【ストラテジ系】
ある製造業A社は,紙の稟議書をPDF化してメール添付で回覧する運用に変更した。しかし,承認に要する時間はあまり短縮されず,現場では二重入力や確認作業が増えた。一方で,同業他社B社は,顧客からの注文データ・生産実績・在庫・保守情報を統合し,AIで需要予測を行って生産計画と部品手配を自動最適化し,顧客向けには進捗可視化サービスも提供している。
B社の取組として最も適切な用語はどれか。
エ
デジタルトランスフォーメーション(DX)は,デジタル技術とデータ活用によって,製品・サービスやビジネスモデル,業務,組織文化まで含めて変革し,競争優位を確立する取組である。B社は,データ統合とAI活用により需要予測から生産・調達までを最適化し,さらに顧客向けサービス(進捗可視化)まで提供しているため,DXに該当する。
【ストラテジ系】
新入社員向け研修で,次の行動のうち,組織の情報漏えいリスク低減に最も直接的に寄与する「情報リテラシー」の実践として適切なものはどれか。
イ
情報リテラシーは,情報を適切に収集・判断・活用し,情報セキュリティや法令・倫理にも配慮して行動できる能力である。SNS利用時に社内ルールに従い,機密情報・個人情報の混入を防ぐ点検を行うことは,情報リテラシーの実践として適切であり,情報漏えいリスク低減に直結する。
【ストラテジ系】
行政サービスのオンライン申請が進んでいるが,ある地域では高齢者を中心に「手続の方法が分からない」「端末や回線がない」などの理由で利用できない人が多い。このような情報通信技術の利用機会・利用能力の差によって生じる社会的な格差を表す用語はどれか。
ウ
デジタルディバイドは,年齢・所得・地域などにより,ICTの利用環境や利用能力に差が生じ,その結果として社会的・経済的な格差が拡大する現象である。端末や回線の有無,手続方法の理解不足によってオンライン申請を利用できない例はデジタルディバイドに該当する。
【ストラテジ系】
自治体のWebサイトを刷新するに当たり,視覚に障害のある利用者が音声読み上げ機能を用いて必要な情報に到達できるようにしたい。また,高齢者にも分かりやすい表示にしたい。次のうち,この目的に最も合致する考え方はどれか。
エ
アクセシビリティは,高齢者や障害のある人を含む多様な利用者が,ICTサービスや情報に支障なくアクセスし利用できるようにするための配慮や設計指針である。音声読み上げへの対応(適切な見出し構造,代替テキストなど)や読みやすい表示はアクセシビリティの改善に該当する。
【ストラテジ系】
あるEC事業者は「今期の売上を伸ばす」ことを経営目標として掲げ,その達成度を定量的に管理したい。次のうち,KGIとKPIの組合せとして最も適切なものはどれか。
エ
KGI(Key Goal Indicator)は,最終的に達成したい目標(ゴール)を定量的に表す指標である。ここでは「今期の売上を伸ばす」がゴールなので,KGIは今期売上高が適切である。
KPI(Key Performance Indicator)は,KGI達成に向けたプロセス(要因)を管理するための重要業績評価指標であり,売上高を構成する行動・状態を改善できる指標(購入完了率(CVR),平均注文単価,リピート率など)が適切である。結論として,この組合せが最も適切である。
【ストラテジ系】
ある企業は,全社的にデジタルトランスフォーメーション(DX)を推進している。DXの投資判断や,全社データ活用基盤の整備,情報システム部門と事業部門の調整などを統括し,経営戦略とIT戦略を整合させる責任者として最も適切な役職はどれか。
イ
CIO(Chief Information Officer)は,企業の情報戦略(IT戦略)を統括し,経営戦略とITの整合を図りながら,全社の情報資源(システム,データ,人材,投資)を活用して価値創出を推進する責任者である。設問の「DX投資判断」「全社データ活用基盤」「事業部門との調整」はCIOの職務に合致するため,最も適切である。
【ストラテジ系】
ある企業では,情報システム部門が担当していたヘルプデスク業務について,外部の専門会社に委託し,契約で対応時間や品質水準(例:一次回答時間)を定めて運用することにした。この取組を表す用語として最も適切なものはどれか。
エ
アウトソーシングは,自社の業務や機能の一部を外部企業に委託して実施することである。設問はヘルプデスク業務を外部の専門会社に委託し,サービス水準を契約で管理する例なのでアウトソーシングが該当する。
【ストラテジ系】
ある小売業では,店舗ごとに発注・在庫補充の手順が異なり,欠品や過剰在庫が発生していた。そこで,POSデータと在庫データを統合し,需要予測に基づく自動発注へ切り替えるとともに,承認手続や役割分担も含めて業務の流れを抜本的に再設計した。これによって欠品率と在庫回転日数を大幅に改善した。
この取組を表す用語として最も適切なものはどれか。
イ
BPR(Business Process Re-engineering)は,業務プロセスを根本から見直し,再設計することで,品質・コスト・納期などを劇的に改善する取組である。設問は,データ統合を前提に自動発注へ切り替え,承認や役割分担まで含めて業務の流れを抜本的に再設計し,大幅な改善を達成しているためBPRが該当する。
【ストラテジ系】
ある企業は,経理部門の「請求書受領→仕訳→支払→問い合わせ対応」までを一連の業務プロセスとして外部企業に委託することにした。外部企業は,手順の標準化,作業者教育,システム入力,進捗・品質管理まで行い,契約で定めたサービス水準を満たすよう運用する。
この委託形態を表す用語として最も適切なものはどれか。
エ
BPO(Business Process Outsourcing)は,業務を「作業」ではなく「業務プロセス単位」で外部に委託し,運用や管理(標準化・教育・品質管理など)まで含めて任せる形態である。設問は,経理の一連のプロセスを外部企業が運用管理まで行うためBPOが該当する。
【テクノロジ系】
ある社員が退職後も,退職前に知っていたIDとパスワードを用いて会社の業務システムへログインし,顧客情報を閲覧していたことが判明した。この行為に関して,主として規制対象となる法律として最も適切なものはどれか。
イ
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)は,他人のID・パスワードの不正使用などにより,アクセス制御されたコンピュータに権限なくログインする行為(不正アクセス行為)などを規制する法律である。設問は,退職後に権限がないにもかかわらずID・パスワードで業務システムへログインして閲覧しており,不正アクセス行為に該当するため最も適切である。
【ストラテジ系】
競合他社B社の製品設計データが,自社に持ち込まれていたことが判明した。調査の結果,元B社社員が在職中に持ち出した設計データ(社内で秘密として管理され,事業上有用な技術情報)を,転職先のA社で製品開発に利用していた。
この行為に対して主として適用される法律として最も適切なものはどれか。
ウ
不正競争防止法は,事業者間の公正な競争を確保するために,営業秘密(秘密として管理され,事業上有用で公然と知られていない技術上または営業上の情報)の不正取得・不正使用・不正開示などを規制する。設問の設計データは「秘密として管理され,有用な技術情報」であり,元社員が持ち出して転職先で利用しているため,営業秘密の不正使用に該当し,最も適切である。
【ストラテジ系】
日本の企業A社が,EU域内の一般消費者向けにWebサービスを提供し,利用者の行動ログを分析して広告を最適化している。EU在住の利用者から「自分の個人データを削除してほしい」という要求があった。A社が対応すべき規則として最も適切なものはどれか。
イ
GDPR(General Data Protection Regulation:EU一般データ保護規則)は,EU域内の個人データ保護に関する規則であり,EU域内の個人に対して商品・サービスを提供したり,行動をモニタリングしたりする事業者(EU域外の企業を含む)にも適用され得る。設問はEU在住者向けサービス提供と行動ログ分析(モニタリング)を行っており,個人データの削除要求(いわゆる「消去の権利」)への対応が論点なのでGDPRが最も適切である。
【ストラテジ系】
ある国では,安全性や相互接続性を確保するために,公的な標準化機関が策定した規格への準拠を法令や行政指導で求めることがある。このように,公的機関による合意形成を経て策定され,公的に承認される標準を表す用語として最も適切なものはどれか。
エ
デジュール標準(De jure standard)は,ISOやIECなどの公的な標準化機関が合意形成を経て策定し,公的に承認される標準である。法令や規則で準拠が求められることもあり,設問の状況に合致する。
【ストラテジ系】
ある技術Aは,公的な標準化機関で標準化されたわけではないが,多くの企業が採用し,市場で圧倒的に普及した結果,互換性確保のために他社製品もその仕様に合わせざるを得なくなった。このような標準を表す用語として最も適切なものはどれか。
