SC H26 春 午前Ⅱ 問1

特定の認証局が発行した CRL(Certificate Revocation List) に関する記述のうち,適切なものはどれか。

  • CRLには,失効したディジタル証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内のディジタル証明書のうち破棄されているディジタル証明書と破棄された日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで失効したディジタル証明書は,所有者が新たなディジタル証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れで失効した証明書はCRLには記載されません。

  • SC H26 春 午前Ⅱ 問2

    XML署名において署名対象であるオブジェクトの参照を指定する表記形式はどれか。

  • OIDの形式
  • SSIDの形式
  • URIの形式
  • ディジタル証明書のシリアル番号の形式
  • 解答を見る
    正解:ウ

    XML署名とは、XML文書にディジタル署名を行う技術です。
    署名対象と署名アルゴリズムをXML構文で記述します。

    XML署名と署名対象であるオブジェクトがそれぞれ独立している場合、
    XML署名の中にURI(Uniform Resource Identifiers)を指定することで、署名対象のオブジェクトを参照できます。


    SC H26 春 午前Ⅱ 問3

    クラウドサービスにおける, 従量課金を利用したEDos(Economic Denial of Service, Economic Denial of Sustainability)攻撃の説明はどれか。

  • カード情報の取得を目的に, 金融機関が利用しているクラウドサービスに侵入する攻撃
  • 課金回避を目的に, 同じハードウェア上に構築された別の仮想マシンに侵入し, 課金機能を利用不可にする攻撃
  • クラウド利用企業の経済的な損失を目的に, リソースを大量消費させる攻撃
  • パスワード解析を目的に, クラウド環境のリソースを悪用する攻撃
  • 解答を見る
    正解:ウ

    EDos攻撃とは、クラウドサービス利用者の経済的な損失を狙ったサービス運用妨害攻撃である。

    クラウドサービスには、ストレージの容量やデータ転送量などリソースの使用量に応じて料金を支払う従量課金型のサービスがある。こうしたサービスに対してDos攻撃を仕掛けることで、企業に経済的な損失を与えることが目的。


    SC H26 春 午前Ⅱ 問4

    スパムメールの対策として,あて先ポート番号25番の通信に対してISP が実施する OP25B の説明はどれか。

  • ISP管理外のネットワークからの通信のうち,スパムメールのシグネチャに該当するものを遮断する。
  • 動的 IPアドレスを割り当てたネットワークから ISP管理外のネットワークへの直接の通信を遮断する。
  • メール送信元のメールサーバについてDNSの逆引きができない場合,そのメールサーバからの通信を遮断する。
  • メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。
  • 解答を見る
    正解:イ

    OP25B(Outbound Port 25 Blocking)
    ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。


    SC H26 春 午前Ⅱ 問5

    PCに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能はどれか。

  • TPM間の共通鍵の交換
  • 鍵ペアの生成
  • ディジタル証明書の発行
  • ネットワーク経由の乱数送信
  • 解答を見る
    正解:イ

    TPMは、耐タンパ性をもつセキュリティチップ。
    RSA暗号による鍵ペア生成、SHA-1によるハッシュ値計算などの機能を提供する。

  • TPM間の共通鍵の交換機能はない。
  • TPM内部でRSA暗号による鍵ペア(公開鍵と共通鍵)を生成できる。
  • ディジタル証明書の発行機能はない。
  • ネットワーク経由の乱数送信機能はない。

  • SC H26 春 午前Ⅱ 問6

    ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

  • IPアドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
  • 暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
  • パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
  • 戻りパケットに関しては,過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
  • 解答を見る
    正解:エ

  • NATまたはNAPTに関する特徴。
  • ダイナミックパケットフィルタリングの特徴ではありません。
  • アプリケーションゲートウェイ型ファイアウォールの特徴。
  • ダイナミックパケットフィルタリングの特徴。

  • SC H26 春 午前Ⅱ 問7

    ポリモーフィック型ウイルスの説明として,適切なものはどれか。

  • インターネットを介して,攻撃者が PC を遠隔操作する。
  • 感染するごとにウイルスのコードを異なる鍵で暗号化し, ウイルス自身を変化させて同一のパターンで検知されないようにする。
  • 複数のOSで利用できるプログラム言語でウイルスを作成することによって,複数のOS上でウイルスが動作する。
  • ルートキットを利用してウイルスに感染していないように見せかけることによって,ウイルスを隠蔽する。
  • 解答を見る
    正解:イ

