平成24年度 秋期 応用情報技術者試験 問41−60 解答編



このページは

応用情報

(応用情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問41 安全なWebアプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。
画像(問41ans)を表示できません
解答
解説 それぞれ選択肢の攻撃方法以下にまとめます。

SQLインジェクション:外部からの入力を元にSQL文を組み立てる場合に、意図しない動作をするSQL文を注入する攻撃。入力をサニタイジングし、特殊文字があってもただの文字列として実行するように対策する。
クロスサイトスクリプティング(XSS):動的なWebページを表示するアプリケーションにおいて、脆弱性をついて情報を盗んだりシステムの動作を妨害する攻撃。信頼できない入力や出力をサニタイジングすることで対策する。 クロスサイトフォージェリ(CSRF):攻撃対象のサイトとは別のサイトにスクリプトを準備しておき、訪問者に攻撃させる手法。
セッションハイジャック:認証済のセッション情報を盗聴などで盗みとる攻撃。これにより他人の認証情報でログインをすり抜ける方法。
問42 ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて、もし存在していればウイルスとして検知する。
各ファイルに、チェックサム値などウイルスではないことを保証する情報を付与しておき、もし保証する情報が検査対象ファイルに付与されていないか無効ならば、ウイルスとして検知する。
検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし異なっていればウイルスとして検知する。
検査対象プログラムを動作させてその挙動を監視し、もしウイルスによく見られる行動を起こせばウイルスとして検知する。
解答
解説 ビヘイビア法とは、疑いのあるプログラムを動かしてみて、その動きを監視するもので、動的ヒューリスティック法とも言います。また、選択肢アのパターンマッチングも代表的なウイルス検出法ですが、亜種や新種に弱いというデメリットがあります
問43 自社の中継用メールサーバで、接続元IPアドレス、電子メールの送信者のドメイン名及び電子メールの受信者のドメイン名のログを取得するとき、外部ネットワークからの第三者中継と判断できるログはどれか。ここで、AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし、BBB.45.67.89とBBB.45.67.90は社外のグローバルIPとする。a.b.cは自社のドメイン名とし、a.b.dとa.b.eは他社のドメイン名とする。また、IPアドレスとドメイン名は詐称されていないものとする。
画像(問43ans)を表示できません
解答
解説 第三者中継とは、自サーバを踏み台に、社外から社外に向けてメールを送る行為をいいます。通常はこのような通信は遮断されています。選択肢のIPとドメインを社内・社外に分類すると以下のようになります。

選択肢ア:IPアドレス=社内。送信者ドメイン=社内。受信者ドメイン=社外。
選択肢イ:IPアドレス=社内。送信者ドメイン=社内。受信者ドメイン=社内。
選択肢ウ:IPアドレス=社外。送信者ドメイン=社外。受信者ドメイン=社外。
選択肢エ:IPアドレス=社外。送信者ドメイン=社外。受信者ドメイン=社内。

よって、すべてが社外な選択肢ウが第三者中継になっているといえます。
問44 UMLで用いる図のうち、オブジェクト間で送受信するメッセージによる相互作用が表せるものはどれか。
コンポーネント図
シーケンス図
ステートチャート図
ユースケース図
解答
解説 UML(Unified Modeling Language)は統一モデリング言語とよばれ、オブジェクトモデルを表すのに用いられるものです。代表的な図を以下にまとめます。

オブジェクト図:オブジェクト間の構造を記述するもの。(クラス図と似ています)
クラス図:クラス間の特化/汎化、集約/分解などを記述するもの。
アクティビティ図:フローチャートのようなもので、ビジネスプロセスやフローなどを記述するもの。
シーケンス図:オブジェクト間のデータのやり取りを記述するもの。
パッケージ図:クラス図の一種で、パッケージという単位での構造関係を記述するもの
コンポーネント図:コンポーネント(構成要素)の内容とその間のインタフェースを記述するもの。
ステートチャート図:オブジェクトが生成された、動作し、消滅するまでを記述するもの。
ユースケース図:、アクタ(利用者)とアクタの操作(ユースケース)を記述するもの。
問45 ソフトウェアの要件定義や分析・設計で用いられる技法に関する記述のうち、適切なものはどれか。
決定表は、条件と処理を対比させた表形式で論理を表現したものであり、複雑な条件判定を伴う要件定義の記述手段として有効である。
構造化チャートは、システムの“状態”の種別とその状態が遷移するための“要因”との関係をわかりやすく表現する手段として有効である。
状態遷移図は、DFDに“コントロール変換とコントロールフロー”を付加したものであり、制御系システムに特有な処理を表現する手段として有効である。
制御フロー図は、データの“源泉、吸収、流れ、処理、格納”を基本要素としており、システム内のデータの流れを表現する手段として有効である。
解答
解説 決定表とは、以下のような図で、条件とその条件が満たされた場合の処理を対応させて記述します。

