ITストラテジスト 午前2過去問題と解説シリーズ。
今回は、平成30年度秋季です。
出典:令和30年度秋季ITストラテジスト試験 午前Ⅱ問題より
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_st_am2_qs.pdf
Contents
- 問1 IDEAL によるプロセス改善の取組み
- 問2 SOA
- 問3 分析手法
- 問4 構造化インタビューの手法
- 問5 要件定義プロセスの活動内容
- 問6 M&A による垂直統合
- 問7 プロダクトポートフォリオマネジメント(PPM)
- 問8 FSP (Frequent Shoppers Program)
- 問9 スキミングプライシング
- 問10 消費者市場のセグメンテーション変数
- 問11 商品のブランド戦略
- 問12 キャズム理論
- 問13 ダブルビン方式
- 問14 知識創造プロセス(SECI モデル)
- 問15 TLO (Technology Licensing Organization) 法
- 問16 XBRL
- 問17 TOC
- 問18 ティアダウン
- 問19 リーダシップのコンティンジェンシー理論
- 問20 問題解決手法
- 問21 在庫補充料の算出
- 問22 連結売上高総利益率
- 問23 電子計算機使用詐欺罪
- 問24 格納型クロスサイトスクリプティング攻撃
- 問25 リスク回避
- 参考書
問1 IDEAL によるプロセス改善の取組み
問1 IDEAL によるプロセス改善の取組みにおいて,図の b に当てはまる説明はどれか。ここで,ア~エは a ~ d のいずれかに対応する。
ア 改善策を作り,その先行評価・試行・展開を行う。
イ 改善活動の優先順位を設定し,具体的な活動計画を作成する。
ウ 活動を分析してその妥当性を確認し,次のサイクルの準備を行う。
エ 業務の現状を調査して可視化し,改善ポイントを明らかにする。
【正解】イ
IDEALとは、組織におけるプロセス改善を推進する際に、具体的な活動内容を計画・定義できるように改善活動の典型的なライフサイクルを示したリファレンスモデルのこと。
“開始”(Initiating)、“診断”(Diagnosing)、“確立”(Establishing)、“行動”(Acting)、“学習”(learning)の5つのフェイズで構成されており、各フェイズの頭文字から「IDEAL」と呼ばれる。
- 開始(Initiating) 目的を明確にして体制を確立する
- 診断(Diagnosing) 業務の現状を調査して可視化し,改善ポイントを明らかにする
- 確立(Establishing) 改善活動の優先順位を設定し,具体的な活動計画を作成する
- 行動(Acting) プロセス中心アプローチと問題中心アプローチの2つがある
- 学習(Learning) これまでを分析して次のサイクルの準備する
問2 SOA
問2 SOA の説明はどれか。
ア 会計,人事,製造,購買,在庫管理,販売などの企業の業務プロセスを一元管理することによって,業務の効率化や経営資源の最適化を図る手法
イ 企業の業務プロセス,システム化要求などのニーズと,ソフトウェアパッケージの機能性がどれだけ適合し,どれだけかい離しているかを分析する手法
ウ 業務プロセスの問題点を洗い出して,目標設定,実行,チェック,修正行動のマネジメントサイクルを適用し,継続的な改善を図る手法
エ 利用者の視点から業務システムの機能を幾つかの独立した部品に分けることによって,業務プロセスとの対応付けや他ソフトウェアとの連携を容易にする手法
【正解】エ
SOA(Service Oriented Architecture:サービス指向アーキテクチャ)とは、アプリケーションなどをコンポーネント化(部品化)し,それらを組み合わせてシステムを作る設計手法のこと。
(ア)ERP(Enterprise Resource Planning)の説明