    ポリモーフィック型ウイルスは、感染するごとにウイルスのコードを異なる鍵で暗号化するコンピュータウイルス。
    ポリモーフィック(polymorphic)は、多形性という意味。
    ミューテーション型ウイルスとも呼ばれる。


    SC H26 春 午前Ⅱ 問8

    ICMP Flood攻撃に該当するものはどれか。

  • HTTP GET コマンドを繰返し送ることによって,攻撃対象のサーバのコンテンツ送信の負荷を掛ける。
  • pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
  • コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。
  • 大量のTCPコネクションを確立することによって,攻撃対象のサーバに接続を維持させ続けてリソースを枯渇させる。
  • 解答を見る
    正解:イ

  • HTTP GET Flood攻撃の説明。代表的な攻撃として、手動でF5キーを連打するF5アタックがある。
  • ICMP Flood攻撃の説明。
  • SYN Flood攻撃の説明。
  • Connection Flood攻撃の説明。
  • Floodは直訳すると「洪水」「~にあふれる」という意味。


    SC H26 春 午前Ⅱ 問10

    WebサーバがHTTPS通信の応答でcookieにSecure属性を設定したときのブラウザの処理はどれか。

  • ブラウザは, cookieの“Secure=”に続いて指定された時間を参照し, 指定された時間を過ぎている場合にそのcookieを削除する。
  • ブラウザは, cookieの“Secure=”に続いて指定されたホスト名を参照し, 指定されたホストにそのcookieを送信する。
  • ブラウザは, cookieの“Secure”を参照し, HTTPS通信時だけそのcookieを送信する。
  • ブラウザは, cookieの“Secure”を参照し, ブラウザの終了時にそのcookieを削除する。
  • 解答を見る
    正解:ウ

    cookieは、Webサーバーが発行し Webブラウザを通じてユーザのコンピュータに保存される情報で、ユーザの識別やセッション管理のために利用されます。例えば、ショッピングサイトのカート情報がしばらくの間保持されるのもcookieの機能によるものです。

    cookieは、Secure属性という属性を設定することができる。
    Secure属性を設定した場合、HTTPS通信の時だけWebブラウザからWebサーバにcookieが送信される。HTTP通信の時はcookieが送信されません。
    Secure属性が設定していない場合、HTTPS通信時に平文で送信されるため、盗聴される危険性がある。


    SC H26 春 午前Ⅱ 問9

    自ネットワークのホストへの侵入を, ファイアウォールにおいて防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。

  • 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
  • 外部から入るUDPパケットのうち,外部へのインタネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
  • 外部から入るパケットの宛先 IP アドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
  • 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
  • 解答を見る
    正解:エ

    IPスプーフィング
    送信元IPアドレスを詐称して、別のIPアドレスになりすます(スプーフィング)ことで、攻撃対象となるホストに侵入する攻撃手法。

    対策
    外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。


    SC H26 春 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波解析攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を傍受し、情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H26 春 午前Ⅱ 問12

    脆弱性検査で, 対象ホストに対してポートスキャンを行った。対象ポートの状態を判定する方法のうち, 適切なものはどれか。

  • 対象ポートにSYNパケットを送信し, 対象ホストから“RST/ACK”パケットを受信するとき, 対象ポートが開いていると判定する。
  • 対象ポートにSYNパケットを送信し, 対象ホストから“SYN/ACK”パケットを受信するとき, 対象ポートが閉じていると判定する。
  • 対象ポートにUDPパケットを送信し, 対象ホストからメッセージ“port unreachable”を受信するとき, 対象ポートが閉じていると判定する。
  • 対象ポートにUDPパケットを送信し, 対象ホストからメッセージ“port unreachable”を受信するとき, 対象ポートが開いていると判定する。
  • 解答を見る
    正解:ウ

    ポートスキャンとは、対象ホストのポートが開いているか、閉じているかを調査するための行為です。本来、ネットワーク管理者などが脆弱性検査を行うための行為ですが、攻撃者が脆弱性のあるポートを見つける目的で悪用もされている。