画像(問43ans)を表示できません

他の選択肢は以下のようになります。
選択肢イ:状態遷移図の説明です。
選択肢ウ:制御フロー図の説明です。
選択肢エ:DFDの説明です。

なお、構造化チャートは、アルゴリズムなどを図式化するために用いられるものです。
問46 ソフトウェアの再利用の説明のうち、適切なものはどれか。
再利用可能な部品の開発は、同一規模の通常のソフトウェアを開発する場合よりも工数がかかる。
同一機能のソフトウェアを開発するとき、一つの大きい部品を再利用するよりも、複数の小さい部品を再利用する方が、開発工数の削減効果は大きい。
部品の再利用を促進するための表彰制度などによるインセンティブの効果は、初期においては低いが、時間の経過とともに高くなる。
部品を再利用したときに削減できる工数の比率は、部品の大きさに反比例する。
解答
解説 ソフトウェアの再利用とは、一度作ったプログラムを別のプログラムの一部として利用するというものです。(例えば、階乗のプログラムを順列や組み合わせを計算するプログラムで再利用するなど)

もちろん、大きな部品を再利用する方が削減効果は大きいといえます。つまり、部品の大きさに比例して効果が大きくなるといえます。一般的には、汎用的にするため多少の手間がかかります。
問47 CMMIを説明したものはどれか。
ソフトウェア開発組織及びプロジェクトのプロセスの成熟度を評価するためのモデルである。
ソフトウェア開発のプロセスモデルの一種である。
ソフトウェアを中心としてシステム開発及び取引のための共通フレームのことである。
プロジェクトの成熟度に応じてソフトウェア開発の手順を定義したモデルである。
解答
解説 CMMIは能力成熟度モデル統合と略され、組織がプロセスを適切に管理できるように、守るべき指針を体系化したもので、以下のような段階に分かれています。

LV1:初期段階:何もルールがない
LV2:管理段階:システム開発の計画・コスト見積りの経験則ができている。
LV3:定義段階:システム開発の経験が組織として共有され、標準プロセスが確立している。
LV4:管理段階:プロセスからの定量的なフィードバックによって、継続的に改善されている。
LV5:最適化段階:プロセスの測定基準が定められ、組織的に分析が進められている。
問48 SOA(Service Oriented Architecture)の説明はどれか。
Webサービスを利用するためのインタフェースやプロトコルを規定したものである。
XMLを利用して、インターネット上に存在するWebサービスを検索できる仕組みである。
業務機能を提供するサービスを組み合わせることによって、システムを構築する考え方である。
サービス提供者と委託者との間でサービスの内容、範囲及び品質に対する要求水準を明確にして、あらかじめ合意を得ておくことである。
解答
解説 SOA(Service Oriented Architecture):情報システムを製品からの視点ではなく、サービスという視点から部品化し、構築していこうとする考え方です。

他の選択肢は以下のようになります。
選択肢ア:WSDL(Web Services Description Language)
選択肢イ:UDDII(Universal Description, Discovery and Integration)
選択肢エ:SLA(Service Level Agreement)
問49 プログラムの著作権侵害に該当するものはどれか。
A社が開発したソフトウェアの公開済プロトコルに基づいて、A社が販売しているソフトウェアと同等の機能をもつソフトウェアを独自に開発して販売した。
ソフトウェアハウスと使用許諾契約を締結し、契約上は複製権の許諾は受けていないが、使用許諾を受けたソフトウェアにはプロテクトがかけられていたので、そのプロテクトを外し、バックアップのために複製した。
他人のソフトウェアを正当な手段で入手し、逆コンパイルを行った。
複製及び改変する権利が付与されたソース契約の締結によって、許諾されたソフトウェアを改造して製品に組み込み、ソース契約の範囲内で製品を販売した。
解答
解説 選択肢を順に見ていきます。

選択肢ア:独自に開発を行っているので、著作権違反にはなりません。
選択肢イ:複製権の許諾を受けていないものを複製することは著作権違反になります。
選択肢ウ:逆コンパイルが禁止されていない場合においては、逆コンパイルを行うことは合法です。しかしこのデータを利用すると著作権の違反になりえます。
選択肢エ:契約内での複製・改造のため、著作権法違反にはなりません。
問50 日本において特許Aを取得した特許権者から、実施許諾を受けることが必要になり得るのはどれか。
出願日から25年を超えた特許Aと同じ技術を、新たに事業化する場合
特許Aの出願日より前から、特許Aと同じ技術を独自に開発して、製品を製造・販売していたことが証明できる場合
特許Aを家庭内で個人的に利用するだけの場合
日本国内で製造し、米国に輸出する製品に特許Aを利用する場合
解答
解説 それぞれの選択肢を順に見ていきます。