エ
デファクト標準(De facto standard)は,公的な標準化手続を経ずとも,市場での広範な普及や事実上の支配によって標準となった仕様・方式である。設問は「公的機関で標準化されていないが,市場で圧倒的に普及して互換性のために追随が必要」という状況なのでデファクト標準が該当する。
【ストラテジ系】
複数のIT企業が参加する業界団体が,製品間の相互運用性を高めるために通信仕様を取り決め,参加企業がその仕様に準拠した製品を開発・提供することにした。このように,企業などが集まる団体(フォーラム)で策定される標準を表す用語として最も適切なものはどれか。
ウ
フォーラム標準は,企業などが参加する業界団体(フォーラム)が,合意形成により策定する標準である。設問の「複数企業が参加する業界団体が通信仕様を取り決める」という状況に合致する。
【ストラテジ系】
ある製造業では,取引先から「部品の寸法や試験方法について,国内の規格に適合していることを示してほしい」と求められた。日本国内で,産業分野の製品・サービスの品質や互換性確保などを目的として制定される国家規格として最も適切なものはどれか。
ウ
日本産業規格(JIS)は,日本国内で産業分野の品質確保・互換性確保・安全性向上などを目的として制定される国家規格である。取引先が求める「国内の規格への適合」を示す対象として最も適切である。
【ストラテジ系】
ある製造業A社は,長年にわたり高精度な温度計測機器を開発・製造してきた。競合が価格競争を仕掛ける中で,A社は「高信頼の校正技術」と「顧客の用途に合わせた提案力」を軸に,新たに保守サービスと品質保証の付加価値で差別化する方針を立てた。
A社が競争優位の源泉として強化すべき考え方として最も適切なものはどれか。
ウ
コアコンピタンスは,他社が模倣しにくく,顧客価値の創出に直結し,複数事業へ展開可能な企業の中核的な強み(中核能力)である。設問のA社にとって「高信頼の校正技術」や「用途提案力」は長年の蓄積に基づく差別化要因であり,競争優位の源泉として強化すべきコアコンピタンスに該当する。
【ストラテジ系】
新規Webサービスを立ち上げるスタートアップがある。開発チームは,まず最小限の機能だけを実装した試作品を短期間で公開し,顧客の反応や利用データを測定しながら仮説を検証し,必要に応じて方向転換も行うことで,無駄な開発投資を抑えたい。
このような進め方を表す用語として最も適切なものはどれか。
ウ
リーンスタートアップは,MVP(Minimum Viable Product)のような最小限の製品を早期に投入し,構築(Build)→計測(Measure)→学習(Learn)のサイクルで仮説検証を繰り返し,学習に基づいて改善や方向転換(ピボット)を行う手法である。設問の「最小限の機能で公開」「データで仮説検証」「必要に応じて方向転換」はリーンスタートアップの典型である。
【ストラテジ系】
ある企業は,自社の決済機能や配送状況照会などの機能を,外部企業が利用できるようにAPIとして公開し,外部のアプリやサービスがそれらの機能を組み込めるようにした。これにより,他社サービスとの連携が増え,新たな収益機会が生まれた。
このようにAPI公開を通じて企業間連携が進み,新たな価値創出や収益機会が拡大する考え方として最も適切なものはどれか。
イ
APIエコノミーは,企業が自社の機能やデータをAPIとして外部に提供し,企業間連携やサービス連携を促進することで,新たなサービス創出や収益機会を拡大する考え方である。設問は決済や配送照会をAPI公開し,他社が組み込むことで連携と収益機会が拡大しているため,APIエコノミーが該当する。
【ストラテジ系】
ある地域では,個人が所有する空き部屋を旅行者に貸し出したり,個人が所有する自動車を必要な人に貸し出したりするサービスが普及している。これらはプラットフォーム事業者が仲介し,利用者同士をマッチングしている。
このような仕組みを表す用語として最も適切なものはどれか。
ウ
シェアリングエコノミーは,個人や企業が保有する資産(空き部屋,車,モノ,スキルなど)を,プラットフォームを介して他者と共有・貸借し,有効活用する経済の仕組みである。設問の「空き部屋の貸し出し」「自動車の貸し出し」「プラットフォームが仲介」は典型例であり,シェアリングエコノミーが該当する。
【ストラテジ系】
あるスマートフォンアプリは,基本機能を無料で提供して利用者数を増やし,より高度な機能(広告非表示,高度な分析機能,追加ストレージなど)を月額課金で提供することで収益化している。
この課金モデルを表す用語として最も適切なものはどれか。
イ
フリーミアムは,基本機能を無料(Free)で提供して利用者を獲得し,追加機能や高付加価値サービスを有料(Premium)で提供して収益化するビジネスモデルである。設問は「基本無料+高度機能を月額課金」であり,フリーミアムの典型である。
【ストラテジ系】
ある企業が新商品をPRするために,人気インフルエンサーへ報酬を支払い,SNSに商品を推奨する投稿を依頼した。しかし,投稿には広告であることや企業から依頼を受けていることが明示されていなかった。
このような手法を表す用語として最も適切なものはどれか。
ウ
ステルスマーケティング(ステマ)は,広告・宣伝であることを隠し,あたかも第三者の中立的な口コミや評価であるかのように見せかけて商品・サービスを宣伝する手法である。報酬を支払って投稿を依頼しているのに広告表示がないため,ステマに該当する。
【マネジメント系】
ある企業は,従業員が個人アカウントでSNSに投稿した内容が炎上し,企業の信用を損なうリスクを問題視している。そこで,投稿時の留意点(機密情報や個人情報の扱い,会社を代表する発言の禁止,問い合わせ対応の窓口など)を文書化し,教育も行うことにした。
この文書として最も適切な用語はどれか。
ウ
ソーシャルメディアポリシーは,企業・組織が,従業員などのSNS利用に関して定める行動指針やルールである。機密情報・個人情報の扱い,会社を代表する発言の禁止,炎上時の対応などを規定し,教育を行う取組はソーシャルメディアポリシーに該当する。
【ストラテジ系】
企業がマーケティングや顧客対応に活用するために,利用者が情報発信・共有し,相互にコミュニケーションできるインターネット上のサービス(例:SNS,動画共有,ブログ等)の総称として最も適切な用語はどれか。
ウ
ソーシャルメディアは,利用者が情報を発信・共有し,相互にコミュニケーションできるインターネット上の媒体やサービスの総称である。SNS,ブログ,動画共有などが含まれ,企業のマーケティングや顧客対応にも活用される。
【ストラテジ系】
駅構内や商業施設の売場などに設置された大型ディスプレイに,広告や案内情報をネットワーク経由で配信し,時間帯や場所に応じて表示内容を切り替える仕組みがある。
この仕組みを表す用語として最も適切なものはどれか。
ウ
デジタルサイネージは,駅・店舗・公共空間などに設置したディスプレイ(電子看板)に,広告や案内情報を表示し,ネットワーク経由で配信・更新できる仕組みである。設問の「大型ディスプレイ」「配信」「時間帯や場所で切替」はデジタルサイネージの特徴である。
【ストラテジ系】
ある企業は,新卒採用のターゲットを「スマートフォンとSNSを前提に情報収集し,オンラインでのコミュニケーションに抵抗がない世代」と定義している。このように,幼少期からデジタル機器やインターネット環境に親しんで育った世代を表す用語として最も適切なものはどれか。
エ
デジタルネイティブは,幼少期からデジタル機器やインターネットに親しみ,それらを前提に生活・学習・コミュニケーションする世代を指す。設問の「スマホとSNSを前提に情報収集」「オンラインコミュニケーションに抵抗がない」はデジタルネイティブの特徴である。
【ストラテジ系】
スタートアップA社は,新規サービス開発のために資金調達を検討している。銀行借入ではなく,将来の成長を見込んだ投資家から出資を受け,経営支援(ハンズオン支援)も得たい。
このような投資を行う主体として最も適切な用語はどれか。
エ
VC(Venture Capital)は,未上場の成長企業(ベンチャー企業)に対して出資を行い,株式の値上がり益(キャピタルゲイン)などを狙う投資家・投資会社である。資金提供だけでなく,経営支援やネットワーク提供を行うこともある。設問の「銀行借入ではなく出資」「成長を見込む投資家」「経営支援」からVCが最も適切である。
【ストラテジ系】
未上場の企業B社は,事業拡大のために資金調達力と知名度の向上を狙い,証券取引所に株式を上場して,一般投資家が株式を売買できるようにすることを検討している。
この取組を表す用語として最も適切なものはどれか。
イ
IPO(Initial Public Offering)は,未上場企業が株式を証券取引所に上場し,新たに株式を公開して資金調達や知名度向上を図ること(新規株式公開)である。設問の「未上場→上場」「一般投資家が売買可能」はIPOに該当する。