(イ)フィット&ギャップ分析の説明
(ウ)PDCAサイクルの説明
問3 分析手法
問3 ある企業では,顧客データについて,顧客を性別・年齢層・職業・年収など複数の属性を組み合わせてセグメント化し,蓄積された大量の購買履歴データに照らして商品の購入可能性が最も高いセグメントを予測している。このときに活用される分析手法はどれか。
ア ABC 分析
イ SWOT分析
ウ 競合分析
エ 決定木分析
【正解】エ
決定木分析(デシジョンツリー)とは、ツリー構造を活用して、データの分類やパターン抽出を行う分析手法のこと。
(ア)ABC分析とは、在庫商品の金額や売上などの指標の中から重視する評価軸を決め、商品を累積構成比の多い順にA・B・Cの3グループに分類し管理する方法のこと。
(イ)SWOT分析とは、自社の事業の状況等を、強み(Strengths)、弱み(Weaknesses)、機会(Opportunities)、脅威(Threats)の4つの項目で整理して、分析する方法のこと。
(ウ)競合分析とは、自社と似た商品やサービスを展開する組織を特定し、その脅威度、強みや弱み、自社との違いを分析する手法のこと。
問4 構造化インタビューの手法
問4 構造化インタビューの手法を用いた意見の収集形態はどれか。
ア 参加者にテーマだけを提示し,そのテーマに対し,意見の収集,要約,配布,再度の意見の収集を繰り返すことで,集約した意見を収集した。
イ 熟練したインタビュアが,議論を一定の方向に絞りながら,会議の参加者の自由な意見を収集した。
ウ 調査項目を全て決めてから,決められた順序で質問することで,インタビュアの技量に左右されない意見を収集した。
エ 批判厳禁,自由奔放,質より量,他人の意見の活用などを基本ルールとして,多様で新たな意見を収集した。
【正解】ウ
構造化インタビューとは、調査を開始する前に、質問内容を決めておき、調査対象者から回答を集めるインタビューの形式のこと。
(ア)デルファイ法の説明
(イ)フォーカス・グループ・インタビューの説明
(エ)ブレーンストーミングの説明
問5 要件定義プロセスの活動内容
問5 共通フレーム 2013 によれば,要件定義プロセスの活動内容には,利害関係者の識別,要件の識別,要件の評価,要件の合意などがある。このうちの要件の識別において実施する作業はどれか。
ア システムのライフサイクルの全期間を通して,どの工程でどの関係者が参画するのかを明確にする。
イ 抽出された要件を確認して,矛盾点や曖昧な点をなくし,一貫性がある要件の集合として整理する。
ウ 矛盾した要件,実現不可能な要件などの問題点に対する解決方法を利害関係者に説明し,合意を得る。
エ 利害関係者から要件を漏れなく引き出し,制約条件や運用シナリオなどを明らかにする。
【正解】エ
「共通フレーム2013の概説」では、共通フレームは下記のようて定義している。
ソフトウェアの構想から開発、運用、保守、廃棄に至るまでのライフサイクルを通じて必要な作業項目、役割等を包括的に規定した共通の枠組み。
何を実施するべきかが記述されている、「ITシステム開発の作業規定」である。引用:「共通フレーム2013の概説」より
共通フレーム 2013 における,要件定義プロセスの活動内容は以下のとおり。
活動内容 | 説明 |
利害関係者の識別 | システムのライフサイクルの全期間を通して,どの工程でどの関係者が参画するのかを明確にする。 |
要件の識別 | 利害関係者から要件を漏れなく引き出し,制約条件や運用シナリオなどを明らかにする。 |
要件の評価 | 抽出された要件を確認して,矛盾点や曖昧な点をなくし,一貫性がある要件の集合として整理する。 |
要件の合意 | 矛盾した要件,実現不可能な要件などの問題点に対する解決方法を利害関係者に説明し,合意を得る。 |
(ア)利害関係者の識別の説明
(イ)要件の評価の説明
(ウ)要件の合意の説明
問6 M&A による垂直統合
問6 多角化戦略のうち,M&A による垂直統合に該当するものはどれか。
