平成21年度 春期 応用情報技術者試験 問41−60 解答編



このページは

応用情報

(応用情報技術者試験)

解答と解説のページです。

問題だけで勉強したい方は目次へ戻ってください


問41 企業内情報ネットワークやサーバにおいて、通常のアクセス経路以外で、侵入者が不正な行為に利用するために設置するものはどれか。
VoIPゲートウェイ
ストリクトルーティング
バックドア
フォレンジック
解答
解説 サーバなどに侵入した後、再度侵入するときのために、設置する裏口のことをバックドアといいます。侵入されたサーバを調べるときは、侵入経路や攻撃内容だけでなく、バックドアが仕掛けられていないかも調べるべきです。

VoIPゲートウェイは電話網とIPネットワークの間の中継を行う機器。です。
ストリクトルーティングはソールルーティングというパケット指定方式の一種で、すべての経路を指定する方式です。他には、いくつかだけを指定して残りはルータに任せるルーズソースソーティングがあります。
フォレンジックは『科学捜査・鑑識』という意味があり、データを分析して法的な証拠を集める手段の総称です。
問42 ディレクトリトラバーサル攻撃に該当するものはどれか。
Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、想定外のSQL文を実行する。
Webサイトに利用者を誘導して、Webサイトの入力データ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスクリプトを実行する。
サーバ内の想定外のファイル名を直接入力することによって、本来は許されないファイルを不正に閲覧する。
セッションIDによってセッションが管理されるとき、ログイン中の利用者のセッションIDを不正に取得し、その利用者に成りすましてアクセスする。
解答
解説 ディレクトリトラサーバル攻撃とは、フォルダ名やファイル名を直接指定して不正にファイルを見る手法です。例えば『~tanaka/test/2008.txt』というファイルがあった場合に、今年度のテストを『~tanaka/test/2009.txt』であると予想し、URLに直接入力してファイルを不正に閲覧しようとする手法です。ファイル名を予想して直接アクセスするので、リンクがどこからもつながっていなくても、アクセス権限を適切にしていない場合は表示されてしまいます。

選択肢アは、SQLインジェクション攻撃の説明です。
選択肢イは、クロスサイトスクリプティングの説明です。
選択肢エは、セッションハイジャックの説明です。
問43 ユースケースは、システムへの機能的要求を明確にする手段として、利用者とシステムとのやり取りを定義したものである。ユースケースを利用してモデル化するのが適切なものはどれか。
インターネットを活用した新しいITサービスを企画する。
コンピュータ室の空調設備の工事を行う。
処理時間を短くするために並列プロセッサで処理を行う。
預金者がATMから現金を引き出す。
解答
解説 ユースケース図の例を下に示します。

画像(問43kai)を表示できません

ユースケース図は、UML(Unified Modeling Language)は統一モデリング言語の一種で、アクタ(利用者)・アクタの操作(ユースケース)等をを記述するものです。
問44 新システムのモデル化を行う場合のDFD作成の手順として、適切なものはどれか。
現物理モデル → 現論理モデル → 新物理モデル → 新論理モデル
現物理モデル → 現論理モデル → 新論理モデル → 新物理モデル
現論理モデル → 現物理モデル → 新物理モデル → 新論理モデル
現論理モデル → 現物理モデル → 新論理モデル → 新物理モデル
解答
解説 一般的なDFDを使ったシステムの設計は下のように行われる

@現物理モデル:現状を把握し、具体的なデータの流れを記入し、作成する。
A現論理モデル:現モデルを抽象化し、データと処理を中心に作成する。
B新論理モデル:現論理モデルと、要求定義をもとに作成する。
C新物理モデル:新論理モデルを元に、実際の資料や物理的要件を補足し作成する。
問45 デザインレビューの目的はどれか。
成果物の問題点の早期発見を行う。
設計プロセスとマネジメントプロセスに関する問題点の早期発見と是正を行う。
第三者期間による成果物のサンプリング検査で品質上の問題点の早期発見と是正を行う。
第三者期間による全成果物の合否判定を行う。
解答
解説 デザインレビューとは、出来上がった成果物を客観的に多人数で評価することをさします。レビューには、実際にプログラムを動かして確かめる動的テストと、プログラムを動かすことなく、ソースコードのチェックなどを行う静的テストがあります。デザインレビューの代表的な例を説明します。