【ストラテジ系】
上場企業C社は,D社の経営権を取得するために,市場外で「買付価格」「買付期間」「買付予定株数」などを公告し,応募した株主から株式を買い集める方法を検討している。
この方法を表す用語として最も適切なものはどれか。
ウ
TOB(Take Over Bid:株式公開買付け)は,買付価格・期間・数量などを公告し,市場外で株式を買い付けて企業の経営権取得などを目指す手法である。設問は「公告」「市場外で買い集め」「経営権取得」がポイントでありTOBが該当する。
【ストラテジ系】
投資ファンドE社は,企業F社を買収するに当たり,買収資金の大部分を借入で賄い,その返済原資として買収後のF社が生み出すキャッシュフローを見込んでいる。買収により得られるF社の資産を担保にする場合もある。
このような買収手法を表す用語として最も適切なものはどれか。
ウ
LBO(Leveraged Buyout)は,買収資金の多くを借入(レバレッジ)で調達し,買収対象企業の資産や将来キャッシュフローを担保・返済原資として企業買収を行う手法である。設問の「買収資金の大部分を借入」「返済原資が買収後のキャッシュフロー」「資産を担保にする」はLBOの特徴である。
【ストラテジ系】
ある企業の2025年度の損益は,売上高が1,000百万円,営業利益が80百万円であった。この企業の売上高営業利益率として最も適切なものはどれか。
エ
売上高営業利益率は,売上高に対する営業利益の割合であり,収益性(本業でどれだけ利益を出せているか)を示す指標である。計算式は次のとおり。
$$ \text{売上高営業利益率}=\frac{\text{営業利益}}{\text{売上高}}\times100 $$
本問では,
$$ \frac{80}{1000}\times100=8 $$
より,8%となるので最も適切である。
【ストラテジ系】
ある企業の貸借対照表(B/S)において,資産合計が2,000百万円,自己資本が800百万円である。財務の安全性を示す自己資本比率として最も適切なものはどれか。
ウ
自己資本比率は,総資本(資産合計)のうち自己資本が占める割合であり,財務の安全性(返済義務のない資本の割合)を示す指標である。計算式は次のとおり。
$$ \text{自己資本比率}=\frac{\text{自己資本}}{\text{総資本(資産合計)}}\times100 $$
本問では,
$$ \frac{800}{2000}\times100=40 $$
より,40%となるので最も適切である。
【ストラテジ系】
ある企業の売上高が1,500百万円,総資本(資産合計)が1,000百万円である。この企業の資本効率を示す総資本回転率として最も適切なものはどれか。
エ
総資本回転率は,総資本(資産合計)をどれだけ効率よく使って売上を生み出しているかを示す指標である。計算式は次のとおり。
$$ \text{総資本回転率}=\frac{\text{売上高}}{\text{総資本(資産合計)}} $$
本問では,
$$ \frac{1500}{1000}=1.5 $$
より,1.5回となるので最も適切である。
【ストラテジ系】
ある企業は,売上高が1,000百万円,変動費が600百万円,固定費が300百万円である。損益分岐点売上高は750百万円であった。このときの損益分岐点比率として最も適切なものはどれか。
エ
損益分岐点比率は,売上高に対する損益分岐点売上高の割合であり,収益性の余裕度(売上がどれだけ損益分岐点から上にあるか)を把握する指標である。計算式は次のとおり。
$$ \text{損益分岐点比率}=\frac{\text{損益分岐点売上高}}{\text{売上高}}\times100 $$
本問では損益分岐点売上高が750百万円,売上高が1,000百万円なので,
$$ \frac{750}{1000}\times100=75 $$
より,75%となるため最も適切である。損益分岐点比率が低いほど,損益分岐点を超える余裕が大きいと解釈できる。
【マネジメント系】
ある企業が販売管理システムを刷新することになり,利用部門へのヒアリングを行った。次のうち,要件定義で実施する内容として最も適切なものはどれか。
ウ
要件定義は,利用者・関係者のニーズを基に,システムに求める要件(業務要件,機能要件,非機能要件(性能・信頼性・セキュリティなど))を明確化し,合意する工程である。設問の「利用部門へのヒアリングを行い,求める条件を明確化する」は要件定義に該当するため最も適切である。
【マネジメント系】
ある企業は,受注から出荷までの業務が部門ごとに分断され,手戻りや二重入力が多いことを課題としている。そこで,現状の業務の流れや担当,入力・承認の手順を整理し,どこで情報が滞留しているかを可視化した上で,改善案を検討したい。
このときに用いる考え方として最も適切なものはどれか。
ウ
業務モデリングは,業務プロセス(作業の流れ,担当,入出力,ルール,例外処理など)を図やモデルで表現し,可視化・分析することで,課題発見や改善検討,システム化要件の整理に役立てる考え方である。設問の「受注から出荷までの流れ・担当・手順を整理し,滞留を可視化して改善案を検討する」は業務モデリングに該当するため最も適切である。
【マネジメント系】
あるシステム開発プロジェクトで,次のテスト工程A〜Cを行う。
A:プログラムをモジュール単位で検証する。
B:複数のモジュールを組み合わせ,インタフェースやデータ受け渡しを中心に検証する。
C:システム全体として,利用者の要求どおりに業務が実行できることを検証する。
A〜Cの名称の組合せとして最も適切なものはどれか。
ア
単体テストは,プログラム(モジュール,部品)単位で仕様どおりに動作するかを確認するテストである。
結合テストは,複数モジュールを組み合わせて,インタフェース(呼び出し,データ受け渡し,外部I/F)や連携動作を確認するテストである。
システムテストは,システム全体として,要求(機能・性能・信頼性など)を満たしているかを確認するテストであり,利用者の業務が一連で実行できるかも検証対象となる。
したがって,Aが単体テスト,Bが結合テスト,Cがシステムテストの組合せが最も適切である。
【マネジメント系】
ある企業がクラウド型の業務システムを導入するに当たり,サービス提供者と「稼働率は月$99.9%$以上」「障害発生時の一次応答は30分以内」など,提供されるサービス水準と未達時の対応を文書で合意した。
この文書として最も適切な用語はどれか。
ウ
SLA(Service Level Agreement)は,サービス提供者と利用者の間で,サービス水準(稼働率,応答時間,復旧時間など)と未達時の対応(是正措置,違約金など)を合意する文書である。設問の「稼働率$99.9%$以上」「一次応答30分以内」などの合意はSLAに該当するため最も適切である。
【マネジメント系】
ITサービスの運用担当者が,SLAで定めた稼働率や応答時間を継続的に測定し,月次レポートで利用部門へ報告した。未達が見込まれる場合は原因分析と改善策を策定し,必要に応じてSLAの見直しも提案する。
このような活動を表す用語として最も適切なものはどれか。
イ
SLM(Service Level Management)は,SLAで合意したサービス水準を達成・維持・改善するために,サービスレベルを継続的に測定・監視し,報告や改善を行う管理活動である。設問の「測定」「報告」「原因分析」「改善策」「SLA見直し提案」はSLMの典型であるため最も適切である。
【マネジメント系】
ある企業がシステム開発を外部委託するに当たり,委託先に設計書やソースコード,顧客情報などの機密情報を提供する必要がある。そこで,情報の目的外利用や第三者への開示を禁止し,契約終了後の返却・廃棄なども定めた契約を締結することにした。
この契約として最も適切な用語はどれか。
ウ
NDA(Non-Disclosure Agreement:秘密保持契約)は,提供される機密情報の範囲,目的外利用の禁止,第三者への開示禁止,管理方法,契約終了後の返却・廃棄などを定める契約である。設問の「機密情報を提供」「目的外利用・第三者開示禁止」「返却・廃棄」はNDAに該当するため最も適切である。
【マネジメント系】
ある企業は情報セキュリティ事故の発生可能性と影響を評価し,対応方針を決めて継続的に見直すことにした。具体的には,資産の洗い出し,脅威と脆弱性の特定,リスクの分析・評価,対策の選定と実施,監視と改善を繰り返す。
この一連の取組を表す用語として最も適切なものはどれか。
エ
リスクマネジメントは,リスク(不確実性が目的に与える影響)を特定・分析・評価し,対応を計画して実施し,継続的に監視・改善する一連の活動である。設問の「資産の洗い出し→脅威・脆弱性特定→分析・評価→対策選定と実施→監視と改善」はリスクマネジメントの流れに合致するため最も適切である。
【マネジメント系】
