平成31年度 春期 情報セキュリティマネジメント［午前］

平成31年度(2019年)春期
平成31年度 春期 情報セキュリティマネジメント［午前］

皆さまからのご意見を参考に，この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらお問い合わせフォームまでお寄せください。

問1

解答　ウ

マネジメントレビューとは，対象の適切性・妥当性・有効性を決定するために，トップマネジメント（経営層）により実行される活動。ア，イ，エの「情報セキュリティ目的」自体は，マネジメントレビューを行う目的であって，考慮しなければならない事項（つまり，マネジメントレビューの対象）ではなく，不適切。

問2

解答　ア

CSIRT（シーサート）とは，情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を，技術面から行う。このうち，コーディネーションセンターのサービス対象は，協力関係にある他のCSIRT。インシデント対応において，CSIRT間の情報連携・調整を行う。
ア　○ コーディネーションセンターの組合せ。
イ　国際連携CSIRTの組合せ。
ウ　組織内CSIRTの組合せ。
エ　インシデントレスポンスプロバイダの組合せ。
（SG　平成29年秋　問３と同じ問題）

問3

解答　ウ

CRYPTREC（クリプトレック，暗号技術調査評価委員会）では，CRYPTREC暗号リストを公開している。CRYPTREC暗号リストとは，総務省と経済産業省が安全性を認めた暗号技術のリスト。電子政府実現のために，各省庁が調達するシステムで使うべき暗号技術が掲載されている。客観的な検証の結果，危殆化したと認められた暗号技術は，改定時にリストから除外される。
（SG　平成29年秋　問４と同じ問題）

問4

解答　ア

サポートユーティリティとは，電気・通信サービス・給水・ガス・下水・換気・空調などのことであり，その不具合による停電や故障から，装置を保護することが望ましいとされている。
（SG　平成29年秋　問12と同じ問題）

問5

解答　ア

リスクファイナンシングとは，リスクが顕在化した場合に，その損害から復旧させるために，金銭面の損害額を補う方法。リスクそのものは低減されない。４種のリスク対応のうち，リスク共有のリスク移転（保険で補う）・リスク保有（自己負担で補う）が該当する。
（SG　平成29年秋　問６と同じ問題）

問6

解答　イ

リスクレベルとは，リスク分析のリスク算定(リスクの結果の大きさと起こりやすさを決める)の段階で求められるリスク値であり，例えば，「リスクレベル＝情報資産の価値×脅威×脆弱性」で求められる。
ア　脆弱性の説明。脆弱性とは，脅威（攻撃）がつけ込める弱点。
イ　○ リスクレベルの説明。
ウ　該当する定義はない。
エ　リスク基準の説明。リスク基準とは，リスクアセスメントの事前準備として，リスクの評価基準と対応する値を決めておくこと。
（SG　平成29年春　問７と同じ問題）

問7

解答　エ

リスクについて，アカウンタビリティ（説明責任）や権限をもつ人などをリスク所有者と呼ぶ。なお，イのトップマネジメントとは，経営層であり，組織に対して経営責任をもつ人々。
（SG　平成29年秋　問８と同じ問題）

問8

解答　ア

JIS Q 27001:2014において，情報セキュリティ目的をどのように達成するかについて計画するときに，"実施事項"，"必要な資源"，"責任者"，"達成期限"，"結果の評価方法"を決定しなければならないと定められている。なお，資源とは，ここでは人・モノ・カネのこと。

問9

解答　エ

ア　リスクアセスメントのリスク分析における，リスク特定とリスク算定と同じく，リスク特定でリスクを発見したうえで，リスク算定でリスクの結果の大きさと起こりやすさを決める。つまり「重要度によっては記入しない」ということはせず，リスクを記入したうえでその重要度を評価する。
イ　重要度が確定するまで台帳に記入しないと，その間，正確なリスクマネジメントができないため，不適切。現時点の情報資産を記入するようにする。
ウ　「いずれか片方だけ」の場合，漏れ・抜けが発生する可能性があるため，不適切。
エ　○

問10

解答　イ

DNSキャッシュポイズニングとは，攻撃者がDNSサーバに偽の情報を覚え込ませて，利用者がWebサイトを開く際，偽のWebサイトに接続させることで，利用者をだます攻撃。

