ITストラテジスト 午前2過去問題と解説シリーズ。
今回は、令和3年度春季です。
出典:令和3年度春季ITストラテジスト試験 午前Ⅱ問題より
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_1/2021r03h_st_am2_qs.pdf
Contents
- 問1 「DX 推進指標」とそのガイダンス
- 問2 投資効果を評価
- 問3 IT 投資ポートフォリオ
- 問4 プロビジョニング
- 問5 ビジネスモデルキャンバス
- 問6 ファイブフォース分析
- 問7 ブルーオーシャン戦略
- 問8 AIDMA モデル
- 問9 バイラルマーケティング
- 問10 マーケットセグメンテーション
- 問11 マーケティング戦略の策定プロセス
- 問12 エスノグラフィーの活用事例
- 問13 SECI モデル
- 問14 死の谷
- 問15 JIT (Just In Time)
- 問16 TOC
- 問17 計画生産量
- 問18 行動科学理論
- 問19 ばらばらの予想を収束させる方法
- 問20 ロットの抜取検査
- 問21 ブレーンストーミングによるトラブル対策
- 問22 インターネットのショッピングサイト
- 問23 格納型クロスサイトスクリプティング攻撃
- 問24 ディジタル証明書
- 問25 NOTICE
- 参考書
問1 「DX 推進指標」とそのガイダンス
問1 経済産業省が策定した "「DX 推進指標」とそのガイダンス" における DX 推進指標の説明はどれか。
ア IT ベンダが情報システムを開発する際のプロジェクト管理能力,エンジニアリング能力を高めていくために,現状のプロセス状況を 5 段階に分けて評価し,不十分な部分を改善することを目指すもの
イ 経営者や社内関係者が,データとデジタル技術を活用して顧客視点で新たな価値を創出していくために,現状とあるべき姿に向けた課題・対応策に関する認識を共有し,必要なアクションをとるための気付きの機会を提供することを目指すもの
ウ 社内の IT 部門が不正侵入やハッキングなどのサイバー攻撃から自社のデータを守るために,安全なデータの保管場所,保管方法,廃棄方法を具体的に選定するための指針を提供することを目指すもの
エ 内部監査人が,企業などの内部統制の仕組みのうち,IT を用いた業務処理に関して,情報システムの開発・運用・保守に係るリスクを評価した上で,内部統制システムを整備することを目指すもの
【正解】イ
"「DX 推進指標」とそのガイダンス"では、「DX推進指標」における「DX」の定義は以下の通り。
「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争力を確立すること」
「DXを実現するに当たっては、経営幹部、事業部門、DX部門、IT部門など関係するものが現状や課題に対する認識を共有し、アクションにつなげていくことが不可欠」とされているため、経営者や社内関係者が主語であるイが適切。
問2 投資効果を評価
問2 情報システムの導入と活用によって生み出されるキャッシュフローの現在価値を計算することによって,投資効果を評価したい。このときに使われる指標はどれか。
ア BSC
イ EVA
ウ NPV
エ ROI
【正解】ウ
NPV(Net Present Value:正味現在価値)は、投資によってどれだけの利益を得られるかを示す指標のこと。
投資をすることによる将来の利益を現在価値に換算して投資判断を行う。
現在価値に換算するときに使う数値は、割引率と呼ばれ、通常NPVの計算では、会社が資金調達するために必要な費用が割引率として用いられる。
(ア)BSC(Balanced Score Card:バランススコアカード)は、財務・顧客・業務プロセス・学習と成長という四つの視点から業務を評価するツールのこと。
(イ)EVA(Economic Value Added:経済的付加価値)は、収益性を評価する指標のこと。
(エ)ROI(Return On Investment:投資利益率)は、投資に対する費用対効果を評価する指標のこと。
問3 IT 投資ポートフォリオ
問3 IT 投資ポートフォリオにおいて,情報化投資の対象を,戦略,情報,トランザクション,インフラの四つのカテゴリに分類した場合,トランザクションカテゴリに対する投資の直接の目的はどれか。
ア 管理品質向上のために,マネジメント,レポーティング,分析などを支援する。
イ 市場における競争優位やポジショニングを獲得する。
ウ 複数のアプリケーションソフトウェアによって共有される基盤部分を提供する。
エ ルーチン化された業務のコスト削減や処理効率向上を図る。
【正解】エ
IT投資ポートフォリオとは、IT投資を行う際に、投資対象をその特性によって分類し、投資額の配分を調整する手法のこと。
情報化投資の対象を,戦略,情報,トランザクション,インフラの四つのカテゴリに分類するのは、「MITモデル」と呼ばれる。
| 戦略 | 市場における競争優位やポジショニングを獲得することを目的とした投資。例としては、導入当初のATMなどがこのカテゴリーに該当する |
| 情報 | より質の高い管理を行うことを目的とした、会計、マネジメント管理、レポーティング、コミュニケーション、分析等を支援するための情報提供に関連する投資 |
| トランザクション | 注文処理などルーチン化された業務のコスト削減や処理効率の向上を目的とした投資 |
| インフラ | 複数のアプリケーションによって共有される基盤部分を提供するための投資。PCやネットワーク、共有データベースなどが該当する |
出典:経済産業省「業績評価参照モデル(PRM)を用いたITポートフォリオモデル活用ガイド」より
(ア)情報のカテゴリの説明
(イ)戦略のカテゴリの説明
(ウ)インフラのカテゴリの説明