ア 銀行による保険会社の買収・合併
イ 自動車メーカによる軽自動車メーカの買収・合併
ウ 製鉄メーカによる鉄鉱石採掘会社の買収・合併
エ 電機メーカによる不動産会社の買収・合併
【正解】ウ
垂直統合とは、技術開発、生産、販売、サービス提供などの異なった業務を単一の企業(グループ)がすべて担うビジネスモデルのこと。
対照的に、水平統合とは、特定の工程を担う複数の企業が一本化することを言う。
問7 プロダクトポートフォリオマネジメント(PPM)
問7 プロダクトポートフォリオマネジメント(PPM)マトリクスの a,b に入れる語句の適切な組合せはどれか。
【正解】ウ
プロダクトポートフォリオマネジメント(PPM)とは、多角化企業における各事業の位置を確認することで、経営資源(ヒト・カネ・モノ)の最適な分配を可能にする戦略を策定するための分析手法の一つ
「市場成長率」と「市場占有率」の2軸で各事業の規模をプロットし、追加投資や撤退の判断を行う。
(1)問題児(育成すべき段階)、(2)花形(現在の取り組みを維持・継続する段階)、(3)金のなる木(投資を抑えて収益を回収・収穫する段階)、(4)負け犬(撤退する段階)を見極める。
問8 FSP (Frequent Shoppers Program)
問8 FSP (Frequent Shoppers Program) の説明はどれか。
ア Web サイトの閲覧者が掲載広告のリンク先である EC サイトで商品を購入した場合,広告主からその Web サイト運営者に成果報酬を支払う仕組みである。
イ 期間を限定した値引きの販売施策を見直し,コスト削減によるローコストオペレーションを実現させて,恒常的な低価格戦略を展開することである。
ウ 顧客に会員カードなどを発行して購買情報を収集し,顧客には割引ポイント付与や会員割引の特典を与えるなど,優良顧客の維持拡大を図る仕組みである。
エ 顧客の購買行動における,直近購買日,購買頻度,購買金額の 3 要素を用いて,優良顧客のセグメンテーションなどを行う顧客分析手法である。
【正解】ウ
FSP(Frequent Shoppers Program)とは、 顧客の拡大・継続のための販売促進活動の一つ。
フリークエントは「頻繁」、ショッパーズは「買い物客」という意味で、FSPは「自店で頻繁に買い物をしてくれる優良顧客を優遇するプログラム(施策)」となる。
問9 スキミングプライシング
問9 スキミングプライシングの説明はどれか。
ア 顧客に適切な価格であると認識させ,購買意欲を高める価格を設定する手法
イ 市場シェアを獲得するために,製品投入の初期段階で低価格を設定する手法
ウ 先行者利益を獲得するために,製品投入の初期段階で高価格を設定する手法
エ 同一製品に市場セグメントの特性に合わせて,異なる価格を設定する手法
【正解】ウ
スキミングプライシングとは、新製品導入期の価格戦略の1つ。
早期の資金回収を目的に、製品ライフサイクルの初期段階で価格を高く設定するもの。
一度成功すれば、早期から安定した事業運営が期待できるが、その価格が顧客に受け入れられなければ、より安価な競合製品が登場したりすると失敗するリスクがある。
問10 消費者市場のセグメンテーション変数
問10 消費者市場のセグメンテーション変数のうち,人口統計的変数はどれか。
ア 使用頻度,ロイヤルティ
イ 都市規模,人口密度
ウ 年齢,職業
エ パーソナリティ,ライフスタイル
【正解】ウ
消費者市場をセグメント化して分析する際に使われるものとして、四つのセグメント変数がある。
地理的変数 | 人口密度、都市の規模など |
人口統計的変数 | 年齢、性別、職業、家族構成など |
心理的変数 | 趣味、性格、価値観、ライフスタイルなど |
行動的変数 | 購買行動、購買動機、使用頻度など |
(ア)行動的変数
(イ)地理的変数
(エ)心理的変数
問11 商品のブランド戦略
問11 商品のブランド戦略の一つであるラインエクステンションを説明したものはどれか。
