問60
システム監査基準 (平成30年) に基づいて、監査報告書に記載された指摘事項に対応する際に、不適切なものはどれか。
ア 監査対象部門が、経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。
イ 監査対象部門が、自発的な取組によって指摘事項に対する改善に着手する。
ウ システム監査人が、監査対象部門の改善計画を作成する。
エ システム監査人が、監査対象部門の改善実施状況を確認する。
日 | 月 | 火 | 水 | 木 | 金 | 土 |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 |
システム監査基準 (平成30年) に基づいて、監査報告書に記載された指摘事項に対応する際に、不適切なものはどれか。
ア 監査対象部門が、経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。
イ 監査対象部門が、自発的な取組によって指摘事項に対する改善に着手する。
ウ システム監査人が、監査対象部門の改善計画を作成する。
エ システム監査人が、監査対象部門の改善実施状況を確認する。
データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、システム監査人が書面上で又は実際に追跡する技法はどれか。
ア インタビュー法
イ ウォークスルー法
ウ 監査モジュール法
エ ペネトレーションテスト法
アジャイル開発を対象とした監査の着眼点として、システム管理基準 (平成30年) に照らして、適切なものはどれか。
ア ウォータフォール型開発のように、要件定義、設計、プログラミングなどの工程ごとの完了基準に沿って、開発作業を逐次的に進めていること
イ 業務システムの開発チームが、情報システム部門の要員だけで構成されていること
ウ 業務システムの開発チームは、実装された機能について利害関係者へのデモンストレーションを実施し、参加者からフィードバックを得ていること
エ 全ての開発作業が完了した後に、本番環境へのリリース計画を策定していること
経済産業省“情報セキュリティ監査基準実施基準ガイドライン (Ver1.0) ”における、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査 (保証型の監査) と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査 (助言型の監査) の実施に関する記述のうち、適切なものはどれか。
ア 同じ監査対象に対して情報セキュリティ監査を実施する場合、保証型の監査から手がけ、保証が得られた後に助言型の監査に切り替えなければならない。
イ 情報セキュリティ監査において、保証型の監査と助言型の監査は排他的であり、監査人はどちらで監査を実施するかを決定しなければならない。
ウ 情報セキュリティ監査を保証型で実施するか助言型で実施するかは、監査要請者のニーズによって決定するのではなく、監査人の責任において決定する。
エ 不特定多数の利害関係者の情報を取り扱う情報システムに対しては、保証型の監査を定期的に実施し、その結果を開示することが有用である。
“24時間365日”の有人オペレーションサービスを提供する。シフト勤務の条件が次のとき、オペレータは最少で何人必要か。
〔条件〕
(1) 1日に3シフトの交代勤務とする。
(2) 各シフトで勤務するオペレータは2人以上とする。
(3) 各オペレータの勤務回数は7日間当たり5回以内とする。
ア 8 イ 9 ウ 10 エ 16
次の処理条件で磁気ディスクに保存されているファイルを磁気テープにバックアップするとき、バックアップの運用に必要な磁気テープは最少で何本か。
〔処理条件〕
(1) 毎月初日 (1日) にフルバックアップを取る。フルバックアップは1本の磁気テープに1回分を記録する。
(2) フルバックアップを取った翌日から次のフルバックアップを取るまでは、毎日、差分バックアップを取る。差分バックアップは、差分バックアップ用としてフルバックアップとは別の磁気テープに追記録し、1本に1か月分を記録する。
(3) 常に6か月前の同一日までのデータについて、指定日の状態にファイルを復元できるようにする。ただし、6か月前の月に同一日が存在しない場合は、当該月の末日までのデータについて、指定日の状態にファイルを復元できるようにする (例: 本日が10月31日の場合は、4月30日までのデータについて、指定日の状態にファイルを復元できるようにする) 。
ア 12 イ 13 ウ 14 エ 15
サービスマネジメントシステムにおける問題管理の活動のうち、適切なものはどれか。
ア 同じインシデントが発生しないように、問題は根本原因を特定して必ず恒久的に解決する。
イ 同じ問題が重複して管理されないように、既知の誤りは記録しない。
ウ 問題管理の負荷を低減するために、解決した問題は直ちに問題管理の対象から除外する。
エ 問題を特定するために、インシデントのデータ及び傾向を分析する。
PMBOKガイド第6版によれば、リスクの定量的分析で実施することはどれか。
ア 発生の可能性や影響のみならず他の特性を評価することによって、さらなる分析や行動のためにプロジェクトの個別リスクに優先順位を付ける。