次の対策A〜Dのうち,リスク対応の分類として「リスク回避」「リスク低減」「リスク共有」「リスク保有」の組合せとして最も適切なものはどれか。
A:地震リスクが高い地域への新工場建設計画を中止する。
B:サーバを冗長化し,定期的にバックアップを取得して障害時の影響を小さくする。
C:火災に備えて保険に加入し,損害発生時の金銭的負担を保険会社と分担する。
D:被害額が小さいと見込まれるため,特別な対策は取らず,発生時に損失を受け入れる。
ウ
リスク対応の代表的な分類は次のとおりである。
設問では,Aは計画中止なので回避,Bは冗長化・バックアップで影響を小さくするので低減,Cは保険で損失を分担するので共有,Dは損失を受け入れるので保有となり,この組合せが最も適切である。
【マネジメント系】
大規模災害が発生した場合でも,受注処理などの中核業務を継続し,停止した場合でも目標復旧時間内に再開できるようにするため,代替拠点の利用手順,重要データのバックアップ運用,緊急時の連絡体制などを事前に定めた文書を整備した。
この文書として最も適切な用語はどれか。
エ
BCP(Business Continuity Plan:事業継続計画)は,災害・事故・感染症などの緊急事態において,中核事業を継続または早期復旧するための方針・体制・手順(代替拠点,バックアップ,連絡体制など)を定めた計画である。設問は「中核業務を継続」「目標復旧時間内に再開」「代替拠点」「バックアップ」「連絡体制」を事前に定めており,BCPに該当するため最も適切である。
【マネジメント系】
ある企業では,クラウド利用や外部委託が拡大する中で,IT投資が経営戦略に沿っているか,リスクが適切に管理されているかを全社的に統制したい。そこで,ITに関する方針や体制,意思決定プロセス,評価指標を整備し,継続的に見直すことにした。
この取組を表す用語として最も適切なものはどれか。
イ
ITガバナンスは,ITが企業の経営戦略に貢献するように,ITに関する方針・体制・意思決定・管理プロセスを整備し,リスク管理や投資効果の評価を含めて統制する枠組みである。設問の「IT投資が経営戦略に沿うか」「リスク管理」「方針・体制・意思決定プロセス・評価指標を整備して継続的に見直す」はITガバナンスに該当するため最も適切である。
【マネジメント系】
ある企業では,経理担当者が「支払先の登録」「支払承認」「振込実行」を一人で行える状態だったため,不正送金のリスクが高いと判断された。そこで,支払先登録と支払承認を別担当に分け,さらに振込実行は別の担当者が行うようにした。
このような不正防止のための考え方として最も適切なものはどれか。
エ
職務分掌は,業務上の権限と責任を分離し,複数人で相互牽制できるようにすることで,不正や誤りの発生を防止・抑止する内部統制の考え方である。設問は「登録」「承認」「実行」を分離し,相互牽制を働かせる典型例なので最も適切である。
【マネジメント系】
監査部門が,購買業務について「社内規程に従って発注・検収・支払が実施されているか」「不正や非効率がないか」を確認し,改善提案を行うことにした。財務諸表の適正性そのものではなく,業務プロセスの運用状況や効率性の観点で評価する。
この監査として最も適切な用語はどれか。
エ
業務監査は,業務が社内規程や方針に従って適正に実施されているか,不正や非効率がないかなど,業務プロセスの運用状況・有効性・効率性を評価し,改善につなげる監査である。設問は購買業務の運用状況や効率性を評価するため,業務監査が該当する。
【マネジメント系】
公認会計士などが,企業の財務諸表が一般に公正妥当と認められる会計基準に従って適正に表示されているかを検証し,意見を表明する。
この監査として最も適切な用語はどれか。
エ
会計監査は,財務諸表が会計基準に従って適正に作成・表示されているかを検証し,監査意見を表明する監査である。設問の「財務諸表の適正表示」「公認会計士などが意見表明」は会計監査の定義そのものであるため最も適切である。
【マネジメント系】
システム監査を行うに当たり,監査人が被監査部門のシステム開発を担当していたり,監査対象の運用責任者を兼務していたりすると,監査結果が甘くなるなどの偏りが生じるおそれがある。これを防ぐために求められるシステム監査人の要件として最も適切なものはどれか。
エ
システム監査人の「独立性」と「客観性」は,監査の信頼性を確保するための要件である。
独立性:被監査部門や監査対象業務から独立した立場で監査を実施し,利害関係による影響を受けないこと。
客観性:事実と証拠に基づいて公平に判断し,個人的な感情や先入観によって評価を歪めないこと。
設問は「監査人が監査対象を兼務すると偏りが生じる」ことを問題としており,独立性と客観性の確保が最も適切である。
イのITガバナンスは,ITが経営に貢献するよう統制する枠組みであり,監査人に求められる要件そのものではない。
ウの職務分掌は,不正防止のために業務権限を分離する内部統制の考え方であり,監査人の要件(独立性・客観性)とは異なる。
アのSLAは,サービス水準を合意する文書であり,監査の品質要件とは無関係である。
【マネジメント系】
ある企業は,情報漏えい事故の再発防止のため,技術的対策(アクセス制御,暗号化など)だけでなく,規程整備,教育,委託先管理,リスク評価,監査などを含めて,組織として継続的に情報セキュリティを管理・改善する仕組みを整備することにした。
このような仕組みを表す用語として最も適切なものはどれか。
ウ
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は,情報資産を保護するために,リスク評価に基づいて管理策(規程,体制,教育,委託先管理,技術的対策など)を整備し,監査や見直しを通じて継続的に改善するマネジメントの仕組みである。設問は「技術だけでなく規程・教育・委託先管理・監査まで含めた継続的な管理・改善」を述べているためISMSが該当する。
【マネジメント系】
ある企業は新しい勤怠管理システムを導入するに当たり,まず複数のベンダに対して「提供可能な製品の機能概要」「導入実績」「概算費用感」「対応可能なクラウド形態」などの情報提供を求め,候補を絞り込みたい。
この段階で用いる文書として最も適切なものはどれか。
ウ
RFI(Request For Information)は,発注者がベンダに対して情報提供を依頼する文書である。製品・サービスの概要,実績,概算,対応範囲などを把握し,導入方式や候補ベンダの絞り込みに用いる。設問は「機能概要」「実績」「概算費用感」などの情報提供を求めて候補を絞り込む段階なのでRFIが該当する。
【マネジメント系】
ある企業は,基幹システムの再構築を外部委託するに当たり,求める機能,要件(性能,セキュリティ,運用条件など),納期,体制,評価観点を明確にした上で,複数のベンダから「具体的な提案内容」と「見積」を取得したい。
この段階で用いる文書として最も適切なものはどれか。
エ
RFP(Request For Proposal:提案依頼書)は,発注者が要件や条件,評価観点などを提示し,ベンダに具体的な提案書や見積を依頼する文書である。設問は「要件を明確にした上で具体提案と見積を取得したい」ためRFPが該当する。
【マネジメント系】
ある企業はシステム開発の上流工程を強化したい。利害関係者の要求を整理し,要求から要件への落とし込み,変更管理,合意形成などを体系的に進めるための知識体系(ガイド)を参照することにした。
この知識体系として最も適切なものはどれか。
イ
BABOK(Business Analysis Body of Knowledge)は,ビジネスアナリシス(業務分析・要求分析)に関する知識体系であり,要求の引き出し,要求管理,要件定義支援,利害関係者との合意形成などを体系的に整理している。設問の「要求整理」「要求から要件への落とし込み」「変更管理」「合意形成」はBABOKの領域に該当するため最も適切である。
【マネジメント系】
業務改革の検討において,受注処理の業務を「開始イベント」「タスク」「分岐(ゲートウェイ)」「終了イベント」などの要素を用いて図式化し,業務の流れや例外処理を関係者間で共通理解したい。
このような業務プロセスの表現に用いる標準的な記法として最も適切なものはどれか。
ウ
BPMN(Business Process Model and Notation)は,業務プロセスを標準的な記法で表現するためのモデリング手法であり,イベント(開始・終了),タスク,ゲートウェイ(分岐・合流)などの要素で業務の流れを図式化できる。設問の「開始イベント」「タスク」「分岐(ゲートウェイ)」「終了イベント」はBPMNの代表的要素であり,最も適切である。
【マネジメント系】
ある開発チームでは,リリース前に複数人でソースコードを確認し,仕様違反やバグの混入,セキュリティ上の問題,コーディング規約違反などを早期に発見して品質を高めたい。
この活動として最も適切な用語はどれか。
イ
