平成23年度 春期 応用情報技術者試験 問41−60 解答編



このページは

応用情報

(応用情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください



問41 DNSキャッシュポイズニングに分類される攻撃内容はどれか。
DNSサーバのソフトウェアのバージョン情報を入手して、DNSサーバのセキュリティホールを特定する。
PCが参照するDNSサーバに誤ったドメイン管理情報を注入して、偽装されたWebサーバにPCの利用者を誘導する。
攻撃対象のサービスを妨害するために、攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
内部情報を入手するために、DNSサーバが存在するゾーン情報をまとめて転送させる
解答
解説 DNS(Domain Name System)は、ドメイン名とIPアドレスを対応付けるものです。このドメイン情報に誤った情報を入れ、誤ったサーバにアクセスさせる攻撃をDNSキャッシュポイズニングといいます。つまり、いつもと同じURLを入力したのに、酷似した悪意のあるWebサイトに誘導されてしまうというものです。
問42 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は、どれに分類されるか。
ソーシャルエンジニアリング
トロイの木馬
パスワードクラック
踏み台攻撃
解答
解説 ソーシャルエンジニアリングとは、コンピュータを使わず、人をだまして重要情報を聞き出したり、物理的にゴミ箱から書類を盗んだりする手口を言います。

トロイの木馬は、無害(あるいは有益)なプログラムを装い、バックグラウンドでデータを盗んだり破壊するプログラムです。
パスワードクラックは、パスワードを総当りや辞書攻撃などで破る攻撃をいいます。
踏み台攻撃は、システムに不正な行為や攻撃を行う際、セキュリティ不足のシステムを経由して利用すること。
問43 あるコンピュータセンタでは、インシデントを六つのタイプに分類した。

画像(問43)を表示できません


このとき、次の三つのインシデントに対するタイプの組合せのうち、適切なものはどれか。

インシデント1:ワームの攻撃が試みられた形跡があるが、侵入されていない。
インシデント2:ネットワークの輻輳による妨害を受けた。
インシデント3:DoS用の踏み台プログラムがシステムに設置されていた。
画像(問43ans)を表示できません
解答
解説 それぞれのインシデントについて評価していきます。

インシデント1:ワームは自己増幅しながら増えるタイプで、セキュリティホールを探し侵入をします。今回はスキャンをしたものの侵入はされていないので、Scanといえます。
インシデント2:輻輳(ふくそう)というのは、ネットワークに負荷があり通信が遅くなっている状態です。これによりサービスが妨害されたので、Dosといえます。
インシデント3:踏み台プログラムが設置されていたということは、一度システムに侵入されているということになります。よってIntrusionといえます。
なお、この分類はJPCERT/CC(Japan Computer Emergency Response Team Coordination Center)に基づくものです。
問44 ゼロデイ攻撃の特徴はどれか。
セキュリティパッチが提供される前に攻撃する。
特定のサイトに対し、日時を決めて、複数台のPCから同時に攻撃する。
特定のターゲットに対し、フィッシングメールを送信して不正サイトへ誘導する。
不正中継が可能なメールサーバを見つけた後、それを踏み台にチェーンメールを大量に送信する。
解答
解説 ゼロデイ攻撃は、システムが公開されセキュリティホールやバグ・脆弱性の対策が発表されるまえに行われる攻撃を言います。

選択肢イは、DDoS攻撃の説明です。
選択肢ウは、スピアフィッシングの説明です。
選択肢エは、スパムメールの一種の説明です。
問45 図は“顧客が商品を注文する”を表現したUMLのクラス図である。“顧客が複数の商品をまとめて注文する”を表現したクラス図はどれか。ここで、“注文明細”は一つの注文に含まれる1種類の商品に対応し、“注文ヘッダ”は複数の“注文明細”を束ねた一つの注文に対応する。

画像(問45)を表示できません
画像(問45ans)を表示できません
解答
解説 問題文から、「注文明細は一つの注文に含まれる1種類の商品に対応」とあるので、商品と注文明細は1対多に対応します。次に、「注文ヘッダは複数の注文明細を束ねた物」なので、注文ヘッダと注文明細はコンポジションで接続されます。(ひし形は集約された注文ヘッダ側につきます)。この二つの条件を満たすのは、選択肢アとなります。

