平成25年度 春期 応用情報技術者試験 問41−60 解答編



このページは

応用情報

(応用情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問41 ネットワーク障害の原因を調べたるめに、ミラーポートを用意して、LANアナライザを使用するときに留意することはどれか。
LANアナライザがパケットを破棄してしまうので、測定中は測定対象外のコンピュータの利用を制限しておく必要がある。
LANアナライザはネットワークを通過するパケットを表示できるので、盗聴などに悪用されないように注意する必要がある。
障害発生に備えて、ネットワーク利用者に対してLANアナライザの保管場所と使用方法を周知しておく必要がある。
測定に当たって、LANケーブルを一時的に切断する必要があるので、ネットワーク利用者に対して測定日を事前に知らせておく必要がある。
解答
解説 ミラーポートとは、すべてのポートに来たデータをコピーして通過させるもので、すべてのパケットを監視することができる特殊なポートです。また、アナライザとは、データを解析する機器のことです。

それぞれの選択肢を順にみていきます。
選択肢ア:アナライザがパケットを破棄することはありません。
選択肢イ:パケットの内容が暗号化されていない場合、パケットを読み取れてしまうので注意が必要です(正解)
選択肢ウ:アナライザは不正に使用すると、パケットを読み取ることができるので、限られた人にのみ使用を認めるべきです。
選択肢エ:アナライザを使用する際には、ケーブルを切断する必要はありません。
問42 パケットフィルタリング型ファイアウォールのファイルタリングルールを用いて、本来必要なサービスに影響を及ぼすなく妨げるものはどれか。
外部に公開しないサービスへのアクセス
サーバで動作するソフトウェアの脆弱性を突く攻撃
電子メールに添付されたファイルに含まれるマクロウイルスの侵入
電子メール爆弾などのDoS攻撃
解答
解説 まず、パケットフィルタリング型のファイアウォールとは、主にOSI基本参照モデル3層・ネットワーク層において動作し、IPアドレスの送信先・送信元を利用してアクセスを許可・禁止するタイプのファイアウォールです。

それぞれの選択肢を順にみていきます。
選択肢ア:外部に公開していないサーバへのIPが送信先の場合、アクセスを遮断することでサービス提供を禁止できます。
選択肢イ:脆弱性はIPアドレスで判別することはできません。パッチなどで防ぐ必要があります。
選択肢ウ:パケットフィルタリングは、内容を確認しないので、ウィルスの検知はできません。
選択肢エ:DoS攻撃はサーバへの負荷をかけサービスを妨害する攻撃です。ただし、接続先のIP自体は正常なものなので、パケットフィルタリング型では防止できません。
問43 毎回参加者が変わる100名程度の公開セミナにおいて、参加者が持参する端末に対して無線LAN接続環境を提供する。参加者の端末以外からのアクセスポイントへの接続を防止するために効果があるセキュリティ対策はどれか。
アクセスポイントがもつDHCPサーバ機能において、参加者の端末に対して動的に割り当てるIPアドレスの範囲をセミナごとに変更する。
アクセスポイントがもつURLフィルタリング機能において、参加者の端末に対する条件をセミナごとに変更する。
アクセスポイントがもつ暗号化機能において、参加者の端末とアクセスポイントとの間で事前に共有する鍵をセミナごとに変更する。
アクセスポイントがもつプライバシセパレータ機能において、参加者の端末へのアクセス制限をセミナごとに変更する。
解答
解説 参加者のみがアクセスポイントに接続できるという観点でそれぞれの選択肢を順にみていきます。
選択肢ア:接続数の上限やIPの管理が可能になりますが、参加者のみのアクセス制限をすることはできません。
選択肢イ:URLフィルタリングは、接続先のアドレスに対して接続の可否を制限するものです。そのため、参加者のみのアクセス制限をすることはできません。
選択肢ウ:事前に暗号化の鍵を取り決めておくことで、この鍵の所有を調べることで参加者のみのアクセス制限をすることができます。
選択肢エ:プライバシセパレータとは、無線端末同士の接続を禁止する機能です。この機能では参加者のみのアクセス制限をすることはできません。