問11

解答　エ

SPFとは，受信側のメールサーバが，送信側のサーバに対し，送信元のIPアドレスが実在するかを問い合わせて，信頼できるかどうかを確認する送信ドメイン認証。具体的には，受信側のメールサーバが，メールの送信元IPアドレスと，送信元メールサーバのIPアドレスとを，送信元のDNSサーバに登録された情報をもとに照合する。IPアドレスが実在すれば，受信者にメールを転送する。

問12

解答　イ

１ビットとは，２進数で１ケタのこと。〔試行結果〕から分かることは，次のとおり。
・「① ０を設定したら，読取り，書込み，実行ができなくなってしまった。」
(０)₈＝ (0 0 0)₂。２進数３ケタのうち，どのケタが読取り，書込み，実行かは不明だが，０の場合，権限が不許可だと分かる。
・「② ３を設定したら，読取りと書込みはできたが，実行はできなかった。」
(３)₈＝ (0 1 1)₂。左端のケタが不許可。不許可なのは「実行」であるため，左端のケタが実行権限を表すと分かる。
・「③ ７を設定したら，読取り，書込み，実行ができるようになった。」
(７)₈＝ (1 1 1)₂。中央と右端の２ケタのうち，どれが読取り・書込み権限かは分からない。
ア　(２)₈＝ (0 1 0)₂。左端のケタは実行権限であり，０により不許可のため，実行はできない。「読取りと実行ができる」は不適切。
イ　(４)₈＝ (1 0 0)₂。左端のケタは実行権限であり，１により許可のため，実行できる。「実行だけできる」は適切。
ウ　(５)₈＝ (1 0 1)₂。左端のケタは実行権限であり，１により許可のため，実行できる。「書込みだけできる」は不適切。
エ　(６)₈＝ (1 1 0)₂。左端のケタは実行権限であり，１により許可のため，実行できる。「読取りと書込みができる」は不適切。
よって，正解はイ。

問13

解答　イ

共連れを防ぐための対策。共連れとは，侵入者が，正規の利用者と共に不正に入退室すること。背後に潜み，認証時に一緒に入り込み，２人以上が１回の認証で同時に入退室する。
ア　TPMORとは，常に２人以上を在室させるために，最初の入室者と最後の退室者は２人同時でないと入室・退室ができないようにすること。
イ　○ アンチパスバックとは，共連れなどにより入室（または退室）の記録がない場合，認証を拒否して，退室（または入室）できないようにすること。
ウ　インターロックゲートとは，共連れを確実に防ぐために，扉を二重に設置すること。入室者は，１つめ（手前）の扉が開いても２つめ（奥）の扉は閉じているため，両扉の間で立ち止まる。すると，１つめの扉が閉じ，ここで入室者が１人だと確認されて初めて，２つめの扉が開き，入室できる。
エ　パニックオープンとは，非常事態発生時に，ドアを解錠すること。
（SG　平成29年秋　問15と同じ問題）

問14

解答　エ

PCI DSS（PCIデータセキュリティスタンダード）とは，クレジットカード情報を保護するための，クレジット業界のセキュリティ基準。カード会員情報を，格納・処理・伝送するすべての機関・加盟店に対して適用する。
カードセキュリティコードは，クレジットカード自体に印字されているだけで，クレジットカードにある磁気部分には，含まれていない。そのため，仮に磁気部分を不正に読み取られても（スキミング），取得できない。
ショッピングサイトで，クレジットカード決済をする際に，追加でカードセキュリティコードの入力を求めることで，クレジットカード自体を持っている本人かどうかを確認できる。これにより，スキミングにより不正に入手したクレジットカード番号の悪用を防げる。
カードセキュリティコードは，クレジットカード自体に印字されているだけであるため，加盟店（店舗）やサービスプロバイダ（クレジットカード会社）には保管しない。よって，正解はエ。

