平成25年度 秋期 基本情報技術者試験 問41−60 解答編



このページは

基本情報

(基本情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問41 クライアントとWebサーバの間において、クライアントからWebサーバに送信されたデータを検査して、SQLインジェクションなどの攻撃を遮断するためのものはどれか。
SSL-VPN機能
WAF
クラスタ構成
ロードバランシング機能
解答
解説 それぞれの用語を以下にまとめます。

SSL−VPN機能:SSL(Secure Socket Layer)を応用して、仮想的な専用回線であるVPN(Virtual Private Network)を構築する機能です。
WAF(Web Application Firewall):パケットフィルタリングなどでアクセス許可を行うのではなく、アプリケーションレベルでの入出力内容などでアクセス許可を行うファイアウォールです。
クラスタ構成:複数のコンピュータを接続し、1台の高性能なコンピュータのようにして構築したもの
ロードバランシング機能:複数台サーバがある場合などに、アクセスの負荷が均等になるように接続先サーバを決める機能です。
問42 クライアントPCで行うマルウェア対策のうち、適切なものはどれか。
PCにおけるウイルスの定期的な手動検査では、ウイルス対策ソフトの定義ファイルを最新化した日次以降に作成したファイルだけを対象にしてスキャンする。
ウイルスがPCの脆弱性を突いて感染しないように、OS及びアプリケーションの修正パッチを適切に適用する。
電子メールに添付されたウイルスに感染しないように、使用しないTCPポート宛ての通信を禁止する。
ワームが侵入しないように、クライアントPCに動的グローバルIPアドレスを付与する。
解答
解説 マルウェアとは、悪意のある不正なソフトウェアの総称をいいます。コンピュータウィルスやワーク、キーロガー、トロイの木馬、など幅広いソフトウェアを指します。

選択肢を順に見ていきます。
選択肢ア:定義ファイルを最新化する前に、新しいウィルスに感染している可能性があるため、全てを対象に診断するべきです。
選択肢イ:OSやアプリケーションのパッチは常に最新のものを適用しておきます。(正解)
選択肢ウ:ウィルスに感染しないためには、ウィルスチェックを行うことが有効です。
選択肢エ:ワームが侵入しないようにするためには、グローバルIPよりも直接インターネットにつながらないプライベートIPを使う方が有効です。
問43 コンピュータ犯罪の手口の一つであるサラミ法はどれか。
回線の一部をひそかにアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
ネットワークを介して送受信されているデータを不正に傍受する方法である。
不正行為が表面化しない程度に、多数の資産から少しずつ詐取する方法である。
プログラム実行後のコンピュータの内部又は周囲に残っている情報をひそかに検索して、必要情報を入手する方法である。
解答
解説 サラミ手法とは、気づかないように少しずつお金や情報を盗み取る行為をいいます。サラミソーセージを小さく切って盗むところから名づけられました。

選択肢アは、不正アクセスの説明です。
選択肢イは、盗聴の説明です。
選択肢エは、ゴミ箱あさり(スキャベンジング)の説明です。
問44 利用者情報を管理するデータベースにおいて、利用者情報を検索して表示するアプリケーションがある。このアプリケーションに与えるデータベースへのアクセス権限として、セキュリティ管理上適切なものはどれか。ここで、権限の範囲は次のとおりとする。

