平成20年度 セキュアド 問41−55 解答編




このページは

セキュアド

(情報セキュリティアドミニストレータ試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください

問41 ベンチマーキングを説明したものはどれか。
企業独自のノウハウや技術などによって競争優位を維持・強化できる分野に対して、資金と人材を集中的に投入する。
自社の業務プロセスを改革する際に、他社のベストプラクティスと比較分析を行う。
新規分野への進出や、事業の拡大、再編などのために、他社の経営資源を獲得し活用する。
それぞれの事業を、市場成長率と市場占有率のマトリックスによって分析し、経営資源の最適な配分を行う。
解答
解説 ベンチマーキングとは、自分の企業以上を対象として比較することで、他者の良いところを自社に反映させようという考え方です。パクリとも少し違います。また、ベンチマークテストとは関係ありません。
問42 問題解決能力の育成方法で、日常起こるマネジメント上の問題を多数提示して、一定時間内に判断し処理させる手法はどれか。
インバスケット
ケーススタディ
親和図法
ロールプレイ
解答
解説 4つの用語を以下にまとめます。

ターゲットマーケティング:市場のなかから、ターゲットを絞り込みそこに自社の製品を投入するマーケティング手法
ベストプラクティス:最も効果的で、効果的だった事例のこと
ベネフィットセグメンテーション:顧客の要求やサービスにより市場を分割し、それぞれの消費者層にあったマーケティングをすること
マスカスタマイゼーション:基本的には大量生産をするが、ある程度の柔軟性をもち、顧客の細かい要望に対応できるようにしたもの
問43 改善の効果を定量的に評価するとき、複数の項目で評価した結果を統合し、定量化する方法として重み付け総合評価法がある。表の中で優先すべき改善案はどれか。

画像(問43)を表示できません
案1
案2
案3
案4
解説
解答 それぞれの案を計算してみます

案1:4×6+3×5+3×6=57
案2:4×8+3×5+3×4=59
案3:4×2+3×9+3×7=56
案4:4×5+3×5+3×6=53

となり、案2が最も高いポイントとなります。
問44 全社レベルの業務モデルを作成するときの留意点はどれか。
業務モデルとしてビジネスプロセスとデータクラスとの関係を明らかにするために、データクラスに含まれるデータ項目を詳細にしておく必要がある。
業務モデルは企業活動のモデルでもあるので、ビジネスプロセスには、業務レベルの活動だけでなく意思決定活動や計画活動も含む必要がある。
業務モデルは全社情報システム構築の基本構造ともなるので、ビジネスプロセスはその企業の現行プロセスをそのまま反映させる必要がある。
データクラスはエンティティではないので、データクラス間でデータの重複があったとしても、現状を反映しておく必要がある。
解答
解説 業務モデルは、全ての現行プロセスを事細かに反映させるのではなく、業務レベルの活動はもちろんですが、意思決定活動のようなモデルも抽象的にとりだして作成します。このモデル化は重複がある場合はまとめられるのが一般的です。
問45 図は、製品Aの構成部品を示している。この製品Aを10個生産する場合、部品Cの手配数量は何個になるか。ここで、括弧内の数字は上位部品1個当たりの所要数量であり、部品Cの在庫量は5個とする。

画像(問45)を表示できません
15
20
25
30
解答
解説 Aを10個作るためには、Bが20個とCが10個必要となります。Bを20個作るのに、Cが20個必要となり、合計でCは30こ必要です。在庫が5個あるので、25個必要だということが分かります。
問46 RFIDを説明したものはどれか。
ICカードや携帯電話に保存される貨幣的価値による決算手段のことで、POSレジスタなどで用いられている。
極小の集積回路にアンテナを組み合わせたもので電子荷札に利用され、無線自動認識技術によって対象の識別や位置確認などができる。
縦横のマトリックスに白黒の格子状のパターンで情報を表し、情報量が多く数字だけでなく英字や漢字データも格納できる。
人間の身体的特徴としての生体情報を、個人の識別・認証に利用する技術で、指紋認証、静脈認証などがある。
解答
解説 RFID(Radio Frequency Identification)とは、小型のICチップを無線で認識することにより、対象物を認識する技術です。非接触であり、バーコードに変わる技術として注目されています。現在では図書館などの本の管理などで実用化され始めています。