    ポートスキャンにはたくさんの種類があります。
    以下はポートスキャンの手法のほんの一部です。

    • TCP SYNスキャン
      対象ポートにSYNパケットを送信し、応答パケットを確認する手法。最後のFINパケットを送信せず、コネクションの途中で止めることからTCPハーフスキャンとも呼ばれる。
      ・SYN/ACKパケットを受信した場合、そのポートは開いていると判定する。
      ・RST/ACKパケットを受信した場合、そのポートは閉じていると判断する。
    • UDPスキャン
      対象ポートにUDPパケットを送信し、ポートの状況を確認する手法。
      ・応答がない場合、そのポートは開いていると判定する。(UDPはコネクションレス型)
      ・“port unreachable”は「ポートに到達できません」という意味。このメッセージを受信した場合、そのポートは閉じていると判定する。

    【選択肢の解説】

  • “RST/ACK”パケットを受信するとき, 対象ポートが開じていると判定する。
  • “SYN/ACK”パケットを受信するとき, 対象ポートが開いていると判定する。
  • 正しい記述です。
  • “port unreachable”メッセージを受信した場合, 対象ポートが閉じていると判定する。
  • 【補足】
    以下は、TCPヘッダに設定される制御用フラグの一部です。
    ・SYN(Synchronize)…TCP接続の確立を要求するためのフラグ
    ・ACK(Acknowledgement)…確認応答のためのフラグ。
    ・RST(Reset)…コネクションを強制切断するためのフラグ
    ・FIN(Finish)…TCP接続を終了する際にFINフラグが立つ。


    SC H26 春 午前Ⅱ 問13

    無線LANのセキュリティ技術に関する記述のうち, 適切なものはどれか。

  • EAPは, クライアントPCとアクセスポイントとの間で, あらかじめ登録した共通鍵による暗号化通信を実現できる。
  • RADIUSでは, クライアントPCとアクセスポイントとの間で公開鍵暗号方式により暗号化通信を実現できる。
  • SSIDは, クライアントPCごとの秘密鍵を定めたものであり, 公開鍵暗号方式による暗号化通信を実現できる。
  • WPA2では, IEEE802.1Xの規格に沿った利用者認証及び動的に更新される暗号化鍵を用いた暗号化通信を実現できる。
  • 解答を見る
    正解:エ

  • EAPではなく、WEP(Wired Equivalent Privacy)の記述です。
    EAP(PPP Extensible Authentication Protocol)は、PPPを拡張した認証プロトコル。
  • RADIUSの記述ではないので誤り。
    RADIUS(Remote Authentication Dial In User Service)は、元々ダイヤルアップ接続する際のユーザ認証機能として開発されたプロトコルであるが、現在では無線LANやVLANなど様々な接続サービスで活用されている。
  • SSIDの記述ではないので誤り。
    SSID(Service Set Identifier)は、無線LANでアクセスポイントを識別するために付けられる識別子。SSIDを拡張したものをESSIDというが、現在ではSSIDをESSIDの意味で用いる場合が多い。
  • 正しい記述です。
    WPA2(Wi-Fi Protected Access 2)は、無線LANの暗号化規格で、IEEE802.1X認証や128~256ビットの可変長鍵を用いた強力な暗号化通信が実現できる。暗号アルゴリズムにはAESを採用している。

  • SC H26 春 午前Ⅱ 問14

    JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。

  • 基本評価基準, 現状評価基準, 環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
  • 製品を識別するためのプラットフォーム名の一覧
  • セキュリティに関連する設定項目を識別するための識別子
  • ソフトウェアの脆弱性の種類の一覧
  • 解答を見る
    正解:エ

    JVNとは、情報処理推進機構(IPA)とJPCERT/CCとが共同管理している脆弱性対策ポータルサイトです。

    CWE(Common Weakness Enumeration)
    SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧IPA - 脆弱性タイプ一覧CWE概説
  • CVSS(Common Weakness Enumeration)の説明。
  • CPE(Common Platform Enumeration)の説明。
  • CCE(Common Configuration Enumeration)の説明。
  • CWE(Common Weakness Enumeration)の説明。

  • SC H26 春 午前Ⅱ 問15

    Webアプリケーションの脆弱性を悪用する攻撃手法のうち, Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し, 不正にシェルスクリプトや実行形式のファイルを実行させるものは, どれに分類されるか。

  • HTTPヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック
  • 解答を見る
    正解:イ

    Webアプリケーションの脆弱性に関する問題は午前・午後ともによく出題されるので、すべての用語を理解しておきたい。

  • HTTPヘッダインジェクション
    外部から渡されたパラメタをレスポンスのHTTPヘッダに反映する場合、不正なヘッダを生成されたり、レスポンスボディに不正な文字列を挿入されたりする脆弱性。
  • OSコマンドインジェクション
    プログラムのパラメータにOSコマンドを不正に埋め込まれ、OSそのものを不正に操作される脆弱性。
  • クロスサイトリクエストフォージェリ
    利用者のブラウザによって、利用者の意図しないリクエストがWebサーバに送信され、ログイン中の利用者にだけ許可されたWebサイトの機能が勝手に実行される脆弱性。
  • セッションハイジャック
    サーバと正規の利用者間のセッション(通信)を乗っ取り、正規の利用者に成りすます行為のこと。

  • SC H26 春 午前Ⅱ 問16

    WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。

  • ブラックリストは脆弱性のあるサイトのIPアドレスを登録したものであり,該当する通信を遮断する。
  • ブラックリストは,問題のある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。
  • ホワイトリストは,暗号化された受信データをどのように復号するかを定義したものであり,復号鍵が登録されていないデータを遮断する。
  • ホワイトリストは,脆弱性のないサイトのFQDNを登録したものであり,登録がないサイトへの通信を遮断する。
  • 解答を見る
    正解:イ

  • ブラックリストにIPアドレスは登録しません。
  • 正しい記述です。
  • ホワイトリストの説明ではない。
  • ホワイトリストにFQDNは登録しません。
  • WAFは、Webアプリケーションへの攻撃を検出して防御するツール。
    検出パターンには、「ブラックリスト」と「ホワイトリスト」の2つがあり、それぞれに長所と短所がある。

  • ブラックリスト
    通過させたくない不正な値または通信データパターンを定義する。
    ブラックリストの定義と一致した場合、不正な通信と判定する。

    長所:既知の攻撃を効率よく検出できる。
    短所:未知の攻撃は検出できない。新たな攻撃手法が発生した場合、随時更新する必要がある。

  • ホワイトリスト
    通過させて問題ない値または通信データパターンを定義する。
    ホワイトリストの定義と一致しなかった場合、不正な通信と判定する。

    長所:未知の攻撃を検出できる。
    短所:細かな設定が必要で高度なスキルを要する。Webアプリケーションの仕様変更が発生した場合、ホワイトリストの定義も見直しが必要となるため、運用コストが大きい。


  • SC H26 春 午前Ⅱ 問17

    SSLに対するバージョンロールバック攻撃の説明はどれか。

  • SSLの実装の脆弱性を用いて,通信経路に介在する攻撃者が, 弱い暗号化通信方式を強制することによって,暗号化通信の内容を解読して情報を得る。
  • SSLのハンドシェイクプロトコルの終了前で, 使用暗号アルゴリズムの変更メッセージを,通信経路に介在する攻撃者が削除することによって,通信社が暗号化なしでセッションを開始し,攻撃者がセッションの全通信を盗聴したり改ざんしたりする。
  • SSLを実装した環境において,攻撃者が物理的デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
  • 保守作業のミスや誤操作のときに回復できるようにバックアップしたSSLの旧バージョンのライブラリを,攻撃者が外部から破壊する。
  • 解答を見る
    正解:ア

    バージョンロールバック攻撃とは、通信プロトコルを古いバージョンに強制変更させ、古いバージョンの脆弱性を突いて攻撃する手法。

    オープンソースの暗号化ソフトウェアライブラリ「OpenSSL」 (ver 0.9.8 以前)には、バージョン・ロールバック攻撃の脆弱性が存在する。
    OpenSSLによる通信を行う場合、強制的に弱い暗号化方式に変更され、盗聴や改ざん等の攻撃を受ける可能性があります。