インスペクション:プログラムを第三者が検証し、本人が気づかない誤りや問題点を検出すること。
ウォークスルー:開発に携わった者が集まり、誤りや問題点を発見する。
ラウンドロビン:責任者を順番に勤めながらレビューを行う。これにより、積極性が増し見落としを減す。
問46 図において、“営業状況を報告してください”という同じ指示(メッセージ)に対して、営業課長と営業部員は異なる報告(サービス)を行っている。オブジェクト指向において、このような特性を表す用語はどれか。

画像(問46)を表示できません
カプセル化
継承
多相性
抽象化
解答
解説 オブジェクト指向の概念について下にまとめます。

クラス:データとメソッドを1つにまとめたもの
メソッド:オブジェクトがもっている手続のこと
カプセル化:データにメソッドを通じてのみアクセスできること
インスタンス:型であるクラスに実際の値を入れて、具現化すること
抽象化:共通の性質をまとめて定義したもの、一般的にスーパークラスとして定義される。
継承:スーパークラスを取り込むこと。(例:人間クラスを継承して学生クラスを作る)
多相性(多態性):同じメッセージに対して別の振る舞いをすること(例『鳴く』というメッセージに対して、『ワンワン・ニャーニャー』など別の振る舞いをする)
問47 結合テストで用いられるスタブの役割はどれか。
テストが完了したモジュールの代わりに結合される。
テスト対象のモジュールからの呼出し命令の条件に合わせて、値を返す。
テスト対象のモジュールからの呼出し命令の条件に合わせて、テストデータを自動生成する。
テスト対象のモジュールを呼出し命令で呼び出す。
解答
解説 結合テストに使われるドライバとスタブについて下にまとめます。

ドライバ:仮の上位モジュール(主にボトムアップテストで利用される)
スタブ:仮の下位モジュール(主にトップダウンテストで利用される)

選択肢イがスタブ。選択肢エがドライバの説明です。
問48 CMMIの開発モデルの目的はどれか。
各種のソフトウェア設計・開発技術を使って開発作業を自動化し、ソフトウェア開発の生産性の向上を図る。
製品やサービスについて、組織が開発と保守のプロセスを改善するのを助ける。
ソフトウェアライフサイクルを、主、支援及び組織に関する三つのライフサイクルプロセスに分けてアクティビティを定め、ソフトウェアプロセスの標準化を図る。
特定の購入者と製作者の間で授受されるソフトウェア製品の品質保証を行い、顧客満足度の向上を図る。
解答
解説 CMMIは能力成熟度モデル統合と略され、組織がプロセスを適切に管理できるように、守るべき指針を体系化したもので、以下のような段階に分かれています。

LV1:初期段階:何もルールがない
LV2:管理段階:システム開発の計画・コスト見積りの経験則ができている。
LV3:定義段階:システム開発の経験が組織として共有され、標準プロセスが確立している。
LV4:管理段階:プロセスからの定量的なフィードバックによって、継続的に改善されている。
LV5:最適化段階:プロセスの測定基準が定められ、組織的に分析が進められている。
問49 マッシュアップを利用してWebコンテンツを表示しているものはどれか。
検索キーワードの入力中に、キーワードの候補をサーバから取得して表示する。
地図上のカーソル移動に伴い、ページを切り替えずにスクロール表示する。
電車経路の検索結果上に、各路線会社のWebページへのリンクを表示する。
店舗案内のページ上に、ほかのサイトが提供する地図情報を表示する。
解答
解説 マッシュアップとは、混ぜ合わせるという意味で、既存の技術を組み合わせて新しい技術を作り出すことをいいます。Web2.0の浸透とともに盛んになってきました。Amazon、Google、YouTube、ニコニコ動画などがサービスを無料で利用できるAPIを提供しているので、それと自分のコンテンツを複合して利用することがマッシュアップに相当するといえます。
問50 WBS(Work Breakdown Structure)を利用する効果として、適切なものはどれか。
作業の内容や範囲が体系的に整理でき、作業の全体が把握しやすくなる。
ソフトウェア、ハードウェアなど、システムの構成要素を効率よく管理できる。
プロジェクト体制を階層的に表すことで、指揮命令系統が明確になる。
要員ごとに作業が適正に配分されているかどうかが把握できる。
解答
解説 WBS(Work Breakdown Strucuture:作業分割構成)とは仕事を分割して、作業のしやすい量にすることです。この分割の最下位の仕事の単位をワークパッケージといい、これをそれぞれの人員に割り当てることで、OBS(organization breakdown structure:組織分割構成)を作成することができます。
問51 図のプロジェクトの日程計画において、プロジェクトの所要日数は何日か。