なお、利用される端末が固定されている場合には、MACアドレスフィルタリング機能なども有用であるといえます。
問44 サンドボックスの仕組みについて述べたものはどれか。
Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には、その通信を遮断する。
侵入者をおびき寄せるために本物そっくりのシステムを設置し、侵入者の挙動などを監視する。
プログラムの影響がシステム全体に及ぼすことを防止するために、プログラムが実行できる機能やアクセスできるリソースを制限して動作する。
プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後、実際の値を割り当てる。
解答
解説 サンドボックス(=砂場)とは、信頼できない入力が不適切な動作を引き起こすのを防ぐために用いられる環境で、実際の環境ではなく一定の制限がある環境をいいます。また、システムに詳しくない人が試しに利用してみる環境をサンドボックスと呼んだりもします。

他の選択肢は以下のようになります。
選択肢ア:WAF(Web Application Firewall)
選択肢イ:ハニースポット
選択肢エ:プレースホルダ
※SQLインジェクションの対策に用いられ、実際の値は完全な文字列として評価され特殊文字が評価されないようになっています。
問45 図は“顧客が商品を注文する”を表現したUMLのクラス図である。“顧客が複数の商品をまとめて注文する”を表現したクラス図はどれか。ここで、“注文明細”は一つの注文に含まれる1種類の商品に対応し、“注文”は複数の“注文明細”を束ねた一つの注文に対応する。

画像(問45)を表示できません
画像(問45ans)を表示できません
解答
解説 問題文から、「注文明細は一つの注文に含まれる1種類の商品に対応」とあるので、商品と注文明細は1対多に対応します。次に、「注文ヘッダは複数の注文明細を束ねた物」なので、注文ヘッダと注文明細はコンポジションで接続されます。(ひし形は集約された注文ヘッダ側につきます)。この二つの条件を満たすのは、選択肢アとなります。 なお、コンポジションとは、特殊な集約のようなものだといえます。
問46 ソフトウェアの使用性を評価する指標の目標設定の例として、適切なものはどれか。
ソフトウェアに障害が発生してから1時間以内に、利用者が使用できること
利用者が使用したい機能の改善を、1週間以内に実装できること
利用者が利用した機能を、100%提供できていること
利用者が、使用したいソフトウェアの使用方法を1時間以内に習得できること
解答
解説 ソフトウェアの品質には、ISO/IEC 9126という規格があり、以下の6つの特性が定義されています。

機能性(functionality):ソフトウェアが、指定された条件の下で利用されるときに、明示的及び暗示的必要性に合致する機能を提供するソフトウェア製品の能力
信頼性(reliability):指定された条件下で利用するとき、指定された達成水準を維持するソフトウェア製品の能力
使用性(usability):指定された条件の下で利用するとき、理解、習得、利用でき、利用者にとって魅力的であるソフトウェア製品の能力
効率性(efficiency):明示的な条件の下で、使用する資源の量に対比して適切な性能を提供するソフトウェア製品の能力
保守性(maintainability):修正のしやすさに関するソフトウェア製品の能力
移植性(portability):ある環境から他の環境に移すためのソフトウェア製品の能力
※それぞれの特性には、副特性というさらに細かい性質が定義されています。

各選択肢は以下のように分類されます。
選択肢ア:信頼性
選択肢イ:保守性
選択肢ウ:機能性
選択肢エ:使用性
問47 エラー埋込み法による残存エラーの予測において、テストが十分に進んでいると仮定する。当初の埋込みエラー数は48個である。テスト期間中に発見されたエラーの内訳は、埋込みエラーが36個、真のエラーが42個である。このとき、残存する真のエラーは何個と推定されるか。
14
54
56
解答
解説 エラー埋め込み法とは、あらかじめわざと幾つかのバグをプログラムに仕込んでおき、デバッグの際にその仕込んだバグがいくつ摘出できたかで、進捗状況を調べる手法です。

48個のエラーを埋め込み、36個摘出できたので、36/48=75%発見できているといえます。埋め込みエラーを除いた真のエラー数が42個でこれが75%に相当するので、A×0.75=42。つまり、42/0.75=56個が真のエラーの総数となります。よって、56−42=14個が残っていると推定できます。
問48 ブラックボックステストのテストデータの作成方法のうち、最も適切なものはどれか。
稼働中のシステムから実データを無作為に抽出し、テストデータを作成する。
機能仕様から同値クラスや限界値を識別し、テストデータを作成する。
業務で発生するデータの発生頻度を分析し、テストデータを作成する。
プログラムの流れ図から、分岐条件に基づいたテストデータを作成する。
解答
解説 テストの種類について以下にまとめます。

