令和4年秋 応用情報午後解説
問1:マルウェアへの対応策
問2:教育サービス業の新規事業開発
問3:迷路の探索処理
問4:コンテナ型仮想化技術
問5:テレワーク環境への移行
問6:スマートデバイス管理システムのデータベース設計
問7:傘シェアリングシステム
問8:設計レビュー
問9:プロジェクトのリスクマネジメント
問10:サービス変更の計画
問11:テレワーク環境の監査
問題文はIPA公式サイトをご確認ください。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2022r04.html#04aki
※あくまで個人の経験と見解に基づく内容であり、IPAの公式解答と一致することを保証するものではありません。
問1:マルウェアへの対応策
解答
設問1 (1) a:ア(FW) b:ケ(メール中継サーバ) c:ク(配布サーバ)
(2) ア(DNSリフレクション攻撃)
設問2 (1) 通信可能なホストのIPアドレス
(2) ウ(攻撃対象のサービスの稼働状態を知るため)
(3) ア(送信者のドメインが詐称されたものでないから)
設問3 (1) 突発的な大量のICMPパケットの送出
別解:ポートスキャニングの実行、ネットワーク通信の急激な増大、大量のメール送信など
(2) PCのネットワーク通信をすべて遮断する
(3) 管理サーバに保存されたログの確認
解説
設問1
(1):インターネット、DMZ、内部LANの通信を許可または遮断する役割はFWが担います。
本文中に”電子メールを隔離する”とあることから、bの解答は社内メールサーバとメール中継サーバが考えられます。通常、DMZが構成されている場合はインターネット⇒内部LANの通信は許可されませんので、外部から送られてくるメールをはじめに受信するのはメール中継サーバとなります。そのため、SPFの検証はメール中継サーバが行うのが妥当と考えられます。
図1の注記1に”配布サーバは、PCにセキュリティパッチなどを配布するサーバである”とあることから、cは配布サーバとなります。
(2):外部に公開しているDNSサーバで、キャッシュ機能を有効にしている場合はDNSリフレクションの踏み台として攻撃者に利用されてしまうことがあります。
設問2
マルウェアが横展開するには、感染可能なホストを探し出す必要があります。別のホストに感染させるためにはネットワーク層の通信に不可欠なIPアドレスの情報が必要です。
あるポートからTCP/SYNが返ってくるということは、そのポートで何かのサービスが動いているということになります。特定のポートでどんなサービスが動いているかはウェルノウンポートやOSの仕様から推測することができます。
SPFとは、メールの送信元ドメイン名で問い合わせを行い、帰ってきたTXTレコードの内容を比較することでドメイン詐称を検知します。今回のマルウェアは感染した社外のPCが正規のメールサーバから正規のドメインを使って送信してくるため、ドメインが詐称されておらずSPFでは検知ができません。
設問3
(1):〔マルウェアXの調査〕に記載されているマルウェアの特徴から、感染した場合に発生しうる現象が考えられます。今回のEDRはPCにエージェントを導入しており、”実行されたコマンド、通信内容、ファイル操作など”のログを収集できることも踏まえましょう。
(2):内部ネットワークを防ぐ方法を問われていますが、特に”緊急措置”という部分が重要です。マルウェアの感染が確認された場合の初動対応としてネットワークの切断(=隔離)が重要です。
〔マルウェアXへの対応策〕に”管理サーバは、・・・ログの保存、分析及び分析結果の可視化などの機能をもつ。”とあります。このことから、被害範囲の調査に有用な行動は管理サーバを確認することです。
問2:教育サービス業の新規事業開発
解答
設問1 (1) 強み:レベルにあったコンテンツを保有している
(別解):良質な教育コンテンツを多数保有している
機会:教育(またはリスキリング)のニーズが高まっている
(2) イ
設問2 (1) 同じ業界の他企業へ展開するため
(2) a:ウ(PoC:概念実証)
設問3 (1) b:カ(プロモーション) c:イ(F社)
(2) d:サブスクリプション
設問4 (1) 長期的に大きな成長分野を確保すること
(2) e:40(%) f:80(%)
解説
設問1
