています。サービスサポートは、一つの機能と、五つのプロセスで構成されています。下に内容をまとめます。

インシデント管理:障害時の迅速な回復を行い、影響を最小限にする
問題管理:インシデントや障害の原因の解明と対策・再発防止を行う
構成管理:構成アイテム情報の収集や維持・管理・確認・検査を行う
変更管理:構成アイテムの変更を安全かつ効率的に実施する
リリース管理:変更管理プロセスで承認された内容を本番環境に反映させる
サービスデスク:顧客との窓口の役割をし、サポート業務を行う

選択肢アは、リリース管理の説明です。
選択肢イは、インシデント管理の説明です。
選択肢エは、サービスデスクの説明です。
問55 ITILのキャパシティ管理において、監視項目となるものはどれか。
インシデント発生件数
オペレータ要員数
ディスク使用率
平均故障間隔
解答
解説 サービスデリバリプロセスはITILを構成するプロセスのひとつで、主に中長期的なITサービスの計画と改善手法について記載されており、五つのプロセスで構成されています。

サービスレベル管理:サービス提供者と利用顧客の間で合意したサービスレベルを管理する
ITサービス財務管理:サービスの提供に必要なコストとサービス利用に伴う収益性を管理する
可用性管理:サービスの提供に必要なシステムとマンパワーに関する可用性を管理する
ITサービス継続性管理:ITサービスの提供が停止した場合の顧客への影響を最小限に防ぐ
キャパシティ管理:利用顧客が要求するサービスレベルに対し、システムに必要とされるリソースを管理する

キャパシティ管理では、CPUの使用率、メモリの使用率、ネットワークの使用率、ハードディスクの使用率などを監視します。
問56 データの追加・変更・削除が、少ないながらも一定の頻度で行われるデータベースがある。このデータベースのフルバックアップを磁気テープに取得する時間間隔を今までの2倍にした。このとき、データベースのバックカップ又は復旧に関する記述のうち、適切なものはどれか。
ジャーナル情報からの復旧処理時間が平均して約2倍になる。
フルバックアップ1回当たりの磁気テープ使用量が約2倍になる。
フルバックアップ1回当たりの磁気テープ使用量が約半分になる。
フルバックアップ取得の平均実行時間が約2倍になる。
解答
解説 フルバックアップと差分バックアップを下にまとめます。

フルバックアップとは、現在記録されているデータを完全にバックアップする手法で、比較的時間がかかります。
差分バックアップとは、定期的にフルバックアップされていることを仮定して、特定の瞬間からの差分だけをバックアップします

フルバックアップと差分バックアップをうまく組み合わせて適切な期間を復元できるようにするのが基本です。

今回の場合は、フルバックアップの間隔を2倍にするので、ジャーナルファイルからの復旧が2倍かかるようになるといえます。バックアップする時間や使用容量は、データ量に比例しますが、同じデータが3回更新されても最新のデータだけをバックアップするので、間隔を2倍にしてもそのまま使用量や実行時間が2倍にはなりません。
問57 ITサービスマネジメントシステムを構築するに当たって、現行の業務のやり方とベストプラクティスを比較するものはどれか。
システム監視
内部監査
ベンチマーキング
マネジメントレビュー
解答
解説 他社のベストプラクティス(優れた事例)を参考にして、現状の業務プロセスを根本的に改善・改革することをベンチマーキングといいます。

選択肢ア:システムが当初の目的・計画通りに適切に利用されているかどうかを調べるものです。
選択肢イ:監査機関と被監査機関の独立と、専門的で中立的な立場からの監査をするもので、企業の監査部門が行うものです。(第三者機関に依頼する場合を外部監査といいます)
選択肢エ:マネジメント(管理)システムが正しく、適切に利用されているかを監視・評価するものです。
問58 リスクアセスメントに基づく監査対象の選定として、適切なものはどれか。
運用開始時期の順に、すべてのシステムを対象とする。
監査実施体制を踏まえて、実施可能なシステムを対象とする。
無作為に抽出したシステムを対象とする。
問題発生の可能性とその影響の大きなシステムを対象とする。
解答
解説 リスクアセスメントとは、被害を及ぼす因子(リスク)にはどのようなものがあり、どれくらいの被害がでるかを分析するものです。

主に以下のようなものを分析します。
・リスクの種類
・リスクの発生確率
・リスクが実際に起こったときの被害の大きさ

分析結果をもとに、リスクに順序をつけて優先度の高いものから順に対策をしていきます。可能な対策をした後に最終的に残ったリスクを残存リスクといいます。

なお、リスクへの対策には代表的なものとして、以下のようなものがあります。

リスクを表示できません
問59 システム開発委託先(受託者)から委託元(委託者)に納品される成果物に対する受入テストの適切性を確かめるシステム監査の要点はどれか。
委託者が作成した受入テスト計画書に従って、受託者が成果物に対して受入テストを実施していること
受託者が成果物と一緒に受入テスト計画書を納品していること
受託者から納品された成果物に対して、委託者が受入テストを実施していること
受託者から納品された成果物に対して、監査人が受入テスト計画を策定していること
解答
解説 受入れテストは、システムの開発を依頼した側(委託者・委託元)がシステムを開発した側(受託者・委託先)からシステムを受け取る際に、きちんと依頼した内容の機能が満たされているかを調べるテストのことです。つまり、依頼した側が、出来上がったもの(成果物)を自分たちで準備したテスト(受け入れテスト)をして確認します。
問60 金融庁の“財務報告に係る内部統制の評価及び監査の基準”では、内部統制の基本的要素の一つとして“ITへの対応”を示している。“ITへの対応”に関する記述のうち、適切なものはどれか。
COSOの“内部統制の統合的枠組み”にも、構成要素の一つとして示されている。
IT環境への対応とITの利用及び統制からなる。
ITを利用しない手作業での統制活動では内部統制の目的は達成できない。
ほかの内部統制の基本的要素と独立に存在する。
解答
解説 IT対応とは、『組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応するこ とをいう。<中略>ITへの対応は、IT環境への対応とITの利用及び統制からなる。』とされています。

また、IT環境への対応とは『組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。<後略>』とあります。

さらに、ITの利用及び統制とは『組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。<後略>』とあります。