なお、コンポジションとは、特殊な集約のようなものだといえます。
問46 ソフトウェアの分析・設計技法の特徴のうち、データ中心分析・設計技法の特徴はどれか。
機能の詳細化の過程で、モジュールの独立性が高くなるようにプログラムを分割していく。
システムの開発後の仕様変更は、データ構造や手続きを局所的に変更したり追加したりすることによって、比較的容易に実現できる。
対象業務領域のモデル化に当たって、情報資源のデータ構造に着目する。
プログラムが最も効率よくアクセスできるようにデータ構造を設計する。
解答
解説 データ構造や流れに注目して分析を行う手法をデータ中心分析・設計(DOA:Data Oriented Approach)といいます。一方処理手順に注目して分析を行う手法をプロセス中心分析・設計(POA:Process Oriented Approach)といいます。

選択肢アは、構造化プログラミングの説明です。
選択肢イは、DOAでは、仕様変更はあまり行われません。
選択肢エは、DOAでは、アクセス効率はあまり意識されません。
問47 モジュール設計に関する記述のうち、モジュール強度(結束度)が最も強いものはどれか。
ある木構造データを扱う機能をデータとともに一つにまとめ、木構造データをモジュールの外から見えないようにした。
複数の機能のそれぞれに必要な初期設定の操作が、ある時点で一括して実行できるので、一つのモジュールにまとめた。
二つの機能A,Bのコードは重複する部分が多いので、A,Bを一つのモジュールとし、A,Bの機能を使い分けるための引数を設けた。
二つの機能A,Bは必ずA,Bの順に実行され、しかもAで計算した結果をBで遣うことがあるので、一つのモジュールにまとめた。
解答
解説 プログラムを機能ごとに分割したものをモジュールといいます。そしてモジュールの分け方や結合の仕方により様々な形態があります。まず、モジュール強度とモジュール間結合度を以下にまとめます。

モジュールを表示できません

選択肢アは、情報的強度の説明です。
選択肢イは、時間的強度の説明です。
選択肢ウは、論理的強度の説明です。
選択肢エは、連絡的強度の説明です。
問48 テストで使用されるドライバ又はスタブの機能のうち、適切なものはどれか。
スタブは、テスト対象モジュールからの戻り値を表示・印刷する。
スタブは、テスト対象モジュールを呼び出すモジュールである。
ドライバは、テスト対象モジュールから呼び出されるモジュールである。
ドライバは、テスト対象モジュールに引数を渡して呼び出す。
解答
解説 テストと仮モジュールについてまとめます。

トップダウンテスト:上位のモジュールから順に開発していく、テストには仮の下位モジュール『スタブ』が利用される。
ボトムアップテスト:下位のモジュールから順に開発していく、テストには仮の上位モジュール『ドライバ』が利用される。

テストするモジュールを呼び出す上位のモジュールがドライバ、テストするモジュールから呼び出される下位のモジュールがスタブです。
よって、選択肢ア、イ、エがドライバ。選択肢ウがスタブの説明です。
問49 共通フレーム2007をソフトウェア産業界に導入する目的として、適切なものはどれか。
ソフトウェア産業界において、ソフトウェア開発の生産性の尺度を統一する。
ソフトウェアの開発及び取引における契約書や設計書など、文章の種類や書式を規定する。
ソフトウェアの開発及び取引の内容を明確にし、市場の透明性を高め、取引の更なる可視化を実現する。
電子商取引を行う際に必要な国際会計基準への対応方法を標準化する。
解答
解説 共通フレーム2007はソフトウェア開発作業全般にわたって“共通の物差し”を使うことによって、作業範囲・作業内容を明確にし、取得者と供給者の取引内容を明確にすることを目的としています。また、プロセスの可視化と信頼性ガイドライン要素を重視しています。これを産業界に導入することで、内容の明確化や可視化、市場の透明性が高まると予想できます。
問50 PMBOKのWBSで定義するものはどれか。
プロジェクトで行う作業を階層的に要素分解したワークパッケージ
プロジェクトの実行、監視・コントロール、及び終結の方法
プロジェクトの要素成果物、除外事項及び制約条件
ワークパッケージを完了するために必要な作業
解答
解説 まず、WBS(Work Breakdown Strucuture:作業分割構成)とは仕事を分割して、作業のしやすい量にすることです。この分割の最下位の仕事の単位をワークパッケージといいます。
ワークパッケージは必要に応じてアクティビティ(具体的な操作)に分解されます。また、ワークパッケージを人員に割り当てることで、OBS(Organization Breakdown Structure:組織分割構成)を作成することができます。また、成果物を分割していき、WBSのように階層的に示した製品構成図のことをPBS(Product Breakdown Structure:製品分割構成)といいます。