(1):本文冒頭および〔B社を取り巻く環境と取組〕から強みと機会を抜き出します。強みは自社が持っている長所(=内部要因)ということで、”能力レベルに合った分かりやすく良質な教育コンテンツを多数保有していること”です。機会は自社を取り巻く環境でメリットのあるもの(=外部要因)ということで、”教育のニーズが高まっている”があげられます。
(2):経営者によく勘違いされがちなDXの本質について問われています。経済産業省やIPAでは、DXとはデジタル技術を活用した事業改革と位置付けられています。
設問2
(1):〔B社を取り巻く環境と取組〕に”影響力が強い企業を最初の顧客として・・・その業界の他企業に展開するケースが多い”とあります。G社はまさしくこの特徴に合致する企業となるため、その目的は他企業に展開することです。
(2):新しい手法の検証をすることをPoC(Proof of Concept:概念実証)といいます。
設問3
(1):〔新規事業の戦略立案〕に”B社の教育SaaSの認知度を高める”とあります。このことから、KA(主要な活動)にはプロモーション活動が含まれます。また、”F社と販売店契約を結ぶ”とありますので、CH(チャネル)にはF社が含まれます。
(2):月額課金制でサービスを自由に選択可能な販売モデルをサブスクリプションモデルといいます。
設問4
(1):財務部長の指摘はあくまで短期的な観点での依頼事項です。今回の新規事業開発は問題文冒頭に”今後大きな成長の見込みが立たない”とありますので、長期的な観点では4年目の累積損失を0にするより優先すべきこととして長期的な成長の見込みを確保することが必要です。
(2):表1から、財務計画第1版の4年目合計売上高は300(百万、以下略)です。4年目変動費合計は150、4年目固定費合計は180です。変動費を下げて4年目累積損失を0にするには、変動費を30減らす必要があり、150-30=120となります。売上高は300のため、変動費率は120÷300=40%になります。
変動費率40%のまま5年目で300売り上げた場合、変動費は300×0.4=120、固定費は変わらず45になります。4年目の累積利益は0なので5年目の数字だけで利益計算すると300-120-45=135、第1版の5年目累積利益は75なので、(135-75)÷75=80%になります。
問3:迷路の探索処理
解答
設問1 (1) 3 (2) ア:2
設問2 イ:paths[sol_num][k] ウ:stack_top-1 エ:maze[x][y]
設問3 オ:sol_num
設問4 (1) カ:(5,3) (2) キ:22 (3) ク:3
解説
設問1
〔迷路の解を見つける探索〕の記述から、探索する際の”進む”処理は上、右、下、左の順に、その先のマスが移動可能かどうか(OKフラグかどうか)をチェックします。
また、一度訪問したマスにはVISITEDフラグを設定し、進むことができないようになっています。仮にどの方向にも進むことができない場合は戻る(進んできた1つ前のマスに動く)処理を実行します。
以上を踏まえると、図1の解は下図の順番に探索します。
通過しないマスは黄色の3マスになります。
また、1つの矢印が1つの”移動”を示しており、13回目の移動が終了した時は座標2,1(始点の右マス)まで探索が終了している状態です。
プログラムからスタックは始点の時点で1つの座標を格納しており、青の矢印の本数だけ格納する座標が増えていき、赤の矢印の本数だけ格納する座標が減っていきます。
設問2
探索の移動は”進む”と”戻る”がありますが、プログラム中では進むことを再帰呼び出しで表現しており、戻ることを呼び出し元に復帰することで表現しています。ただし、進んだ先が終点座標と等しい場合はこれまでのスタック座標を解座標の配列(paths[u][v])に格納してから戻る処理を再開(新たな解の探索を開始)します。
以上のことから、イにはスタック座標をpathsに代入する処理を行います。
ウはどの進む処理もできなかった(=戻る)場合にスタックを1つ減らす処理です(正確にはstack_visitのデータは消えませんが、pathsには代入されなくなります)。
エは戻る前の座標にOKフラグを設定します。OKフラグを設定することで、別の解を探索することが可能になります(設問4参照)。
※OKフラグを設定すると無限ループするような気がしますが、再帰呼び出し元に戻った時に戻る前の座標は探索されないので無限ループにはなりません。
設問3
解がみつからなかった場合はsol_numが加算処理されないので、この変数の値が0になります。
