平成15年度1次試験解答:経営情報システム
設問11
解答:イ
CMMI の成熟度モデルでは、5つのレベルが定義されている。A社からB社までを5つの成熟度レベルという物差しに当てはめてみると、
A 社:「ソフトウェア開発プロセスの測定成果を日常的にフィードバックする仕組みができています。」
→レベル5(プロセス分析からのフィードバックにより、改善が継続的に行われている)
B 社:「ソフトウェア開発プロジェクトの基本的管理プロセスが確立されています。」
→レベル2(初歩的管理は行われており、同じようなプロジェクトなら反復できるプロセスがある)
C 社:「ソフトウェア開発プロセスが文書化され、標準化されています。」
→レベル3(組織的に定義された標準プロセスがある)
D 社:「ソフトウェア開発プロセスと製品品質を詳細に測定しています。」
→レベル4(プロセス・製品の精度、品質を管理し、定量的な分析が行われている状態)
よってA 社― D 社― C 社― B 社となる。解答はイである。
設問12
解答:ア
プロジェクトの総費用は次の式で求めることができる。
プロジェクトの総費用=それまでにかかった費用+これから完了までにかかる費用
プロジェクトの総費用=それまでにかかった費用(AC)+(プロジェクト予算全体(BAC)ー完成した部分の金額価値(EV))×(それまでにかかった費用(AC)/完成した部分の金額価値(EV))
よって解答はアである。
設問13
解答:イ
(イ)POSによる単品管理を行い、売れ筋、死に筋をつかんで効率的な仕入れを行う。
→×:POSによる単品管理を行う為には全商品にバーコードを付与する必要がある。生け花という商品の性質上、困難である。またPOS を利用して単品管理を行い、売れ筋、死に筋の分析を実施し、それを効率的な仕入に結びつけるには推移分析と経験が必要になるので最も困難である。
設問14
解答:設問1:エ 設問2:イ
(設問1)
記号の意味から(A)にはファイル、(B)には処理(プロセス)が入る。この組合せのものはエである。
(設問2)
UMLに関する問題である。
(ア)システムを構成する概念、事物や事象とそれらの間の関連を表現するには、コンポーネント図を使う。
→×:コンポーネント図はソフトウェアの構造や依存関係を記述する。
(イ)事象の相互作用を表現するには、シーケンス図とコラボレーション図を使う。
→○
(ウ)任意のオブジェクトの内部状態の変化・遷移を表現するには、ユースケース図を使う。
→×:ユースケース図は、ユーザー(アクター)とシステムのサービスや機能を記述し、システムと外部環境を明らかにする。
(エ)ユーザの要求事項や基本サービス機能を記述するには、クラス図を使う。
→×:クラス図は、オブジェクトとオブジェクト間の関係を、クラス名、属性、操作などの観点から静的に記述する。
設問15
解答:設問1:エ 設問2:エ 設問3:ア 設問4:ア
(設問1)
(エ)効率性とは、情報セキュリティのコストパフォーマンスのことであり、コストを下げることで向上できる。
→×:情報セキュリティでは、コストを下げることでコストパフォーマンスを向上させるのではない。よって情報セキュリティには、効率性の要素は含まれない。
(設問2)
(ア)過去において、当該企業の監査対象である情報システムの企画・開発・運用・保守に関する業務経験を持つ外部の情報セキュリティ監査人に監査を委ねるべきである。
→×:当該企業の監査対象である情報システムの企画・開発・運用・保守に関する業務経験を持つ者は客観性に欠けるため、ふさわしくない。組織的にも身分的にも監査対象から独立し、公正に監査ができる者に委ねるべきである。
(イ)監査対象である情報資産のセキュリティについて広範囲の専門的知識をもっている情報システム部門内に監査チームを設けるべきである。
→×:情報システム部門内に監査チームを設けることは客観性に欠けるため、ふさわしくない。組織的にも身分的にも監査対象から独立し、公正に監査ができる者に委ねるべきである。
(ウ)監査チームは情報セキュリティポリシー文書を含む管理基準を作成し、これによって監査をするが、事前に監査情報が漏れるといけないので、情報セキュリティポリシー文書は秘密文書とすべきである。
→×:情報セキュリティポリシーは広く知らしめる必要がある。
