Next:![]() |
Prev:![]() |
2016年08月18日
【中小企業診断士(平成28年度)】荒れたと言われる「経営情報システム」を解いてみた(オリジナル解説)(2/2)

前回の続き。問題と解答は、中小企業診断協会のHPにて閲覧可能。時々、 診断士の試験は実務に役立たない知識ばかり覚えさせられると批判される。しかし、実務に役立つかどうかよりも、「大量の知識を短期間で覚える」ことに意味があると私は考える。実際のコンサルティングでは、自分が知らない業界のクライアントと仕事をすることが大半である。そういう場合、私は業界関連本を10冊ほど買って、一気に知識を仕入れる。本を読みながら、知識が役に立つか否かを四の五の考えている余裕などない。大半は使わない知識かもしれないけれども、そういう勉強をやって少しでも自信をつけておかないと、とてもではないがクライアントと対峙できない。
<第14問>
ORiN2とは、工場内の各種装置に対して、メーカーや機種の違いを超え、統一的なアクセス手段と表現方法を提供する通信インターフェースである。
ア=正解。
イ=ORiN2はミドルウェアである。
ウ=ORiN2はハードウェアに関する規定は一切なく、全ての規格がソフトウェアに関するものとなっている。そのため、コネクタのようなハード面のインターフェースは提供していない。
エ=標準通信プロトコルであるCAP(Controller Access Protocol)は、デバイスとアプリ間の通信プロトコルであり、CAP(SOAP)、e-CAP(HTTP)、b-CAP(TCP/UDP)の3バージョンがある。e-CAPはSOAPプロトコルではなくHTTPプロトコルを使用している。なお、SOAPは通信内容の記述にXMLを用いる点が特徴で、言語やプラットフォームに依存しないプロトコルである。
<第15問>
ア=正解。開発(Development)と運用(Operations)を組み合わせたかばん語であり、開発担当者と運用担当者が連携して協力する開発手法を指す。
イ=IPAが公開している「非機能要求グレード」では、可用性、性能・拡張性、運用・保守性、移行性、セキュリティ、システム環境・エコロジーの6項目が定められている。
ウ=SLM(サービスレベル管理/サービスレベルマネジメント)とは、通信・ITサービスなどで、提供者がサービスの品質について継続的・定期的に点検・検証し、品質を維持あるいは改善する仕組みのこと。システム開発フェーズではなく、運用・保守フェーズで重要になる。
エ=To-Beがあるべき姿であり、As-Isは現状を意味する。
<第16問>
CoBRA法は、ソフトウェア開発プロジェクトの熟練者の経験、知識、勘といったものを「コスト変動要因」として抽出し、定量化することで、透明性と説明性の高い見積りモデルの構築を可能とする点が特徴である。10数件の開発実績データがあればよいとされる。
ア=工数の尺度として用いるのは、熟練者の過去の経験である。
イ=CoBRA法においては、変動要因は全て「工数の増加」につながるものばとして扱われ、生産性を向上させるような要素は考慮されない。
ウ=正解。
エ=プログラムソース行数やファンクションポイントは考慮されない。
<第17問>
①~③がそれぞれ誰と誰の間で行われたコミュニケーションなのかを理解することが重要。
①=発注者(ユーザ企業)から開発企業への指示。
②開発企業内での、要件定義書の作成者から外部設計書の作成者への指示。
③開発企業内での、外部設計書の作成者から詳細設計書の作成者への指示。
aは、要件定義書の内容が開発内容から漏れたということであり、要件定義書の作成者から外部設計書の作成者への指示に問題があったことを意味する。よって、②が正解。
bは、要件定義書を読んだ人が内容を誤解したということであり、要件定義書の作成者から外部設計書の作成者への指示に問題があったことを意味する。よって、②が正解。
cは、発注者が開発者に説明していないと書かれていることから、①が正解。
<第18問>
詳細は、みずほ情報総研株式会社「平成24年度情報セキュリティ対策推進事業(情報セキュリティ人材の育成指標等の策定事業)事業報告書」(2013年3月)を参照。
ア=ISセキュリティアドミニストレータの役割。
イ=ISセキュリティアドミニストレータの役割。
ウ=インシデントハンドラの役割。
エ=正解。
<第19問>
ダイヤルアップ接続で用いられるPPPプロトコルにおける認証方式には、PAP認証とCHAP認証がある。PAP認証では、認証のためのIDとパスワードを暗号化せずにサーバへ送るため、セキュリティリスクがある。一方、CHAP認証ではチャレンジ・レスポンス方式を用いることで、伝送経路上にパスワードそのものを流さないように工夫している。
ア=正解。
イ=二段階認証では、異なるパスワードを用いて2回認証を行う。例えばGoogleの場合、ユーザ登録時に携帯電話番号も登録しておく。Googleのサービスにログインすると、携帯電話にSMSで認証番号が届く。ユーザはその認証番号を入力すると、サービスを使えるようになる。
ウ=ハードウェアトークンとは、ワンタイムパスワードを表示するための専用の機器を指す。
エ=ワンタイムパスワードとは、一定時間ごとに自動的に新しいパスワードに変更され、しかも、一度しか使うことができないパスワードのことを言う。
<第20問>
・クリックジャッキング攻撃とは、Webブラウザの操作を乗っ取り、ユーザに意図しない操作を行わせる攻撃手法である。攻撃者は一見無害なサイトを用意し、ユーザを誘い込む。その上で、攻撃者は自らのサイトの上に透過指定された別のサイト(標的サイト)を重ねて表示するよう設定する。攻撃者サイトを訪れたユーザのWebブラウザには一見無害なサイトしか表示されないため、ユーザはリンクやボタンをクリックするつもりで操作を行うが、実際には透過表示された標的サイトに対して意図せず操作を行ってしまう(掲示板に悪意の書き込みをする、など)。
