経営情報システム インターネットとセキュリティ 経営と情報システム

インターネットの機能 【平成23年 第12問】

 事務所内で、インターネットの様々な仕組みを業務に利用しなければならない場面が増え、インターネットの管理・運用についての理解が求められている。

 インターネットにおいて、以下のa~cの記述内容とそれを提供する機能や機器名称の組み合わせとして、最も適切なものを下記の解答群から選べ。

a ドメイン名・ホスト名とIP アドレスを対応付ける機能を持ち、Web クライアントからのアドレス指定の際の問い合わせなどに答える。

b 事務所内のLAN にPC が接続された時、当該PC が使用するIP アドレスを割り当てる。

c グローバルIP アドレスと事務所内のプライベートIP アドレスの交換を行う。

[解答群]

ア a:DHCP b:NAT c:VPN

イ a:DNS〇 b:DHCP〇 c:NAT?〇

ウ a:NAT b:ブロードバンドルータ c:プロキシサーバ

エ a:VPN b:プロキシサーバ c:DNS

DNS は、ドメイン名からIP アドレスを変換するシステム
DHCP(Dynamic Host Configuration Protocol)とは、インターネットなどのネットワークに接続するコンピュータにIP アドレスなどを自動的に割り当てるプロトコル
NAT (Network Address Translation)とは、社内LAN とインターネットなど、異なるネットワークを接続する機能です。NAT では、プライベートIP アドレスとグローバルIP アドレスを、1 対1 で変換します。NAT の機能は、ルータによって提供
プロキシサーバとは、ファイアウォールとしてアプリケーションゲートウェイの機能を持つサーバのことです。アプリケーションゲートウェイ型では、「プロキシ」と呼ばれるプログラムが、ネットワークに送られてきたパケットの中身を確認し、不正なデータは内部ネットワークに中継しないようにします。

プロトコル 【平成20年 第8問】

 LANなどのネットワークでは、さまざまなプロトコルが、それぞれの役割ごとに利用されている。以下のa~eの機能と、その機能を利用する場合に使用されるプロトコルの組み合わせとして、最も適切なものを下記の解答群から選べ。

a インターネットにおけるパケット通信

b Web閲覧

c ファイルのダウンロードやアップロード

d メールの送信

e メールの受信

〔解答群〕

ア a :ppp b : FTP× c :ISP× d :DNS e :SMTP

イ a :TCP/IP〇 b : HTTP〇 c :FTP〇 d :SMTP〇 e :POP 3〇

ウ a :TCP/IP b :URL c :FTP〇 d :DNS× e :WEP

エ a :UDP b :URL c :OSI× d :SNTP e :WEP

TCP/IP をOSI 基本参照モデルに当てはめると、IP は下から3 番目のネットワーク層、TCP は下から4 番目のトランスポート層に相当
UDP(User Datagram Protocol)とは、インターネットで利用されるコネクションレス型のデータ転送プロトコル
SNTP(Simple Network Time Protocol)とは、コンピュータの時計を、ネットワークを介して正しく補正するためのプロトコル
PPP(Point-to-Point Protocol)とは、2つの拠点間を相互接続するプロトコル

情報システムのセキュリティ 【平成24年 第22問】


 インターネット利用が普及して、インターネット上で取引情報やプライバシーにかかわる情報を扱う場面が多くなっている。従って情報セキュリティについて、その基礎事項を把握しておくことは重要である。

 情報セキュリティにかかわる記述として最も適切なものはどれか。

ア インターネットを介して、顧客情報を収集してそれをデータベース化した場合、それが漏洩しないようにするにはウイルス対策を行えばよい。×

イ インターネットを介して、顧客に送り先等の他に年齢、家族構成などを入力してもらう場合、その用途については顧客に知らせる必要はない。×

ウ 取引企業、顧客との情報のやりとりは、暗号化することが好ましいが、その場合に用いる公開鍵暗号方式とは、関係者の間で共通鍵を設定して、情報を暗号化する方式である。?×秘密鍵暗号方式(共通鍵方式)

エ ファイアウォールを自社コンピュータに対する不正アクセスの防止手段として利用する場合、どのような内容のアクセスを拒否するのかをあらかじめ設定する必要がある。〇事前に通してよいパケット、許可しないパケットの情報を登録する必要

セキュリティリスク 【平成23年 第22問】

 情報システムに対するセキュリティ攻撃は、クライアントPC を標的にしたものとサーバコンピュータを標的にしたものがある。セキュリティ攻撃に関する記述として最も適切なものはどれか。

ア ガンブラーは詐取したID やパスワードを使って信用のあるウェブサイトを書き換え、ここにアクセスしたユーザのクライアントPC を、このウェブサイトでウィルスに感染させる。?〇×改ざんしたウェブサイト上でウィルスに感染させるものではありません。

イ クロスサイトスクリプティングは、不正なスクリプトを埋め込んだウェブページにアクセスしたクライアントPC が、動的に生成される標的ウェブページにアクセスしたときに、そのPC のCookie を詐取することがある。?〇×〇

ウ バッファオーバーフローは、偽装したウェブページにアクセスしたクライアントPC に、多量のデータを送りつけ、バッファ溢れを生じさせて管理者権限を奪取するものである。×

エ ワンクリック詐欺は、だますことを目的にしたウェブページにアクセスしたクライアントPC に不正に侵入し、記録されている重要情報を流出させて、それで詐欺を行うものである。×