画像(問51)を表示できません
40
45
50
55
解答
解説 それぞれの最早開始日を記入すると下の図のようになります。

画像(問51kai)を表示できません

なお、クリティカルパスは、A → C → E →Hとなります。ダミーの作業は、作業日数0の実線だと考えると分かりやすいです。
問52 ある開発プロジェクトの見積工数は88人月である。作業を開始した1月から5月までは各月に10名を投入したが、5月末時点で40人月分の作業しか完了していない。8月末までにこのプロジェクトを完了させるためには、6月以降は最低何名の要員を追加する必要があるか。ここで、6月以降のすべての要員の作業効率は、5月までの要員と同じであるものとする。
10
16
20
解答
解説 まず、現在の作業効率ですが、5×10で50人月を投入したにもかかわらず、40人月分の作業しか進んでいないということで、4/5となります。
次に、残りの日数は88人月−40人月で48人月となります。
これに、現在の作業効率で割った実質人月数を算出すると、48人月/(4/5)=60人月必要になります。
プロジェクトは、6、7、8の3ヶ月残っているので、60/3で1月に20人が必要となります。
問題では追加要員を聞かれているので、全部の人数=今の人数+追加要員により、20−10=10人が追加で必要です。
問53 グラフの使い方のうち、適切なものはどれか。
企業の財務評価などで、複数の特性間のバランスを把握するために、円グラフを使用する。
商品価格の最高値と最安値など、ある期間内に幅のある数値を時系列で実現するために、浮動棒グラフを使用する。
全支社の商品ごとの売上高の比率など、二つ以上の関連する要素の比率の変化を比較するために、積上げ棒グラフを使用する。
年度ごとの売上高の内訳の推移などを、要素の変化と要素の合計の変化を比較するために、帯グラフを使用する。
解答
解説 選択肢にあったグラフを下にまとめます。

選択肢ア:特性間のバランスなので、レーダーチャートを使用します。。
選択肢イ:幅がある数値なので折れ線グラフでは表せず、浮動棒グラフを使用します。
選択肢ウ:2つ以上・比率の変化などは、円グラフや棒グラフでは表せず、複合棒グラフを使用します。
選択肢エ:内訳や合計の変化を比較するためには、積上げ棒グラフを使用します。
問54 教育技法の説明のうち、適切なものはどれか。
インバスケットは、一定時間内に数多くの問題を処理させることによって、問題の関連性、緊急性、重要性などに対する総合的判断力を高める技法である。
ケーススタディは、日常の開発業務の中で、先輩や上司が個別に指導し、実体験から知識を取得させる技法である。
ブレーンストーミングは、参加者に特定の役割を演技させることによって、各立場の理解や問題解決力を高める技法である。
ロールプレイングは、参加者のアイディアを批判することなく、またそのアイディアから新たなアイディアを導き出そうとする創造的問題解決に適した技法である。
解答
解説 代表的な教育技法について下にまとめます。

インバスケット:一定時間に多くの問題を処理させることで、処理能力の向上を中心に、判断力などを鍛える手法です。
ケーススタディ:実際にあった事例や具体的な事例をもとに、自分ならどうするかの具体的な判断をする練習をします。
ロールプレイング:ロールとは役割を演じるという意味で、参加者がその役割りを演じ、立場を理解し問題を解決する能力を高めます。
OJT(On the Job Training):上司や先輩から実際の具体的な仕事を通して、能力を高める技法です。
なお、ブレーンストーミングは教育技法ではなく、アイディア創造法の一つです。以下のような原則があります。
@質より量:内容よりも数を重視してアイディアを出す。
A批判厳禁:他人のアイディアの批判をしてはいけない。
B自由奔放:奇抜・斬新・ユニークなアイディアを歓迎する。
C結合・便乗:他人の意見を結合したり、加えたりすることを認める。
問55 SLAに記載する内容として、適切なものはどれか。
顧客とサービスプロバイダの間で合意されたサービスの目的及び責任範囲
サービスデスクとITサポート部門の役割分担
サービスプロバイダが提供するすべてのサービスの特徴、構成要素、料金
利用者から出されたITサービスに対する業務要件
解答
解説 SLA(service level agreement)とは、サービス品質保証契約のことで、サービスの品質(故障時間やサービスの内容保障)を取り決めます。利用部門と情報システム部門が取り交わす契約事項であり、課金項目、問合せ受付時間、オンラインシステム障害時の復旧時間などの項目が盛り込まれます。また、契約事項が実行されなかった場合の補償規定も盛り込まれることもあります。
問56 システムの移行計画に関する記述のうち、適切なものはどれか。
移行計画書には、移行作業で問題が発生した場合に旧システムに戻す際の判断基準が必要である。
移行するデータ量が多いほど、切替え直前に一括してデータの移行作業を実施すべきである。
新旧両システムで環境の一部を共有することによって、移行の確認が容易になる。
新旧両システムを並行運用することによって、移行に必要な費用が低減できる。
解答
解説 新しいシステムを現行のシステムと入れ替える際に用いられる形態に、一斉移行方式と並行移行方式があります。

