平成19年度 セキュアド 問41−55 解答編




このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください

問41 図に示すマトリックス表をポートフォリオ類型によって、事業計画や競争優位性の分析を行う目的はどれか。

画像(問41)を表示できません
目標として設定したプロモーション効果を測定するために、自らの置かれた立場を客観的に評価する。
目標を設定し、資源配分の優先順位を設定するための基礎として、自らの置かれた立場を評価する。
目標を設定し、製品の品質を高めることによって、市場での優位性を維持する方策を評価する。
目標を設定するために、季節変動要因や地域的広がりを加味することによって、市場の変化を客観的に評価する。
解答
解説 図の四つの区分は以下のように分類されます。

画像(問41kai)を表示できません

これにより、自社が置かれている市場の立場を把握し、どこにどれくらい資源や資金を配分すれば良いかを自覚するために、用いられます。
問42 市場で競合する二つの銘柄A,B間の推移確率行列は、表のとおりである。例えば、Aを購買した人が次回にBを購買する確率は、20%である。AとBの市場シェアが、それぞれ50%であるとき、全員が2回購買した後の市場シェアはどうなるか。

画像(問42)を表示できません
Aのシェアは10%上がり、Bのシェアは10%下がる。
Aのシェアは10%下がり、Bのシェアは10%上がる。
Aのシェアは14%上がり、Bのシェアは14%下がる。
Aのシェアは14%下がり、Bのシェアは14%上がる。
解答
解説 Aのシェアの変化は現在のAのシェア×Aへの推移率+現在のBのシェア×Aへの推移率で求められます。また、市場が2つしかないとの仮定なので、Bのシェアは1−Aのシェアで求められます。

まず、1回購買した場合のAのシェアは0.5×0.8+0.5×0.2=0.4+0.2で60%、Bのシェアは1-0.6で40%であることが分かります。
次にこれを基に2回目に購買したときのシェアを求めます。0.6×0.8+0.4×0.4=0.48+0.16で64%、Bのシェアは1-064で36%になることが分かります。

Bを基準に求めたり、両方を求めてもよいのですが、1-xという確率の考え方を導入すると比較的楽に計算できる場合が多いです。確かめ等に利用してもよいかもしれません。
問43 リーダシップのスタイルは、その組織の状況に合わせる必要がある。組織とリーダシップの関係に次のことが想定できるとすると、野球チームの監督のリーダシップのスタイルとして、図のdと考えられるものはどれか。

[組織とリーダシップの関係]

組織は発足当時、構成員や仕組みの成熟度が低いので、リーダが仕事本位のリーダシップで引っ張っていく。成熟度が上がるにつれ、リーダと構成員の人間関係が培われ、仕事本位から人間関係本位のリーダシップに移行していく。更に成熟度が進むと、構成員は自主的に行動でき、リーダシップは仕事本位、人間関係本位のいずれもが弱まっていく。