ソーシャルエンジニアリング 【平成30年 第23問】

 近年、機密情報への攻撃の手法が多様化している。機密情報を不正に入手する手法であるソーシャルエンジニアリングに関する記述として、最も不適切なものはどれか。

ア シュレッダーで処理された紙片をつなぎ合わせて、パスワードを取得する。〇

イ パソコンの操作画面を盗み見して、パスワードを取得する。?×〇

ウ 文字列の組み合わせを機械的かつ総当たり的に試すことで、パスワードを取得する。〇×

エ ユーザになりすまして管理者に電話し、パスワードを取得する。?×〇

ソーシャルエンジニアリングは、人間の不注意や間違いにつけこんだり、盗み聞きなどを利用したりする人的脅威であり、非技術的な方法で情報を不正に入手する手口

セキュリティ技術 【平成22年 第17問】

 インターネットなどの情報ネットワーク技術の広範な普及に伴い、情報ネットワークを様々な業務において利用することが一般化しつつある。その場合、情報ネットワークのセキュリティをいかに確保するかが大きな課題となる。これに関する記述として、最も適切なものはどれか。

ア VPN は、安価な公衆網、例えばインターネットなどを用いて通信データの交換を行う場合、そのデータが通っている回線上で一時的にその他のパケットが入り込まないようにしてセキュリティを確保する技術である。?〇×VPN は、暗号技術や認証技術などを用いることによって、安全に通信を行ないます。その他のパケットが入り込まないようにする技術ではない

イ アプリケーションゲートウェイとは、通信データをすべてチェックするアプリケーションを各PC にインストールして、セキュリティを確保する方式であり、データの中身まで検査できることから、高いセキュリティが確保できる。?×プロキシサーバ上で、ネットワークに送られてきたパケットの中身を確認し、不正なデータは内部ネットワークに中継しないようにします。アプリケーションを各PC にインストールするものではない

ウ パケットフィルタリングとは、ルータにおいて、通信データに含まれる情報を判読し、フィルタリング設定にそぐわないパケットを通過させない方式である。?×〇

エ 無線LAN を利用する場合、盗聴を防ぐための対策が必要であり、それにはRAS サーバを設置して暗号化する方法が有効である。?×RAS サーバ(Remote Access Service server)とは、Windows のリモートアクセスサービスで、遠隔地からネットワークにアクセスするために利用するサーバのこと

 各種認証技術 【平成28年 第19問】

 情報システムの利用においては、フィッシング詐欺や情報漏洩ろうえい事案などの増加に対応するために情報セキュリティをより高めなければならない。その一環としてユーザ認証の強化が叫ばれている。これに関する記述として最も適切なものはどれか。

ア CHAP認証とは、チャレンジ/レスポンスという方式で、Webサイトにアクセスしてきたユーザを認証するものである。?〇CHAP(Challenge-Handshake Authentication Protocol)とは、ユーザ認証のためのプロトコルです。CHAP認証の特徴は、チャレンジ/レスポンスという方式を用いて認証を行います。はじめにサーバは、認証のたびに乱数を変更する数値をクライアントに渡し(チャレンジ)、クライアント側はハッシュ関数を用い、渡された数値とユーザ名やパスワードをハッシュ値に置き換えてサーバに返します(レスポンス)。サーバ側は受け取った数値と自分で計算した数値が合っていれば接続を許可します。毎回乱数を変更することにより、盗聴によるパスワードの詐取、悪用を防ぐ

イ 二段階認証とは、同じパスワードを2回入力させてユーザの認証を行う方式のことである。×

ウ ハードウェアトークンとは、その機器を認証装置にかざすことで本人を認証する仕組みのことである。×

エ ワンタイムパスワードとは、サイトに登録した際に最初の認証に利用されるパスワードである。×

暗号化 【平成23年 第21問】

 情報システムがネットワーク上で稼働するようになっている。その場合、情報システムへの不正侵入を防いだり、ネットワーク上で情報が漏洩したりしないようにするため、暗号化や各種認証方式が採用される。これに関する記述として最も適切なものはどれか。

ア 公開鍵暗号方式とは、送受信者だけが知る公開鍵をお互いに持ち、送信者はその鍵で暗号化し、受信者はその鍵で復号化する。×

イ チャレンジレスポンス認証とは、キーホルダー型などの形態の、認証サーバと同期したパスワード発生装置を利用して認証を行う。×タイムシンクロナス方式という認証方式

ウ デジタル署名とは、自分のサインをデジタルカメラで撮影し、それを送信文に貼り付けることをいう。×デジタル署名は、データを送受信する際に、デジタル署名とデータを、公開鍵暗号方式で暗号化

エ ハイブリッド方式とは、公開鍵暗号方式と共通鍵暗号方式を組み合わせたものである。?〇ハイブリッド方式では、共通鍵暗号方式を使ってデータを暗号化します。そして、データの暗号化に使用した共通鍵自体を、公開鍵暗号方式を使用して暗号化し、相手に送ります。

暗号化方式 【平成26年 第21問】

 インターネットが普及した現在においては、関係者以外に知られてはならないような情報を、インターネットを介してやり取りしなければならない状況も多い。そのような状況下では暗号化の技術が重要になる。

大阪のA さんが、東京にいるBさんに顧客名簿を送ってもらうように依頼した。その場合に利用する暗号化方式に関する記述として最も適切なものはどれか。

ア Bさんは、顧客名簿のファイルを、暗号化鍵を管理する社内部署から鍵をひとつもらって暗号化した。Aさんに送付後、その鍵で暗号化したことを鍵管理部署に連絡した。Aさんは、その部署からBさんが使った鍵を聞き、送られたファイルを復号化した。この方式はSSL方式のひとつである。?×シーザー暗号方式は、アルファベットを何文字かずらして暗号化する方法