〔権限の範囲〕
参照権限:レコードの参照が可能
更新権限:レコードの登録、変更、削除が可能
管理者権限:テーブルの参照、登録、変更、削除が可能
管理者権限
更新権限
参照権限
参照権限と更新権限
解答
解説 セキュリティの基本原則として、アクセス権は必要最低限だけを付与します。今回は「利用者情報を検索して表示する」とありますので、参照権限だけがあれば目的が達成できるといえます。
問45 社内ネットワークとインターネットの接続点にパケットフィルタリング型ファイアウォールを設置して、社内ネットワーク上のPCからインターネット上のWebサーバの80番ポートにアクセスできるようにするとき、フィルタリングで許可するルールの適切な組合せはどれか。
画像(問45ans)を表示できません
解答
解説 問題文から、PCからWebサーバへ接続する際に、Webサーバは80番ポートで接続を受け付けています。そして、PC側はウェルノンポート(1024番以上の番号)を使いWebサーバへ接続を行います。よって、PCからWebサーバへの通信は、1024番以上から80番へ。WebサーバからPCへの通信は80番から1024番以上への通信となります。
問46 UMLのクラス図のうち、汎化の関係を示したものはどれか。
画像(問46ans)を表示できません
解答
解説 それぞれの選択肢の関係を以下にまとめます。
選択肢ア:多重度
選択肢イ:汎化-特化関係
選択肢ウ:分解-集約関係
選択肢エ:依存関係
問47 ソフトウェアの分析・設計技法の特徴おうち、データ中心分析・設計技法の特徴として、最も適切なものはどれか。
機能の詳細化の過程で、モジュールの独立性が高くなるようにプログラムを分割していく。
システムの開発後の仕様変更は、データ構造や手続を局所的に変更したり追加したりすることによって、比較的容易に実現できる。
対象業務領域のモデル化に当たって、情報資源のデータ構造に着目する。
プログラムが最も効率よくアクセスできるようにデータ構造を設計する。
解答
解説 データ構造や流れに注目して分析を行う手法をデータ中心分析・設計(DOA:Data Oriented Approach)といいます。一方処理手順に注目して分析を行う手法をプロセス中心分析・設計(POA:Process Oriented Approach)といいます。

選択肢アは、構造化プログラミングの説明です。
選択肢イは、DOAでは、仕様変更はあまり行われません。
選択肢エは、DOAでは、アクセス効率はあまり意識されません。
問48 オブジェクト指向開発において、オブジェクトのもつ振る舞いを記述したものを何というか。
インスタンス
クラス
属性
メソッド
解答
解説 オブジェクト指向の概念について下にまとめます。

クラス:データとメソッドを1つにまとめたもの
メソッド:オブジェクトがもっている手続のこと
メッセージ:オブジェクト間でやり取りされる情報のこと
カプセル化:データにメソッドを通じてのみアクセスできること
属性(フィールド):オブジェクトがもつデータのこと
インスタンス:型であるクラスに実際の値を入れて、具現化すること
抽象化:共通の性質をまとめて定義したもの、一般的にスーパークラスとして定義される。
継承:スーパークラスを取り込むこと。(例:人間クラスを継承して学生クラスを作る)
多相性(多態性):同じメッセージに対して別の振る舞いをすること(例『鳴く』というメッセージに対して、『ワンワン・ニャーニャー』など別の振る舞いをする)

オブジェクト指向の代表的な言語にJavaやRuby、C#などが挙げられます。
問49 プログラム実行中の特定の時点で成立する変数間の関係や条件を記述した論理式を埋め込んで、そのプログラムの正当性を検証する手法はどれか。
アサーションチェック
コード追跡
スナップショットダンプ
テストカバレッジ分析
解答
解説 選択肢の用語を以下にまとめます。

アサーションチェック:assert(条件)などをプログラムに埋め込んでおき、条件の真あるいは偽を調べるツールや関数。
コード追跡(トレーサ):プログラムの実行を順次追跡していくツール。異常がある場所を特定できないときなどに使われる。
スナップショットダンプ:プログラムの特定の命令を実行するごとに、指定された内容(主にメモリなどの)を出力する。
テストカバレージ分析:ホワイトボックステストなどにおいて、網羅率を調べるツール。
問50 トップダウン方式で結合テストを行うとき、特に必要となるものはどれか。
エミュレータ
スタブ
デバッガ
ドライバ
解答
解説 テストと仮モジュールについてまとめます。

トップダウンテスト:上位のモジュールから順に開発していく、テストには仮の下位モジュール『スタブ』が利用される。
ボトムアップテスト:下位のモジュールから順に開発していく、テストには仮の上位モジュール『ドライバ』が利用される。