問15

解答　イ

IDSとは，ネットワークやホストをリアルタイムで監視し，不正アクセスなどの異常を発見し，管理者に通報する製品。
IPSとは，IDSを拡張し，異常の監視・管理者への通報だけでなく，自動的に攻撃自体を防ぐ製品。IPSは，ファイアウォールと同じく，すべての通信を監視し，不審な通信の通過を禁止する。IDSでは，管理者が手動でファイアウォールのルールを変更するが，IPSでは自動でそれを行う。
ア　SSLアクセラレータの説明。SSLアクセラレータとは，WebサーバのCPU負荷を軽減するために，SSL(TLS)による暗号化と復号の処理を，Webサーバでなく，それ専門で行うための製品。
イ　○　IPSの説明。
ウ　ペネトレーションテストで使うツールの説明。ペネトレーションテストとは，脆弱性検査のひとつで，情報機器に対し擬似的な攻撃を試みる検査。脆弱性検査とは，情報システムにある脆弱性を発見するための検査。
エ　バイオメトリクス認証システムの説明。バイオメトリクス認証とは，人間の身体的特徴（生体器官）や行動的特徴（癖）などの生体情報を使って，利用者を認証すること。

問16

解答　ア

ア　○　パスワードリスト攻撃とは，利用者ID・パスワードを使い回す利用者が多いことから，あるWebサイトやシステムから流出した利用者IDとパスワードのリストを使って，別のWebサイトやシステムへの不正ログインを試みる攻撃。
イ　ブルートフォース攻撃とは，パスワードの可能な組合せをしらみつぶしにすべて試す方法。総当たり攻撃ともいう。
ウ　リバースブルートフォース攻撃とは，１つの利用者IDについて，様々なパスワードを試すブルートフォース攻撃とは対照的に，１つのパスワードについて，様々な利用者IDを試す方法。１つの利用者IDについて，何度もログインを試すわけではないので，アカウントのロックアウトは，対策とならない。
エ　レインボー攻撃とは，予想したパスワードをもとに求められたハッシュ値と，利用者のパスワードのハッシュ値を照合し，パスワードを見破る方法。パスワードは，通常，そのまま保存されず，パスワードをもとに，ハッシュ関数により計算されたハッシュ値が保存されている。予想したパスワードのハッシュ値の一覧表（レインボーテーブル）と，利用者のパスワードのハッシュ値を比較することで，パスワードを特定する。

問17

解答　イ

IPマスカレード(NAPT)とは，１つのグローバルIPアドレスを複数のコンピュータで共有する技術。

問18

解答　ウ

ペネトレーションテストとは，脆弱性検査のひとつで，情報機器に対し擬似的な攻撃を試みる検査。脆弱性検査とは，情報システムにある脆弱性を発見するための検査。

問19

解答　ウ

ポート番号とは，TCP/IPプロトコルで，どのような種類の通信かを識別するための番号。宛先アドレスとともに送信される。ポート番号は，0から65535まであり，Web閲覧(HTTPプロトコル)が80，メール送信(SMTPプロトコル)が25などと，プロトコルによって決まっている。
Web閲覧に関する記述はウだけ。よって，正解はウ。

問20

解答　エ

ア　MACアドレスフィルタリングによって，情報機器は限定できるが，無線LANを利用できる者は限定できない。
イ　SSIDの文字列を８字以上にしても効果はない。SSIDとは，親機の接続先を識別するための名称。周囲の子機向けに電波で公開されている。
ウ　WEP（ウェップ）とは，多くの脆弱性が発見され危殆化した暗号技術。危殆化とは，コンピュータの性能向上に伴って，高速に短時間で解読作業ができるようになったために，暗号の安全性が低下すること。
エ　○　WPA2とは，WPAをさらにバージョンアップし，より強力なアルゴリズムであるAESを採用した暗号技術。

問21

解答　ア

CAPTCHA（キャプチャ）とは，プログラムは読み取れないが，人間なら読み取れる形状の文字のこと。例えば，Web サイトの利用者登録ページで，人間でなくプログラムが自動で文字を入力し，勝手に登録する手口がある。その対策として，Webサイト上でCAPTCHAを表示し，それを読み取った文字を利用者に入力させる形式にする。
プログラムはCAPTCHAの文字を読み取れないので，入力された文字が正しければ，確実に人間が操作したものだと判別でき，プログラムによる自動登録の手口を防げる。プログラムは，ゆがんでいたり，多くの色が組み合わさったりした文字の解析が苦手である特性を活用している。