設問4
(1):図2の探索は下図のように進みます。
ここでのポイントは座標5,4(終点の下)の処理です。再帰呼び出しから戻ってきますが、上を探索する処理は終わっているので順序に従い右の探索をします。しかし、右はNGマスのため移動できず、続いて下の探索を行います。下はOKマスのため移動することができ、これが1つ目の解がみつかった後に最初に実行されるvisit関数になります。よって、引数にあたる移動先座標は5,3になります。
(2):少し複雑ですが、これまでを踏まえて5,3を起点に2つ目の解までの探索は下図のように続きます。
この時点で移動(赤と青の矢印の合計)は12個になります(座標1,1と3,3はVISITEDフラグがあり進めません)。
さらに処理を進めると下図のようになります。
下記画像の処理は合計で10あり、前述の処理数と足して22回の移動が実行されます。
座標(3,2) (4,2) (5,2)は上図の戻る処理をするときにOKフラグが設定されるため、下図の処理では進む処理の対象になります。
また、これまでの矢印をたどっていくと座標4,2のマスは3回、訪問することになります。
問4:コンテナ型仮想化技術
解答
設問1 (1) a:ウ(ハイパーバイザー) b:エ(ホストOS) c:イ(ゲストOS)
(2) エ
設問2 (1) 開発期間中に頻繁に更新されるため
(2) d:10.1.2 e:15.3.3
設問3 (1) イ
(2) /app/FuncX/test/test.txt
(3) img_dev_dec
解説
設問1
(1):サーバ型仮想化技術には大きく分けてホスト型とハイパーバイザー型に分かれます。アプリレベルで動作するかどうかの違いですが、どちらもゲストOS上でOSやアプリを動作させます。コンテナ型仮想化ではアプリそのものを独立してパッケージングするため、ゲストOSは不要です。
(2):開発環境を配布する場合のサーバ型と比べた場合のコンテナ型の違いとしては、配布するイメージサイズの違いです。ア、イはサーバ型でも実現可能、ウはOSバージョンに言及していますが、本文中でOSバージョンとミドルウェアの依存関係は特に指定されていません。
設問2
(1):本文冒頭に”ソースコードやコンパイル済みロードモジュールは、開発期間中に頻繁に更新される”とあります。仮にこれらをコンテナイメージに含めてしまうと、頻繁にコンテナイメージを再配布しなければならず、かえって運用の作業工数を増加させてしまう可能性があります。
(2):図1から、11月1日にリリースする場合、ミドルウェアAは10.1.2のパッチを適用済みでミドルウェアBはテスト期間中(=未適用)であることがわかります。また、〔Webアプリのリリーススケジュール〕に”バージョン番号は0.0.1ずつ上がる”ことと”バージョン番号を飛ばして・・・適用することはない”とあることから、11月1日時点のミドルウェアBのバージョンは1つ前の15.3.3と考えられます。
設問3
(1):〔コンテナイメージの利用〕に”-pオプションは、ホストOSの10443番ポートをコンテナの443番ポートにバインドする”とあります。このことから、開発用PCのホストOSで実行されているWebブラウザで使うテスト用URLは、開発用PCを示すlocalhostと10443番ポートにアクセスするURLを選択します。
(2):同様にホストOSの/app/FuncXがコンテナの/appに対応付けられます。よって、コンテナの/app/test/test.txtはホストOSの/app/FuncX/test/test.txtに対応付けられます。
(3):12月には本番環境のミドルウェアA,Bともに最新のパッチがリリースされています。このことから、修正リリースをする際に本番環境と同じバージョンのコンテナイメージを選択します。
問5:テレワーク環境への移行
解答
設問1 a:カ(TLS) b:イ(HTTPS) c:ウ(IPSec)
設問2 (1) Webサーバ、本社VPNサーバ
(2) ワンタイムパスワード or パスワード
(3) e:認証サーバ
設問3 (1) イ (2) f:1.6 g:192
(3) Web会議サービス
解説
設問1
〔W社が採用したリモートアクセス方式〕に”WebブラウザからVPNサーバを経由して”とあります。このことから、ブラウザで使う暗号化通信としてHTTPSとTLSが該当します。aとbは一見すると順不同に見えますが、暗号化の機能を持つのはTLSのためaがTLSとなります。cについてはネットワーク層で暗号化する選択肢はIPSecのみです。