    参考サイト:JVN


    SC H26 春 午前Ⅱ 問18

    10M ビット/秒のLANで接続された4台のノード(A, B, C, D)のうち, 2組(AとB, CとD)のノード間でそれぞれ次のファイル転送を行った場合, LANの利用率はおよそ何%か。ここで, 転送時にはファイルの大きさの30%に当たる各種制御情報が付加されるものとする。また, LANではリピータハブが使用されており, 更に衝突は考えないものとする。

    ファイルの大きさ:平均1,000バイト
    ファイルの転送頻度:平均60回/秒(1組当たり)

  • 2
  • 6
  • 10
  • 12
  • 解答を見る
    正解:エ

    ファイルの大きさは1,000バイト。その30%に当たる制御情報が付加されるとあるので、1ファイル転送時のサイズは、
    1000(バイト) × 1.30(%) = 1300(バイト)

    ファイル転送頻度は1秒あたり60回で2組あるので、1秒あたりの転送されるファイルサイズは、
    1300(バイト)× 60(回/秒)× 2(組)= 156000(バイト/秒)

    156000(バイト/秒)と10M(ビット/秒)の単位が異なるため、バイトをビットに変換する。

    156000(バイト/秒)× 8 = 1248000(ビット/秒)

    LANの利用率を求める。
    1248000(ビット/秒)÷ 10000000(ビット/秒)× 100(%)= 12.48(%)

    よって、LANの利用率はおよそ12%である。


    SC H26 春 午前Ⅱ 問19

    VoIPにおいて, ユーザエージェント間のセッションの確立, 変更, 切断を行うプロトコルはどれか。

  • RTCP
  • RTP
  • SDP
  • SIP
  • 解答を見る
    正解:エ

  • RTCP(RTP Control Protocol)は、RTPのセッション制御を行うプロトコル。
  • RTP(Real-time Transport Protocol)は、音声や映像などリアルタイム制を要求されるデータを伝送するためのプロトコル。
  • SDP(Session Description Protocol)は、音声や画像などのマルチメディアセッションを開始するために必要な情報を記述するためのプロトコル。
  • SIP(Session Initiation Protocol)は、VoIPなどの技術で用いられる呼制御プロトコル。IP電話などでセッションの確立、 変更、切断を行うことができます。

  • SC H26 春 午前Ⅱ 問20

    インターネットVPNを実現するために用いられる技術であり, ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むものはどれか。

  • IPsec
  • MPLS
  • PPP
  • SSL
  • 解答を見る
    正解:ア

    IPsecは、パケットをネットワーク層で暗号化する機能。
    AH、ESP、IKEなどの複数のプロトコルで構成されている。

    • IKE(Internet Key Exchange、鍵交換)
      暗号化に用いる鍵交換をするために利用するプロトコル。IKE(アイク)と発音する。
    • ESP(Encapsulated Security Payload、暗号化ペイロード)
      通信データの認証とペイロード部(ヘッダ部を除いたデータ本体)の暗号化機能を持つ。
      改ざん検知と盗聴防止ができる。
    • AH(Authentication Header、認証ヘッダ)
      通信データの認証機能を持ち、改ざんを検知できる。
      データの暗号化までは行わないため、盗聴の防止はできない。


    SC H26 春 午前Ⅱ 問21

    関係モデルにおける外部キーに関する記述のうち, 適切なものはどれか。

  • 外部キーの値は, その関係の中で一意でなければならない。
  • 外部キーは, それが参照する候補キーと比較可能でなくてもよい。
  • 参照先の関係に, 参照元の外部キーの値と一致する候補キーが存在しなくてもよい。
  • 一つの関係に外部キーが複数存在してもよい。
  • 解答を見る
    正解:エ

    外部キーとは、参照先の関係の主キーまたは候補キーを参照する列のこと。
    外部キーは一意である必要はなく、NULLを設定することもできる。
    一つの関係に外部キーが複数存在してもよいが、外部キーに値を設定する場合、その値は参照先の表に存在している値と一致している必要がある。

    候補キーとは、主キーの候補となるキーのこと。
    候補キーの条件は、行を一意に特定でき、かつ最低限の属性の組合せであることです。1つの表に候補キーが複数存在する場合があります。

  • 外部キーは、その関係の中で一意である必要はない。
  • 外部キーと参照先の関係のキーは比較可能でなければならない。
  • 外部キーに値を設定する場合、その値は参照先の表に存在している値と一致している必要がある。
  • 正しい記述です。

