平成22年度 春期 基本情報技術者試験 問41−60 解答編



このページは

基本情報

(基本情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問41 パスワードに使用できる文字の種類の数をM、パスワードの文字数をnとするとき、設定できるパスワードの論理的な総数を求める数式はどれか。
n
M!/(M−n)!
M!/(n!(M−n)!)
(M+n−1)!/(n!M−1)!)
解答
解説 文字の種類をひとけたづつばらして考えると、するM×M×M×・・・・とけた数n乗したのと同じくなります。よって、種類が多いよりもけた数を多くする方がはるかにセキュリティの効果が高いことが合わせて理解できると思います。
問42 公開鍵暗号方式に関する記述として、適切なものはどれか。
AESなどの暗号方式がある。
RSAや楕円曲線暗号などの暗号方式がある。
暗号化鍵と復号鍵が同一である。
共通鍵の配送が必要である。
解答
解説 公開鍵は暗号鍵と復号鍵が異なる鍵のことをいいます。その代表例は巨大数の因数分解の困難性を利用したRSAです。DESやAESは共通鍵暗号方式の代表例です。
問43 ファイルの属性情報として、読取り、書込み、実行の権限を独立に設定できるOSがある。この3種類の権限は、それぞれ1ビットを使って許可、不許可を設定する。この3ビットを8進数表現0〜7の数字で設定するとき、次の試行結果から考えて、適切なものはどれか。

[試行結果]
@ 0を設定したら、読取り、書込み、実行ができなくなってしまった。
A 3を設定したら、読取りと書込みはできたが、実行ができなかった。
B 7を設定したら、読取り、書込み、実行ができるようになった。
2を設定すると、読取りと実行ができる。
4を設定すると、実行だけができる。
5を設定すると、書込みだけができる。
6を設定すると、読取りと書込みができる。
解答
解説 8進数表記で0〜7ということは、2進数で000〜111の間で各桁が1か0かでアクセス権を操作するというものです。@により、0(=000)ではアクセス権がなくなったということなので、0でアクセス禁止、1でアクセス許可ということが分かります。次にAより、3(=011)では、作成ができなくなったということなので、最初のビットが作成を表していることができます。Bは@の反対なので自明です。よって、4(=100)を指定すると作成だけができます。
問44 WAF(Web Application Firewall)を利用する目的はどれか。
Webサーバ及びアプリケーションに起因する脆弱性への攻撃を遮断する
Webサーバ及びワームの侵入を検知し、ワームの自動駆除を行う。
Webサーバのコンテンツ開発の結合テスト時にアプリケーションの脆弱性や不整合を検知する。
Webサーバのセキュリティホールを発見し、OSのセキュリティパッチを適用する。
解答
解説 WAFは、主にアプリケーションレベル(OSI基本参照レベルの7層付近)で行うファイアウォールです。一般的なファイアウォールがパケットフィルタリング(OSI基本参照モデルの3層)などを行っているのに対して、かなり上のレベルでセキュリティを確保しているのが特徴です。
問45 図は構造化分析法で用いられるDFDの例である。図中の“○”が表しているものはどれか。

画像(問45)を表示できません
アクティビティ
データストア
データフロー
プロセス
解答
解説 DFDの機能をまとめると以下のようになります。

DFDを表示できません
問46 データモデルが次の表記法に従うとき、E−R図の解釈に関する記述のうち、適切なものはどれか。

画像(問46)を表示できません
同一の商品は一つの仕入先から仕入れている。
発注明細と納品明細は1対1に対応している。
一つの発注で複数の仕入先に発注することはない。
一つの発注で複数の商品を発注することはない。
解答
解説 一つの商品は複数の仕入れ先から仕入れているので選択肢アは間違いです。発注明細と納品明細は商品を介して1つの発注明細に対して複数の納品明細があるので選択肢イは間違いです。発注と商品も、仕入先を介して考えると、1つの発注に対して、複数の商品があり得ます。発注はゼロ以上で仕入れ先は1なので、選択肢エは正しいといえます。
問47 オブジェクト指向におけるクラス間の関係のうち、適切なものはどれか。
クラス間の関係は、二つのクラス間でだけ定義できる。
サブクラスではスーパクラスの操作を再定義することができる。
サブクラスのインスタンスが、スーパクラスで定義されている操作を実行するときは、スーパクラスのインスタンスに操作を依頼する。
二つのクラスに集約の関係があるときには、集約オブジェクトは部品オブジェクトの属性と操作を共有する。
解答
解説 オブジェクト指向の特徴の一つに継承(インヘリタンス)があります。まずは、これを以下に示します。

継承を表示できません

継承によって、親のデータやメソッドを使うことができますが、親から継承したメソッドを上書き(再定義)することもできます。これをオーバーライドといいます。
問48 設計するときに、状態遷移図を用いることが適切なシステムはどれか。
月末及び決算時の棚卸資産を集計処理する在庫棚卸システム
システム資源の稼働状況を測定し、レポートとして出力するシステム資源稼働状況測定システム
水道の検針データから料金を計算する水道料金計算システム
設置したセンサの情報から、温室内の環境を適切に保つ温室制御システム
解答
解説 状態遷移図は以下のような図で、現在の状態と入力された値から、次の状態を表すのに適しています。よって、状態数が決まっており、かつ入力が決まっている場合には適した図だといえます。