選択肢アはJANコード(バーコード)、選択肢ウはQRコード(2次元バーコード)、選択肢エはバイオメトリックス認証(生体認証)となっています。
問47 Webページの著作権に関する記述のうち、適切なものはどれか。
営利目的でなく趣味として、個人が開設しているWebページに他人の著作物を無断掲載しても、私的利用であるから著作権の侵害とはならない。
作成したプログラムをインターネット上でフリーウェアとして公開した場合、配布されたプログラムは、著作権法による保護の対象とはならない。
試用期間中のシェアウェアを使用して作成したデータを、試作期間終了後もWebページに掲載することは、著作権の侵害に当たる。
特定の分野ごとにWebページのURLを収集し、簡単なコメントをつけたリンク集は、著作権法で保護される。
解答
解説 著作権は営利目的かどうかにかかわらず、作成物全てに発生します。また、誤解されがちですが、フリーウェアは無料で利用できるソフトウェアですが著作権は放棄されていません。よって、2次配布などは著作権に抵触します。シェアウェア自体には作成者の著作権がありますが、シェアウェアで作ったプログラムはの著作権は本人にあるので、そのまま掲載していても問題ありません。最後にリンク集もHPの一部なので著作権で保護されます。
問48 プロジェクトマネージャのP氏は、A者から受託予定のソフトウェア開発を行うために、X社から一時的な要員派遣を受けることを検討している。労働派遣法に照らして適切なものはどれか。
厳しいスケジュールが見込まれることから、派遣労働者個人への瑕疵担保責任を負わせる契約案をX社に提示した。
前回のプロジェクトの成功に大きく貢献したX社のY氏の参加を指名した。
派遣される要員のスキルを適切に判断しようと考え、事前にX社の派遣候補者を面接した。
派遣者への業務指示など、派遣に伴う各種業務をP氏が直接行うことをX社に伝えた。
解答
解説 ペナルティは請負契約であり、派遣契約では認められていません。また、直接特定の人物を指定したり、面接をすることはできません。(ただし、紹介予定派遣などの特定の条件の場合を除く)
問49 申請や届出などの行政手続をインターネット上で実現させる電子申請の特徴はどれか。
申請・届出書が提出されたと認められるのは送信した時点である。
代理人ではなく本人に限り申請を行うことができる。
手数料の納付は、クレジットカードに限定されている。
本人確認のため、電子署名や電子証明書を使用することができる。
解答
解説 電子申請は、本人の同意があれば代理人でも可能であり、手数料もクレジットカードということはありません。提出が認められるのは送信した時点ではなく到着した時点と考えられます。
問50 電子署名法に規定されているものはどれか。
電子署名技術は公開鍵暗号技術によるものと規定されている。
電子署名には、電磁的記憶以外であって、コンピュータ処理の対象とならないものも含まれる。
電子署名には、民事訴訟法における押印と同様の効力が認められている。
電子署名の認証業務を行うことができるのは、政府が運営する認証局に限られる。
解答
解説 電子署名法(電子署名及び認証業務に関する法律)の第2条の2に「当該情報について改変が行われていないかどうかを確認することができるものであること」とあるので、公開鍵に限定されているわけではありません。また第1条には「情報の電磁的方式」とあるので、電磁記録のみに適応されます。さらに認証業務は認定認証事業者という業者ならば可能なので政府が運営する認証局(CA)に限られているわけではありません。
問51 “システム管理基準”に従えば、データ管理のポイントとなるものはどれか。
システムテストは、開発当事者以外の者が参画すること
ソフトウェアの利用状況を記録し、定期的に分析すること
適切なアクセスコントロールを行っていること
プログラムテスト結果を評価し、記録及び管理すること
解答
解説 データ管理の観点からみて、テストや使用状況は関係ありません。「データ管理」なので、データが適切な状況を保持できているか、また、その体制を整えているかということについて考えればよいと思います。
問52 システム監査におけるヒアリングを実施する際に、システム監査人の対処として、適切なものはどれか。
ヒアリングの結果、調査対象の現状に問題があると判断した場合は、その調査対象のあるべき姿について被監査部門の専門的な相談に応じる。
ヒアリングの結果、問題と思われる事項を発見した場合は、その裏付けとなる記録の入手や現場確認を行う。
ヒアリングを行っている際に、被監査部門との間で見解の相違が生じた場合は、相手が納得するまで十分に議論を行う。
被監査部門のヒアリング対象者が複数の場合は、職制上の上位者から集中的に話を聞く。
解答
解説 ヒアリングとは意見を聞きだすことで、聞いた結果問題があると思われる場合は、その根拠となる証拠を得たうえで適切な指導や相談に応じるのが一般的です。根拠がない場合は、その発言内容に誤りや誇大がある可能性があるので、裏づけをします。あくまでヒアリングとは問題点を発見する初期段階だということです。
問53 システム監査人の役割と権限に関する記述のうち、適切なものはどれか。
システム監査人によるシステム監査によって、法令による会計監査を代替できる。
システム監査人は、システム管理者に対して監査の実施に協力するように要請できる。
システム監査人は、セキュリティ方針を決定できる。
システム監査人は、被監査部門に対して改善命令を出すことができる。
解答
解説 一般的に監査人(監査部門)は、被監査部門から利害関係的に独立し被監査部門の協力の上監査結果を報告します。しかし、この命令には保障や命令という抗力はなくあくまで勧告という程度のものです。また、監査人は勧告に当たりその証拠となる物証などの添付などを適宜行います。
問54 “情報セキュリティ監査制度”において、情報セキュリティ監査が確保するべきものはどれか。
情報技術のセキュリティ
情報基盤のセキュリティ
情報資産のセキュリティ
情報システムのセキュリティ
解答
解説 情報セキュリティ監査制度では「情報システムのセキュリティだけではなく、情報資産全体のセキュリティマネジメント」とあります。情報システムとは、コンピュータ上の有益な情報などをさしますが、情報資産とは、これに会社が所有するイメージや情報などの幅広いものをさします。
問55 “情報セキュリティ監査基準”の位置付けはどれか。
監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準であり、監査人の規範である。
情報資産を保護するためのベストプラクティスをまとめたものであり、監査マニュアル作成の手引書である。
情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
組織体が効率的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範である。
解答
解説 情報セキュリティ監査基準の前文の段落には情報セキュリティ監査基準とは、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定する「実施基準」、監査報告に係る留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。とあります。