・クロスサイト・リクエスト・フォージェリとは、攻撃者が攻撃用サイトを用意し、攻撃用サイトにアクセスしたユーザに対し、別ページの掲示板に意図しない書き込みをさせたり、オンラインショップで勝手に買い物をさせたりなどする攻撃手法である。
ア=エスケープ処理とは、ウェブページの表示に影響する特別な記号文字(「<」、「>」、「&」など)を、HTMLエンティティ文字(「<」、「>」、「&」など)に置換することであり、クリックジャッキング攻撃とは無関係である。
イ=X-Frame-Optionsは、ブラウザがframeやiframeの内部を表示するか否かを指定する。クリックジャッキング攻撃では、あるサイトにiframeで別サイトを埋め込み、それを視覚的に見えないよう工夫することで攻撃を仕掛ける。そこで、X-Frame-Optionsでiframe内の表示を制御することが攻撃への対策となる。つまり、X-Frame-Optionsを含めることが重要である。
ウ=正解。クリックジャッキング攻撃やクロスサイト・リクエスト・フォージェリの場合、攻撃用サイトがiframeで読み込まれることが想定される。そこで、イで見たように、X-Frame-Optionsでiframe内の表示を制御することが有効である。
エ=パスワードの再入力は有効な対策とならない。ユーザが操作するサイトは、必ずしもパスワードの入力を求められるものばかりであるとは限らない。
<第21問>
・Common Criteria=情報技術セキュリティの観点から、情報技術に関連した製品・システムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格。
・ITSMS(ITサービスマネジメントシステム)=サービス提供者が、提供するITサービスのマネジメントを効率的、効果的に運営管理するための仕組みである。
・ISMS(情報セキュリティマネジメントシステム)=情報資産のセキュリティを管理するための枠組みを策定し、実施することである。
・VDM=IBMのウィーン研究所で1960年代から70年代にかけて開発された、数学を基盤として仕様、プログラムの正当性を保証するための手法で、形式手法と呼ばれる手法の1つ。
<第22問>
ア=正解。
イ=使用したデータ量に応じて料金が変わる従量制を採用している場合もある。
ウ=アプリケーション、ミドルウェア、OS、ハードウェアが一体化されているのはSaaSのみである。PaaSはミドルウェア、OS、ハードウェアを提供、IaaSはOS、ハードウェアを提供、DaaSはハードウェアのみを提供する。
エ=オンプレミス型とホステッド型の説明が逆である。
<第23問>
ア=EuPとは、エネルギー使用製品に対して環境配慮設計を義務づけるEUの規制。
イ=Green by ITとGreen of ITの説明が逆である。
ウ=PUE=(データセンター全体の消費電力)÷(サーバーなどのIT機器の消費電力)である。
エ=正解。
<第24問>
ア=正解。ARMAモデル(自己回帰移動平均モデル)は、自己回帰(AR)部分と移動平均(MA)部分からなる。自己回帰モデルとは、時間によって確率が変動する過程を描写したものである。移動平均モデルは、時系列データ(より一般的には、時系列に限らず系列データ)を平滑化する手法である。例えば、月によって変動が激しい売上高が全体として増加傾向にあるのか減少傾向にあるのかを見ることができる。
イ=指数平滑法とは、短期的な予測において利用される時系列分析法の1つで、直近のデータにより高いウエイトを置き、移動平均を求めていく手法である。
ウ=バスモデルとは、新製品,、特に耐久消費財の拡散過程を模擬するモデルである。時点tまでの未購入者が耐久消費財を期間 (t, t+Δt)に購入する確率は、他人にまどわされない購入意欲(innovation効果)と、既購入者数が増えてくると乗り遅れまいとする気持ち(imitation効果)との和で表現される。単純にt期の購入者数に比例するわけではない。
エ=イノベーション理論の説明である。イノベーション理論においては、顧客を購入時期に応じて、イノベーター(2.5%)、アーリーアダプター(13.5%)、アーリーマジョリティ(34.0%)、レイトマジョリティ(34.0%)、ラガード(16.0%)という5つのタイプに分類する。
<第25問>
・t検定とは、2つのグループの平均の違いを調べる方法である。
・分散分析とは、3つ以上のグループの平均の違いを調べる方法である。
ア=仕入先がグループを識別する唯一の要素であるため、一元配置の分散分析である。グループを識別する要素が2つ以上の場合、多元配置の分散分析となる。
イ=正解。自由度とは自由に設定できる余地のある値の数を指す。平均値の検定の場合、「標本サイズ(群の数)マイナス1」が自由度となる。例えば、標本が4群あり、その平均が5だった時、4群のうち3つまでの値は任意に決定することができるが、最後の4群目の値は平均が5になるよう、選択の余地なく決定される。この場合の自由度は4-1=3である。
ウ=A社とB社、B社とC社、C社とA社の間でt検定を行い、いずれかのt検定でも帰無仮説が棄却されなければ、3つのグループの平均は等しいと結論づけられる。ただし、有意水準には5%を用いるのではなく、5%を3で割った値(1.7%)を用いる。
エ=第一種の過誤とは「帰無仮説が実際には真であるのに棄却してしまう過誤」であり、第二種の過誤とは「対立仮説が実際には真であるのに帰無仮説を採用してしまう過誤」である。検定を繰り返すと、1回のみの検定よりも第一種の過誤が大きくなる。すなわち、有意差が出る可能性が高まる。これは、ウで見たように、検定を繰り返すと有意水準が厳しくなるからである。