イ Bさんは、顧客名簿のファイルをAさんとBさんが共有する秘密鍵で暗号化してAさんに送付した。この方式はシーザー暗号方式のひとつである。?×

ウ Bさんは、顧客名簿のファイルをAさんの公開鍵で暗号化して送付した。Aさんは、Bさんの秘密鍵で復号化した。この方式は公開鍵方式のひとつである。?×

エ Bさんは、顧客名簿のファイルを任意に決めた鍵で暗号化してAさんに送付した。AさんはBさんから電話でその鍵を聞き、復号化した。この方式は共通鍵方式のひとつである。〇

無線LANとセキュリティ 【平成23年 第11問】

 多様なワイヤレス技術の発達は、複雑な配線を伴わないことからシステム構築を容易かつ柔軟にし、機器の小型化ともあいまって、情報システムをより身近なものにしている。

 今、事務所内で下図のようなシステムを構築しようとしている。このシステムの構築、運用に関する記述として最も適切なものを下記の解答群から選べ。

【図の説明】

・サーバPC と無線LAN 機能付きブロードバンドルータはLAN ケーブルで接続。

・プリンタおよびノートPC、デスクトップPC はブロードバンドルータに無線LAN で接続。

[解答群]

ア Bluetooth は10m以内であれば、すべての対応機器に反応してしまい、接続する機器が特定できないので、この事務所ではBluetooth 機能付きのキーボードは使うべきではない。×

イ PC やプリンタとブロードバンドルータの接続をWPA と呼ばれる暗号化方式で認証する場合、PC やプリンタ側ではブロードバンドルータで設定したSSID とWPA キーを入力する。〇

ウ デスクトップPC とノートPC の間のファイル交換は、Bluetooth によっては行えず、無線LAN とブロードバンドルータを介して行う。?×デスクトップPCとノートPC の間のファイル交換は可能

エ ノートPC とプリンタは、USB 接続端子があっても、ひとたびワイヤレス接続の設定をすると、以後はUSB 接続ができなくなる。×

社外からの接続方法 【平成20年 第11問】

 ある企業A社では、インターネットによって社員間の情報共有を推進するために、自宅パソコンからのアクセス、携帯電話からのアクセス、カフェなどでの無線LANによるアクセスなど、多様なネットワーク接続で自社システムを利用できる環境を実現している。

 これに関する記述として、最も適切なものはどれか。

ア A社のホームページにHTTPS でアクセスして、ID、パスワードを入力して接続し、データの送受信を行っているが、これだけではデータは暗号化されていないので、機密情報の共有には問題がある。×

イ VPN技術を用いると、インターネットもあたかも専用線のようなイメージとなりセキュリティも確保される。〇

ウ 携帯電話のインターネット接続サービスを用いてA社ホームページにアクセスする場合、専用のブラウザを携帯端末にあらかじめインストールする必要がある。×

エ 自宅パソコンからA社のシステムのメールサーバにアクセスして、メールの送受信を行うためには、自宅パソコンのIP アドレスとMACアドレスが必要になる。×IP アドレスが必要となりますがMAC アドレス不要

他人受入率(FAR)と本人拒否率(FRR) 【平成29年 第22問】

 ATMを使った金融取引や PCへのログインの際など、本人確認のための生体認証技術が広く社会に普及している。認証の精度は、他人受入率(FAR:False Acceptance Rate)と本人拒否率(FRR:False Rejection Rate)によって決まる。この2つはトレードオフ関係にあり、一般に片方を低く抑えようとすると、もう片方は高くなる。

 FARとFRRに関する以下の文章の空欄A〜Dに入る語句の組み合わせとして、最も適切なものを下記の解答群から選べ。

a ( A )が低いと安全性を重視したシステムになり、( B )が低いと利用者の利便性を重視したシステムになる。
b ATMでの生体認証では、( C )が十分低くなるように設定されている。
c なりすましを防止するには、( D )を低く抑えることに重点をおけばよい。

[解答群]
ア A:FAR〇  B:FRR〇  C:FAR〇  D:FAR〇
イ A:FAR〇  B:FRR〇  C:FRR?  D:FRR
ウ A:FRR  B:FAR  C:FAR  D:FAR
エ A:FRR  B:FAR  C:FRR  D:FRR

インターネットの仕組み 【平成21年 第6問】

 各種業務においてインターネットの仕組みを活用する場面が増えている。システム開発者ばかりでなく、PC の有効活用やeビジネスへの積極的な取り組みをする立場からも、インターネットの基礎的な仕組みの理解は重要である。インターネットの仕組みに関する記述として最も適切なものはどれか。

ア URL でインターネットのリソースを指定する場合、ホスト名の代わりにIP アドレスを用いることも可能である。〇

イ Web サーバ内にHTML ファイルを格納すると、HTML ファイルのリンクに関する記述がDNS サーバに登録される。登録後はインターネットに接続された他のPC から、いつでも当該HTML ファイルが閲覧できる。×

ウ Web ブラウザ上で電子メールの送受信を行うWeb メールでは、SNTP プロトコルを利用してメールの送受信を行う。?×http

エ Web ブラウザのアドレス欄において、URL で指定した閲覧先のWeb サーバ内のファイルは、POP3 プロトコルによってWeb ブラウザ側のPC に送信される。×