状態遷移図を表示できません
問49 プログラムからUMLのクラス図を作成することは何と呼ばれるか。
バックトラッキング
フォワードエンジニアリング
リエンジニアリング
リバースエンジニアリング
解答
解説 現在動いているプログラムから、その設計書などを作成する手法をリバースエンジニアリングといいます。市場の製品をリバースエンジニアリングをすることは、一般的には禁止されていることが多いです。リバースエンジニアリングの後、その設計書を元にフォワードエンジニアリングで製品を作成します。

バックトラッキングとは、制約充足問題の解を探索する方法で、正しい解を得るまで可能な組み合わせを試していくものです。
リエンジニアリングとは、ビジネスプロセスなどを見直し、再設計するものです。
問50 プロトタイプを1回作成するごとに未確定な仕様の50%が確定するとき、プロトタイピング開始時点で未確定だった仕様の90%以上を確定させるには、プロトタイプを何回作成する必要があるか。
解答
解説 1段階ずつ計算していきます。

@未確定=100%。未確定の50%=50%が確定。
A未確定=50%、未確定の50%=25%が確定。全体で75%が確定
B未確定=25%、未確定の50%=12.5%が確定。全体で87.5%が確定
C未確定=12.5%、未確定の50%=6.25%が確定。全体で93.75%が確定

よって、4回のプロトタイプの作成が必要であるといえます。
問51 九つの作業からなるプロジェクトがある。作業Eの所要日数を9日から6日に短縮すると、このプロジェクトの最短作業日数を何日短縮できるか。

画像(問51)を表示できません
0(短縮できない)
解答
解説 まず、現在は、クリティカルパスがA→D→E→G→Iで所要日数は20日となります。

画像(問51kai_1)を表示できません

つぎに、短縮後を計算すると以下のようになり、クリティカルパスは、A→D→F→H→Iで所要日数は19日となります。

画像(問51kai_2)を表示できません

よって、短縮できるのは1日となります。
問52 ソフトウェアの品質特性の定義において、あるコンピュータ用に作成したプログラムを別のアーキテクチャのコンピュータで動作できるようにすることの容易さを表す特性はどれか。
移植性(Portability)
使用性(Usability)
相互運用性(Interoperability)
変更性(Changeability)
解答
解説 ソフトウェアの品質の評価は、ISO 9126で定義されています。品質モデル、外部測定法、内部測定法、利用時品質測定法の4つの部分から構成され、9126−1でソフトウェア品質を定義しています。

各選択肢の用語を以下にまとめます。
移植性:別の環境にソフトウェアを移行させる可能性に影響する特性
使用性:利用するのにかかる手間、個人の努力などに影響する特性
相互運用性:機能性の一種で、さまざまなシステムや組織が連携できる能力に関する特性
変更性:保守性の一種で、変更・修正を行うことことができる能力に関する特性

ほかにも、以下のような項目があります。
信頼性:ある状況がある時間続いたときにソフトウェアがどの程度機能するかに影響する特性
効率性:ソフトウェアの性能やそれに要するリソース量に影響する特性
機能性:機能とその特性に影響する特性
問53 コンピュータをLAN経由で起動する機能をWake on LAN(WOL)という。この機能を利用することによって効率よく行えるものはどれか。
遠隔地にあるPCのソフトウェア保守
システム誤動作の検知
トラフィック状況の管理
不正アクセスの管理
解答
解説 WOLは、LANに繋がっているコンピュータの電源操作(投入、シャットダウンなど)を遠隔で操作する技術です。そのため、電源が切れている遠隔地のPCにあるデータを取り出したり、操作したりする場合に有効であるといえます。起動に用いられるデータをマジックパケットといいます。

あくまで電源の投入やシャットダウンを行う技術なので、トラフィックや不正なアクセス、システムの誤動作などはWOL単体の技術ではできません。
問54 ITサービスマネジメントにおいて、インシデント管理の対象となるものはどれか。
ITサービスの新人への教育依頼
ITサービスやシステムの機能、使い方に対する問合せ
アプリケーションの応答の大幅な遅延
新設営業所へのITサービス影響要求
解答
解説 まず、インシデントとはセキュリティを脅かす脅威のことで、障害や損害を引き起こすような攻撃のことを指します。よって、インシデント管理とは攻撃をうけたときにいかに速やかに回復・復旧できるかということを目的とします。

なお、JPCERT/CC(JPCERTコーディネーションセンター)では、インシデントを六つのタイプに分類しています。
Scan:プローブ、スキャン、そのほかの不審なアクセス
Abuse:サーバプログラムの機能を悪用した不正中継
Forged:送信ヘッダを詐称した電子メールの配送
Intrusion:システムへの侵入
DoS:サービス運用妨害につながる攻撃
Other:その他
問55 A社の会員登録処理では、次の形式のIDを発行している。各年度末での発行済ID数の推移は表のとおりである。今後もこの傾向が続くと仮定した場合、この形式によるIDは何年度に発行し尽くすと予想されるか。ここで、脱会した会員のIDは欠番として管理し、再利用は行わない。