問22

解答　ウ

ア，イ　内蔵ストレージを攻撃者のPCに接続し，専用のソフトウェアで操作すれば，ファイルを盗まれる。
ウ　○　HDDパスワードとは，HDDに設定し，HDDをPCに接続した際に入力を求められるパスワード。攻撃者のPCに接続した場合にもHDDパスワードの入力を求められるため，情報漏えい対策になる。
エ　BIOSパスワードとは，PCのハードウェアに設定し，PCの起動時に入力を求められるパスワード。別のハードウェアでは，BIOSパスワードが機能しないため，内蔵ストレージを抜き取り，攻撃者のPCに接続すれば，内蔵ストレージの内容は読み取られる。
（SG　平成28年春　問20と同種の問題）

問23

解答　ウ

S/MIMEとは，ハイブリッド暗号を使って，メールを暗号化したり，ディジタル署名によるなりすましなし・改ざんなしを確かめたりするための規格。ハイブリッド暗号とは，公開鍵暗号方式の短所を，共通鍵暗号方式と組み合わせることで補う暗号方式。
ア　公開鍵暗号方式による暗号化のために，Ａ氏は，Ｂ氏の公開鍵を用いるため，誤り。
イ　公的機関に問い合わせることはしないため，誤り。
ウ　○　ディジタル署名により，改ざんがなく，なりすましがないことを確認できる。
エ　マルウェアに感染することを防げるわけではないため，誤り。

問24

解答　ウ

XML署名とは，XMLファイルにディジタル署名を付与することにより，XMLファイルのなりすましなしと改ざんなしを確かめるための規格。
ア　HTTPSの説明。HTTPS(HTTP over TLS)とは，TLSにより暗号化したHTTP通信。TLSとは，OSI基本参照モデルのトランスポート層で暗号化などを行うセキュアプロトコル。
イ　Ajax（エイジャックス）の説明。
ウ　○　XML署名の説明。
エ　ステガノグラフィの説明。ステガノグラフィとは，データに情報を埋め込む技術。埋め込む情報の存在に気付かれない点が特徴。

問25

解答　イ

利用者権限の管理では，必要最小限の権限(need-to-know)のみ与える。必要以上の権限を与えると，利用者が不正を行う危険性があるから。データ構造の定義用アカウントには，「テーブルの作成・削除権限」のみ与える。また，データの入力・更新用アカウントには，「レコードの更新権限」のみ与える。それ以外の権限は与えない。
（SG　平成29年秋　問25と同じ問題）

問26

解答　ア

メッセージ認証符号(MAC)とは，通信データの改ざんなしを確かめるために作る暗号データ。共通鍵暗号方式，または，ハッシュ関数を使う。

問27

解答　ア

楕円曲線暗号(ECC，Elliptic Curve Cryptography)とは，RSA暗号と比べて，鍵長が短く，かつ処理が速いにもかかわらず，同レベルの強度がある暗号方式の総称。現在主流であるRSA暗号に代わる後継の暗号方式として期待されている。

問28

解答　イ

ハイブリッド暗号とは，公開鍵暗号方式の短所を，共通鍵暗号方式と組み合わせることで補う暗号方式。

問29

解答　イ

SSHとは，遠隔地のコンピュータを安全に遠隔操作するためのセキュアプロトコル。
ログイン認証は，なりすましなしを確かめるために行う。同じく，公開鍵暗号方式でなりすましなしを確かめるためのディジタル署名と同じ手順。つまり，送信者（利用者PC側）は［送信者の秘密鍵］（利用者PCの秘密鍵）で暗号化した暗号文を，受信者に送る。受信者（サーバ側）は［送信者の公開鍵］（サーバの公開鍵）で復号する。
なお，なりすましなしを確かめられる理由は，暗号化するときに使う［送信者の秘密鍵］は送信者以外は知りえないため，確実に送信者が暗号化したといえるから。よって，正解はイ。

問30

解答　ウ

ア　DMZとは，危険が多いインターネットと，安全な社内ネットワークの境界に位置し，どちらからもアクセス可能だが，そこから社内ネットワーク内へはアクセス禁止であるネットワーク上のエリア。
イ　SIEM（シーム）とは，サーバ・ネットワーク機器・セキュリティ関連機器・アプリケーションから集めたログを分析し，異常を発見した場合，管理者に通知して対策する仕組み。巧妙化するサイバー攻撃に対抗するため，事前の予兆から異常を発見する機能や，リスクが顕在化したあとで原因を追跡するための機能が備わっている。
ウ　○　ハニーポットとは，クラッカーの手口やマルウェアの動作を調査する目的で，インターネット上に設置された，わざと侵入しやすくしたおとりのサーバやネットワーク機器。セキュリティ企業や研究者は，ハニーポットをおとりとして使い，新たな手口を情報収集する。
エ　ボットネットとは，ボットに感染した，複数のコンピュータで構成されたネットワーク。ボットとは，感染した情報機器を，インターネット経由で外部から操ることを目的とした不正プログラム。