セキュリティリスク 【平成23年 第22問】

 情報システムに対するセキュリティ攻撃は、クライアントPC を標的にしたものとサーバコンピュータを標的にしたものがある。セキュリティ攻撃に関する記述として最も適切なものはどれか。

ア ガンブラーは詐取したID やパスワードを使って信用のあるウェブサイトを書き換え、ここにアクセスしたユーザのクライアントPC を、このウェブサイトでウィルスに感染させる。?×別のサイト

イ クロスサイトスクリプティングは、不正なスクリプトを埋め込んだウェブページにアクセスしたクライアントPC が、動的に生成される標的ウェブページにアクセスしたときに、そのPC のCookie を詐取することがある。?〇

ウ バッファオーバーフローは、偽装したウェブページにアクセスしたクライアントPC に、多量のデータを送りつけ、バッファ溢れを生じさせて管理者権限を奪取するものである。×

エ ワンクリック詐欺は、だますことを目的にしたウェブページにアクセスしたクライアントPC に不正に侵入し、記録されている重要情報を流出させて、それで詐欺を行うものである。×

セキュリティ技術 【平成22年 第17問】

 インターネットなどの情報ネットワーク技術の広範な普及に伴い、情報ネットワークを様々な業務において利用することが一般化しつつある。その場合、情報ネットワークのセキュリティをいかに確保するかが大きな課題となる。これに関する記述として、最も適切なものはどれか。

ア VPN は、安価な公衆網、例えばインターネットなどを用いて通信データの交換を行う場合、そのデータが通っている回線上で一時的にその他のパケットが入り込まないようにしてセキュリティを確保する技術である。×

イ アプリケーションゲートウェイとは、通信データをすべてチェックするアプリケーションを各PC にインストールして、セキュリティを確保する方式であり、データの中身まで検査できることから、高いセキュリティが確保できる。×プロキシサーバ上

ウ パケットフィルタリングとは、ルータにおいて、通信データに含まれる情報を判読し、フィルタリング設定にそぐわないパケットを通過させない方式である。〇

エ 無線LAN を利用する場合、盗聴を防ぐための対策が必要であり、それにはRAS サーバを設置して暗号化する方法が有効である。×

経営情報システムとソフトウェアパッケージ

 生産、物流、会計など企業のさまざまな業務を統合して、企業全体としての最適化を図るソフトウェアパッケージの総称として、最も適切なものはどれか。


ア BPR

イ ERP

ウ MIS

エ SIS

ERP(Enterprise Resource Planning)パッケージは、企業の様々な業務を統合した業務パッケージ。

EUC

 EUC(エンドユーザ・コンピューティング)に関する記述として、最も適切なものはどれか。


ア EUCの普及によって、エンドユーザが自分でデータ活用することができるようになるが、情報システム部門のシステム開発の負荷は増大する。?〇×

イ EUCは、ソフトウェアパッケージを利用せずに、エンドユーザがシステムの構築や運用管理を行うことが特徴である。?×

ウ EUCを支えるためには、エンドユーザに対してC言語やJavaなどのプログラム言語の教育が重要であり、それは情報システム部門の重要な任務である。?×

エ EUCを実現するには、エンドユーザに対して市販アプリケーションの教育、簡単に操作できる情報検索ツールの選定・教育などを行うことが重要である。〇

CIO

 CIO(Chief Information Officer)の役割に関する記述として、最も適切なものはどれか。


ア 全社的な技術戦略や研究開発方針の立案および実施を担う。×CTO(Chief Technology Officer)の役割に関する記述 自社の製品やサービスで起用する技術方針の策定

イ 各部門を代表して、自部門のシステム化を立案し、情報システム部門へ提案する。×システムアドミニストレータの役割に関する記述

ウ 全社的な観点から、経営戦略と整合のとれた情報戦略の立案や実行を担う。〇

エ 豊富な業務経験やリーダシップを持ち、システム構築のプロジェクト運営を管理する。×プロジェクトマネージャの役割に関する記述

TCO

 TCOに関する記述として、最も適切なものはどれか。


ア TCOは、ハードウェアやソフトウェアの保守費、ユーザ教育やヘルプデスクに要するコストの合計である。×ランニングコストに関する記述

イ TCOは、ハードウェアおよびソフトウェアの導入から教育、運用管理までを含んだコストである。?〇

ウ TCOは、ハードウェアおよびソフトウェアを導入・稼働させるためのコストの合計である。×イニシャルコストに関する記述

エ TCOには、システムのアップグレード費用については含まれない。×ハードウェアやソフトウェアのアップグレードにかかる費用も含みます。将来的なアップグレード費用なども見込んで、TCOを考慮して、情報システムへの投資効果を評価

TCO(Total Cost of Ownership)は、総所有コストのことであり、情報システムの導入と維持にかかる全てのコスト

SLA

 経済産業省が公表している「情報システムに係る政府調達へのSLA導入ガイドライン」に関する記述として、最も適切なものはどれか。


ア 契約書とは独立した文書として、SLAを締結することが可能である。?×〇具体的に確定できない場合(例:新規システム開発)もあるため

イ SLAは提供されるべきサービスの水準等を定めたものであるが、サービスレベルは努力目標として設定されるべきである。×SLAに記載されるサービスレベルの項目は、全てが目標保証型もしくは努力目標型である場合、目標保証型と努力目標型の両方が含まれる場合があります。