ア 売上の伸びが鈍くなってきたときなどに,デザインや容量を変更した商品を導入し,ブランド力を高める戦略
イ 関連分野において知名度の高い他社ブランドと連携し,自社商品のブランド力を高める戦略
ウ 実績のある商品と同じカテゴリにシリーズ商品を導入し,同一ブランド名での品ぞろえを豊富にする戦略
エ 消費者の間に浸透し,市場での地位を確立しているブランド名で,現行商品とは異なるカテゴリに参入する戦略
【正解】ウ
ラインエクステンションとは、すでに確立している製品のブランド・ラインに別の種類の製品を追加すること。
例えば、コーヒーメーカーがすでに市場にあるコーヒー製品と同じブランド・ラインに、デカフェを追加する場合など。
問12 キャズム理論
問12 ジェフリー・A・ムーアはキャズム理論において,利用者の行動様式に変化を強いるハイテク製品では,イノベータ理論の五つの採用者区分の間に断絶があると主張し,その中でも特に乗り越えるのが困難な深く大きな溝を "キャズム" と呼んでいる。"キャズム" が存在する場所はどれか。
ア イノベータとアーリーアダプタの間
イ アーリーアダプタとアーリーマジョリティの間
ウ アーリーマジョリティとレイトマジョリティの間
エ レイトマジョリティとラガードの間
【正解】イ
イノベーター理論とは、新たな製品などの市場の普及率を示すマーケティング理論のこと。
新たな製品の普及の過程を、これらを採用するタイミングが早い消費者から5つのタイプに分類する。
- イノベーター(革新者)
- アーリーアダプター(初期採用者)
- アーリーマジョリティ(前期追随者)
- レイトマジョリティ(後期追随者)
- ラガード(遅滞者)
この中でも、アーリーアダプターとアーリーマジョリティの間が、特に乗り越えるのが困難で、深く大きな溝を "キャズム" と呼ぶ。
問13 ダブルビン方式
問13 ダブルビン方式の特徴はどれか。
ア 単価が高く体積が大きい又は需要変動が大きい重点管理品に適する。
イ 発注間隔が一定で発注量が増減する。
ウ 発注点と発注量が等しく,都度の在庫調査の必要がない。
エ 発注点と発注量の調達リードタイムに関係しない。
【正解】ウ
ダブルビン方式(複棚法)とは1つの在庫に対して2つの置き場を用意して管理する発注方法のこと。
2つの置き場のうち、一方は常に在庫が満タンになっている状態にしておき、もう一方から在庫を出庫するようにすることで在庫不足を防ぎます。
2連型のトイレットペーパーがそれに該当する。
問14 知識創造プロセス(SECI モデル)
問14 知識創造プロセス(SECI モデル)において,表出化に該当するものはどれか。
ア 顧客への対応の仕方を,顧客の業種別にマニュアル化する。
イ 顧客訪問に新入社員を同行させ,対応の方法を目で見て体得させる。
ウ 製品操作マニュアルと業務マニュアルから,運用マニュアルを作成する。
エ マニュアルに記載された方法を実践し,スキルを習得する。
【正解】ア
SECIモデルとは、知識を創造するナレッジマネジメントの実践フレームワークのこと。
共同化→表出化→連結化→内面化の四つの手順を繰り返すことで、組織的な知識を獲得する。
説明 | 例 | |
共同化(Socialization) | 個人の暗黙知を組織の暗黙知にする | OJTなどを通して個人のノウハウを伝達する |
表出化(Externalization) | 組織の暗黙知を組織の形式知とする | 会社のもつノウハウをマニュアル化する |
連結化(Combination) | 組織の形式知を組み合わせて新たな組織の形式知とする | マニュアルを組み合わせて新マニュアルを作成する |
内面化(Internalization) | 組織の形式知から新たな個人の暗黙知を得る | マニュアルに記載された方法を実践し習得する |
(イ)共同化の説明
(ウ)連結化の説明
(エ)内面化の説明
問15 TLO (Technology Licensing Organization) 法