以下にWBSの例を図示します。

WBSを表示できません

なお、PMBOK(Project Management Body of Knowledge:プロジェクトマネジメント知識体系)とは、プロジェクトを管理する上で、プロジェクトマネージャが考慮すべき項目がまとめられています。
問51 あるプロジェクトの作業が図に従って計画されているとき、最短日数で終了するためには、結合点Dはプロジェクトの開始から遅くとも何日後に通過していなければならないか。

画像(問51)を表示できません
12
14
18
21
解答
解説 まず、プロジェクト全体の最短日数を求めます。

画像(問51kai)を表示できません

すると、クリティカルパスは、1 → 2 → 4 → 7で30日となります。

結合点Dは結合点Fに到達するために、H(5)+I(4)=9日必要となります。
よって、30−9で21日が正解となります。
問52 あるプロジェクトの設計から結合テストまでの開発工程ごとの見積工数を表1に示す。また、この間の開発工程ごとの上級SEと初級SEの要員割当てを表2に示す。上級SEは初級SEに比べて、プログラム作成・単体テストについて2倍の生産性を有する。表1の見積工数は、上級SEの生産性を基に算出している。

すべての開発工程で、上級SEを1人追加して割り当てると、この間の開発工程の期間を何か月短縮できるか。ここで、開発工程の期間は重複させないものとし、要員全員が1か月当たり1人月の工数を投入するものとする。

画像(問52)を表示できません
解答
解説 まず、現在の状態で開発期間を見積もります。初級SE2=上級SEとして計算します。

設計:6人月/2人=3ヶ月
プログラム作成・単体テスト:12人月/3人=4ヶ月
結合テスト:12人月/2人=6ヶ月

3+4+6=13ヶ月となります。

 次に、すべての工程で上級SEを一人追加して割り当てた場合を計算します。
設計:6人月/3人=2ヶ月
プログラム設計・単体テスト:12ヶ月/4人=3ヶ月
結合テスト:12人月/3人=4ヶ月

2+3+4=9ヶ月となります。

よって、13−9=4ヶ月短縮できると予想できます。
問53 パレート図の用途として、適切なものはどれか。
工程の状態や品質を時系列に表した図であり、工程が安定した状態にあるかどうかを判断するために用いる。
項目別に層別して出現度数の大きさの順に並べるとともに累積和を示した図であり、主要な原因を識別するために用いる。
二つの特性を横軸と縦軸にとり測定値を打点してした図であり、それらの相関を判断するために用いる。
矢印付き大枝の先端に特性を、中枝、小枝に要因を表した図であり、どれがどれに影響しているかを分析するために用いる。
解答
解説 パレート図は下のような図で、値を表す棒グラフと累積比率を表す折れ線グラフで構成されています。値が全体に占める割合などを調べることができ、重要度の高い項目を探すABC分析などを行うのに適している図です。

パレート図を表示できません

選択肢アは、管理図の説明で以下のような図です。
管理図を表示できません


選択肢ウは、散布図の説明で以下のような図です。
散布図を表示できません


選択肢エは、特性要因図(フィッシュボーン)の説明で以下のような図です。
特性要因図を表示できません
問54 プレゼンテーションの目的とグラフの使い方の記述のうち、適切なものはどれか。
Zグラフを利用して、一定期間の売上実績や業務傾向を表示する。
円グラフを利用して、作業予定に対する実際の進捗の度合いを表示する。
折れ線グラフを利用して、複数の評価項目に基づく製品の機能の優劣を表示する。
散布図を利用して、製品に対する各社の市場占有率を表示する。
解答
解説 Zグラフは、移動合計、累計、値の3つを表すもので、売上の推移などを調べるのに向いています。完成した図がZの形になることからZグラフといいます。