ウ サービスレベルが所定の水準と異なった場合の結果対応として、運用上の対応と契約上の対応をあらかじめ決定してSLAに記載することが必須であるが、財務上の対応については任意である。?〇×あらかじめ対応方法を決定してSLAに記載することが必須

エ 落札方式には、「総合評価落札方式」と「最低価格落札方式」とがあり、「最低価格落札方式」の場合にはSLAを仕様書に記載することが必須要件とされていない。?×

SLAとは、Service Level Agreementの略

ERP

 ERPに関する記述として、最も適切なものはどれか。


ア 経営資源の有効活用の観点から企業活動全般を統合的に管理し、経営資源の最適化と経営の効率化を図る。〇

イ 現行のビジネスプロセスを見直し、業務内容や業務の流れだけではなく、組織の構造等も革新して、企業活動の効率や効果の向上を目指す。×BPR

ウ 顧客に関する情報や顧客とのやり取りを一貫して管理し、顧客と接する部門で共有することにより、顧客の利便性と満足度を高め、顧客との良好な関係構築を図る。?×CRM(Customer Relationship Management:顧客関係管理)に関する記述

エ 従業員個人の知恵や経験、データベース上に蓄積された知識や情報などを、組織全体で共有し、経営資源として活用を図る。×ナレッジマネジメント

 BI

 BI(Business Intelligence)に関する次の文中の空欄A~Cに入る語句の組み合わせとして、最も適切なものを下記の解答群から選べ。

 基幹系システムで発生したデータを蓄積して、意思決定に活用できるようにしたデータベースを ( A )と呼ぶ。その( A )にある膨大なデータを様々な視点で分析するシステムを ( B )という。

 また、( C )は、企業に蓄積された大量のデータの中から隠れた因果関係やパターンを見つけるためのツールであり、POSデータからどの商品とどの商品が一緒に購買されたかを分析する場合などに使用される。

ア A:データマート B:OLTP C:データマイニング

イ A:データマート B:OLAP C:ドリルダウン

ウ A:データウェアハウス〇 B:OLTP C:ドリルダウン

エ A:データウェアハウス B:OLAP C:データマイニング

データウェアハウスは、基幹系システムで発生したデータを蓄積して、意思決定に活用できるようにしたデータベース。
データマートとは、全社のデータが蓄積されたデータウェアハウスから、テーマ別にデータを抽出したもの。
OLAP(On-Line Analytical Processing)は、データを様々な視点で分析するシステム
OLTPとは、On-Line Transaction Processingの略であり、オンライントランザクション処理のこと
データマイニングは、企業に蓄積された大量のデータの中から隠れた因果関係やパターンを見つけるためのツールで、販売データから関連して売れている商品などを分析
ドリルダウンとは、OLAPツールの分析機能の1つであり、データを掘り下げる機能のこと

EC

 EC(電子商取引)に関する記述として、最も不適切なものはどれか。


ア 株式のオンライントレードは、ECに該当する。〇

イ 他企業への部品販売などの企業間取引サイトは、「BtoB」にあたる。〇

ウ 一般消費者が出品するオークションサイトは、「CtoC」にあたる。〇

エ EDI(Electronic Data Interchange)は、企業間で取引のデータを電子的に交換するための仕組みであり、インターネットではなく専用線を使って行われる。×

クラウドコンピューティング

 クラウドコンピューティングに関する記述として、最も適切なものはどれか。

ア クラウドコンピューティングでは、インターネット上にあるリソースを結びつけ、ひとつの複合したコンピュータシステムとしてサービスを提供する。×グリッドコンピューティングの説明に関する記述

イ 会計システムは高い機密性が求められるため、クラウドコンピューティングの対象から除外されている。×

ウ 企業などの組織がビジネスとして利用するのではなく、個人を対象にソフトウェアを利用できるようにするサービスは、プライベートクラウドと呼ばれる。×企業が自社内でクラウドコンピューティングのシステムを構築し、企業内の部門やグループ会社などに対してサービスを提供する形態

エ ソフトウェア開発環境やOSなどをネットワークを通じて利用できるようにしたサービスは、Paas型クラウドコンピューティングである。?〇PaaS(Platform as a Service)ソフトウェアの機能をインターネット経由で提供することを、SaaS(Software as a Service)サーバーマシンやインフラをネットワーク経由で仮想的に提供することを、IaaS(Infrastructure as a Service)

クラウドコンピューティング2

 クラウドコンピューティングに関する記述として、最も適切なものはどれか。

ア SaaSとは、インターネット経由でソフトウェアの機能を、ユーザが必要なときだけ利用できるサービスのことである。〇

イ プライベートクラウドは個人を対象にしたクラウドコンピューティングである。×

ウ クラウドコンピューティングの技術を用いて、OSやデータベースなどを組み合わせて、情報システムを開発する環境を提供するサービスは、IaaSと言われる。×

エ クラウドサービスを利用する場合、サービス事業者がバックアップ取得しているので、ユーザ企業側でバックアップする必要はない。×

クラウドコンピューティング3

 クラウドコンピューティングに関する記述として、最も適切なものはどれか。

ア クラウドコンピューティングを活用する場合、月や年ごとに決まった金額を支払う必要がある。〇×サービスを使用した分に応じて料金を支払う従量制などもあります。

イ クラウドコンピューティングを利用する場合のセキュリティ対策は、サービス提供者に一任しておけば問題はない。×

ウ PCのCPUやメモリのようなハードウェアを高性能化することを、スケールアウトという。?×スケールアップ。スケールアウトは、サーバの数を増やすことでサーバの処理能力を向上させること。