  • SC H26 春 午前Ⅱ 問22

    UML 2.0 において, オブジェクト間の相互作用を時間の経過に着目して記述するものはどれか。

  • アクティビティ図
  • コミュニケーション図
  • シーケンス図
  • ユースケース図
  • 解答を見る
    正解:ウ

  • アクティビティ図は、ビジネスロジックの処理や制御の流れを表した図。
  • コミュニケーション図は、オブジェクト間のメッセージのやり取りを視覚的に表した図。
  • シーケンス図は、オブジェクト間のメッセージのやり取りを時系列で表した図。問題文に“時間の経過に着目して”とあるので、シーケンス図が正解。
  • ユースケース図とは、ユーザ側の要求に対してシステムがどんな振る舞いをするのかを表した図。
  • 参考サイト:IT専科 UML入門


    SC H26 春 午前Ⅱ 問23

    SOA(Service Oriented Architecture)の説明はどれか。

  • Webサービスを利用するためのインタフェースやプロトコルを規定したものである。
  • XMLを利用して, インターネットに存在するWebサービスを検索できる仕組みである。
  • 業務機能を提供するサービスを組み合わせることによって, システムを構築する考え方である。
  • サービス提供者と委託者との間でサービスの内容, 範囲及び品質に対する要求水準を明確にして, あらかじめ合意を得ておくことである。
  • 解答を見る
    正解:ウ

    SOA(サービス指向アーキテクチャ)
    各業務プロセスを構成しているソフトウェアを「サービス」としてとらえ、このサービスを集合させることで、システムを構築する手法。

  • HTTP(HyperText Transfer Protocol)の説明。
  • UDDI(Universal Description, Discovery and Integration)の説明。
  • SOA(Service Oriented architecture)の説明。
  • SLA(Service Level Agreement)の説明。

  • SC H26 春 午前Ⅱ 問24

    システムの改善に向けて提出された4案について, 評価項目を設定して採点した結果を, 採点結果表に示す。効果及びリスクについては5段階評価とし, それぞれの評価項目の重要度に応じて, 重み付け表に示すとおりの重み付けを行った上で次の式で総合評価点を算出したとき, 総合評価点が最も高い改善案はどれか。

    [総合評価点の算出式]
     総合評価点 = 効果の総評価点 - リスクの総評価点

    sc-h26-haru-am2-q24


    ア 案1   イ 案2   ウ 案3   エ 案4

    解答を見る
    正解:ウ

    定性的な評価項目の重要度に応じて、重み付けを行い、評価項目の採点結果と重みを乗じることで定量的なデータにする方法をスコアリングモデルという。

    定性的とは、簡単に言えば数字で表せないデータのこと。
    定量的とは、簡単に言えば数字に表せるデータのこと。

    評価項目ごとの評価点は、[採点結果] × [重み] で算出する。

    案1の総合評価点:(3 × 4)+(2 × 2)+(5 × 3)-(2 × 8)-(4 × 3)= 3
    案2の総合評価点:(4 × 4)+(4 × 2)+(4 × 3)-(4 × 8)-(1 × 3)= 1
    案3の総合評価点:(5 × 4)+(2 × 2)+(2 × 3)-(1 × 8)-(5 × 3)= 7
    案4の総合評価点:(2 × 4)+(5 × 2)+(4 × 3)-(5 × 8)-(1 × 3)= -13

    よって、最も高い改善案は、総合評価点7 の案3です。


    SC H26 春 午前Ⅱ 問25

    システム監査報告書に記載された改善勧告に対して, 被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針のうち, 適切なものはどれか。

  • 1年以内に実現できる改善を実施する。
  • 経営資源の状況を踏まえて改善を実施する。
  • 情報システムの機能面の改善に絞って実施する。
  • 被監査部門の予算の範囲内で改善を実施する。
  • 解答を見る
    正解:イ

    ITガバナンス
    様々な定義が存在しているが、経済産業省の報告書では下記のように定義されている。

    「企業が競争優位性構築を目的に、IT(情報技術)戦略の策定・実行をコントロールし、あるべき方向に導く組織能力」

  • 期間で限定すべきではない。
  • 正しい記述です。
  • 機能面以外の改善も実施すべき。
  • 予算の範囲内で限定すべきではない。