イ プロジェクトの個別の特定した個別リスクと、プロジェクト目標全体における他の不確実性要因が複合した影響を数量的に分析する。
ウ プロジェクトの全体リスクとプロジェクトの個別リスクに対処するために、選択肢の策定、戦略の選択、及び対応処置を合意する。
エ プロジェクトの全体リスクの要因だけでなくプロジェクトの個別リスクの要因も特定し、それぞれの特性を文書化する。
次のプレシデンスダイアグラムで表現されたプロジェクトスケジュールネットワーク図を、アローダイアグラムに書き直したものはどれか。ここで、プレシデンスダイアグラムの依存関係は全てFS関係とする。
PMBOKガイド第6版によれば、プロジェクトの各フェーズが終了した時点で実施する“フェーズ・ゲート”の目的として、適切なものはどれか。
ア 現在のプロジェクトのパフォーマンスを測定し、ベースラインと比較してプロジェクトの状況を把握する。
イ 第三者がプロジェクトの成果物をレビューすることによって、設計の不具合の有無を確認する。
ウ プロジェクトの全体リスク及び特定された個別リスクについて、リスク対応策の有効性を評価する。
エ プロジェクトのパフォーマンスや進捗状況を評価して、プロジェクトの継続や中止を判断する。
アジャイル開発手法の一つであるスクラムでは、プロダクトオーナ、スクラムマスタ、開発者でスクラムチームを構成する。スクラムマスタが行うこととして、最も適切なものはどれか。
ア 各スプリントの終わりにプロダクトインクリメントのリリースの可否を判断する。
イ スクラムの理論とプラクティスを全員が理解するように支援する。
ウ プロダクトバックログアイテムを明確に表現する。
エ プロダクトバックログの優先順位を決定する。
図は、ある図形描画ツールのクラス図の一部である。新たな形状や線種で図形を描画する機能の追加を容易にするために、リファクタリング“継承の分割”を行った。変更後のクラス図はどれか。
〔クラス図〕
UMLにおける振る舞い図の説明のうち、アクティビティ図のものはどれか。
ア ある振る舞いから次の振る舞いへの制御の流れを表現する。
イ オブジェクト間の相互作用を時系列で表現する。
ウ システムが外部に提供する機能と、それを利用する者や外部システムとの関係を表現する。
エ 一つのオブジェクトの状態がイベントの発生や時間の経過とともにどのように変化するかを表現する。
CRUDマトリクスの説明はどれか。
ア ある問題に対して起こり得る全ての条件と、各条件に対する動作の関係を表形式で表現したものである。
イ 各機能が、どのエンティティに対して、どのような操作をするかを一覧化したものであり、操作の種類には生成、参照、更新及び削除がある。
ウ システムやソフトウェアを構成する機能 (又はプロセス) と入出力データとの関係を記述したものであり、データの流れを明確にすることができる。
エ データをエンティティ、関連及び属性の三つの構成要素でモデル化したものであり、業務で扱うエンティティの相互関係を示すことができる。
化学製品を製造する化学プラントに、情報ネットワークと制御ネットワークがある。この二つのネットワークを接続し、その境界に、制御ネットワークのセキュリティを高めるためにDMZを構築し、制御ネットワーク内の機器のうち、情報ネットワークとの通信が必要なものをこのDMZに移した。DMZに移した機器はどれか。
ア 温度、流量、圧力などを計測するセンサ
イ コントローラからの測定値を監視し、設定値 (目標値) を入力する操作端末
ウ センサからの測定値が設定値に一致するように調整するコントローラ
エ 定期的にソフトウェアをアップデートする機器に対して、情報ネットワークから入手したアップデートソフトウェアを提供するパッチ管理サーバ
オープンリダイレクトを悪用した攻撃に該当するものはどれか。
ア HTMLメールのリンクを悪用し、HTMLメールに、正規のWebサイトとは異なる偽のWebサイトのURLをリンク先に指定し、利用者がリンクをクリックすることによって、偽のWebサイトに誘導する。
イ Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し、攻撃者が指定した偽のWebサイトに誘導する。
ウ インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し、攻撃対象のWebサーバに大量のDNSのレスポンスを送り付け、リソースを枯渇させる。
エ 設定の不備によって、正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し、送信元を偽った迷惑メールの送信を行う。
OSI基本参照モデルのネットワーク層で動作し、“認証ヘッダ (AH)”と“暗号ペイロード (ESP)”の二つのプロトコルを含むものはどれか。
ア IPsec
イ S/MIME
ウ SSH
エ XML暗号
盗まれたクレジットカードの不正利用を防ぐ仕組みのうち、オンラインショッピングサイトでの不正利用の防止に有効なものはどれか。
ア 3Dセキュアによって本人確認する。
イ クレジットカード内に保持されたPINとの照合によって本人確認する。
ウ クレジットカードの有効期限を確認する。
エ セキュリティコードの入力によって券面認証する。