画像(問55)を表示できません
2010年度
2011年度
2012年度
2013年度
解答
解説 まず、使用できるIDの総数を求めます。Xは26種類、Nは10種類なので、26×26×10×10×10=676000種類設定できます。

次に、年間どれだけ新しいIDが発行されているかを考えます。
2004→2005:383000−315000=66000
2005→2006:447000−383000=64000
2006→2007:512000−447000=65000

今後、3年間の平均は65000ずつ増えると仮定します。
2007→2008:512000+65000=577000
2008→2009:577000+65000=642000
2009→2010:642000+65000=707000

よって、2010年には、676000をこえるので、IDが枯渇するといえます。
問56 次の条件でITサービスを提供している。SLAを満たすためには、サービス時間帯中の停止時間は1か月に最大で何時間以内であればよいか。ここで、1か月の営業日は30日とする。

[SLAの条件]
・サービス時間帯は営業日の午前6時から翌日午前1時まで。
・可用性99.5%以上とすること。
解答
解説 SLA(Service Level Agreement)とは、サービス品質保証契約ともよばれ、サービスに関する取り決めを行うものです。利用者と提供者が取り交わす契約事項であり、課金項目、問合せ受付時間、システム障害時の復旧時間などの項目が盛り込まれます。また、契約事項が実行されなかった場合の補償規定も盛り込まれることもあります。

1ヶ月の総稼働時間は、30日×19時間=570時間となります。このうち99.5%以上稼動しなければならないので、570×0.995=567.15時間稼動している必要があります。つまり、2.85時間までの停止がゆるされることになります。よって正解はイとなります。
問57 システム監査規程の最終的な承認者はだれか。
監査対象システムの利用部門の長
経営者
情報システム部門の長
被監査部門の長
解答
解説 企業の最終的な責任を負うのは経営者が負います。監査役や監査人は監査結果に対しては責任はありますが、最終責任を負うものではありません。
問58 システム監査人の独立性が保たれている状況はどれか。
営業部門の要員を監査チームのメンバに任命し、営業部門における個人情報保護対策についての監査を行わせる。
監査法人からシステム監査人を採用して内部監査人に位置付け、社内の業務システム開発についての監査を行わせる。
システム部門の要員を監査部門に異動させ、システム部門に所属していたときに開発に参加したシステムの保守についての監査を担当させる。
社内の業務システム運用を委託しているITベンダの監査部門に依頼し、社内の業務システム運用についての外部監査を担当させる。
解答
解説 監査の基本は、監査機関と被監査機関の独立と、専門的で中立的な立場からの客観的指摘です。また、証拠資料はかならずコピーなどを取り複数保管しておくのが基本です。また、企業の監査部門が行う内部監査と第三者機関に依頼する外部監査の二つがあります。また独立性にも外観上の独立(身分や立場が独立している)と精神上の独立(偏見や主観がまじらない)が必要です。

つまり、被監査部門の関係者が監査に携わるのは独立性が保たれていないといえます。
問59 マスタファイル管理に関するシステム監査項目のうち、可用性に該当するものはどれか。
マスタファイルが置かれているサーバを二重化し、耐障害性の向上を図っていること
マスタファイルのデータを複数件まとめて検索・加工するための機能が、システムに盛り込まれていること
マスタファイルのメンテナンスは、特権アカウントを付加された者だけに許されていること
マスタファイルへのデータ入力チェック機能が、システムに盛り込まれていること
解答
解説 可用性は品質指標RASISの一つです。RASISを以下にまとめます。

Reliability:(信頼性):故障しにくい性質(MTBFに相当)
Availability:(可用性):いつでも使える性質(稼働率=MTBF/(MTBF+MTTR)に相当)
Serviceability:(保守性):故障をすぐに修復できる性質(MTTRに相当)
Integrity:(保全性):データが一貫しており、矛盾がない性質
Security:(安全性):機密性が高く、不正にアクセスされない性質
問60 内部統制の観点から、組織内の相互牽制の仕組みで、データのイングリティが確保できる体制はどれか。
業務ニーズにそった効率の良いデータ入力システムを実現するため、情報システム部門がデータ入力システムを開発してデータ入力する。
情報システム部門の担当者は、その経験を生かし、システム開発においてデータの整合性が保てるように、長期間、同一部門に配置する。
情報システム部門の要員が他部門に異動する場合は、関連する資料をもたせ、システムトラブルなどの緊急時に戦力となるようにする。
情報システム部門は、データを入力する利用部門からの独立を保ち、利用部門がデータの正確性を維持できるようにする。
解答
解説 イングリティ(保全性)とは、不当に改ざんされたりせずに完全な状態である性質を指します。イングリティはセキュリティと密接な関係があります。複数の部門が混合すると不正が発生しやすくなるので、独立に行うのが原則です。