問15 TLO (Technology Licensing Organization) 法に基づき,承認又は認定された事業者の役割として,適切なものはどれか。
ア 企業からの委託研究,又は共同研究を受け入れる窓口として,企業と大学との調整を行う。
イ 研究者からの応募に基づき,補助金を支給して先進的な研究を発展させる。
ウ
エ 民間企業が保有する休眠特許を発掘し,他企業にライセンスを供与して活用を図る。
【正解】ウ
TLO (Technology Licensing Organization)は、大学での研究成果を特許化・産業化する組織のこと。
大学等における技術に関する研究成果の民間事業者への移転の促進に関する法律(通称,TLO法)に基づいて承認・運用が行われている。
承認又は認定された事業者は、大学の研究成果の特許化及び企業への技術移転の支援を行い、産学の仲介役を果たすことである。
問16 XBRL
問16 XBRL に関する記述として,適切なものはどれか。
ア XBRL によって,決算などに伴う集計,法定書類の作成を自動化することを容易にする。
イ XBRL によって実現される勘定科目体系は,会計基準ごとに固定であり,個別に定義することはできない。
ウ XBRL は,企業外部向けの財務会計情報の開示に利用できるが,企業内部向けの管理会計情報としては利用できない。
エ XBRL は,企業の財務諸表の情報を複数企業間において交換するための国際的な EDI 標準である。
【正解】ア
XBRL(eXtensible Business Reporting Language)は、企業の財務諸表などを記述するためのXMLがベースになったマークアップ言語のこと。
一度入力した財務情報を関係機関で共有し、ソフトウェアによる自動処理で伝達、保存、加工などすることができる。
問17 TOC
問17 TOC の特徴はどれか。
ア 個々の工程を個別に最適化することによって,生産工程全体を最適化する。
イ 市場の需要が供給能力を下回っている場合に有効な理論である。
ウ スループット(=売上高-資材費)の増大を最重要視する。
エ 生産プロセス改善のための総投資額を制約条件として確立された理論である。
【正解】ウ
TOC(Theory of Constraints)は、制約の理論とも言い、全体のスループットの増大を最重要視する。
全体のスループットは、生産工程に存在するボトルネック工程が決定するので、ボトルネック工程の能力に合わせて最適な生産を行ったり、ボトルネック工程を重点的に改善するなどしてスループットの増大を測る。
問18 ティアダウン
問18 ティアダウンの説明はどれか。
ア 市場の要求である "要求品質" と,提供する側の技術である "技術特性" の 2 元表を作成し,顧客の要求を満たすための機能を明確にする手法
イ 整理・整頓することで事故やけがの防止や作業効率の低下を防ぐ活動
ウ 他社の製品を分解し,分析して自社商品と比較することによって,コストや性能面でより高い競争力をもった製品を開発する手法
エ 物作りの仕組みの中の無駄を,現場の知恵を出し合って排除する活動
【正解】ウ
ディアダウンとは、競合製品を分解・分析することにより、自社製品の品質向上やコストダウンなどを進める活動のこと。
ティアダウンとは、取り壊す、分解・解体するといった意味がある。
問19 リーダシップのコンティンジェンシー理論
問19 リーダシップのコンティンジェンシー理論の説明はどれか。
ア 権限行使と命令統制による労務管理を批判し,目標管理制度や経営参加制度などによる動機付けが有効だとしたもの
イ 恒常的に成果に結び付けることができる個人の行動や思考特性をモデル化し,これを評価や育成の基準にしたもの
ウ 人間の基本的欲求を提示から,生理的欲求,安全の欲求,所属と愛の欲求,承認の欲求,自己実現の欲求と階層化したもの
エ 唯一最適な部下の指導・育成のスタイルは存在しない,という考え方に基づいて,リーダの特性や行動と状況の関係を分析したもの