選択肢ア:特許は有効期限が20年であるため、権利が切れた後であれば問題ありません。
選択肢イ:特許の出願よりも前に、同等の内容を開発していたことを証明できる場合は、自由に利用できます。
選択肢ウ:基本的に個人利用は問題ありません。
選択肢エ:日本内で製造を行っているため、特許法に抵触します。
問51 WBS(Work Breakdown Structure)を利用する効果として、適切なものはどれか。
作業の内容や範囲が体系的に整理でき、作業の全体が把握しやすくなる。
ソフトウェア、ハードウェアなど、システムの構成要素を効率よく管理できる。
プロジェクト体制を階層的に表すことによって、指揮命令系統が明確になる。
要員ごとに作業が適正に配分されているかどうかが把握できる。
解答
解説 WBS(Work Breakdown Strucuture:作業分割構成)とは仕事を分割して、作業のしやすい量にすることです。この分割の最下位の仕事の単位をワークパッケージといいます。ワークパッケージは必要に応じてアクティビティ(具体的な操作)に分解されます。また、ワークパッケージを人員に割り当てることで、OBS(Organization Breakdown Structure:組織分割構成)を作成することができます。

WBSを表示できません
問52 図のアローダイアグラムから読み取れることのうち、適切なものはどれか。ここで、プロジェクトの開始日は0日目とする。

画像(問52)を表示できません
作業Cを最も早く開始できるのは5日目である。
作業Dはクリティカルパス上の作業である。
作業Eの余裕日数は30日である。
作業Fを最も遅く開始できるのは10日目である。
解答
解説 選択肢を順に見ていきます。

選択肢ア:作業Cを最も開始できるのは、Bとダミー作業が完了した10日となります。
選択肢イ:クリティカルパスは、B→ダミー→C→G→Hとなります。
選択肢ウ:もっとも遅いライン(クリティカルパス)はB→ダミー→C→Gで50日です。一方B→ダミー→Eは20日なので、30日の余裕があります。(正解)
選択肢エ:作業Fは完了した段階で50日である必要があるため、50−10日で40日が作業が開始できる最も遅い日数です。
問53 プロジェクト管理においてパフォーマンス測定に使用するEVMの管理対象の組みはどれか。
コスト、スケジュール
コスト、リスク
スケジュール、品質
品質、リスク
解答
解説 EVM(Earned Value Management)は、以下のようなコストを用いて、プロジェクト全体のスケジュールの遅れやコスト超過を可視化する進捗管理手法です。

プランド・バリュー(PV):当該期間末までに完了しているものとして計画された作業の予算
アーンド・バリュー(EV):当該期間末までに進捗した作業を、その作業の計画価値に対する比から評価した価値
実コスト(AC):当該期間末までに実際に投入した総コスト
完成時総予算 (BAC):プロジェクトの完了時点におけるPV

これらをもとに以下のような指標が計算できます。

コスト差異 (CV):EV−AC
スケジュール差異 (SV):EV−PV
コスト効率指数 (CPI):EV/AC
スケジュール効率指数(SPI):EV/PV
完成時総コスト見積り (EAC):AC+(BAC−EV)/CPI
残作業のコスト見積り (ETC):(BAC−EV)/CPI=EAC−AC
問54 プロジェクトの品質マネジメントにおいて、プロセスが安定しているかどうか、又はパフォーマンスが予想のとおりであるかどうかを判断するために用いるものであって、許容される上限と下限が設定されているものはどれか。
管理図
実験計画法
流れ図
ベンチマーク
解答
解説 管理図は以下のような図で、工程の状態や品質を時系列に表した図であり、工程が安定した状態にあるかどうかを判断するために用いる図です。
管理図を表示できません

他の選択肢の用語を以下にまとめます。
実験計画法:統計学を応用し、効率の良い実験・テストを行う方法です。
流れ図:フローチャートともいい、図式をもちいてプログラムなどを可視化したものをいいます。
ベンチマーク:システムの性能評価を行う団体とその団体のテストそのものをいいます。
問55 ITサービスマネジメントにおけるインシデント管理の主な活動はどれか。
インシデントから派生する問題の解決策の評価
インシデントの解決とサービスの復旧
本インシデントの根本原因の究明
インシデントのトレンド分析と予防措置
解答
解説 インシデント管理とは、ITサービスマネジメントが担う情報システムの管理作業のうち、システムの不具合の暫定的な回避策を実施し迅速な復旧を行うプロセスです。