テストするモジュールを呼び出す上位のモジュールがドライバ、テストするモジュールから呼び出される下位のモジュールがスタブです。

エミュレータは、ほかのコンピュータの機能をソフトウェアで仮想的に再現するソフトウェアをいいます。
デバッガは、プログラムのデバッグを行うプログラムをいいます。
問51 プロジェクトの特徴はどれか。
独自性はあるが、有期性がない。
独自性はないが、有期性がある。
独自性も有期性もある。
独自性も有期性もない。
解答
解説 PMIという組織が制定しているPMBOKの定義では、「プロジェクトとは、独自の製品、サービス、所産を創造するために実施される有期性の業務である。」とされています。すなわち、プロジェクトには独自性も有期性があります。
問52 ソフトウェア開発においてWBS(Work Breakdown Structure)を使用する目的として、適切なものはどれか。
開発の所要日数と費用がトレードオフの関係にある場合に、総費用の最適化を図る。
作業の順序関係を明確にして、重点管理すべきクリティカルパスを把握する。
作業の日程を横棒(バー)で表して、作業の開始や終了時点、現時点の進捗を明確にする。
作業を階層に分解して、管理可能な大きさに細分化する。
解答
解説 WBS(Work Breakdown Structure:作業分割構成)とは仕事を分割して、管理しやすい量にした構成図です。この分割した最下位の仕事の単位をワークパッケージといいます。ワークパッケージは必要に応じてアクティビティ(具体的な操作)に分解されます。また、ワークパッケージを人員に割り当てることで、OBS(Organization Breakdown Structure:組織分割構成)を作成することができます。

WBSを表示できません

他の選択肢は以下のとおりです。
選択肢ア:クラッシングを使用する目的です。
選択肢イ:アローダイアグラム(PERT図)を使用する目的です。
選択肢ウ:ガントチャートを使用する目的です。
問53 図は作業A〜Eで構成されるプロジェクトのアローダイアグラムである。全ての作業を1人で実施する予定だったが、2日目から6日目までの5日間は、別の1人が手伝うことになった。手伝いがない場合と比較し、開始から終了までの日数は最大で何日短くなるか。ここで、一つの作業を2人で同時には行えないが、他者から引き継ぐことはできる。また、引継ぎによる作業日数の増加はないものとする。

画像(問53)を表示できません
3
4
5
6
解答
解説 まず、全ての作業を1人で行った場合は、A(3)+B(1)+C(1)+D(3)+E(4)=12日となります。2〜6日で支援が入った場合は以下のとおりとなり、9日で終わるため3日の短縮となります。

画像(問53ans)を表示できません
問54 全部で100画面から構成されるシステムの画面作成作業において、規模が小かつ複雑度が単純な画面が30、中規模かつ普通の画面が40、大規模かつ仏の画面が20、大規模かつ複雑な画面が10である場合の工数を、表の標準作業日数を用いて標準タスク法で見積もると何人日になるか。ここで、全部の画面のレビューに5人日を要し、作業の管理にレビューを含めた作業日数の20%を要するものとする。

画像(問54)を表示できません
80
85
101
102
解答
解説 まず、画面作成に掛かる期間を計算します。
規模が小規模かつ複雑度が単純の画面の作業:30×0.4=12人日
規模が中規模かつ複雑度が普通の画面の作業:40×0.9=36人日
規模が大規模かつ複雑度が普通の画面の作業:20×1.0=20人日
規模が大規模かつ複雑度が複雑の画面の作業:10×1.2=12人日