問31

解答　エ

JIS Q 15001とは，個人情報保護マネジメントシステム。JIS Q 15001:2017は，個人情報保護法の改正に伴って，改訂された。
利用目的について，個人情報保護法では，次の規定がある。
・本人から直接，個人情報を取得する場合は，利用目的を明示しなければならない。
・個人情報を取得した場合は，利用目的を，本人に通知・公表しなければならない。
また，個人情報の種類の１つに，要配慮個人情報がある。要配慮個人情報とは，不当な差別・偏見などの不利益が生じないように，その取扱いに特に配慮を要する個人情報。例えば，人種・信条・病歴・犯罪の経歴・障害がある。要配慮個人情報の取得や第三者への提供には，原則として本人の同意が必要。
ア　開示対象個人情報は，保有個人データと同じ意味であり，別に定義されているということはない。
イ　他と章立てが異なるということはない。
ウ　特定の機微な個人情報は，個人情報保護法では要配慮個人情報。労働組合への加盟は，要配慮個人情報には含まれない。
エ　○

問32

解答　ア

"政府機関等の情報セキュリティ対策のための統一基準"は，サイバーセキュリティ基本法に基づいて制定された，政府機関等が遵守すべき事項を規定した基準。対象は，国の行政機関・独立行政法人など。
ア　○
イ，エ　サイバーセキュリティ基本法に基づいて制定されたもの。
ウ　全ての民間企業を含むものではない。

問33

解答　エ

特定電子メール法とは，迷惑メール・スパムメールを防止するための法律。送信者の氏名やメールアドレスの表示義務・受信者の同意のないメールの規制・架空のメールアドレスによる送信の規制が定められている。特定電子メール法では，広告・宣伝メールを送信するためには，オプトイン方式を採用しなければいけない。また，オプトアウト方式によるメール送信拒否の要求に応じなければいけない。
・オプトイン方式とは，あらかじめ受信者が，メール送信に同意した場合だけ，メール送信者はメールを送信してよい方式。
・オプトアウト方式とは，メール送信者が，受信者からメール送信をしないように求める通知を受けたときは，メール送信を取りやめる方式。
（SG　平成29年秋　問32と同じ問題）

問34

解答　イ

特定個人情報とは，個人番号（マイナンバー）を含む個人情報。事業者が，特定個人情報を含むファイルを作成できるのは，税務・社会保障・災害対策の目的に限られる。
ア　バックアップファイルを作成することは，災害対策目的でもあるため，禁止されていない。
イ　○　業務成績を管理するファイルは，税務・社会保障・災害対策の目的ではないため，禁止されていない。
ウ，エ　税務目的であるため，禁止されていない。

問35

解答　エ

著作者人格権とは，著作者の利益・名誉を侵害する，著作物の利用を禁止する権利。著作者だけのものであるため，他者へ譲渡できない。著作者人格権に含まれる権利は，次のとおり。
・公表権　　　：未発表の著作物を公表する権利
・氏名表示権　：著作者名を表示する権利
・同一性保持権：著作物の変更・削除・改変を禁止する権利
ア　著作財産権のうちの複製権の説明。
イ　著作財産権のうちの公衆送信権の説明。
ウ　著作財産権のうちの貸与権の説明。
エ　○　著作者人格権のうちの同一性保持権の説明。