コードレビューは,作成したソースコードを複数人で確認し,バグ,仕様不備,セキュリティ上の弱点,規約違反,保守性の問題などを早期に発見・是正する活動である。設問の「複数人でソースコードを確認」「バグや規約違反,セキュリティ上の問題を早期発見」はコードレビューに該当するため最も適切である。
【マネジメント系】
あるプロジェクトでは,詳細設計が完了した段階で,関係者が設計書をもとに「要件を満たしているか」「例外処理やエラー処理の漏れがないか」「性能・セキュリティ要件を考慮しているか」などを確認し,手戻りを防ぎたい。
この活動として最も適切な用語はどれか。
ウ
デザインレビューは,設計書(設計成果物)を対象に,要求・要件との整合性,設計の妥当性,抜け漏れ,例外処理,性能・セキュリティなどの観点で確認し,手戻りや欠陥を早期に防止する活動である。設問は「詳細設計完了段階」「設計書をもとに確認」「手戻り防止」なのでデザインレビューが該当する。
【テクノロジ系】
あるチームは,機能追加を急いだ結果,ソースコードが複雑になり,変更のたびに不具合が発生しやすくなっている。そこで,外部仕様(動作)を変えずに,重複コードの整理やモジュール分割,命名改善などを行って保守性と可読性を高めることにした。
この作業として最も適切な用語はどれか。
イ
リファクタリングは,外部仕様(外から見た振る舞い)を変えずに,プログラム内部構造を改善して,保守性・可読性・拡張性を高める作業である。設問の「外部仕様を変えずに」「重複整理」「モジュール分割」「命名改善」はリファクタリングの典型であるため最も適切である。
【テクノロジ系】
ある企業は,長年運用してきた古い業務システムについて設計書が残っておらず,改修のたびに影響範囲の把握が難しい。そこで,既存プログラムや実行ファイルを解析して,仕様や設計情報を推定し,ドキュメント化することにした。
この取組として最も適切な用語はどれか。
ウ
リバースエンジニアリングは,既存のソフトウェア(プログラムや実行ファイルなど)を解析し,設計情報や仕様を推定・抽出して理解や文書化に役立てることである。設問は「設計書がない」「既存プログラムや実行ファイルを解析」「仕様や設計情報を推定してドキュメント化」なのでリバースエンジニアリングが該当する。
【マネジメント系】
あるプロジェクトマネージャは,作業の開始日・終了日と所要期間を一覧化し,進捗状況を棒状の図で可視化して,遅れの有無を把握したい。
この目的に最も適した図表はどれか。
ウ
ガントチャートは,作業(タスク)を縦軸に並べ,横軸に時間(期間)を取り,開始日・終了日・進捗を棒で表してスケジュール管理を行う図表である。設問の「開始日・終了日・所要期間」「棒状の図で進捗可視化」はガントチャートに該当するため最も適切である。
【ストラテジ系】
ある企業は,今後3年間の製品・サービスの方向性を社内外に共有したい。年度ごとに「いつ」「何を実現するか」を示し,主要なマイルストーンや機能追加の計画を時系列で俯瞰できるようにする。
この資料として最も適切な用語はどれか。
エ
ロードマップは,中長期の目標や方針に対して,時系列で主要なマイルストーンや実現項目を示し,将来計画を共有するための資料である。設問の「今後3年間」「年度ごと」「いつ何を実現するか」「時系列で俯瞰」はロードマップに該当するため最も適切である。
【マネジメント系】
新規サービス企画の検討会で,参加者が自由にアイデアを出しやすいように,中心となるテーマから関連するキーワードや論点を枝状に展開し,関係性を可視化しながら整理したい。
この目的に最も適した手法はどれか。
エ
マインドマップは,中心テーマから連想したキーワードを枝分かれさせて記述し,アイデアの発散と整理を同時に行う手法である。設問の「自由にアイデア」「中心テーマから枝状に展開」「関係性を可視化」はマインドマップに該当するため最も適切である。
【マネジメント系】
あるシステム開発プロジェクトでは,利用部門から追加要望が次々に出てきて,納期遅延やコスト超過が懸念されている。そこで,成果物に含める範囲(何を作り,何を作らないか)を明確にし,変更要求が発生した場合は影響(期間・費用・品質)を評価した上で承認手続きを経て反映することにした。
この取組として最も適切な用語はどれか。
ウ
スコープのマネジメントは,プロジェクトの成果物範囲・作業範囲(スコープ)を定義し,関係者と合意した上で,変更要求を評価・承認・統制して,スコープの逸脱(スコープクリープ)を防ぐ活動である。設問の「何を作り何を作らないかを明確化」「追加要望の影響評価」「承認手続きを経て反映」はこの内容に合致する。
【マネジメント系】
ある企業は外部委託しているクラウドサービスについて,サービス中断の発生状況を定量的に把握し,SLA見直しや改善要求に役立てたい。過去の運用記録から「サービス中断が発生してから次の中断が発生するまでの平均時間」を指標として用いることにした。
この指標として最も適切な用語はどれか。
エ
MTBSI(Mean Time Between Service Incidents:平均サービス中断間隔)は,サービス中断(インシデント)が発生してから次のサービス中断が発生するまでの平均時間を表す指標である。設問の「中断が発生してから次の中断までの平均時間」に合致する。
【マネジメント系】
ある企業はデータセンターを運用しており,サーバ室の温湿度管理,入退室管理,防災設備,電源設備,レイアウト管理などを含めて,施設を計画的に維持・管理し,安定運用とコスト最適化を図りたい。
この取組として最も適切な用語はどれか。
イ
ファシリティマネジメントは,建物・設備・空間などの施設(ファシリティ)を,利用目的に合わせて計画的に維持・管理し,安全性・快適性・運用効率・コストなどを最適化する取組である。設問の「温湿度管理」「入退室管理」「防災設備」「電源設備」「レイアウト管理」を含む施設の統合的管理はこれに該当する。
【テクノロジ系】
データセンターで停電が発生した場合でも,サーバを安全に停止するまでの間,電力を供給し続けてデータ消失や機器故障のリスクを低減したい。
この目的で用いる装置として最も適切なものはどれか。
ウ
UPS(Uninterruptible Power Supply:無停電電源装置)は,停電や瞬低が発生した際に,バッテリーなどで一定時間電力を供給し,機器を安全に停止させたり,短時間の電源断を吸収したりする装置である。設問の「停電時でも安全停止まで電力供給」「データ消失や故障リスク低減」に合致する。
【テクノロジ系】
ある企業は情報セキュリティ対策の基本方針として,「重要データは権限のある者だけが閲覧できること」「データが改ざんされていないこと」「必要なときにシステムを利用できること」を重視している。これら3つの性質の組合せとして最も適切なものはどれか。
イ
「権限のある者だけが閲覧できる」は機密性,「改ざんされていない」は完全性,「必要なときに利用できる」は可用性を指す。したがって,この3要素の組合せ(いわゆるCIA)は 機密性/完全性/可用性である。
【テクノロジ系】
ある企業は,重要システムのログインに多要素認証を導入することにした。次のうち,「知識情報」「所持情報」「生体情報」の対応関係として最も適切なものはどれか。
エ
情報セキュリティにおける認証要素は,代表的に次の3種類に分類される。
知識情報:本人だけが知っている情報(例:パスワード,暗証番号)
所持情報:本人だけが所持している物(例:ICカード,トークン,スマートフォン)
生体情報:身体的特徴(例:指紋,顔,虹彩)
「パスワード=知識」「トークン=所持」「指紋=生体」と正しく対応しているため,これが最も適切である。
アは,ICカードは所持情報であり,暗証番号は知識情報である。メールアドレスは生体情報ではない。
イは,指紋は生体情報,パスワードは知識情報,スマートフォンは所持情報であり,対応が誤っている。
ウは,秘密の質問は知識情報になり得るが,「顔写真(画像ファイル)」は生体情報そのものではなく単なるデータである。社員番号は所持情報や生体情報ではない。
【テクノロジ系】
利用者に銀行を装ったメールを送信し,本文中のリンク先でIDとパスワード,クレジットカード番号などを入力させて盗み取る手口が確認された。
この攻撃として最も適切な用語はどれか。
ウ
フィッシング(フィッシング攻撃)は,正規の組織(銀行,ECサイトなど)を装ったメールやSMSで偽サイトへ誘導し,ID・パスワードやカード情報などの認証情報を入力させて盗み取る手口である。設問の「銀行を装う」「リンク先で入力させて盗む」は典型的なフィッシングである。
【テクノロジ系】
あるWebアプリケーションの検索フォームに,利用者が入力した文字列をそのままSQL文に組み込んでデータベースに問い合わせていた。その結果,攻撃者が入力欄に細工した文字列を入力し,本来表示されないはずの顧客情報が表示される事故が発生した。
この攻撃として最も適切な用語はどれか。
イ