一斉移行方式:いきなり新しいシステムを行うもので、並行しない分コストが小さくてすむ反面、障害時の影響が大きいといえます。
並行移行方式:障害時の影響を少なくできる代わりに、並行する分のコストがかかる。

データやシステムが簡易で少量の場合は、一斉移行方式がとられる場合が多いです。
さらに、移行計画書には、失敗した場合(移行に無理が生じた場合)に旧システムに戻す基準を定めるべきです。
問57 ソフトウェア開発・保守工程において、リポジトリを構築する理由はどれか。
各工程での作業手順を定義することが容易になり、開発・保守時の作業ミスを防止することができる。
各工程での作業予定と実績を関連付けて管理することが可能になり、作業の進捗管理が容易になる。
各工程での成果物を一元管理することによって、開発・保守作業の効率が良くなり、用語を統一することができる。
各工程での発生不良を管理することが可能になり、ソフトウェアの品質分析が容易になる。
解答
解説 リポジトリとは、貯蔵庫・倉庫などの意味があり、ファイルやフォルダの一元管理を行うことができる空間のことです。(バージョン管理ソフトウェアなどを使う場合が多いです)これにより、開発効率が向上するなどがあります。代表的なフリーソフトにMercurialやSubversionがあります。
問58 ヒアリングに関するシステム監査人の行為として、適切なものはどれか。
システム監査人は、監査対象部門に関係する管理者の中からヒアリング対象者を選ぶ。
ヒアリングで被監査部門から聞いた話を裏付けるための文章や記録を入手するよう努める。
ヒアリングの中で気が付いた不備事項について、その場で被監査部門に改善を指示する。
複数人で行うと記録内容に相違が出ることがあるので、1人のシステム監査人がすべてのヒアリングを行う。
解答
解説 ヒアリングとは意見を聞きだすことで、聞いた結果問題があると思われる場合は、その根拠となる証拠を得たうえで適切な指導や相談に応じるのが一般的です。根拠がない場合は、その発言内容に誤りや誇大がある可能性があるので、裏づけをします。あくまでヒアリングとは問題点を発見する初期段階だということです
問59 情報システムの安全性のコントロールに関する監査証跡はどれか。
CPUの性能評価レポート
アクセスログ
計算チェックプログラムの単体テストの結果報告書
ソフトウェア導入の費用対効果分析表
解答
解説 安全性の確保には不正アクセス等がないかを調べるアクセスログが役に立つと考えられます。選択肢アのCPUの性能評価レポートは効率性。選択肢ウの単体テストの結果報告書は信頼性。選択肢エのソフトウェア導入の費用効果分析表は有効性。などの監査証跡になりうると考えられます。
問60 コンピュータセキュリティのリスク対策のうち、リスクの保有に該当するものはどれか。
インターネットからの不正アクセスがWebサーバの被害にとどまるので、LAN上の配置は現状のDMZのままとする。
水害を避けるために安全な高台にコンピュータセンタを移設する。
大規模な災害によるシステムの長時間停止に備えて、保険に加入する。
ノートPCの紛失に備えて、指紋認証の機能とPC内に保存するデータの暗号化ソフトを取り入れる。
解答
解説 リスク対策をまとめると下の図のようになります。

リスク

選択肢のリスク対策を下にまとめます。
選択肢ア:リスク保有
選択肢イ:リスク回避
選択肢ウ:リスク移転
選択肢エ:リスク軽減