【応用情報技術者試験(3)】問題演習:令和4年春期(41~60問)
はじめに
こんにちは、今日は前回に続いて、「応用情報技術者試験」の令和4年春期(41~60問)について練習します。1~50番目までは「テクノロジ系」の問題ですが、51~60番目までは「マネジメント系」の問題です。
問題演習:令和4年春期(41~50問)
問41
JIS Q 31000:2019(リスクマネジメント-指針)におけるリスクアセスメントを構成するプロセスの組合せはどれか。
リスクマネジメントの指針を示した規格であるJIS Q 31000では、リスクアセスメントを「リスク特定,リスク分析及びリスク評価を網羅するプロセス全体を指す」と定義しています。
問42
WAFによる防御が有効な攻撃として,最も適切なものはどれか。
WAF(Web Application Firewall)は、通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能なファイアウォールです。例えば、WebブラウザからのリクエストにSQL文の断片が含まれていたら、SQLインジェクションの可能性があるとして遮断するなどです。
WAFにより防御できるのは、Webアプリケーションだけです。Webアプリケーションとは、HTTP(S)通信の仕組みを使いWebブラウザとWebサーバのやり取りによって機能を提供するアプリケーションなので、選択肢の中ではREST APIが正解となります。
問43
家庭内で,PCを無線LANとブロードバンドルータを介してインターネットに接続するとき,期待できるセキュリティ上の効果の記述のうち,適切なものはどれか。
ブロードバンドルータは、家庭内の複数内の端末が同時にインターネットに接続できるように、IPマスカレード(NAPT)の機能を備えています。
問44
SPF(Sender Policy Framework)の仕組みはどれか。
SPF(Sender Policy Framework)は、メールを送信しようとしてきたメールサーバのIPアドレス情報を検証することで、正規のサーバからのメール送信であるかどうか確認することができる技術です。受信メールサーバ側がメールの送信元ドメインを管理するDNSサーバに問い合わせ、返されたIPアドレスが送信元メールサーバのIPアドレスと一致するかどうかでなりすましを検知します。
問45
ファジングに該当するものはどれか。
ファジング(fuzzing)とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法です。
問46
仕様書やソースコードといった成果物について,作成者を含めた複数人で,記述されたシステムやソフトウェアの振る舞いを机上でシミュレートして,問題点を発見する手法はどれか。
ウォークスルーは、設計上の誤りを早期に発見することを目的として、各工程の終了時点で、作成者を含めた複数の関係者が設計書やソースコードを検査するデザインレビューの手法です。①原則として管理者には参加させない、②誤りの発見を目的としその場で解決策を議論しない、③事前に資料を配布しておくことで短時間で効率よく行うなどの特徴があります。
問47
信頼性工学の視点で行うシステム設計において,発生し得る障害の原因を分析する手法であるFTAの説明はどれか。
FTA(Fault Tree Analysis:故障木解析)は、発生が好ましくない事象について、樹形図を用いて、発生経路、発生原因及び発生確率をトップダウン的に展開していくことで事象解析する手法です。
問48
流れ図で示したモジュールを表の二つのテストケースを用いてテストしたとき,テストカバレージ指標であるC0(命令網羅)とC1(分岐網羅)とによる網羅率の適切な組みはどれか。ここで,変数V~変数Zの値は,途中の命令で変更されない。
命令網羅
全ての命令を少なくとも1回は実行している
分岐網羅
判定条件の真偽を少なくとも1回は実行している
2つのテストを合計すると、5つの命令はすべて実行しているので命令網羅の網羅率は100%、分岐先10つのうち8つを通っているので分岐網羅の網羅率は80%となります。
問49
エクストリームプログラミング(XP:Extreme Programming)における"テスト駆動開発"の特徴はどれか。
プログラムを書く前にテストケースを記述する
問50
スクラムのスプリントにおいて,(1)~(3)のプラクティスを採用して開発を行い,スプリントレビューの後にKPT手法でスプリントレトロスペクティブを行った。"KPT"の"T"に該当する例はどれか。
〔プラクティス〕ペアプログラミングでコードを作成する。
スタンドアップミーティングを行う。
テスト駆動開発で開発を進める。
KPT(ケプト)手法は、ふりかえりの際に、継続すべき良かった点(KeeP)、発生した問題(Problem)、今後試したいこと(Try)を開発チーム全員で考えるフレームワークです。
次のスプリントからは,スタンドアップミーティングにタイムキーパーを置き,終了5分前を知らせるようにする。
問題演習:令和4年春期(51~60問)
問51
プロジェクトマネジメントにおけるスコープコントロールの活動はどれか。
連携する計画であった外部システムのリリースが延期になったので,この外部システムとの連携に関わる作業は別プロジェクトで実施することにした。
問52
図は,実施する三つのアクティビティについて,プレシデンスダイアグラム法を用いて,依存関係及び必要な作業日数を示したものである。全ての作業を完了するのに必要な日数は最少で何日か。
