見出し画像

【国語とメタ読み】応用情報技術者R05秋監査の解説


今回の問題は、システム稼働時の5年前にCP策定し、発動も見直しもしていないので、監査でチェックするのがテーマ。

業務継続計画(BCP)は、可用性。セキュリティ3要素CIAのAにもある通り、セキュリティの色が濃い問題でした。

読みながら「5年前から時代遅れになってないかな?」「せっかくの緊急時計画なのに、抜け穴ないかな?」という観点で見ておくと、結構すんなり。

解きに入れるのが3頁終盤と遅めで、設問2は少しモヤとしますが、8割以上が狙える問題でした。


このNoteは私のIT専門学校での授業経験に基づいて、一緒に読んで解いていきます。本番での「思考の流れ」や「解法のコツ」なども書いているので、参考になったら嬉しいです。

それでは始めましょう!


過去問のダウンロードはIPA公式より。
>>公式の問題pdfへのリンク<<
>>公式の解答pdfへのリンク<<





選ぶか | 全4頁が最大の魅力

問11を選ぶかどうかだと、私は選ぶかも。解き始めは遅いですが、総頁4は短く、図1からも簡単な構成だと判断できたので。

設問も多いようで、穴埋めがほとんど。設問5の作文25文字も大変良心的。

業務継続計画(BCP)はセキュリティ面強めなのもグッド。問1セキュリティは必答なので、バキバキに対策してますからね。

総じて「解き始め3頁目」以外にマイナスポイントがありません。




読み | 概要

概要は1段落8行で適切。

大した情報はありません。通販システムの可用性を確保するために、バックアップサイトや緊急時の計画について、監査を受ける話。

一応、「通販システム」「CP」を作文で使うかもなので、四角囲みマーキングしておきましょう。

この時点では分かりませんが、話は「監査の手続き」よりは「セキュリティ」寄りです。問1に出てもオカシクなく、情報セキュリティマネジメント試験なら出そうな題材ですね。




読み | 【通販システムの概要】

サーバの処理能力の増強、冗長構成(ウォームスタンバイ)してきた話。サーバが東・西センターにある。

西センターがバックアップサイト。日次・夜間にデータを、東から西へ伝送。

西センターのバックアップシステムは、システム稼働当初から導入。普段は人事・会計の社内向けで稼働され、緊急時は待機サーバとして稼働する。直近2~3年は社内業務システムも稼働。


マーキングは、名称は四角囲み、数値は丸囲みが基本。

  • 「5年」を丸囲み

  • 「受注、出荷・配送、承認」を四角囲み

  • 「処理能力を増強」に下線

  • 「ウォームスタンバイ」を四角囲み

  • 「人事給与システム」「会計システム」「社内業務支援システム」「社内システム」を四角囲み

この時点で、「当初は待機系として準備したけど、人事・会計だけでなく、日常業務にも使われているな。いざとなったらほんとに待機系として稼働できるんだろうか。取引量も当初よりも増えているらしいし。」と、ほんとに使える?という印象を持ちます。

なんかイチイチ怪しいんですよね。書き方が。


図1は問題なし。各センターで各システムが動き、データばバックアップされている様子が読めます。文章以上の情報はないですね。




読み | 【CPの概要】

5年前システム稼働時から、危機事象で東センターが使えなくなったときのCPを策定しているとのこと。

一応ここでチェック。大規模自然災害・システム障害・サイバー攻撃。「今から、対応できていない脅威が出てくるかもな」と。

緊急時は、西センターの社内システムを停止させ、ソフトウェアをセットし、バックアップデータを復元して暫定稼働。ウォームスタンバイなので適正ではあります。


ここで2点気になっておきます。

1点目。「社内システム停止して業務できるのかな?人事や会計はともかく、最近は業務支援のワークフローやグループウェアを使っているようだし」

2点目は最後の文。わざわざ「5年前の稼働依頼、CPを発動した実績はない」と付け加えています。「どこまで訓練しているのか」「本当に緊急時に使えるプランなのか」と疑っておきます。

「読んで気になった点」が設問に出るようになるのが、合格へのコツ。問題文の「読み直し」が多発すると時間切れになりますよね。




読み | 【CPの訓練状況】

稼働直前の5年前に復旧テスト。以後毎年、実機で訓練もしているとのこと。

一方で「引っかかる書き方だなぁ」と感じる部分も。

  • 復旧テストは「5年前」以降はやってなさそう。

  • 5年前の必要最低限の処理能力で、現在もいけるのか?

  • 毎年の訓練は、ソフトウェアセット・DB復元「まで」とわざわざ書いてある。以降にネットワーク切り替え・稼働が控えているけど。

  • 問題は見つかっていないとはいえ、「見直しは行われていない」 。想定してないリスクに対応できなのでは?と。




読み | 【本調査に向けた準備】

表1に到達して、やっと穴埋め。解きに入れます。

CPについて、監査(チェック)をしていくとのこと。




解き | 設問1a,b,c

穴埋めをしたいですが、「業務部問」や「訓練結果」など、今まで全く記載がない言葉ができて、読んできた問題文にヒントなさそう。。

表1の「想定されるリスク」を解決できるかな、と監査していくので、「想定されるリスク」をヒントとするしか。


正解と理由は以下。

  • a:カの目標復旧時間:時間を早くするか受け入れるしかないので

  • b:イのCP発動基準:発動判断をスパっとすれば良いので

  • c:オの評価項目:評価されないのが原因なので

「これだ!」と一発で引くほどでもなく「これでしょう」ぐらいですが、とはいえ他の選択肢を入れても違和感しかないですね。

(解説になってなくてすみませんが、設問1は細かく考えるものでもないです)




読み&解き | 設問2

表1の下、R05秋では唯一の会話パート。セキュリティスペシャリストなど上位資格では良くありますよ。

さて下線①に到達しました。CPのリスクシナリオをで想定されているリスクを答えるとのこと。追加されるべきリスクみたい。しかも2つ。


模範解答は、「システム障害発生時の影響が拡大するリスク」「サイバー攻撃の脅威が増大するリスク」。

「リスク」を問われいるので、問題文から言葉「リスク」を拾ってきます。念のため下線①の後も流し読み。短いので。

  • 1頁目の最初より:システム障害発生時の影響の拡大(新たなリスク)

  • 1頁目の最初より:サーバ攻撃の脅威の増大(新たなリスク)

  • 表1より:復旧まで時間がかかるリスク

  • 表1より:CP発動が遅れるリスク

  • 表1より:潜在的な問題が発見されないリスク

  • 最後の会話より:復旧後に問題が発生するリスク

  • 最後の会話より:暫定復旧が円滑に実施できないリスク

機械的にオーバーに全部拾いました。

下線①の指摘に「承知した」とあり話が終わっています。つまり下線①より後の「最後の会話」は違います。表1のリスクは3つなので違います(メタですが)。

よって1頁目の「システム障害発生時の影響の拡大」「サーバ攻撃の脅威の増大」を新たなリスクとして範囲に追加する、と。

私も含めてモヤっとする方もいらっしゃると思いますが、わざわざ「リスクを二つ挙げ」と書かれているのは、「問題文に二つ書いてるよ」という意味。ノーヒントで二つ挙げろではないです。ノーヒントで2つなんて無理ゲーすぎますからね。



補強 | モヤっとするのも分かります

モヤっとするところも一緒に考えます。

【CPの概要】にて「CPのリスクシナリオとしては、大規模自然災害、システム障害、サイバー攻撃(併せて以下、危機事象という)」とあります。

ここから先は

1,847字 / 6画像
この記事のみ ¥ 100

この記事が参加している募集

学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