SQLインジェクションは,入力欄などに不正なSQL文(またはSQL文の一部)を埋め込み,データベースへの問い合わせを改変して,情報漏えい・改ざん・認証回避などを引き起こす攻撃である。設問は「入力文字列をそのままSQL文に組み込む」「細工した文字列で顧客情報が表示される」ためSQLインジェクションが該当する。
【テクノロジ系】
あるECサイトが,複数の攻撃者の端末から同時に大量のアクセスを受け,Webサーバの処理が追いつかず,正規利用者が購入手続きを行えない状態になった。攻撃者は,踏み台となる多数の端末を用いてアクセスを分散させている。
この攻撃として最も適切な用語はどれか。
エ
DDoS攻撃(Distributed Denial of Service)は,多数の端末(ボットネットなど)から標的サーバへ大量の通信を送りつけ,リソース(回線,CPU,メモリなど)を枯渇させてサービスを利用不能にする攻撃である。設問の「複数端末から同時に大量アクセス」「正規利用者が利用できない」「踏み台となる多数端末」はDDoS攻撃の典型である。
【テクノロジ系】
ある企業の社員が,社内ヘルプデスクを名乗る人物から電話を受けた。「至急,アカウントに不正アクセスの疑いがある。本人確認のためにIDとパスワードを教えてほしい。確認後すぐにロック解除する」と言われ,社員は指示に従って認証情報を伝えてしまった。
このように,人の心理的な隙や思い込みを利用して情報を不正に入手する攻撃手法として最も適切な用語はどれか。
ウ
ソーシャルエンジニアリングは,技術的な脆弱性を突くのではなく,人の心理や行動(焦り,権威への服従,同情,思い込みなど)を利用して,ID・パスワードや機密情報を不正に入手したり,不正行為をさせたりする手口の総称である。設問は「ヘルプデスクを名乗る」「至急」「本人確認」といった心理誘導で認証情報を聞き出しており,典型的なソーシャルエンジニアリングに該当する。
【テクノロジ系】
インターネットで広く利用されている通信プロトコル群であり,IPによるアドレス指定と,TCPやUDPによる通信制御を含む体系の総称として最も適切なものはどれか。
イ
TCP/IPは,インターネットで標準的に用いられる通信プロトコル群の総称であり,ネットワーク層のIP(アドレス指定・経路制御)や,トランスポート層のTCP(信頼性のある通信)/UDP(軽量な通信)などを含む体系である。設問の説明に合致するため最も適切である。
【テクノロジ系】
利用者がWebブラウザで「www.example.jp」のようなドメイン名を指定したとき,対応するIPアドレスを問い合わせて取得する仕組みとして最も適切なものはどれか。
ウ
DNS(Domain Name System)は,ドメイン名とIPアドレスを対応付ける仕組みであり,利用者が指定したホスト名(ドメイン名)からIPアドレスを得る名前解決を行う。設問の「ドメイン名→IPアドレスの問い合わせ」はDNSに該当するため最も適切である。
【テクノロジ系】
社内LANに接続したPCが,IPアドレス,デフォルトゲートウェイ,DNSサーバアドレスなどの設定を自動的に取得できるようにしたい。
この目的で利用される仕組みとして最も適切なものはどれか。
エ
DHCP(Dynamic Host Configuration Protocol)は,端末に対してIPアドレスやサブネットマスク,デフォルトゲートウェイ,DNSサーバアドレスなどのネットワーク設定情報を自動的に割り当てる仕組みである。設問の「設定を自動取得」はDHCPに該当するため最も適切である。
【テクノロジ系】
ある端末はIPアドレスが192.168.10.25であり,サブネットマスクが255.255.255.0である。このとき,IPアドレスのネットワーク部とホスト部を区別し,同一ネットワーク内かどうかを判断するために用いるものとして,サブネットマスクの説明として最も適切なものはどれか。
ウ
サブネットマスクは,IPアドレスを「ネットワーク部」と「ホスト部」に分割するための設定値である。同一ネットワーク内かどうかの判定などに用いられる。255.255.255.0は,先頭24ビットがネットワーク部であることを示す典型例であり,この説明が最も適切である。
【テクノロジ系】
ある企業は,メールやスケジュール管理などの業務アプリケーションを,自社でサーバやOSを運用せずに,インターネット経由で利用したい。利用者はブラウザなどから機能を利用し,アプリケーションの更新や保守はサービス提供者が行う。
このクラウドサービス形態として最も適切なものはどれか。
イ
SaaS(Software as a Service)は,業務アプリケーションなどのソフトウェア機能を,インターネット経由でサービスとして提供する形態である。利用者はアプリを「使う」ことに集中し,サーバやOS,アプリの保守・更新は提供者側が担う。設問の「メールやスケジュール管理をブラウザで利用」「更新や保守は提供者が実施」はSaaSの典型であるため最も適切である。
【テクノロジ系】
開発チームは,Webアプリケーションを短期間で開発し,運用負荷を抑えて提供したい。OSのパッチ適用やミドルウェアの設定・管理を自社で行うのではなく,アプリの実装とデプロイに集中できる実行環境(アプリケーション基盤)をクラウドで利用することにした。
このクラウドサービス形態として最も適切なものはどれか。
ウ
PaaS(Platform as a Service)は,アプリケーションの開発・実行に必要なプラットフォーム(OS,ミドルウェア,実行環境,開発支援機能など)をクラウドで提供する形態である。利用者はアプリの開発・デプロイに集中でき,OSパッチや基盤運用は提供者側が担う。設問の「OSパッチ適用やミドルウェア管理を自社で行わない」「実装とデプロイに集中できる実行環境」はPaaSの典型であるため最も適切である。
【テクノロジ系】
ある企業は,オンプレミスで稼働していた業務システムをクラウドに移行するに当たり,仮想サーバ,ストレージ,ネットワークなどの計算資源を必要に応じて利用できるようにしたい。一方で,OSやミドルウェアの選定・設定は自社で行い,既存の運用手順を活用したい。
このクラウドサービス形態として最も適切なものはどれか。
ウ
IaaS(Infrastructure as a Service)は,仮想サーバ,ストレージ,ネットワークなどのインフラ資源をサービスとして提供する形態である。利用者はOSやミドルウェアを選定・設定し,アプリを構築して運用できる。設問の「計算資源を必要に応じて利用」「OSやミドルウェアは自社で選定・設定」はIaaSの特徴に合致するため最も適切である。
【テクノロジ系】
顧客情報を「行(レコード)」と「列(属性)」からなる表(テーブル)で管理し,複数のテーブルを関連付けて(リレーションを用いて)データを扱うデータベースモデルとして最も適切なものはどれか。
イ
関係データベースは,データをテーブル(行と列)として表現し,テーブル同士をキーで関連付けて扱うデータベースである。テーブル間の関係(リレーション)を利用して結合(JOIN)などの操作が可能であり,設問の説明に合致するため最も適切である。
【テクノロジ系】
受注管理を関係データベースで設計する。次のうち,「テーブル内で各行(レコード)を一意に識別でき,値が重複せず,原則としてNULL(値なし)を取らない」列として最も適切な用語はどれか。
ウ
主キーは,関係データベースのテーブル内で,各行(レコード)を一意に識別するための属性(列)である。主キーの値は基本的に重複しないことが求められ,また一意識別のために原則としてNULLを許さない。設問の説明は主キーそのものであるため最も適切である。
【テクノロジ系】
あるソフトウェアに,開発元も把握していない脆弱性が存在し,修正プログラム(パッチ)も公開されていない段階で,その脆弱性を悪用して攻撃が行われた。
この攻撃として最も適切な用語はどれか。
ウ
ゼロデイ攻撃は,開発元が未把握でパッチが提供されていない脆弱性(ゼロデイ脆弱性)を悪用して行われる攻撃である。「修正が間に合わない段階で攻撃される」点が特徴であり,設問の状況に合致するため最も適切である。
【テクノロジ系】
利用者がWebサイトを閲覧しただけで,ブラウザやプラグインの脆弱性を悪用され,利用者の操作なしにマルウェアが自動的にダウンロードされて感染した。
この攻撃として最も適切な用語はどれか。
ウ
ドライブバイダウンロードは,Webサイトを閲覧しただけで,ブラウザ等の脆弱性を突かれ,利用者の意図しないマルウェアのダウンロード・実行が行われる攻撃である。設問の「閲覧しただけで」「操作なしに感染」は典型例であり最も適切である。
【テクノロジ系】
無害なソフトウェアを装って配布され,利用者がインストールすると,内部で情報窃取や外部への不正通信などの悪意ある動作を行うマルウェアがある。
このマルウェアとして最も適切な用語はどれか。
イ
トロイの木馬は,一見すると正規・無害なソフトウェアに見せかけて利用者に実行させ,内部で情報窃取や不正操作などを行うマルウェアである。設問の「無害を装って配布」「インストールすると悪意ある動作」はトロイの木馬の典型であり最も適切である。