問36

解答　イ

出向契約と請負契約の違いは，次のとおり。
・出向契約：労働者は，在籍出向の場合は出向元企業に雇用され，転籍出向の場合は出向先企業に雇用される。出向先企業から業務の指揮命令を受ける。通常の労働者と同じく，完成責任や瑕疵担保責任までは負わない。
・請負契約：労働者は，請負業者に雇用される。請負業者から業務の指揮命令を受け，給料が支払われる。請負の注文者の企業（委託元企業）と請負業者（委託先企業）との間で，請負契約が成立しており，請負業者は，完成責任や瑕疵担保責任を負う。
ア　請負契約では，指揮命令関係は，企業Ｂ（委託先企業）と労働者Ｃとの間でなく，企業Ａ（受託者）と労働者との間に生じる。
イ　○
ウ　派遣契約では，雇用関係は，企業Ｂ（派遣先企業）と労働者Ｃの間でなく，企業Ａ（派遣元企業）と労働者Ｃの間に生じる。
エ　派遣契約と出向とは別物。

問37

解答　エ

システム監査人とは，システム監査を行う人。監査を受ける組織から，身分上の独立性を確保し，客観的な立場にいるという外観に配慮しなければならない。システム監査人の所属部署は，社内の内部監査部門など，監査を受ける組織から独立することが求められる。

問38

解答　ア

ア　○　指摘事項として正しい。セキュリティ機能の試験を開発期間が終了した後に実施すると，そのための修正が後回しになったり，期間が十分に取れなかったりするなどの問題が発生しがちなため。
イ　開発環境についてもセキュリティ確保に配慮すべきであり，問題はない。
ウ　外部委託先についてもセキュリティ確保の観点を考慮すべきであり，問題はない。
エ　必要以上に変更すると，セキュリティホールを含む場合があり，セキュリティ確保の観点から問題となりうるため，「必要な変更に限定」すべきであり，問題はない。

問39

解答　ウ

システム監査報告書とは，システム監査の流れのうち，「評価・結論」の段階でまとめられる資料。「評価・結論」とは，監査調書をもとに，監査を受けた組織に，お墨付き（保証）を与えたり，助言したりするための最終的な結論を出す段階。監査の実施記録とともに，監査の結論として，記載する例は，次のとおり。
指摘事項：リスクとなる問題点・その重要性とリスクとなる根拠も併記する。
改善勧告：指摘事項に対するコントロール（対策）。その重要性・緊急度・改善による効果・改善を担当すべき部署も併記する。
ア　指摘事項にはリスクとなる根拠も併記するため，「裏付けの有無にかかわらず」は，不適切。
イ　「監査対象部門の責任者が承認した事項」に限定すると，監査を受けた組織にとって不利な内容は承認しない可能性があるため，不適切。
ウ　○　最終的に監査人が必要と判断した事項を指摘事項として記載する。
エ　不備がリスクとなりうるかを判断し，リスクとなる問題点を指摘事項に記載するため，「不備の内容は考慮せず」は不適切。

問40

解答　エ

情報セキュリティ監査基準とは，監査人の行為規範で，監査を実際に行う監査人が行うべき内容をまとめたもの。例えば，独立性の確保・守秘義務。
ア　順序が反対。助言型の監査により，改善を進めたうえで，保証型の監査により，保証を得るという段階的な導入を取り入れる。
イ　両者の関係は排他的（自分以外の者をしりぞけて受け入れないさま）ではない。
ウ　あべこべ。監査を実際に行う監査人が決めるのではなく，監査要請者のニーズによって決定する。
エ　○　保証型の監査を実施し，その結果を開示することで，利害関係者からの信頼を得られる。

問41

解答　ウ

インシデントとは，やりたいことができない状況。システム障害だけでなく，印刷ができないなどのトラブルも含む。注文書を出力するプログラムが異常終了したことは，やりたいことができない状況であり，インシデントに該当する。
（SG　平成28年秋　問42と同じ問題）

問42

解答　エ

ア　修正作業を分担して行うと，漏れ・抜けが発生しがちなため，不適切。
イ　原始データについてよく知っている，データの発生元が行う方が，精度が高くなる。
ウ　時間が掛かってでも，データについてよく知っている，データの発生元で行う方が，精度が高くなる。
エ　○　後工程でエラーを検出すると，エラーを見つけにくく，かつエラーを含むデータによる影響範囲を特定する手間が生じるため，入力段階で行うべき。