選択肢イは、ガントチャートを利用するのに適しています。
選択肢ウは、レーダーチャートを利用するのが適しています。
選択肢エは、円グラフを利用するのが適しています。
問55 SLAに記載する内容として、適切なものはどれか。
顧客とサービスプロバイダの間で合意されたサービスの目標及び責任範囲
サービスデスクとITサポート部門の役割分担
サービスプロバイダが提供するすべてのサービスの特徴、構成要素、料金
利用者から出されたITサービスに対する業務要件
解答
解説 SLA(service level agreement)とは、サービス品質保証契約のことで、サービスの品質(故障時間やサービスの内容保障)を取り決めます。利用部門と情報システム部門が取り交わす契約事項であり、課金項目、問合せ受付時間、オンラインシステム障害時の復旧時間などの項目が盛り込まれます。また、契約事項が実行されなかった場合の補償規定も盛り込まれることもあります。
問56 データ管理者(DA)とデータベース管理者(DBA)を別々に任命した場合のDAの役割として、適切なものはどれか。
業務データ量の増加傾向を把握し、ディスク装置の増設などを計画して実施する。
システム開発の設計工程では、主に論理データベース設計を行い、データ項目を管理して標準化する。
システム開発のテスト工程では、主にパフォーマンスチューニングを担当する。
システム障害が発生した場合には、データの復旧や整合性のチェックなどを行う。
解答
解説 2つの役割を下にまとめます。

DA:データの設計、項目の管理を行う。
DBA:データベースの運用や、管理、保守を行う。

よって、選択肢ア、ウ、エは、DBAの役割といえます。
問57 “システム監査基準”における、組織体がシステム監査を実施する目的はどれか。
外部の専門企業によるテストによって、社内ネットワーク環境の脆弱性を知り、ネットワーク環境を整備する。
自社の強み・弱み、自社を取り巻く機会・脅威を整理し、新たな経営戦略・事業分野を設定する。
情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、ITガバナンスの実現に寄与する。
ソフトウェア開発の生産性のレベルを客観的に知り、開発組織の能力を向上させるために、より高い生産性レベルを目指して取り組む。
解答
解説 それぞれの選択肢の目的をまとめます。

選択肢ア、脆弱性検出の目的です。
選択肢イ、SWOT分析の目的です。
選択肢ウ、システム監査の目的です。
選択肢エ、CMMIの目的です。
問58 システム監査人が負う責任はどれか。
監査結果の外部への開示
監査対象システムの管理
監査報告会で指摘した問題点の改善
監査報告書に記載した監査意見
解答
解説 監査とは、業務が正しく行われているかどうかをチェックすることです。監査を行う際には、監査機関と被監査機関の独立と専門的で中立的な立場からの客観的指摘が重要となります。また、監査人は、監査結果に対しては内容の保障を行いますが、改善に関しては被監査部門が責任を負います。
問59 情報セキュリティに関する従業員の責任について、“情報セキュリティ監査基準”に基づいて監査を行った。指摘事項に該当するものはどれか。
雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている。
定められた勤務時間以外においても守秘責任を負うことが、雇用契約に定められている。
定められた守秘責任を果たさなかった場合、相応の措置がとられることが、雇用契約に定められている。
定められた内容の守秘義務契約書に署名することが、雇用契約に定められている。
解答
解説 守秘義務は、業務中に知った情報をむやみにもらしてはならないというものです。一般的に業務や勤務終了時に秘密をもらされては守秘義務の意味がありませんので、守秘義務は業務や職務・雇用が終わった後でも適用されます。また、選択肢ウやエのように雇用契約内に守秘義務が含まれていたり、罰則規定が定められているものも多いです。
問60 システム監査報告書に記載された改善勧告に対して、被監査部門から提出された改善計画を経営者がITガバナンスの視点から評価する際の方針のうち、適切なものはどれか。
1年以内に実現できる改善を実施する。
情報システムの機能面の改善に絞って実施する。
経営資源の状況を踏まえて改善を実施する。
被監査部門の情報化予算の範囲内で改善を実施する。
解答
解説 ITガバナンスは、コーポレートガバナンスから派生した概念で、ITへの投資・効果・リスクを継続的に最適化する組織的な枠組みをいいます。

監査が行われ、改善勧告が出された場合、監査を受けた部門は勧告に従って改善を実施します。改善は複数年にわたる場合もありますし、できる限りすべての改善を行うべきです。さらに、予算以上であっても緊急性や重要性によっては実施を行う必要があるといえます。