【テクノロジ系】
攻撃者が侵入に成功した端末に,外部から遠隔操作できるように,通常の認証手順を迂回して侵入できる仕組みを仕込んだ。これにより,管理者がパスワードを変更しても再侵入される可能性がある。
この仕組みとして最も適切な用語はどれか。
ウ
バックドアは,攻撃者が不正侵入後に,外部から再侵入・遠隔操作できるように設ける裏口(通常の認証を迂回する仕組み)である。設問の「認証手順を迂回」「パスワード変更後も再侵入され得る」はバックドアの特徴に合致するため最も適切である。
【テクノロジ系】
攻撃者が標的のサーバに対して,特定のポート番号(例:$22$,$80$,$443$など)に順番に通信を試み,どのポートが開いているかを調べて稼働中のサービスを推測しようとした。
この行為として最も適切な用語はどれか。
ウ
ポートスキャンは,標的ホストの各ポートに対して通信を試み,開放ポート(利用可能なサービス)を探索する行為である。開放ポートから稼働中のサービスを推測し,侵入の足掛かりを得る目的で行われる。設問の説明に合致するため最も適切である。
【テクノロジ系】
ある犯罪者が,店舗の正規のクレジットカード決済端末に小型の読取装置を不正に取り付け,利用者がカードを通した際に磁気ストライプの情報を読み取り,カード情報を盗み取って偽造カード作成に悪用した。
この手口として最も適切な用語はどれか。
イ
スキミングは,クレジットカードなどの磁気ストライプ情報(またはIC情報)を不正に読み取り,カード情報を盗み取る手口である。設問の「決済端末に小型装置を取り付けて情報を読み取る」「偽造カードに悪用」は典型的なスキミングであり最も適切である。
【テクノロジ系】
攻撃者が無線LANの通信を傍受し,暗号化されていない通信内容(ログインIDや送信データなど)を盗み見て情報を入手した。
このように通信内容を第三者がこっそり聞き取る行為として最も適切な用語はどれか。
ウ
盗聴は,ネットワーク上の通信を第三者が傍受して内容を取得する行為である。暗号化されていない通信では,IDやデータがそのまま読み取られる危険がある。設問の「無線LAN通信を傍受」「通信内容を盗み見て入手」は盗聴に該当するため最も適切である。
【テクノロジ系】
社内ネットワークに設置した装置が,通信を監視して攻撃の兆候を検知した場合に管理者へ通知する。一方,通信を遮断するなどの能動的な防御は行わない。
この装置として最も適切なものはどれか。
エ
IDS(Intrusion Detection System)は,不正侵入や攻撃の兆候を検知し,ログ記録や管理者への通知を行う仕組みである。基本的に「検知」が中心で,通信遮断などの能動的防御は行わない。設問の「監視して検知したら通知」「遮断は行わない」はIDSに該当するため最も適切である。
【テクノロジ系】
社内ネットワークに設置した装置が,不正な通信パターンを検知した場合に,その通信を自動的に遮断して侵入や攻撃を未然に防ぐようにしたい。
この装置として最も適切なものはどれか。
エ
IPS(Intrusion Prevention System)は,不正侵入や攻撃の兆候を検知し,通信遮断などの能動的な防御を行って侵入を防止する仕組みである。設問の「検知したら自動遮断して未然防止」はIPSに該当するため最も適切である。
【マネジメント系】
ある企業は,新規に開発するWebサービスについて,開発の後半でまとめてセキュリティ対策を追加するのではなく,要件定義や設計の段階から脅威を想定し,認証・アクセス制御・ログ設計などを組み込んで開発したい。
この考え方として最も適切なものはどれか。
エ
セキュリティバイデザインは,システムの要件定義・設計など上流工程からセキュリティを組み込み,開発後半で付け足すのではなく,最初から安全性を考慮して作り込む考え方である。設問の「要件定義や設計の段階から脅威を想定し組み込む」はセキュリティバイデザインに該当するため最も適切である。
【テクノロジ系】
PCの起動時に,OSやファームウェアなどが改ざんされていないことを検証し,信頼できるソフトウェアだけを起動させることで,マルウェアによる起動プロセスの改ざんを防止したい。
この仕組みとして最も適切なものはどれか。
エ
セキュアブートは,起動時にブートローダやOSなどの正当性(署名など)を検証し,改ざんされたソフトウェアの起動を防止する仕組みである。設問の「起動時に検証」「信頼できるソフトだけ起動」「起動プロセス改ざんを防止」はセキュアブートに該当するため最も適切である。
【マネジメント系】
オフィスでの情報漏えい対策として,離席時にPC画面をロックし,机の上に機密資料を置いたままにしないことを徹底する。
この対策の組合せとして最も適切なものはどれか。
イ
クリアデスクは,机の上に機密書類や記録媒体を放置しないようにする運用ルールである。
クリアスクリーンは,離席時に画面をロックするなどして,画面上の情報を第三者に見られないようにする運用ルールである。
設問の「机の上に機密資料を置かない」「離席時に画面ロック」はこの2つに対応するため最も適切である。
【テクノロジ系】
営業担当者が業務用スマートフォンを紛失した。端末内には顧客情報が保存されているため,管理者がネットワーク経由で端末内データを消去して情報漏えいリスクを低減したい。
この対策として最も適切な用語はどれか。
エ
リモートワイプは,紛失・盗難などの際に,管理者が遠隔から端末内のデータを消去する機能である。端末内の機密情報や個人情報の漏えいリスクを下げる目的で用いられる。設問の「紛失した端末のデータをネットワーク経由で消去」はリモートワイプに該当するため最も適切である。
【テクノロジ系】
ある装置は,筐体を開けたり基板にプローブを当てたりするなどの物理的な改造を検知した場合に動作停止したり,内部の秘密情報(鍵情報など)を保護する仕組みを持つ。これにより,解析や改ざんを困難にする。
このような性質を表す用語として最も適切なものはどれか。
ウ
耐タンパ性は,機器に対する物理的な改ざん(タンパ)や解析を検知・防止し,秘密情報の漏えいや不正な改造を困難にする性質である。設問の「筐体を開けるなどの改造を検知」「鍵情報を保護」「解析や改ざんを困難にする」は耐タンパ性に該当するため最も適切である。
【テクノロジ系】
無線LANの暗号化方式として,WEPより強固で,現在広く利用されている規格の一つである。
この暗号化方式として最も適切な用語はどれか。
イ
WPA2は,無線LANのセキュリティ規格の一つで,WEPより強固な暗号化と認証を提供し,広く利用されてきた。設問の「無線LANの暗号化方式(規格)」「WEPより強固」はWPA2に該当するため最も適切である。
【テクノロジ系】
家庭や小規模オフィスの無線LANで,アクセスポイントと端末が同一のパスフレーズ(共通鍵)を事前に共有し,その鍵に基づいて接続認証を行う方式がある。
この方式として最も適切な用語はどれか。
ウ
PSK(Pre-Shared Key)は,事前に共有した共通鍵(パスフレーズ)を用いて認証・接続する方式である。家庭用無線LANなどで「WPA2-PSK」のように利用される。設問の「同一のパスフレーズを事前共有して認証」はPSKに該当するため最も適切である。
【テクノロジ系】
あるWebサービスでは,通信開始時に公開鍵暗号を用いて共通鍵を安全に共有し,以降のデータ通信は高速な共通鍵暗号で暗号化する方式を採用している。
この方式として最も適切な用語はどれか。
イ
ハイブリッド暗号方式は,公開鍵暗号と共通鍵暗号を組み合わせる方式である。一般に,通信開始時に公開鍵暗号で共通鍵(セッション鍵)を安全に共有し,その後のデータ通信は処理が高速な共通鍵暗号で暗号化する。設問の「公開鍵で共通鍵共有」「以降は共通鍵で暗号化」はハイブリッド暗号方式の典型であるため最も適切である。
【テクノロジ系】
工場の制御盤で,作業者が誤って危険な操作をしても重大事故につながらないように,危険状態では操作を受け付けない,操作手順を間違えると警告を出して先へ進めないなどの仕組みを組み込んだ。
このような設計思想として最も適切な用語はどれか。
エ
フールプルーフは,利用者の誤操作や誤使用が起こり得る前提で,誤りがあっても重大な事故や障害につながりにくいように,操作制限や警告,手順ガイドなどを設計段階から組み込む考え方である。設問の「危険状態では操作を受け付けない」「手順を間違えると先へ進めない」は典型的なフールプルーフであり最も適切である。
【テクノロジ系】
ある企業は,重要システムへのログインにおいて,パスワードだけでなく指紋や顔などの身体的特徴を用いた認証を併用したい。
このような認証方式として最も適切な用語はどれか。
イ
バイオメトリクス認証は,指紋,顔,虹彩,静脈などの身体的特徴(生体情報)を用いて本人確認を行う認証方式である。設問の「指紋や顔などの身体的特徴を用いる」はバイオメトリクス認証に該当するため最も適切である。