エ これまで外注していた業務を社内で行うことを、インソーシングという。?〇

ビッグデータ

 ビッグデータに関する記述として、最も適切なものはどれか。

ア ビッグデータの活用で注目される非構造化データとは、顧客情報や販売データといったデータベースに格納することが容易で管理しやすいデータのことである。×電子メールや画像、動画などのデータのことを非構造化データ

イ C2Cの分野については、ビッグデータの活用が注目されているが、B2Cの分野ではビッグデータの活用はあまり期待されていない。×

ウ ビッグデータの活用分野として注目されるM2Mとは、センサーなどの機械同士でのデータ通信のことである。〇

エ ビッグデータを活用して、企業がビジネスチャンスを発見することが期待されており、防災や科学技術分野での活用には向いていない。×

ソーシャルメディア

 ソーシャルメディアに関する記述として、最も適切なものはどれか。

ア SNSや動画共有サイトはソーシャルメディアに分類されるが、電子掲示板やブログはソーシャルメディアには含まれない。×

イ 企業におけるソーシャルメディアの活用は、顧客など対外的なコミュニケーションには有用だが、社内のコミュニケーション活性化には適さない。×

ウ ソーシャルメディアに従業員が企業に不利益となる書き込みをする可能性があるが、書き込みは個人が自由に行えるものであるため、企業としての対策は不要である。×

エ 自社でソーシャルメディアを活用していなくても、ソーシャルメディアの炎上にまきこまれて信用低下などの被害をこうむることがある。〇

スマートフォンとタブレット

 スマートフォンやタブレットの業務利用に関する記述として、最も適切なものはどれか。

ア 従業員が個人で所有するスマートフォンやタブレットを業務に利用する場合、従業員にとっては、個人用と業務用の端末を持つ必要がなくなるなどのメリットがあるが、企業にとってのメリットはない。×

イ 従業員が個人で所有するスマートフォンやタブレットを業務に利用する場合、情報セキュリティ管理や業務に使用できる機能制限などのためにMDMを利用することが望ましい。?〇MDMとは、モバイルデバイス管理のこと

ウ 従業員が会社から貸与されたスマートフォンやタブレットを、自宅に持ち帰って私的に利用することをBYODと言い、情報漏えいなどのセキュリティリスクが増大する。?〇×逆BYOD(Bring Your Own Device)

エ スマートフォンやタブレットは、パソコンと異なる構造であるため、ウィルススキャンをしても効果はない。×

スマートフォンとタブレット2

 スマートフォンやタブレットなどの携帯端末の管理のための記述として、最も適切なものはどれか。

ア BYODとは、組織における携帯端末の運用を一元的に管理することである。×

イ アプリを自分で入手してインストールできるスマートフォンと違い、タブレットはアプリを自分でインストールできないので、タブレットにはスマートフォンほど厳格な管理は必要ない。×

ウ リモートロックとは、遠隔操作によって携帯端末のデータを消去することである。×リモートワイプの説明

エ バイオメトリクス認証とは、利用者本人を認証するために利用者の身体的特徴を用いるものである。〇

近年のIT用語

 近年、使われるようになったIT用語に関する記述として、最も適切なものはどれか。

ア ARとは人工知能技術を指し、これを 自動運転自動車などに組み込むことにより、現場のリアルタイムの状況を分析して、衝突回避の予測などが可能となる。×

イ IoTとはモノのインターネットと呼ばれ、今後、インターネットは全てこの方式に変更されるので、既存の自社の Web サイトを変更しなくても顧客が自社商品をどのように使っているかをリアルタイムに把握できるようになる。×

ウ インダストリー4.0とは、米国政府が 2012 年に発表した、情報技術を活用し生産性の向上やコストの削減を支援する取り組みを指す。?インダストリー4.0は、もともとはドイツの国家プロジェクトとして使われるようになった言葉です。製造業の競争力の維持や強化を実現するために、工場をスマート化(インテリジェンス化)し、様々な情報をリアルタイムに可視化して役立てようとする取り組み

エ ウェアラブルデバイスとは身につけられるデバイスを指し、それを介して顧客の日々の生活、健康、スポーツなどに関わるデータを自社の Web サイトを経由してデータベースに蓄積できれば、顧客の行動分析をより緻密かつリアルタイムにできるようになる。〇

内部統制とIT統制

 内部統制に関する記述として、最も適切なものはどれか。


ア CIOは内部統制の整備と運用の責任をもっているため、経営者は内部統制についてCIOに任せておけばよい。×

イ 内部統制は、法令を遵守することを保証するための活動であり、財務諸表の信頼性の確保は含まれない。×

ウ 内部統制の運用については、組織の全員が自らの業務との関連において一定の役割を担っている。〇

エ IT統制は、ほかの内部統制の要素とは独立して存在する。×

 電子帳簿保存法

 電子帳簿保存法(電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律)に関する記述として、最も適切なものはどれか。