まず、内部構造と入出力の観点から以下の2つの種類があります。
ホワイトボックステストは、内部構造に着目し論理がきちんとできているかを調べるテスト。単体テストなどに用いられ、条件網羅率などを調べる。
ブラックボックステストは、入力と出力の関係が仕様書通りにできているかを調べるテスト。結合テストなどに用いられ、限界値分析、同値分析などを行う。

まず、選択肢ア、イ、ウがブラックボックステストに相当し、選択肢エがホワイトボックステストに相当します。
ブラックボックステストのテストケースには、仕様書から有効な値と無効な値の代表値を取り出して作成するのがよいといえます。
問49 ソフトウェアのリファクタリングの説明はどれか。
外部から見た振る舞いを変更せずに保守性の高いプログラムに書き直す。
ソースコードから設計書を作成する。
ソフトウェア部品を組み合わせてシステムを開発する。
プログラムの修正が他の部分に影響していないかどうかをテストする。
解答
解説 リファクタリングとは、【処理をメソッド化する】【変数の名前を付け替える】【継承・委譲関係を最適化する】といった処理を施すことで、処理の内容を変えずに保守性を向上させることをいいます。ただし、一時的に処理の内容を変更し組み替えるため、構成管理・変更管理を適切に行わないともとの状態に戻せないというリスクもあります。

他の選択肢は以下のようになります。
選択肢イ:リバースエンジニアリング
選択肢ウ:コンポーネント指向開発
選択肢エ:レグレッションテスト(退行テスト、回帰テスト)
問50 特許のサブライセンスの説明として、適切なものはどれか。
特許の実施権の許諾を受けた者が、開発した改良特許についての実施権を、当該特許の実施権を与えた者に許諾すること
特許の実施権の許諾を受けた者が、更に第三者に当該特許の実施権を許諾すること
特許の実施権の許諾を受けた者が、当該特許に関し第三者から与えられ当該特許が無効となった場合、特許の実施権を許諾した者が金銭的な補償をすること
特許の実施権の許諾を受けた者が、当該特許の実施権を独占的に行使すること
解答
解説 特許のサブライセンス(再実施権)とは、ライセンスの所有者(ライセンサー)から許諾を得たライセンスの実施許可者(ライセンシー)がさらに第三者にライセンスの実施を許諾することをいいます。
特許は使用者が権利者に対価を払うことで利用するのが原則ですが、このままでは子会社や協力会社で利用できないため、特許権者の承諾を得た上でサブライセンスを利用します。
問51 ファストトラッキングの説明はどれか。
クリティカルパス上のアクティビティに追加資源を投入して、所要期間を短縮する。
時期によって変動するメンバの作業負荷を調節して、作業期間内で平準化する。
通常は順番に行うアクティビティを並行して行うことによって、所要期間を短縮する。
不測の事態に備えて所要時間をあらかじめ多めに見積もっておく。
解答
解説 ファストトラッキングとは、本来直列に計画されていたアクティビティを並行して行うことにより工程の所要期間を短縮する手法をいいます。つまり、次の作業であっても取り掛かれるところは先行して作業を行うことです。ただし、もともと直列の作業を予定していたものなので、作業管理が複雑になったり、問題が発生した場合の手戻りや影響範囲が大きくなりやすいというリスクが存在します。

なお、選択肢アのようにリソースを追加で投入し所要期間を短縮する手法をクラッシングといます。
問52 ソフトウェアの開発規模見積りに利用されるファンクションポイント法の説明はどれか。
WBSによて作業を洗い出し、過去の経験から求めた作業ごとの工数を積み上げて規模を見積もる。
外部仕様から、そのシステムがもつ入力、出力や内部論理ファイルなどの5項目に該当する要素の数を求め、複雑さを考慮した重みを掛けて求めた値を合計して規模を見積もる。
ソフトウェアの開発作業を標準作業に分解し、それらの標準作業ごとにあらかじめ決められた標準工数を割り当て、それらを合計して規模を見積もる。
プログラム言語とプログラムのスキルから経験的に求めた標準的な生産性と必要とされる手続の個数とを掛けて規模を見積もる。
解答
解説 ファンクションポイントはその名(ファンクション=関数、ポイント=点数)のとおり、ファイルの入出力数や関数の複雑さなどから重み付けと計算を行い、プログラム規模を見積もる手法です。具体的には、入出力数やインターフェースの数で計算します。つまり、プログラムの行数(≒ステップ数)などでは計算しません。