【正解】エ
コンティンジェンシー理論とは、「どのような状況でも最高のパフォーマンスを発揮するリーダーシップは存在しない」という考え方のこと。
リーダーも人間なので、高いパフォーマンスを出せるかどうかは職場環境や人間関係などの外的要因が大きく影響する。
そのため、人をうまくまとめるためには決められた方法を続けるのではなく、現状に応じてリーダーシップのスタイルを変化させるべきであるということ。
問20 問題解決手法
問20 問題解決に当たって,現実にとらわれることなく理想的なシステムを想定した上で,次に,理想との比較から現状の問題点を洗い出し,具体的な改善案を策定する手法はどれか。
ア 系統図法
イ 親和図法
ウ 線形計画法
エ ワークデザイン法
【正解】エ
ワークデザイン法とは、アメリカのジェラルド・ナドラー博士によって1959年に発表された、IE(Industrial Engineering)技法・問題解決技法の一つ。
他の技法との違いは、問題解決に際して「その目的は何か?」を追求し、明確化するため演繹的であること。そのため、手段と目的を取り違えることなく問題解決することが出来る。
問21 在庫補充料の算出
問21 X社では,1.〜4.に示す算定方式で在庫補充料を決定している。第n週の週末時点での在庫量をB[n],第n週の販売量をC[n]としたとき,第n週の週末に発注する在庫補充料の算出式はどれか。ここで,nは3以上とする。
[在庫補充料の算出方式]
1.週末ごとに在庫補充量を算出し,発注を行う。在庫は翌週の月曜日に補充される。
2.在庫補充量は,翌週の販売予測量から現在の在庫量を引き,安全在庫量を加えて算出する。
3.翌週の販売予測量は,先週の販売量と今週の販売量の平均値とする。
4.安全在庫量は,翌週の販売予測量の 10 % とする。
ア (C[n-1] + C[n]) / 2 × 1.1 - B[n]
イ (C[n-1] + C[n]) / 2 × 1.1 - B[n-1]
ウ (C[n-1] + C[n]) / 2 + C[n] × 0.1 - B[n]
エ (C[n-2] + C[n-1]) / 2 + C[n] × 0.1 - B[n]
【正解】ア
算定方式3より、次式が成り立つ。
翌週の販売予測量 = 先週の販売量と今週の販売量の平均値 = (C[n-1] + C[n]) / 2
算定方式4より、次式が成り立つ。
安全在庫量 = 翌週の販売予測量の10% = ( (C[n-1] + C[n]) / 2 ) × 0.1
これらの数値を在庫補充料の算定方式2に当てはめてみると
第n週の週末に発注する在庫補充料 = 翌週の販売予測量 - 現在の在庫量 + 安全在庫量
第n週の週末に発注する在庫補充料 = ( (C[n-1] + C[n]) / 2 ) - B[n] + ( ( (C[n-1] + C[n]) / 2 ) × 0.1 )
第n週の週末に発注する在庫補充料 = (C[n-1] + C[n]) / 2 × 1.1 - B[n]
問22 連結売上高総利益率
問22 連結売上高総利益率は何 % か。ここで,B 社は A 社の 100 % 子会社で,仕入れは全て親会社からであり,売上は全て親会社以外である。また,期首,期末とも在庫はない。
ア 34
イ 38
ウ 40
エ 56
【正解】ウ
連結決算は、親会社・子会社をまとめて一つの会社とみなすため、親会社と子会社の取引は連結決算から除外しなければならないのが注意。
連結売上高は、A社の売上高4,000とB社の売上高1,000の合計5,000。
連結売上総利益は、A社の売上総利益1,800とB社の売上総利益200の合計2,000。
よって、連結売上高総利益率 = 連結売上総利益 ÷ 連結売上高 × 100 = 2,000 ÷ 5,000 × 100 = 40%
問23 電子計算機使用詐欺罪
問23 刑法の電子計算機使用詐欺罪に該当する行為はどれか。
ア いわゆるねずみ講方式による取引形態の Web ページを開設する