設問2
(1):〔リモートアクセスの認証処理〕に”リモートログイン専用のページにアクセスする際には、リモートPC上の証明書が利用される”と”VPNサーバにアクセスして・・・リモートPC上の証明書と合わせてVPN接続の認証が行われる”とあります。このことから、リモートログインを提供するWebサーバ、VPN接続の認証をするVPNサーバの2つが証明書を利用します。
(2):接続の認証によく用いられるのはパスワードです。一定時間だけ有効なパスワードのことをワンタイムパスワードとも言います。一定時間だけ有効という意味ではCookieやセッションIDなどが考えられますが、これらは一般的にユーザーが入力するものではありません。
(3):今回のリモートの構成ではテレワーク環境のPCから内部ネットワークのPCを遠隔操作しているだけです。内部ネットワークのPCは通常通りの認証(PC起動時にパスワードを入力すること)を行います。〔W社の各サーバの機能〕に”認証サーバでは、社員のID、パスワードなどを管理して・・・ログイン認証を行っている。”とありますので、認証サーバが正解です。
設問3
(1):Web会議サービス利用時の通信経路としては複数の経路が考えられますが、〔W社の各サーバの機能〕にはWebブラウザを利用する通信はすべて本社のプロキシサーバを経由するとあります。このことから、通信の遅延にかかわる経路の問題としてはすべての通信が本社の回線を通過することが大きな要因です。
(2):10分間(=600秒)の平均転送データ量が120Mバイトということは、1秒あたり0.2Mバイトです。バイトからビットに変換すると1.6Mビット/秒となります。また、200名のうち60%(=120名)が同時使用した場合は1.6×120=192Mビット/秒となり、本社の契約帯域(100Mbps、しかも非保証型)を大幅に超えます。
(3):営業所1または2のPCを遠隔操作した場合、”営業所UTM⇒本社プロキシ⇒インターネット⇒Web会議サービス”という経路をたどります。ここで本社の回線を通過させないようにするには”営業所UTM⇒インターネット⇒Web会議サービス”という経路に変更する必要があるため、許可する対象はWeb会議サービスです。
問6:スマートデバイス管理システムのデータベース設計
解答
設問1 a:請求年月 b:↑(契約が1、情報端末が多) c:従業員ID
d:情報端末ID e:↓(利用が1、アプリ追加が多) f:↵(自己参照)
設問2 オ(Y,N,Y)
設問3 j:SELECT, UPDATE
k:CHAR(4) NOT NULL DEFAULT '1234’
l:PRIMARY KEY
m:FOREIGN KEY
解説
設問1
a:”表2 ヒアリング結果”より”請求を年月ごと、部署ごとに管理”とあります。請求先部署IDはすでに外部キーとしてあるため、足りない請求年月を指定します。請求年月は外部キーではないため、下線は不要です。
b:これまでの記述から1対1のように見えますが、情報端末エンティティに外部キーとして契約IDが参照されていますが、逆は参照されていません。このことから、ER図としては1つの契約が複数の情報端末に紐づけ可能な構成です。また、情報端末1台に1つの契約が紐づくという記述は見当たらないことから1対多と考えます。
c,d:”表1 管理台帳の項目”より利用開始日と利用終了日はどの情報端末をどの利用者がという情報が必要だと読み取れます。このことから、それぞれ従業員IDと情報端末IDの外部キーとなります(順不同)。
e:”表2 ヒアリング結果”より”従業員と情報端末の組合せごとに”とあります。また、許可するアプリは複数あることから、1対多の関係となります。
f:〔新システムのE-R図〕に”部署の階層構造は、自己参照の関連を用いて表現する”とあります。
設問2
〔表定義〕に”主キーに対してはUNIQUE制約を指定せず、非NULL制約は指定する”とあります。また、ER図から契約ID、料金プランコードはどちらも主キーのため、順番にY,N,Yとなります。
設問3
j:”表2 ヒアリング結果”に”上長しか参照できないように”と”上長が契約変更を行う”とあります。参照だけでなく情報の更新をする場合はUPDATE権限も必要なため、SELECT,UPDATEを指定します。