リード
先行アクティビティに対して、後続アクティビティの開始を前倒しできる時間
ラグ
先行アクティビティに対して、後続アクティビティの開始を遅らせる時間
FS関係(Finish-to-Start,終了-開始)
「受付が終了してから試験を開始する」というように、あるアクティビティの終了が、他方のアクティビティの開始条件になっている関係
SS関係(Start-to-Start,開始-開始)
「受付が開始されたら試験会場への入場を開始する」というように、あるアクティビティの開始が、他方のアクティビティの開始条件になっている関係
問53
あるシステムの設計から結合テストまでの作業について,開発工程ごとの見積工数を表1に,開発工程ごとの上級技術者と初級技術者の要員割当てを表2に示す。上級技術者は,初級技術者に比べて,プログラム作成・単体テストにおいて2倍の生産性を有する。表1の見積工数は,上級技術者の生産性を基に算出している。
全ての開発工程に対して,上級技術者を1人追加して割り当てると,この作業に要する期間は何か月短縮できるか。ここで,開発工程の期間は重複させないものとし,要員全員が1カ月当たり1人月の工数を投入するものとする。
初級技術者1人を0.5人として計算
[要員追加前]
設計 … 6人月÷2人=3か月
プログラム作成・単体テスト … 12人月÷(2人+(2人×0.5))=12人月÷3人=4か月
結合テスト … 12人月÷2人=6か月
要員の追加前の開発期間は「3+4+6=13か月」です。
[上級技術者1人追加後]
設計 … 6人月÷3人=2か月
プログラム作成・単体テスト … 12人月÷(3人+(2人×0.5))=12人月÷4人=3か月
結合テスト … 12人月÷3人=4か月
要員の追加後の開発期間は「2+3+4=9カ月」です。
よって、各工程に上級技術者を1人追加することで短縮できる期間は、
13カ月-9カ月=4カ月
問54
あるシステム導入プロジェクトで,調達候補のパッケージ製品を多基準意思決定分析の加重総和法を用いて評価する。製品A~製品Dのうち,総合評価が最も高い製品はどれか。ここで,評価点数の値が大きいほど,製品の評価は高い。
加重総和法は、評価項目ごとの点数に評価項目の重みを乗じた値の総和を求め、その多寡によって対象を評価する方法
製品A
7点×5+9点×1+8点×4=76点
製品B
8点×5+10点×1+5点×4=70点
製品C
9点×5+4点×1+7点×4=77点
製品D
9点×5+7点×1+6点×4=76点
総合評価が最も高い製品は「製品C」
問55
サービスマネジメントにおける問題管理の目的はどれか。
インシデントの未知の根本原因を特定し,インシデントの発生又は再発を防ぐ
問56
あるサービスデスクでは,年中無休でサービスを提供している。要員は勤務表及び勤務条件に従って1日3交替のシフト制で勤務している。1週間のサービス提供で必要な要員は,少なくとも何人か。
〔勤務条件〕
勤務を交替するときに30分間で引継ぎを行う。
1回のシフト中に1時間の休憩を取り,労働時間は7.5時間とする。
1週間の労働時間は,40時間以内とする。
1日の中に早番2つ、日中4つ、遅番2つで計8つのシフト枠があるので、1週間のシフト枠の合計は「8×7日=56」です。1シフトにつき労働時間は7.5時間、1週間の労働時間は40時間以内なので、1人が1週間に担当できるシフト枠は、
40時間÷7.5時間=5.333…
6つを担当すると計40時間を超えてしまうので、小数点以下を切り捨てた5シフトが上限となります。1週間のシフト枠の合計56を1人が担当できるシフト枠数で割ると、
56÷5=11.2
小数部分を切り上げると、少なくとも12人の要員が必要であることがわかります。したがって「12」が正解。
問57
入出力データの管理方針のうち,適切なものはどれか。
出力帳票は授受管理表などを用いて確実に受渡しを行い,情報の重要度によっては業務部門の管理者に手渡。
問58
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
リスクアセスメントを実施した後に,リスク受容基準を決めた
リスク受容基準の決定時期が遅いので指摘事項に該当します。
問59
システム監査における"監査手続"として,最も適切なものはどれか
監査項目について,十分かつ適切な証拠を入手するための手順
問60
システム監査基準の意義はどれか。
システム監査業務の品質を確保し,有効かつ効率的な監査を実現するためのシステム監査人の行為規範となるもの
システム監査基準は、システム監査業務(情報システムのガバナンス、マネジメント又はコントロールを点検・評価・検証する業務)の品質を確保し、有効かつ効率的な監査を実現するためのシステム監査人の行為規範を定めたものです。
システム監査をする際に、監査人が情報システムのコントロールやマネジメントを点検・評価・検証する際の判断の尺度となるのが「システム管理基準」です。
終わりに
今日は応用情報技術者試験の過去問41~60番まで練習しました。印象的な問題はテスト駆動開発に関する49,50番問題でした。最近、自分がしている開発勉強なので、参考になりそうです。
混乱しやすい問題はシステム監査基準とシステム管理基準の違いです。ポイントは監査基準は「行為規範」、管理基準は、有効かつ効率的な監査を実現するシステム監査をする際に点検・評価・検証する際の「判断の尺度」という表現ですね。
これからも、頑張ります!
エンジニアファーストの会社 株式会社CRE-CO
ソンさん
【参考】