(エ)基本的に任意監査であり、法的に規定されていないが、原則として高い専門性や倫理性を有している外部の情報セキュリティ監査人に監査を委ねるべきである。
→○
(設問3)
(ア)SSL は、公開かぎ暗号、共通かぎ暗号、ハッシュ関数のすべてを使っており、安全性が高いので利用すべきである。
(イ)Web サーバでSSL を使えば、データは暗号化されているので、ファイルサーバは、ファイアウォールで保護する必要はない。
→×:SSL を使う場合においても、ファイルサーバのファイアウォールは必要である。
(ウ)アルゴリズムが公開されている暗号方式は、解読される危険があるので、できれば使わない方がよい。
→×:アルゴリズムを公開しているからといってセキュリティの強度が低いわけではない。実際に公開かぎ暗号方式などではアルゴリズムが公開されている。
(エ)公開かぎ暗号ではブロック暗号が使われ、共通かぎ暗号ではストリーム暗号が使われるので、状況に応じて使い分けるのがよい。
→×:公開かぎ暗号ではストリーム暗号が使われ、共通かぎ暗号ではブロック暗号が使われるので、状況に応じて使い分けるのがよい。
(設問4)
アクセス認証に関する問題である。
(ア)RADIUS サーバによってユーザ認証を行うことができる。
→○:RADIUS(Remote Authentication Dial In User Service)とは、ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコルである。RADIUSサーバはユーザID、パスワードを一元的に管理する。
(イ)ファイアウォールはDMZ(Demilitarized Zone)に設置するのが望ましい。
→×:DMZ(DeMilitarized Zone:非武装地帯)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる句一揆のことである。ファイアウォールにDMZを設置するのが望ましい。
(ウ)プロキシサーバのキャッシュ機能によって、パケットを暗号化することができる。
→×:キャッシュ機能とは、一度アクセスされたデータを一時保管し、再度のアクセス時にこれを使用してデータ量を軽減する機能のことであり、暗号化の技術ではない。
(エ)ワンタイムパスワード方式では、端末側に同期のためのハードウェアが必要である。
→×:ワンタイムパスワード方式とは、利用するたびに毎回異なる暗証番号のことである。端末側には同期のためのハードウェアは不要である。
設問16
解答:設問1:ウ 設問2:エ
(設問1)
ウォーターフォールモデルにおける実施順序の問題である。
一般的にシステム開発は、基本計画→外部設計→内部設計→プログラム設計→プログラミング→単体テスト→結合テスト→システムテスト→運用テスト→運用・保守の順序で行なわれる。
A データベース設計
→(3)内部設計に該当する
B 運用体制の検討
→(5)運用・保守に該当する
C 経営目標の理解
→(1)基本計画に該当する。
D システムテストとユーザ教育
→(4)システムテスト、運用保守に該当する。
E 業務分析と基本設計
→(2)外部設計に該当する。
よって設問1の解答は(ウ)C ― E ― A ― D ― Bである。
(設問2)
(ア)運用テスト期間を長く取ることができるのであれば、システムテスト用のデータは少なくてもよい。
→×:システムテストと運用テストは異なった観点から行なう。よって運用テスト期間を長く取ったからといってシステムテストのデータを少なくすることはできない。
(イ)システムテストや運用テストには、ユーザを参加させずに行う方が、テスト期間が短縮され、かつバグを発見しやすい。
→×:運用テストはユーザに参加してもらい検証してもらわなければならない。
(ウ)システムテスト用のデータについて考えられるすべての組み合わせを用意すれば、運用テストは行わなくてもよい。
→×:システムテストと運用テストは異なった観点から行なう。よってシステムテスト・運用テストの片一方を緩和したりすることはできない。
(エ)テストのためのコストや期間が増加しても、システム開発要員とテスト実施要員は別のメンバーとすべきである。
→○:客観性・独立性を保つためにも、システム開発要員とテスト実施要員は別のメンバーとすべきである。