ア 原本が手書きの帳簿について、スキャナで読み込めば、電磁的記録のみを保存することができる。×

イ 電磁的記録として保存が許されるための要件の1つに、記録事項の訂正および削除の履歴が確保されていることがある。〇

ウ 電磁的記録では、磁気テープのみが媒体として認められる。×

エ 電磁的方式による帳簿書類を法的に有効にするためには、都道府県知事の承認を受ける必要がある。×所轄税務署長に申請し、承認

不正アクセス禁止法

 不正アクセス禁止法に関する記述として、最も適切なものはどれか。


ア 実際に被害が発生しなくても、不正アクセス行為をするだけで不正アクセス禁止法違反となる。〇

イ 個人が開設しているアクセス制御機能のないWebサイトに対する侵入行為は、不正アクセス禁止法違反となる。×

ウ Webサイトで使用している他人のIDとパスワードを第三者に教えるだけでは、不正アクセス禁止法違反にはならない。×

エ 不正アクセス禁止法違反となるのは、インターネット経由でアクセスされるものに限られる。×社内ネットワークでの不正アクセス行為なども不正アクセス禁止法違反の対象

個人情報保護法

 個人情報保護法に関する記述として、最も適切なものはどれか。

ア 企業の名称、電話番号、住所など、特定の企業が識別できる情報は、個人情報に該当する。×

イ 顧客のアンケート結果を統計処理し、年齢別に集約したデータは個人情報に該当する。×

ウ 氏名のみで、住所が記入されていない顧客情報は、個人情報に該当する。〇

エ 無記名方式の顧客アンケートは、個人情報に該当する。×

ISMS

 ISMSの確立に関して、次のa~cの順序として、最も適切なものを下記の解答群から選べ。


a 内部監査の実施

b 情報資産に対するリスクの分析と評価

c 情報セキュリティポリシーの策定


ア a → b → c

イ b → c → a

ウ b → a → c

エ c → b → a?〇ISMSでは、PDCAサイクルを運用

情報システムと組織体制 【平成23年 第13問】

 IS(Information System)の利用において、企業内で「経営層」、「IS 部門」、「IS 活用部門」(すなわちユーザ)それぞれの果たすべき役割が明確でないと、IS の企画・計画等を担当する要員が、開発・運用を担当する要員に比べて手薄になる場合がある。この結果起こり得る問題として、最も適切なものはどれか。

ア IT ガバナンス機能の不在?〇〇×IT ガバナンスにおいては、IS の企画・計画等を担当する要員に限らず、経営層の参画が重要

イ 開発プロジェクトの失敗?×

ウ 経営戦略とIT 戦略のギャップ?〇IS の企画・計画等を担当する要員が手薄になることで、IT 戦略の立案も十分に検討されないものとなる可能性

エ システム処理能力の不足?〇×開発・運用を担当する要員が確保されているので、システムの処理能力の不足にはつながりません。

情報システムの投資評価 【平成21年 第22問】

 ある企業では、新規事業のための情報システムを新たに開発することとした。そのシステムの開発投資の評価方法に関して関係者が集まり、議論が行われた。その議論の一端を下記に示す。文中の空欄A~C に入る語句の組み合わせとして最も適切なものを下記の解答群から選べ。

X氏:

「今回のシステムの目的は、どちらかというと、業務処理にかかわるコスト削減というよりも、売り上げの増大を目指すシステムだよね。資本回収期間法などの一般の設備投資に用いられるような方法よりは、システムが持っている機能が何個あるかを( A )として数えて、複数のシステム開発会社から出てきた見積もりをその( A )で割って、その値で評価する方法はどうだろうね。」

Y氏:

「しかし、その方法では、コストは評価できるけれど、システムの導入によって得られる価値は評価できないよね。とにかく皆で複数の評価基準を作って、それらの評価基準について、関係者が点数を付けて、その結果を見ながら皆で議論する( B )という方法を採用してみてはどうかな。」

Z氏:

「経営的な視点で情報システムの有効性を評価する方法として( C )があるよ。つまり、情報システムを財務、顧客、業務プロセス、学習と成長の4 つの視点からみるんだ。」

[解答群]


A:TCO
B:ファンクションポイント
C:バランストスコアカード


A:TCO
B:ファンクションポイント
C:ポートフォリオ分析×


A:ファンクションポイント〇
B:TCO
C:ポートフォリオ分析×


A:ファンクションポイント〇
B:スコアリングモデル?〇
C:バランストスコアカード〇

ファンクションポイント法とは、機能(ファンクション)ごとの複雑さによって点数を付け、その点数を合計することによって工数を見積る方法
スコアリングモデルとは、定性的な評価項目のそれぞれに対して重み付けをして、一つの数式で表現し定量化する手法
「バランストスコアカード」とは、財務・顧客・業務プロセス・学習と成長という4つの視点から情報システムを評価・検討する手法
ポートフォリオ分析とは、重要な2つの指標の組み合わせから戦略のための分析を行うものです。2 つの重要な指標を設け、その2 指標を交差する軸上(座標)にとってエリア区分し、そこに要素を配置することで分析

情報システムの投資評価 【平成24年 第23問】

 ある中小製造企業は、顧客の要望に合わせて製品を設計・製造・販売している。

 今まで、受注量が少なかったことから、電話やファクシミリ等で顧客への対応をしていた。近年、海外を含めて顧客からの受注が増加している。このような状況から、受発注にかかわる処理、問い合わせやクレーム処理を含めて顧客とのコミュニケーション、社内の製造指示などをシステム化することを検討している。その検討の中での聞き取り調査の結果、経営者や従業員は、このシステム開発の投資評価をはっきりさせておきたいと考えていることが分かった。

 投資評価に関する記述として最も適切なものはどれか。

ア 本システムの構築には多様な案が考えられるが、それらを検討する場合に、システム開発のプロジェクト遂行に関するリスクと、システムによってもたらされるベネフィットとの2 軸の視点から、それらの案を評価するポートフォリオ分析が有用である。?〇