これらを合計すると12+36+20+12=80人日となります。

つぎに、レビューに5人日かかるため、85人日となります。

最後に、作業管理にレビューを含めた日数の20%が掛かるため、85×1.2=102人日となります。
問55 ファンクションポイント法の説明はどれか。
開発するプログラムごとのステップ数を概算し、開発規模を見積もる。
開発プロジェクトで必要な作業のWBSを作成し、各作業の工数を見積もる。
外部入出力や内部論理ファイル、照会、インタフェースなどの個数や特性などから開発規模を見積もる。
過去の類似例を探し、その実績と差異などを分析評価して開発規模を見積もる。
解答
解説 ファンクションポイントはその名(ファンクション=関数、ポイント=点数)のとおり、ファイルの入出力数や関数の複雑さなどから重み付けと計算を行い、プログラム規模を見積もる手法です。具体的には、入出力数やインターフェースの数で計算します。つまり、プログラムの行数(≒ステップ数)などでは計算しません。
問56 SLAを策定する際の方針のうち、適切なものはどれか。
考えられる全ての項目に対し、サービスレベルを設定する。
顧客及びサービス提供者のニーズ、並びに費用を考慮して、サービスレベルを設定する。
サービスレベルを設定する全ての項目に対して、ペナルティとしての補償を設定する。
将来にわたって変更が不要なサービスレベルを設定する。
解答
解説 SLA(service level agreement)とは、サービス品質保証契約のことで、サービスの品質(故障時間やサービスの内容保障)を取り決めます。利用部門と情報システム部門が取り交わす契約事項であり、課金項目、問合せ受付時間、オンラインシステム障害時の復旧時間などの項目が盛り込まれます。また、契約事項が実行されなかった場合の補償規定も盛り込まれることもあります。
問57 データのバックアップ方法に関する記述のうち、最も適切なものはどれか。
業務処理がバックアップ処理と重なるとレスポンスが遅くなる可能性がある場合には、両方の処理が重ならないようにスケジュールを立てる。
バックアップ作業時間を短くするためには、別のファイル名にしたバックアップデータを同一記憶媒体内に置く。
バックアップデータからの復旧時間を短くするためには、差分バックアップを採用する。
バックアップデータを長期保存するためには、ランダムアクセスが可能な媒体にする。
解答
解説 バックアップは、定期的にフルバックアップをとり、毎日差分バックアップをとるのが一般的です。バックアップ処理の時間は、負荷や同期の問題から業務時間外(あるいは業務負荷の小さい時間帯)に実施します。また、バックアップデータの保管は、災害などで稼働中のものと一緒に被害を受けないように、遠隔地に保存しておきます。バックアップ媒体は容量とアクセス速度、そしてコストを考慮して行われますが、大量のデータの場合は、磁気テープのようなランダムアクセスができないものでもかまわないです。

なお、バックアップには大きく分けて以下の3種類があります。

フルバックアップ:現在記録されているデータを完全にバックアップする手法で、比較的時間がかかります。
差分バックアップ:定期的にフルバックアップされていることを仮定して、フルバックアップからの差分だけをバックアップします。
増分バックアップ:前回のフル/増分バックアップからの増えた分だけをバックアップします。
問58 ITサービスにおけるコンピュータシステムの利用金額を逓減課金方式にしたときのグラフはどれか。
画像(問58ans)を表示できません
解答
解説 逓減(ていげん)とは徐々に減るという意味で、逓減課金方式とは、最初は高かった利用金額が、利用するほど時間単位ごとの利用金額減少するという課金方法です。つまり、使用量が増えるたびに使用金額が低く=傾きが小さくなっていきます。(もちろん、全体的な利用料金は増えていきます)
問59 アクセス制限を監査するシステム監査人がとった行動のうち、適切なものはどれか。
ソフトウェアに関するアクセス制御の管理表の作成と保管
データに関するアクセス制御の管理状況の確認
ネットワークに関するアクセス制御の管理方針の制定
ハードウェアに関するアクセス制御の運用管理の実施
解答
解説 システム監査基準では、システム監査の目的を「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」としています。

すなわち、監査人が管理表や管理方針の作成を行ったり、運用管理の実施を行うことはありません。

なお、監査の基本は、監査機関と被監査機関の独立と、専門的で中立的な立場からの客観的指摘です。また、証拠資料はかならずコピーなどを取り複数保管しておくのが基本です。また、企業の監査部門が行う内部監査と第三者機関に依頼する外部監査の二つがあります。また独立性にも外観上の独立(身分や立場が独立している)と精神上の独立(偏見や主観がまじらない)が必要です。
問60 システム監査で実施するヒアリングに関する記述のうち、適切なものはどれか。
監査対象業務に精通した被監査部門の管理者の中からヒアリングの対象者を選ぶ。
ヒアリングで被監査部門から得た情報を裏付けるための文書や記録を入手するよう努める。
ヒアリングの中で気が付いた不備事項について、その場で被監査部門に改善を指示する。
複数人でヒアリングを行うと記録内容に相違が出ることがあるので、1人のシステム監査人が行う。
解答
解説 ヒアリングとは意見を聞きだすことで、聞いた結果問題があると思われる場合は、その根拠となる証拠を得たうえで適切な指導や相談に応じるのが一般的です。根拠がない場合は、その発言内容に誤りや誇大がある可能性があるので、裏づけをします。あくまでヒアリングとは問題点を発見する段階であり、その場で回答や改善指示をだすことはありません。ヒアリング実施者やヒアリング対象者は複数人で偏りがでないように行います。