k:”表4 料金プラン表の表定義”に通信事業者コードのデータ型はCHAR(4)とあります。また、非NULL制約がYとなっていることから、NOT NULLも追加します。さらに、”初期値としてL社の通信事業者コード’1234’を設定する”とありますのでDEFAULT制約をつけます。
l,m:主キー制約をつけるのはPRIMARY KEY、外部キー制約をつけるのはFOREIGN KEYです。
問7:傘シェアリングシステム
解答
設問1 (1) (a):外乱による変化を除外するため (b):50
(2) 100000
設問2 (1) a:メイン b:管理サーバ
(2) c:ア(RFIDタグの情報) d:エ(貸出中の傘)
設問3 (1) e:ロック解除完了 f:センサーで検知 g:ロックを掛け h:完了
(2) 管理情報を更新し、管理サーバへ管理情報を送信する
解説
設問1
(1):光センサーは明るさで出力値が変化するセンサーです。例えば人が横切ったり、周囲の照明が点灯したりすると瞬間的にセンサーの出力は変化しますが傘を貸出したり返却したりしたわけではありません。このようなノイズを外乱といい、外乱による変化を除外しなければ誤検知してしまいます。
また、10ミリ秒ごとにセンサー値を計測して5回連続で同じ場合に確定するため、最短で確定までに50ミリ秒かかります。
(2):10kHzのカウントダウンタイマーは、1秒間に10,000回カウントします。〔傘貸出機の処理〕から異常と判断するのは10秒間のため、10×10,000で100,000カウントとなります。
設問2
(1):基本的に”表1 制御部の主なタスクの一覧”に記述されていることを転記するだけです。
(2):ここでいう不正な傘とは、貸出中ではない傘や、そもそも貸出対象ではない傘(個人所有物とか)のことです。貸出した傘かどうかはRFID情報で識別することができます。
設問3
基本的に”表1 制御部の主なタスクの一覧”に記述されていることを転記するだけです。
それぞれのタスクがお互いにどのような情報を送信しあうか図式化しておくと解きやすいです。
問8:設計レビュー
解答
設問1 (1) ①:ウ(パスアラウンド) ②:ア(インスペクション)
(2) a:モデレーター
(3) b:二次欠陥
設問2 リーダー、B氏、設計者を除く開発メンバー
設問3 (1) レビュー会議の前に違反を排除するため
(2) エ
(3) 欠陥を記録した後は速やかに次の欠陥へ進める
解説
設問1
(1):レビュー前に資料を配布・回覧しておくことをパスアラウンドといいます。また、レビュー参加者に役割を明確に決め、チェックリストに基づいてレビューを進める方法をインスペクションといいます。
(2):”表1 設計工程でのレビュー形態”に”モデレータが全体のコーディネートを行う”とあります。コーディネートとは議論を導くことですから、評価を導くのもモデレーターの役割です。
(3):〔A社の品質管理方針〕に”レビューで見つかった欠陥の修正において、新たな欠陥である二次欠陥が生じないように確認することを徹底”とあります。このことから、欠陥の解決の後に確認することが必要なのは二次欠陥の有無です。
設問2
〔モデレーターの選定〕にB氏はレビューに参加しないこと、リーダーはレビュアとして参加することがあります。また、表2の項番1に”設計者が設計書を作成してモデレーターに送付する”とあります。このことから、設計者自身もモデレータとしては参加できないことが読み取れます。
設問3
(1):表1に”レビュー会議の目的は、設計上の欠陥・・・を検出することである”とあります。また、表3よりレビュー指摘件数第1郡は誤字脱字表記ルール違反であり、これらはレビュー会議前にほぼゼロに近いことが理想です。この理想を実現するために第1郡はレビュー会議の前に排除するようにしています。
(2):消去法的に、まずしきい値からは外れている(第2郡の指摘密度がLCLより低い)ことからアを除外します。
第2郡はUCLを超えていないので、設計不良は認められずイを除外します。
ウについては横軸を比較します。レビュー不足の場合は1ページ当たりのレビュー工数が極端に少なくなるため、横軸のLCLより下になりますが、そうはなっていないのでウを除外します。
オについては表5の確認結果で特に課題なしとあるため除外します。
以上から、残るのはエとなります。
(3):表1に”検出した欠陥の対策は、欠陥の検出とは別のタイミングで議論する”とあります。このことから、レビュー会議での集合ミーティング時間中に欠陥の修正について議論することは望ましくありません。次回からは1つの欠陥の記録が終われば次の欠陥に移ることが求められます。