他の選択肢は以下のようになります。
選択肢ア:ボトムアップ法
選択肢ウ:標準タスク法
選択肢エ:COCOMO法
問53 プロジェクトで発生している品質問題を解決するために、図を作成して原因の傾向を分析したところ、発生問題の80%以上が少数の原因で占められていることが判明した。
管理図
散布図
特性要因図
パレート図
解答
解説 パレート図は下のような図で、値を表す棒グラフと累積比率を表す折れ線グラフで構成されています。値が全体に占める割合などを調べることができ、重要度の高い項目を探すABC分析などを行うのに適している図です。

パレート図を表示できません

管理図は以下のような図で、工程や品質が安定した状態にあるかどうかを判断するために用いるものです。
管理図を表示できません


散布図は以下のような図で、二つの特性を横軸と縦軸にとりそれらの相関を判断するために用いるものです。
散布図を表示できません


特性要因図は以下のような図で、矢印付き大枝の先端に特性を、中枝、小枝に要因を表したものでどれがどれに影響しているかを分析するために用いるものです。
特性要因図を表示できません
問54 プロジェクト要員がインフルエンザに感染することを予防するために、“ワクチン接種”費用をプロジェクトで負担し、また“アルコール製剤”をプロジェクトルームの入り口やトイレに配備する。このリスク対応策は、どのリスク対応戦略に該当するか。ここで、リスク対応戦略の分類はPMBOKに従うものとする。
回避
軽減
受容
転嫁
解答
解説 まず、リスクアセスメント(リスク分析)とは、被害を及ぼす因子(リスク)にはどのようなものがあり、どれくらいの被害がでるかを分析するもので、以下のようなものを分析します。
・リスクの種類
・リスクの発生確率
・リスクが実際に起こったときの被害の大きさ

分析結果をもとに、リスクに順序をつけて優先度の高いものから順に対策をしていきます。可能な対策をした後に最終的に残ったリスクを残存リスクといいます。
なお、リスクには災害などの損失しか生まない純粋リスクと、株式のような利益か損失のどちらになるかわからない投機的リスクの2種類があります。

大まかな分類を下にまとめます。
リスクを表示できません

今回の例は、インフルエンザにかかる可能性を軽減したため、リスク軽減に相当するといえます。
問55 SLAを説明したものはどれか。
ITサービスマネジメントのベストプラクティスを集めたフレームワーク
開発から保守までのソフトウェアライフサイクルプロセス
サービス及びサービス目標値に関するサービス提供者と顧客間の合意
品質マネジメントシステムに関する国際規格
解答
解説 SLAとSLMについて以下にまとめます。

SLA(Service Level Agreement)とは、サービス品質保証契約ともよばれ、継続したサービスに関する取り決めを行うものです。利用者と提供者が取り交わす契約事項であり、課金項目、問合せ受付時間、システム障害時の復旧時間などの項目が盛り込まれます。また、契約事項が実行されなかった場合の補償規定も盛り込まれることもあります。
SLM(Service Level Management)とは、サービス水準管理ともよばれ、SLAを遵守するために行う維持・管理の取り組みをいいます。

他の選択肢は以下のようになります。
選択肢ア:ITIL(Information Technology Infrastructure Library)
選択肢イ:SLCP(Software Life Cycle Process)
選択肢エ:ISO9001
問56 (1)〜(4)はある障害の発生から本格的な対応までの一連の活動である。(1)〜(4)の各活動とそれに対応するITILv3の管理プロセスの組合せのうち、適切なものはどれか。

(1) 利用者からサービスデスクに“特定の入力操作が拒否される”という連絡があったので、別の入力操作による回避方法を利用者に伝えた。
(2) 原因を開発チームで追及した結果、アプリケーションプログラムに不具合があることが分かった。
(3) 原因となったアプリケーションプログラムの不具合を回収する必要があるのかどうか、改修した場合に不具合箇所以外に影響が出る心配はないかどうかについて、関係者を集めて確認し、改修することを決定した。
(4) 改修したアプリケーションプログラムの稼働環境への適用については、利用者への周知、適用手順及び失敗時の切戻し手順の確認など、十分に事前準備を行った。
画像(問56ans)を表示できません
解答
解説 サービスサポートプロセスはITIL(Information Technology Infrastructure Library)を構成するプロセスのひとつです。サービスサポートプロセスは、IT技術の運用についてまとめたもので、一つの機能と五つのプロセスで構成されています。下に内容をまとめます。