【テクノロジ系】
同一LAN内で通信する際に,宛先IPアドレスに対応するMACアドレスを問い合わせて取得し,フレーム送信に必要な宛先MACアドレスを解決する仕組みとして最も適切なものはどれか。
イ
ARP(Address Resolution Protocol)は,同一ネットワーク(同一LAN)内で,IPアドレスからMACアドレスを求めるためのプロトコルである。IPアドレスに対応するMACアドレスを問い合わせ(ARPリクエスト)し,応答(ARPリプライ)で得たMACアドレスを用いてフレームを送る。設問の「IP→MACの解決」はARPに該当するため最も適切である。
【テクノロジ系】
利用者がサーバへファイルを送受信するために用いる代表的なプロトコルとして最も適切なものはどれか。
ウ
FTP(File Transfer Protocol)は,ネットワーク上でファイルを送受信(転送)するためのプロトコルである。設問の「サーバへファイルを送受信」はFTPに該当するため最も適切である。
【テクノロジ系】
社内のメールシステムにおいて,利用者が作成したメールをメールサーバへ送信し,メールサーバ間でメールを転送するために用いられるプロトコルとして最も適切なものはどれか。
ウ
SMTP(Simple Mail Transfer Protocol)は,メールの送信およびメールサーバ間の転送に用いられるプロトコルである。設問の「メールをメールサーバへ送信」「サーバ間で転送」に合致する。
【テクノロジ系】
利用者のメールソフトが,メールサーバに保存されたメールを受信(取り出し)するために用いられる代表的なプロトコルとして最も適切なものはどれか。
イ
POP(Post Office Protocol)/POP3は,メールソフトがメールサーバからメールを受信(取り出し)するためのプロトコルである。設問の「サーバに保存されたメールを受信」に合致する。
【テクノロジ系】
複数のサーバや端末でログの時刻がずれていると,障害調査やセキュリティインシデント対応の際に時系列の分析が困難になる。そこで,ネットワーク経由で正確な時刻に同期させる仕組みを導入したい。
この目的で利用されるプロトコルとして最も適切なものはどれか。
エ
NTP(Network Time Protocol)は,ネットワーク経由で端末やサーバの時刻を正確な時刻に同期させるためのプロトコルである。設問の「ログ時刻のずれを解消」「ネットワーク経由で時刻同期」に合致する。
【テクノロジ系】
インターネット(IPネットワーク)を利用して音声通話を行う方式が普及している。従来の電話回線交換網ではなく,音声をデジタルデータとして送受信する。
この方式として最も適切な用語はどれか。
ア
VoIP(Voice over IP)は,音声をIPネットワーク上のデータとして送受信し,音声通話を実現する方式である。設問の「IPネットワークで音声通話」「音声をデータとして送受信」に合致する。
【ストラテジ系】
自社で基地局などの無線設備を保有せず,他社の携帯電話ネットワークを借り受けて,独自の料金プランで携帯通信サービスを提供する事業者がある。
この事業者を表す用語として最も適切なものはどれか。
ウ
MVNO(Mobile Virtual Network Operator)は,自社で無線局(基地局)などの設備を保有せず,既存の通信事業者(MNO)の回線を借りて携帯通信サービスを提供する事業者(仮想移動体通信事業者)である。設問の「基地局を保有しない」「他社ネットワークを借り受け」「独自料金プラン」に合致する。
【テクノロジ系】
スマートフォンを近づけるだけで決済端末と通信でき,交通系ICカードや入退室管理などにも利用される近距離無線通信技術がある。通信距離は数cm程度と短い。
この技術として最も適切な用語はどれか。
イ
NFC(Near Field Communication)は,数cm程度の至近距離で通信する近距離無線通信技術であり,決済,交通系IC,入退室管理などに利用される。設問の「近づけるだけで決済」「数cm程度」はNFCの特徴に合致するため最も適切である。
【テクノロジ系】
ノートPCを外出先でインターネットに接続したい。そこでスマートフォンの携帯通信回線を利用し,スマートフォンをアクセスポイントのようにしてPCをインターネット接続させることにした。
この機能として最も適切な用語はどれか。
エ
テザリングは,スマートフォンなどの通信端末を介して,他の端末(PCなど)にインターネット接続を共有する機能である。スマートフォンをアクセスポイントのようにしてPCを接続する設問の状況に合致するため最も適切である。
【テクノロジ系】
利用者が海外出張中に,普段契約している携帯電話事業者のサービス圏外で,現地の提携事業者のネットワークを利用して通話やデータ通信を行えるようにする仕組みがある。
この仕組みとして最も適切な用語はどれか。
エ
ローミングは,契約している通信事業者のサービス圏外(海外など)で,提携先事業者のネットワークを利用して通話・データ通信を行えるようにする仕組みである。設問の「海外出張」「現地の提携事業者のネットワークを利用」に合致するため最も適切である。
【テクノロジ系】
インターネット経由で,サーバ,ストレージ,アプリケーションなどのIT資源を必要に応じて利用し,利用量に応じて課金される形態が普及している。利用者は自社で設備を保有せずに,迅速に資源を調達できる。
この考え方として最も適切な用語はどれか。
エ
クラウドコンピューティングは,インターネット経由でサーバ・ストレージ・アプリケーションなどのIT資源をサービスとして利用できる形態であり,迅速な調達や柔軟な拡張,従量課金などが特徴である。設問の「設備を保有せず」「必要に応じて利用」「利用量に応じて課金」に合致するため最も適切である。
【テクノロジ系】
工場のIoTセンサが生成するデータを,クラウドに送ってから分析すると通信遅延が問題となる。そこで,センサに近いゲートウェイ装置で一次処理(集計や異常検知)を行い,必要なデータだけをクラウドに送ることで,リアルタイム性を高めたい。
この考え方として最も適切な用語はどれか。
ウ
エッジコンピューティングは,データ発生源(端末やセンサ)に近い場所(エッジ)で処理を行い,遅延を抑え,通信量を削減し,リアルタイム性を高める考え方である。設問の「センサに近いゲートウェイで一次処理」「必要データのみクラウド送信」「遅延が問題」に合致するため最も適切である。
【テクノロジ系】
複数の参加者が取引データを分散して共有し,データをブロック単位で連結して保持することで,特定の管理者がいなくても改ざんを困難にし,取引履歴の整合性を確保する技術がある。
この技術として最も適切な用語はどれか。
ウ
ブロックチェーンは,取引データなどを一定量ごとにブロックとしてまとめ,前のブロックの情報(ハッシュ値など)を含めて鎖状に連結し,複数参加者で分散的に台帳を共有する技術である。中央管理者がいなくても履歴の改ざんが困難になり,取引履歴の整合性を確保しやすい。設問の「分散して共有」「ブロック単位で連結」「改ざん困難」「特定管理者なし」に合致するため最も適切である。
【テクノロジ系】
オンラインバンキングの振込処理では,「口座Aからの引落し」と「口座Bへの入金」を一つの処理単位として扱い,途中で障害が起きた場合は両方の更新を取り消して整合性を保つ必要がある。
このように,データベース更新を不可分の処理単位として扱う概念として最も適切な用語はどれか。
イ
トランザクションは,データベースなどで複数の処理を一つの不可分な処理単位としてまとめ,すべて成功したら確定(コミット),途中で失敗したら取り消し(ロールバック)することで整合性を保つ概念である。設問の「引落しと入金を一体として扱う」「障害時に取り消して整合性を保つ」に合致するため最も適切である。
【テクノロジ系】
動画配信サービスで,ネットワークの瞬間的な遅延が発生しても再生が途切れないように,受信したデータをメモリ上に一時的にためてから再生する仕組みを用いている。
この仕組みとして最も適切な用語はどれか。
ウ
バッファリングは,データの入出力や通信の速度差・ばらつきを吸収するために,データをメモリなどに一時的に蓄える仕組みである。動画配信で「一時的にためてから再生し,遅延による途切れを防ぐ」ことに合致するため最も適切である。
【テクノロジ系】
多数の利用者が同時に印刷要求を出しても,利用者の処理を待たせないように,印刷データを一旦ディスク上の待ち行列に格納し,プリンタが空いた順に印刷する方式を採用している。
この方式として最も適切な用語はどれか。
イ
スプーリングは,高速な処理(CPU)と低速な入出力装置(プリンタなど)の速度差を吸収するために,データを一旦補助記憶装置(ディスクなど)に蓄え,待ち行列として管理しながら順次処理する方式である。設問の「印刷データをディスク上の待ち行列に格納」「空いた順に印刷」に合致するため最も適切である。