イ インターネット上に,実際よりも良品と誤認させる商品カタログを掲載し,粗悪な商品を販売する。
ウ インターネットを経由して銀行のシステムに虚偽の情報を与え,不正な振込や送金をさせる。
エ 企業の Web ページを不正な手段によって改変し,その企業の信用を傷つける情報を流す。
【正解】ウ
電子計算機使用詐欺罪とは、コンピュータ詐欺罪とも言われ、コンピューターやその電磁的な記録を不正に操作するなどして、詐欺罪にあたる行為をする罪のこと。
問24 格納型クロスサイトスクリプティング攻撃
問24 格納型クロスサイトスクリプティング(Stored XSS 又は Presistent XSS)攻撃に該当するものはどれか。
ア Web サイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行い,その後に当該掲示板を閲覧した利用者の Web ブラウザで,攻撃用スクリプトが実行された。
イ Web ブラウザへの応答を生成する処理に脆弱性のある Web サイトに対して,不正な JavaScript コードを含むリクエストを送信するリンクを攻撃者が用意し,そのリンクを利用者がクリックするように仕向けた。
ウ 攻撃者が,乗っ取った複数の PC 上でスクリプトを実行して大量のリクエストを攻撃対象の Web サイトに送り付け,サービス不能状態にした。
エ 攻撃者がスクリプトを使って,送信元 IP アドレスを攻撃対象の Web サイトの IP アドレスに偽装した大量の DNS リクエストを多数の DNS サーバに送信することによって,大量の DNS レスポンスを攻撃対象の Web サイトに送り付けるようにした。
【正解】ア
クロスサイトスクリプティング(XSS)とは、攻撃対象のWebサイトの脆弱性を突き、攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けることで、サイトに訪れるユーザーの個人情報などを詐取する攻撃のこと。
XSSは、さらに分類すると格納型XSS、DOMベースXSSなどに分けることができる。
格納型XSSは、WEBページ側に悪意のあるスクリプトを仕込んでおく手法で、WEBページがリクエストを適切に処理せずレスポンスを返すことで、アクセスするユーザすべてに攻撃をする。
DOMベースXSSは、クライアント側で処理を実行するときに悪意のあるコードが混入することで攻撃を受ける形態。主に動的にHTMLを生成するJava Scriptで発生することが多い。
問25 リスク回避
問25 個人情報の漏えいリスクに関するリスク対応のうち,リスク回避に該当するものはどれか。
ア 個人情報の重要性と対策費用を勘案し,あえて対策をとらない。
イ 個人情報の保管場所に外部の者が侵入できないように,入退室をより厳重に管理する。
ウ 個人情報を含む情報資産を外部のデータセンタで保管する。
エ 取得済みの個人情報を消去し,新たな取得を禁止する。
【正解】エ
リスクに対しては、リスクを分析・評価した結果、そのリスクに応じた対応策を講じる。
リスク対応には、次のようなものがある。
リスク低減 | リスクの発生を防止または発生した場合の事業への影響を軽減すること |
リスク回避 | 発生が危惧されるリスクを回避するためにリスクの要因を排除すること |
リスク移転 | 発生するおそれがあるリスクを第三者に移転すること |
リスク受容 | 発生し得るリスクを把握しながらも具体的な対策は取らないこと |
(ア)リスク受容の説明
(イ)リスク低減の説明
(ウ)リスク移転の説明
参考書
ALL IN ONE オールインワン パーフェクトマスター ITストラテジスト 2023年度版
IT ストラテジスト試験で実施される午前 Ⅱ、午後 Ⅰ、午後 Ⅱ の 3 つの専門試験すべての対策ができるオールインワンのテキスト&問題集。
ITストラテジスト 合格論文の書き方・事例集
ITストラジテジスと試験で実施される午後 Ⅱ の論文に特化したテキスト。