イ 本システムへの投資をTCO で評価する場合、従業員の教育などにかかわる技術サポートコスト、セキュリティ管理などにかかわる管理コスト、コンピュータの利用にかかわるエンドユーザコストの3 つの視点から行う。×

ウ 本システムを評価する場合、顧客がどう評価するかが重要であり、このような視点から、顧客ならば提案されたシステムをいくらなら購入するかを算定してもらうリアルオプションプライシングと言われる手法を採用することが妥当である。?×

エ 本来、システム導入は合理化のためであり、従って、システム導入に際して従業員何人を減らすことができるかを算定できれば、本システムの投資価値は判断できる。?×

TCO(Total Cost of Ownership:総所有コスト)とは、情報システムの導入と維持にかかる全てのコストのこと
顧客に購入金額を算出してもらう手法ではない
人員削減だけが投資価値ではない

IT投資価値評価ガイドライン 【平成25年 第22問】

 経済産業省は、2007年に「IT投資価値評価ガイドライン」の試行版を発表した。このガイドラインの試行版で述べられている内容は、IT の投資価値評価における基本的な要件を示していると考えられる。IT 投資価値評価の基本的な要件として最も適切なものはどれか。

ア IT投資価値評価では、IT投資をインフラ型、業務効率型、戦略型の3つのタイプに分けてとらえると評価基準などを設定しやすい。?×〇 経済産業省は、2007年に経営者がIT投資の投資対効果を判断する目安となる「IT投資価値評価ガイドライン(試行版)」を公表

イ IT投資価値評価は、構想・企画段階で行い、開発完了後には行わない。×

ウ IT投資価値評価をする上でのコスト配賦の基準は、取り扱いデータ数だけである。×各システムの資源使用量(ハードウェア、ネットワークなど)・事業規模(売上高基準や営業利益基準など)・使用人数(共同作業をしている場合は、月間のデータ入力数など)・取り扱いデータ数(コールセンターの記録、データ更新回数、データ入力数など)

エ IT投資価値評価をするには、あくまでも金銭的効果を評価基準とするべきであり、ユーザ満足度などを評価基準に組み入れるべきではない。 ×ROI、KPI、ユーザ満足度、他社比較(ベンチマーク)、機会損失、NPV

経営情報システム 【平成27年 第13問】

 企業経営における情報技術の利用が進み、その重要性が増す中で、情報技術を利用するシステムやシステム化指針を省略語もしくはカタカナ語として言い表すことが多くなった。それらに関する記述として最も適切なものはどれか。

ア PERT/CPMで用いられるクリティカルパス法と情報技術を組み合わせて、顧客と企業との間の業務フローの最適化を行うためのシステムをCRM と呼ぶ。×CRM(Customer Relationship Management)とは、顧客の満足度を向上させるために、顧客との関係を維持・構築する経営手法

イ 企業を構成する様々な部門・業務で扱う資源を統一的・一元的に管理することを可能にするシステムをERP と呼ぶ。〇×〇ERPでは、企業の経営資源である人、モノ、金、情報などを、全体最適の視点から適切に計画し、管理することができます。

ウ クラウドコンピューティングの多様なサービスが展開されているが、その中から最適なサービスを選択するシステム化指針をクラウドソーシングと呼ぶ。×〇×不特定多数の人(クラウド)に、アイデアを提供してもらったり、サービスを実行してもらったりするといった業務を委託(ソーシング)すること

エ クラウドコンピューティングの利用に際して、社内にサーバを設置して情報の漏えいを防ぐシステム化指針をインソーシングと呼ぶ。?〇×自社の業務を外部に業者委託(アウトソーシング)していた企業が、その業務を再び自社内で行うこと

ERP【令和元年 第15問】

「ERP(Enterprise Resource Planning)システム」に関する記述として、最も適切なものはどれか。

  1. 基幹業務プロセスの実行を、統合業務パッケージを利用して、必要な機能を相互に関係付けながら支援する総合情報システムである。
  2. 基幹業務プロセスをクラウド上で処理する統合情報システムである。×必ずしもクラウド上で処理するものではありません。
  3. 企業経営に必要な諸資源を統合的に管理するシステムである。〇×「統合業務パッケージ」について言及した選択肢アのほうが、より適切
  4. 企業経営の持つ諸資源の戦略的な活用を計画するためのシステムである。〇×ERPシステムは、情報を総合的に管理することはできますが、戦略的な活用を計画することまではできません。

ERP(Enterprise Resource Planning)は、企業の基幹業務を統合的に管理するパッケージ
ERPシステムとは、会計・販売・生産・購買・物流・人事などの企業の主要な業務を1つのパッケージソフトで総合管理できるもの

ビジネスインテリジェンス 【平成22年 第20問】

 1989 年に米国で発表されて日本にも紹介されたビジネスインテリジェンスシステムに関する記述として最も適切なものはどれか。

ア 競合他社の競争力を測定して、その強みと弱みを発見する。?×競合のSWOT 分析やポジショニング分析などの競合分析の手法で行うのが適切

イ 業務システムに蓄積されたデータを分析・加工して、企業の意思決定に活用する。〇

ウ 経済全般の情勢を測定して、将来の経済動向を予測する。×

エ 社内のデータや通信を監視し、規則への適合性を確認することで、情報漏洩を防止する。×

BI(Business Intelligence)は、企業に蓄積された様々なデータを、意思決定などに活用するための仕組みや情報システム。データウェアハウスやOLAP、データマイニングなどの技術を活用。









Share Button