インシデント管理:障害時の迅速な回復を行い、影響を最小限にする
問題管理:インシデントや障害の原因の解明と対策・再発防止を行う
構成管理:構成アイテム情報の収集や維持・管理・確認・検査を行う
変更管理:構成アイテムの変更を安全かつ効率的に実施する
リリース管理:変更管理プロセスで承認された内容を本番環境に反映させる
サービスデスク:顧客との窓口の役割をし、サポート業務を行う
問57 新システムの開発を計画している。このシステムのTCOは何千円か。ここで、このシステムは開発された後、3年間使用されるものとする。

画像(問57)を表示できません
40,500
90,000
95,000
135,500
解答
解説 TCO(Total Cost of Ownership)は、システムの導入から運用、保守・メンテナンス、教育までを含めたトータルコストのことです。今回の場合は、イニシャルコスト+3年間分のランニングコストとなります。

■イニシャルコスト
ハードウェア導入費用:40,000
システム開発費用:50,000
導入教育費:5000
⇒合計:90,500

■ランニングコスト(1年分)
ネットワーク通信費用:1,500
システム保守費用:7,000
システム運用費用:5,000
⇒合計:13,500

よって、90,500+13,500×3=135,500となります。
問58 情報セキュリティに関する従業員の責任について“情報セキュリティ管理基準”に基づいて監査を行った。指摘事項に該当するものはどれか。
雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている。
定められた勤務時間以外においても守秘責任を負うことが、雇用契約に定められている。
定められた守秘責任を果たさなかった場合、相応の措置がとられることが、雇用契約に定められている。
定められた内容の守秘義務契約書に署名することが、雇用契約に定められている。
解答
解説 まず、情報セキュリティ管理基準とは、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範です。雇用に関しては、管理策基準の4章人的資源のセキュリティにおいて、雇用前、雇用期間中、雇用の終了又は変更について定められています。

つぎに、守秘義務とはは、業務中に知った情報をむやみにもらしてはならないというものです。一般的に業務や勤務終了時に秘密をもらされては守秘義務の意味がありませんので、守秘義務は業務や職務・雇用が終わった後でも適用されます。また、守秘義務が雇用契約内に含まれていたり、罰則規定が定められているものも多いです。
問59 情報システム部が開発し、経理部が運用している会計システムの運用状況を監査するシステム監査チームの体制についての記述のうち、適切なものはどれか。
会計システムは企業会計に関する各種基準に準拠しているので、システム監査チームには公認会計士を含めなければならない。
会計システムは機密性の高い情報を扱うので、システム監査チームは経理部長直属としなければならない。
経理部との癒着を防ぐために、システム監査チームのメンバは毎年入れ替えなければならない。
独立性を担保するために、システム監査チームは情報システム部にも経理部にも所属しない者で組織しなければならない。
解答
解説 システム監査基準では、システム監査の目的を「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」としています。

そして、監査の基本は、監査機関と被監査機関の独立と、専門的で中立的な立場からの客観的指摘です。証拠資料はかならずコピーなどを取り複数保管しておくのが基本です。また、企業の監査部門が行う内部監査と第三者機関に依頼する外部監査の二つがあります。加えて、独立性にも外観上の独立(身分や立場が独立している)と精神上の独立(偏見や主観がまじらない)が必要です。
問60 特権ID(システムの設定やデータの追加、変更、削除及びそれらの権限の設定が可能なID)の不正使用を発見するコントロールはどれか。
特権IDの貸出し及び返却の管理簿と、特権IDのログを照合する。
特権IDの使用を許可された者も、通常の操作では一般利用者IDを使用する。
特権IDの使用を必要とするものは、使用の都度、特権IDの貸出しを受ける。
特権IDの設定内容や使用範囲を、用途に応じた細分化する。
解答
解説 管理者のような特権を持つユーザは、その利用状況を管理しログを常に残しておくことで不正利用を防止します。なかでも複数人での使いまわしや情報が古いままになるような状況は避けなければなりません。選択肢エの必要最低限の権限しか持たせないというのは正しい方針ですが、不正使用を発見するコントロールではありません。