画像(問43)を表示できません
うるさく言うのも半分くらいで勝てるようになってきた。
勝つためには選手と十分に話し合って戦略を作ることだ。
勝つためには選手の足を引っ張らないことだ。
選手をきちんと管理することが勝つための条件だ。
解答
解説 最初は人間関係が弱く、仕事本位なので選択肢エのようなきちんと管理するというスタイルがとられます。徐々に人間関係が強くなってくると、選択肢アのうるさく言うのも半分くらいというように、自主性がみられはじめます。さらに、仕事本位のリーダーシップが落ちてくると、さらに自主性はすすみ、選択肢イのように選手が戦略をリーダーと話し合って決めるようになり、最終的には、選手が自主的に行うようになるので、選択肢ウのように、リーダーは足を引っ張らないようにするというスタイルになります。
問44 ITガバナンスを説明したものはどれか。
ITサービスの管理・運用規則に関するベストプラクティスを、包括的にまとめたもの
企業が競争優位性を構築するために、IT戦略の策定・実行をガイドし、あるべき方向へ導く組織能力
企業が情報システムやITサービスなどを調達する際、発注先となるITベンダに具体的なシステム提案を要求したもの
サービスを提供するプロバイダが、品質を保証するため、提供するサービスの水準を明確に定義したもの
解答
解説 ガバナンス:Governanceは統治などと訳され、ITガバナンス・コーポレートガバナンス(企業統治)等として使われます。企業の目的や価値に向かい指導していく企業力・組織力を指します。ITガバナンスという場合は、これをIT戦略の立場から補助することを含みます。
問45 ディジタルディバイドを説明したものはどれか。
PCなどの情報通信機器の利用方法が分からなかったり、情報通信機器を保有していなかったりして、情報の入手が困難な人々のことである。
高齢者や障害者の情報通信の利用面での困難が、社会的・経済的格差につながらないように、だれもが情報通信を活用できるように整備された環境のことである。
情報通信機器やソフトウェア、情報サービスなどを、高齢者・障害者を含むすべての人が利用可能であるか、利用しやすくなっているかの度合のことである。
情報リテラシの有無やITの利用環境の相違などによって生じる、社会的又は経済的落差のことである。
解答
解説 ディジタルディバイドとは、情報格差と訳され、主にインターネットによるICT技術を受けられない人との間に生まれる。情報的・経済的・社会的な格差のことを言います。
問46 プログラム開発における業務上の著作について、著作権法で規定されているものはどれか。
就業規則などに特段の取決めがない限り、権利は法人に帰属する。
担当した従業員に権利は帰属するが、法人は無償でそのプログラムを使用することができる。
担当した従業員に権利は帰属するが、法人へ譲渡することができる。
法人が権利を取得する場合は、担当した従業員に対し相応の対価を支払う必要がある。
解答
解説 著作権上では、企業が従業員に作らせた著作物は会社に帰属することになっています。また、委託などの場合は、実際に著作物を作成した委託先が著作権を保有する事になっています。(特別な取り決めがない場合)また、従業員に特別の対価を支払うことも義務とはなっていません。
問47 不正競争防止法で保護されるものはどれか。
特許を取得した発明
頒布されている独自のシステム開発手順書
秘密として管理している事業活動用の非公開の顧客名簿
秘密としての管理を行っていない、自社システムを開発するために重要な設計書
解答
解説 不正競争防止法では、秘密として管理されている公然に知られていない、有益な情報が保護されます。選択肢アは特許法で保護されます。他のものは著作権等で保護されると考えられます。
問48 労働派遣法に基づいた労働者の派遣において、労働者派遣契約関係が存在するのはどの当事者間か。
派遣先事業主と派遣労働者
派遣先責任者と派遣労働者
派遣元事業主と派遣先事業主
派遣元事業主と派遣労働者
解答
解説 派遣元・派遣先・労働者の関係は度々テストに出題されているので、以下に関係をまとめます。