サービスサポートは主にITサービス運営における日々の運用について書かれており、一つの機能と、五つのプロセスで構成されています。下に内容をまとめます。

インシデント管理:障害時の迅速な回復を行い、影響を最小限にする
問題管理:インシデントや障害の原因の解明と対策・再発防止を行う
構成管理:構成アイテム情報の収集や維持・管理・確認・検査を行う
変更管理:構成アイテムの変更を安全かつ効率的に実施する
リリース管理:変更管理プロセスで承認された内容を本番環境に反映させる
サービスデスク:顧客との窓口の役割をし、サポート業務を行う
問56 ITサービスマネジメントの可用性管理のKPIとして用いるものはどれか。
災害を想定した復旧テストの回数
サービスの中断回数
性能不足に起因するインシデントの数
目標を達成できなかったSLAの項目数
解答
解説 まず、代表的な2つの評価指標について以下にまとめます。

KPI(Key Performance Indicator:重要業績評価指標):目的を実現するための重要な業務が適切に行われているか評価する指標
KGI(Key Goal Indicator:重要目標達成指標):目的が達成されたかどうかを評価するための指標

KPIは業務に関する指標なので、選択肢の中では、サービス中断回数が相当するといえます。又他の選択肢はKGIに相当するといえます。
問57 システム監査人が負う責任はどれか。
監査結果の外部への開示
監査対象システムの管理
監査報告会で指摘した問題点の改善
監査報告書に記載した監査意見
解答
解説 監査とは、業務が正しく行われているかどうかをチェックすることです。監査を行う際には、監査機関と被監査機関の独立と専門的で中立的な立場からの客観的指摘が重要となります。また、監査人は、監査結果に対しては内容の保障を行いますが、改善に関しては被監査部門が責任を負います。
問58 事業継続計画(BCP)について監査を実施した結果、適切な状況と判断されるものはどれか。
従業員の緊急連絡先リストを作成し、最新版に更新している。
重要書類は複製せずに一か所で集中保管している。
全ての業務について、優先順位なしに同一水準のBCPを策定している。
平時にはBCPを従業員に非公開としている。
解答
解説 まず、BCP(Business Continuity Plan:事業継続計画)とは災害などの予期せぬ障害が発生した場合でも、限られた資源で事業を継続できるようにあらかじめ定めておく計画をいいます。このことを踏まえて選択肢を順に見ていきます。

選択肢ア:緊急時の連絡先リストを作成・メンテナンスすることは重要です。(正解)
選択肢イ:重要な書類はバックアップを作成しておくべきです。
選択肢ウ:業務には優先度をつけ、災害時などにはどれを先に復旧させるべきかなどを決めるべきです。
選択肢エ:BCPは従業員に公開し、緊急時に対応できるようにするべきです。。
問59 業務システムの利用登録をするために、利用者登録フォーム画面(画面1)から登録処理を行ったところ、エラー画面(図2)が表示され、再入力を求められた。このコントロールはどれか。

画像(問59)を表示できません
アクセスコントロール
エディットバリデーションチェック
コントロールトータルチェック
プルーフリスト
解答
解説 それぞれの用語を以下にまとめます。

アクセスコントロール:ファイルやフォルダなどの資源にアクセスできるかどうかを制御すること
エディットバリデーションチェック:入力された値が、求めているフォーマットや範囲に収まっているかを検証すること
コントロールトータルチェック:入力値の合計や処理前と処理後の論理的な合計などが正しいかを検証すること
プルーフリスト:入力したデータなどを一覧化したもので、処理の前に確認するために用いられるもの
問60 営業債権管理業務に関する内部統制のうち、適切なものはどれか。
売掛金回収条件の設定は、営業部門ではなく、審査部門が行っている。
売掛金の消込み入力と承認処理は、販売を担当した営業部門が行っている。
顧客ごとの与信限度の決定は、審査部門ではなく、営業部門の責任者が行っている。
値引き・割戻し処理は、取引先の実態を熟知している営業部門の担当者が行っている。
解答
解説 内部統制とは、業務の有効的・効率的運用をするために、自ら策定するルールや規則などをいいます。

選択肢イは、経理部門が行います。
選択肢ウは、審査部門が行います。
選択肢エは、経理部門が行います。

なお、内部統制には、6つの基本要素と4つの目的があります。

6つの基本要素
・統制環境
・リスクの評価と対応
・統制活動
・情報の伝達
・モニタリング
・ITへの対応

4つの目的
・業務の有効性・効率性
・財務報告の信頼性
・法令遵守
・資産の保全

一方、外部統制は、第三者が企業の状況を調べることをいいます。