問9:プロジェクトのリスクマネジメント
解答
設問1 a:RBS(Risk Breakdown Structure)
設問2 (1) K社はこれまでAI機能を利用した経験がないため
(2) b:ウ(特性要因図)
設問3 (1) c:遅延なし
(2) 項番:2 コスト期待値:80(万円)
(3) 定期的なリスクの特定と、新たに特定されたリスクの対策検討実施
解説
設問1
リスクを要因別に区分して個々のリスクが特定できるよう詳細化(=Breakdown)するために作成するのはRBS(Risk Breakdown Structure)です。
設問2
(1):〔リスクの特定〕に記載のある(1)~(3)の方法はすべて社内の知見を活用するものです。本文冒頭に”K社はこれまでAI機能を利用した経験がない”とあり、社内の知見だけではリスクの特定が難しいことを指摘されています。
(2):1つの事象に対して複数の原因の候補を図解するのは特性要因図(フィッシュボーン図ともいいます)を活用します。
設問3
〔リスク対応の検討〕に”U氏からの回答が遅れ、AI処理時間検証も遅延する”とあります。このことから、スケジュール遅延リスクの要因として”問い合わせ数が増加すること”と”回答が遅れること”が指摘されています。
(1):T社との契約を変更した場合、”契約変更は9月末までに可能”なことと”問合せ回数が5回/週以上でも対応可能”なことが記載されています。このことから、T社の契約を変更すれば確率30%のリスク(=問合せが週5回以上になる)にあてはまっても遅延なしになります。
(2):表2を完成させると下記のようになります。
表1より項番1の対応では1日10万円の追加コストが必要とされており、1か月の稼働は20日であることから200万円の追加コストとなります。一方で、この対応をすれば10月に入るまでに契約変更は完了し、週5~8回の問合せにも回答可能な体制が出来上がるためスケジュールの遅延はありません。
項番2の対応では講習費用として50万円の追加コストが必要とされています。しかし、”M君が受講を終え、・・・10月第3週目の初め”とありますが、問合せの増加は10月第1週から発生する可能性があります。仮にそうなった場合は5日のスケジュール遅延が見込まれており、また遅延1日あたり20万円の追加コストが発生することから最大で100万円の遅延追加コストが発生します。
項番3の対応では対応の追加コストはかかりませんが、最大で20日も遅延してしまい遅延追加コストの最大は400万円と見積もられます。
対応に要する追加コストは、その手段をとった場合に必ず発生するので確率100%として期待値を計算します。
以上の条件から追加コスト合計の最大値の期待値を計算します。
(3):〔リスクマネジメントの実施〕に”今後はこれまでに特定したリスクを対象に・・・レビューを進めていく”とあります。しかし、これでは新たに発生するリスクには対応することができません。リスクマネジメントはPDCAサイクルで繰り返すことが求められており、新たに生じるリスクへの対応が求められます。
問10:サービス変更の計画
解答
設問1 受注時点での与信限度額チェックの実施(または売掛金の回収率を高める)
設問2 a:6(機能アップグレードする場合の対応)
作業内容:業務変更のための業務設計
設問3 (1) b:1.1 c:46.2 d:11.0
(2) 項番:2(サービスデスク業務) 問題点:運用費用の予算を超過する
根拠:サービス変更前の作業工数と比べて10%以上増加したため
解説
設問1
〔受注サービスの変更〕に”これまで営業部では、受注してから商品の出荷までに・・・信用情報の確認を行っていた”とあります。しかし、これでは受注後に売掛金の回収が怪しいとわかってしまいます。そのために営業部では売掛金の回収率を高めるために受注時点で与信調査をしたいと考えており、今回のサービス変更で得られることはまさしくここです。
補足:別解として売掛金の回収率を高めることも適切と考えられます。ただし、”営業部の体制強化”や”営業部の与信管理強化”では成果の達成を検証しづらいため誤答とみなされるのではと思います。
設問2
〔追加作業項目の洗い出し〕に”業務変更のための業務設計・・・を情報システム部の開発課に依頼する”とあります。このことから、業務変更のための業務設計が必要です。別解として”テスト環境での検証”も正しそうですが、”機能アップグレードの適用は、テスト環境で検証した後・・・”とありますので、既に表1の作業として含まれていると考えられます。