問43

解答　エ

プロジェクトとは，独自の成果物を生み出すために実施される，一時的な業務。目的を達成すると，活動は終了する。

問44

解答　ア

クライアントサーバとは，クライアントは，通常の処理は自分で行い，必要な場合に，サーバに処理を依頼することにより，サーバに負荷がかかり過ぎることを防ぐ方式。分散処理の１方式。分散処理とは，複数のコンピュータで，処理を分業する形態。クライアントとは，サービスを受けるコンピュータ。サーバとは，サービスを提供するコンピュータ。
ア　○　クライアントサーバシステムは，分散処理の１形態。
イ　クライアントサーバシステムは，分散処理の１形態であり，密結合（両者が密接に連携する状態）ではないため，不適切。
ウ　「クライアントは，...サービスを提供し」という記述は誤りのため，不適切。
エ　「サービスを提供するクライアント」という記述は誤りのため，不適切。

問45

解答　ウ

排他制御とは，複数のトランザクションを同時に実行しても，データベースを同時に更新しないようにすること。処理の途中で，他の処理に割り込みされ，データを更新・読み取りされた結果，データに不整合が生じることがないように，事前にデータをロックする。

問46

解答　エ

電子メールの送受信で使用する，代表的なプロトコルは，次のとおり。
・POP3（ポップスリー）：メール受信用のプロトコルで，メールサーバに届いたメールを，受信する情報機器にダウンロードし，そのダウンロードしたメールを読む方式。１台の情報機器のみでメールを読みたい場合に向く。
・IMAP（アイマップ）：メール受信用のプロトコルで，メールサーバに届いたメールを，そのまま読む方式。複数の情報機器からメールを読みたい場合に向く。
・SMTP：メール送信用のプロトコル。
送信プロトコルはSMTP，受信プロトコルはIMAP4。

問47

解答　イ

BPO(Business Process Outsourcing)とは，自社の業務の一部を，業務システムだけでなく業務そのものを含めて，外部企業に委託すること。
ア　BCP（Business Continuity Plan，事業継続計画）の説明。BCPとは，災害・事故発生時に，基幹業務の継続を目的とした対応計画。
イ　○　BPOの説明。
ウ　MRP（Material Requirements Planning，資材所要量計画）の説明。
エ　ＩＴポートフォリオの説明。
（SG　平成28年秋　問48と同じ問題）

問48

解答　エ

「この投資で得られる利益の全額を投資額の回収に充てる」ため，
ａは，［投資額］90万円 ÷ ［回収期間］３年 ＝ 30万円／年。つまり，１年あたり30万円の利益が必要で，その利益を投資額の回収に充てる。
ｂは，［投資額］300万円 ÷ ［回収期間］５年 ＝ 60万円／年。つまり，１年あたり60万円の利益が必要。
年間利益は，それぞれａは30万円，ｂは60万円のため，エの「ｂはａの２倍」が適切。

問49

解答　ウ

一般企業が，ＩＴベンダ(情報技術に関連したソフトウェア・システム・機器を販売する企業)に対して，システムの開発を依頼する調達における手順は，次のとおり。
① RFI(情報提供依頼書)の提示
一般企業が，調達先の選定のために，ＩＴベンダに対して，システム化の目的や業務内容を示した上で，RFIを提示し，情報提供を依頼する。ＩＴベンダに対して求める情報は，開発実績・提供可能な製品やサービスなど。
② RFP（提案依頼）・RFQ（見積依頼書）の提示
一般企業が，調達先選定のために，ＩＴベンダに対して，開発してほしいシステムと条件を示したRFPとRFQを提示し，提案書・見積書の提出を依頼する。
③ 調達先の選定
ＩＴベンダの提案書や見積書から，システム開発の確実性・信頼性・費用・最終納期などから，調達先を選定する。
④ 契約の締結
選定したＩＴベンダと契約について交渉し，システム・費用・納入時期・役割分担などを文書で確認し，契約を締結する。
ア，イ　特定のベンダにとって有利に働くため，公正な選定につながらない。
ウ　○　選定の基準や手順を確立しておくことは，公正な選定につながる。
エ　公正な選定につながることとは，無関係。

問50

解答　イ

企業の社会的責任は，CSR(Corporate Social Responsibility)とも呼ばれ，利益の追求だけでなく，法令遵守・人権・自然環境などにおいて果たす責任。環境対策の観点から実施するものは，グリーン購入。グリーン購入とは，環境への負荷が少ない商品などを優先して購入すること。例えば，原材料がリサイクル品である商品や，低・無農薬で育った作物，長持ちする商品を優先して購入する。

一覧へ戻る