画像(問48kai)を表示できません
問49 個人情報保護法が対象としている個人情報はどれか。
企業が管理している顧客に関する情報に限られる。
個人が秘密にしているプライバシに関する情報に限られる。
生存している個人に関する情報に限られる。
日本国籍の個人に関する情報に限られる。
解答
解説 個人情報は個人にかかわる情報を規制・保護する法律で、個人の住所、氏名、年齢などが挙げられます。保護対象は、行政に登録されているデータや自分が秘密にしているかどうか、日本人かどうかには一切関わりがありません。また、個人情報保護法第二条に個人情報は生存する個人に関する識別可能情報と定義されているので、故人の個人情報は保護されません。
問50 刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。
インターネット上にいわゆるねずみ講方式による取引形態のWebページを開設する。
インターネット上に、実際よりも良品と誤認させる商品カタログを掲載し、粗悪な商品を販売する。
インターネットを経由して銀行のシステムに虚偽の情報を与え、不正な振込や送金をさせる。
企業のWebページを不法な手段で変造し、その企業の信用を傷つける情報を流す。
解答
解説 電子計算機とは一般に言うコンピュータを指します。また、詐欺も一般的な詐欺と同じですので、コンピュータを使った詐欺はどれかという問題です。電子計算機使用詐欺罪は刑法に含まれるのですが、その条文には、虚偽の情報または指令を与えて不法な利益を得たものを処する(一部抜粋)とあります。
問51 情報システムの安全性のコントロールに関する監査証跡はどれか。
CPUの性能評価レポート
アクセスログ
ソフトウェア導入の費用対効果分析表
単体テストの結果報告書
解答
解説 安全性の確保には不正アクセス等がないかを調べるアクセスログが役に立つと考えられます。選択肢アのCPUの性能評価レポートは効率性、選択肢ウのソフトウェア導入の費用効果分析表は有効性、単体テストの結果報告書は信頼性などの監査証跡になりうると考えられます。
問52 “ISMS認証基準”の詳細管理策を基に設定した、ノート型PCに対する物理的安全対策の妥当性を確かめるための監査手続はどれか。
オフィス内を視察し、不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する。
教育計画及び教育記録を閲覧し、ノート型PCの安全管理についての社員教育が適切に行われていることを確認する。
実際にノート型PCを操作して、パスワードを入力しないと起動できない仕組みになっていることを確認する。
ノート型PCの管理ルールを調べ、社外に持ち出す場合には申請書を提示し、セキュリティ管理者の許可を得るルールになっていることを確認する。
解答
解説 物理的安全対策とは、物理的にノート型パソコンが盗まれたり、破壊されないために行う対策のことです。選択肢ウは論理的な安全対策であるといえます。
問53 提案依頼書(RFP)によるベンダ選定手続に関するシステム監査の結果、指摘事項となるものはどれか。
RFPに、システム化要求事項のほか、あるべき業務モデルも添付していた。
RFP発行後、問合せをしてきたITベンダに対して追加資料を提供していた。
提案を希望するITベンダを集めて、RFP説明会を実施していた。
予算額の範囲を、RFPに明示していた。
解答
解説 指摘事項というのは改善指摘の意味なので、間違いはどれかという風に解釈すればよいと思います。説明会や予想額を明示することはベンダ選定において十分に行うべきことです。また、必要に応じて業務モデルを添付することもありえます。しかし、問い合わせてきたものに対して、追加資料を送ることは、他のベンダに不公平になります。選定手続きには公平性が求められます。
問54 “情報セキュリティ監査基準”に基づく監査の対象に関する記述のうち、適切なものはどれか。
監査対象は情報資産であるが、コンピュータを導入していない部署では、情報セキュリティ監査は不要である。
監査対象は情報資産なので、コンピュータを導入していない部署でも、情報セキュリティ監査は必要である。
監査対象は情報システムなので、コンピュータを導入していない部署でも、情報セキュリティ監査は必要である。
監査対象は情報システムなので、コンピュータを導入していない部署では、情報セキュリティ監査は不要である。
解答
解説 セキュリティ監査基準上では監査対象は情報資産です。情報システムはいわゆるICTに相当するもので、情報資産は情報システムを含む幅広い資産を指します。よって、コンピュータのみに対象が限られていないのでエ、コンピュータを導入していない部門でも情報資産がある場合は監査対象となります。
問55 JISQ9001(ISO9001)の内部監査とシステム監査の関係はどれか。
ISO9001の内部監査は、ソフトウェア製品の供給者が利用者に対して製品の品質を保証するために行うもので、システム監査よりも対象範囲が広い。
ソフトウェア製品の利用者に対して監査報告を行うという点で、システム監査とISO9001の内部監査は共通している。
ソフトウェアの開発プロジェクトを対象とするシステム監査は、ISO9001の内部監査と同一である。
ソフトウェアの品質確保の視点から行うシステム監査は、ISO9001の内部監査に相当する場合がある。
解答
解説 システム監査は、基本的に独立した部署や外部のように対象の部門と利害の関係をもたず客観的・公平的な点検・評価を行います。内部監査は基本的にどの部署からも独立していますが、経営陣などの承認を得るために最低限のつながりはあります。また、監査は品質を保証するものではありません。監査を基に各部署で改善を行い品質を向上させるものです。ISO9001(品質マネジメント)には、ソフトウェアの品質確保を行うシステム監査が内部監査に相当しています。