設問3
(1):順番に表4の省略部分を埋めていきます。まとめると下記のようになります。
◆利用者管理の発生頻度
M社要員の利用者追加によって、10%増加するとあるため、発生頻度は5.0×1.1=5.5となります。
◆サービスデスク業務の発生頻度
M社要員の利用者追加によって、10%増加するとあるため、発生頻度は80.0×1.1=88.0となります。利用者追加によって増加した発生頻度から、更に5%増加とあるため、88.0×1.05=92.4となります。
◆ジョブ運用の1回当たり平均作業工数
表2の注記に”ジョブ運用の作業工数には、システム処理の時間は含めない”とあります。このことと、表3から運用担当者の確認作業だけを抜粋して合計すると、6+8+10=24(分)となります。また、”情報システム部では480分を1日として計算する規定”とあるため、サービス変更前の作業工数は0.5×480=240(分)です。ここに確認作業分の24を追加して264(分)となり、1日に換算すると264÷480=0.55となります。
あとは、これらの数値をそれぞれ掛け算してb,c,dを求めます。
(2):問題文冒頭に”各サービスの作業ごとに・・・10%の工数増加を想定して見積もった予算が確保されている”とあります。項番1~3のなかでサービスデスク業務だけ変更前と比較すると10%以上の工数増加が見込まれており、ここに問題点があります。
問11:テレワーク環境の監査
解答
設問1 a:貸与PC管理台帳 b:テレワーク環境利用終了届(または終了届)
設問2 c:セキュリティ要件を部内に周知
設問3 d:貸与PCの紛失日 e:システム部への届出日
設問4 f:リスク評価 g:Web会議システム
設問5 h:不備事項の是正状況をモニタリング
解説
設問1
〔テレワーク環境の利用状況〕(1)に”貸与PC管理台帳に・・・テレワーク環境の利用有無などを登録”とあります。点検項目1はテレワーク環境を利用する必要のない従業員が終了届をシステム部に提出しているかどうかになりますので、終了届と管理台帳を照合します。
設問2
表1によると、項番2の点検内容は”セキュリティ要件は周知されているか”とあります。このことから、各部のシステム管理者が部内に要件を周知しているかどうか確認する必要があります。
設問3
紛失日の翌日までに紛失届がシステム部に提出されたかどうか確認するには、紛失届に記載されている紛失日とシステム部への提出日を照合することで確認できます。
設問4
〔情報セキュリティ管理状況の点検〕に”新規システムの導入・・・などに応じて、リスク評価を随時行い”とあります。また、〔テレワーク環境の利用状況〕(3)にX年6月からWeb会議システムがテレワークでも利用可能となっています。Web会議システムはX年8月のセキュリティ点検対象のアプリケーションとして含まれている必要があります。
設問5
システム管理者の是正状況の報告以外に、システム部に対して必要な監査手続を指摘しています。是正状況を第三者目線で確認するために〔情報セキュリティ管理状況の点検〕(1)に”不備事項の是正状況をモニタリングする”とあります。監査手続では、モニタリングが適切に実施されているか確認する必要がります。
ご指摘いただいた箇所(感謝と反省)
- 問6 設問3 k:DEFAULT制約を漏らしていました
- 問6 設問1 a:部署外部キーが既にあるのに請求年月そっちのけで、また部署外部キーを参照する解答をしていました
- 問3 設問1 ア:13回移動したら頭の中では始点に戻ってました(正しくは始点の1つ右座標)
- 問5 設問2 (1):本社VPNサーバの”本社”が抜けてました。営業所にもVPNサーバあるやろがい
- 問4 設問1 (2):サーバ型でもコンテナ型でも配るときのイメージを統一しておけば同一環境の実現は可能でした(アではコンテナ型の優位性が無い)
- 問1 設問1 (2):普通の記載漏れ。解答欄に記入するのを忘れるというレベルの凡ミス
- 問10 設問2:機能アップグレードの適用にはテスト環境の検証が含まれると書いてあるのに、見逃して開発課に2回も検証させようとする意地悪リーダーを誕生させてました
- 問9 設問3 (2):期待値計算で、必ず発生する事象の費用に対しても0.3や0.7を掛けていました
ご指摘いただいたみなさま、ありがとうございました。