問4 プロビジョニング
問4 クラウドサービスなどの提供を迅速に実現するためのプロビジョニングの説明はどれか。
ア 企業の情報システムの企画,設計,開発,導入,保守などのサービスを,一貫して又は工程の幾つかを部分的に提供する。
イ 業種や事業内容などで共通する複数の企業や組織が共同でデータセンタを運用して,それぞれがインターネットを通して各種サービスを利用する。
ウ 自社でハードウェア,ネットワークなどの環境を用意し,業務パッケージなどを導入して利用する運用形態にする。
エ 利用者の需要を予想し,ネットワーク設備やシステムリソースなどを計画的に強化し,利用者の要求に応じたサービスを提供できるように備える。
【正解】エ
プロビジョニングとは、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測し、準備しておくこと。
対象や分野によってサーバプロビジョニング、ユーザープロビジョニング、サービスプロビジョニングなどがある。
(ア)システムインテグレータの説明
(イ)クラウドの説明
(ウ)オンプレミスの説明
問5 ビジネスモデルキャンバス
問5 システム化構想の段階で,ビジネスモデルを整理したり,分析したりするときに有効なフレームワークの一つであるビジネスモデルキャンバスの説明として,適切なものはどれか。
ア 企業がどのように,価値を創造し,顧客に届け,収益を生み出しているかを,顧客セグメント,価値提案,チャネル,顧客との関係,収益の流れ,リソース,主要活動,パートナ,コスト構造の九つのブロックを用いて図示し,分析する。
イ 企業が付加価値を生み出すための業務の流れを,購買物流,製造,出荷物流,販売・マーケティング,サービスという五つの主活動と,調達,技術開発など四つの支援活動に分類して分析する。
ウ 企業の強み・弱み,外部環境の機会・脅威を分析し,内部要因と外部要因をそれぞれ軸にした表を作成することによって,事業機会や事業課題を発見する。
エ 企業目標の達成を目指し,財務,顧客,内部ビジネスプロセス,学習と成長の四つの視点から戦略マップを作成して,四つの視点においてバランスのとれた事業計画を策定し進捗管理していく。
【正解】ア
ビジネスモデルキャンパスとは、ビジネスモデルを可視化するためのフレームワークで、9つの要素から構成される。
新規事業のビジネスモデルを考えるにあたり、必要な要素と、その関係性や全体像を把握することに適している。
(イ)バリューチェン分析の説明
(ウ)SWOT分析の説明
(エ)バランススコアカードの説明
問6 ファイブフォース分析
問6 ファイブフォース分析は,業界構造を,業界内で競争が激化する五つの要因を用いて図のように説明している。図中の a に入る要因はどれか。
ア 規模の経済性
イ 業者間の敵対関係
ウ 仕入先の集中度
エ 流通チャネルの確保
【正解】イ
ファイブフォース分析とは、企業の競争力に影響を与える5つの競争要因から、業界の構造分析を行う手法のこと。
それぞれの力関係が強ければ強いほど収益性は低く、逆に弱ければ弱いほど収益性は高いとされる。
なお、新規参入の脅威、代替品の脅威は外部脅威。
売り手の交渉力、買い手の交渉力、業者間の敵対関係は内部脅威。
問7 ブルーオーシャン戦略
問7 ブルーオーシャン戦略の特徴はどれか。
ア 価値を高めながらコストを押し下げる。
イ 既存の市場で競争する。
ウ 既存の需要を喚起する。
エ 競合他社を打ち負かす。
【正解】ア
ブルーオーシャン戦略とは、従来存在しなかったまったく新しい市場を生み出すことで、新領域に事業を展開していく戦略のこと。
競合が少ないため、価値を高めながらコストを抑えることができる。
ブルーオーシャンとは逆の概念としてレッドオーシャンがある。レッドオーシャンとは、血で血を洗うほど競争が激しい市場のことを意味する。
問8 AIDMA モデル
問8 AIDMA モデルの活用方法はどれか。
ア 消費者が製品を購入するまでの心理の過程を,注意,興味,欲求,記憶,行動に分け,各段階のコミュニケーション手段を検討する。
イ 製品と市場の視点から,事業拡大の方向性を市場浸透・製品開発・市場開拓・多角化に分けて,戦略を検討する。
ウ 製品の相対的市場占有率と市場成長率から,企業がそれぞれの事業に対する経営資源の最適配分を意志決定する。
エ 製品の導入期・成長期・成熟期・減退期の各段階に応じて,製品の改良,新品種の追加,製品廃棄などを計画する。
【正解】ア
AIDMA モデルとは、消費者の購買決定プロセスを説明するモデルのこと。
消費者は、注意(Attention) → 関心(Interest) → 欲求(Desire) → 記憶(Memory) → 行動(Action)というプロセスを辿るものと考える。
(イ)アンゾフの成長マトリクスの説明。
(ウ)プロダクトポートフォリオマネジメントの説明。
(エ)プロダクトライフサイクルの説明。
問9 バイラルマーケティング
問9 バイラルマーケティングを説明したものはどれか。
ア インターネット上で成功報酬型広告の仕組みを用いるマーケティング手法である。
イ 個々の顧客を重要視し,個別ニーズへの対応を図るマーケティング手法である。
ウ セグメントごとに差別化した,異なる商品を提供するマーケティング手法である。
エ 人から人へと評判が伝わることを積極的に利用するマーケティング手法である。
【正解】エ
バイラルマーケティングとは、SNSなどによる拡散など人から人に伝わることを利用するマーケティング手法のこと。
バイラル(viral)とは、「ウイルス性の」「感染性の」という意味。
(ア)アフィリエイトの説明
(イ)One to Oneマーケティングの説明
(ウ)セグメントマーケティングの説明
問10 マーケットセグメンテーション
問10 市場を消費者特性でセグメント化する際に,基準となる変数を,地理的変数,人口統計的変数,心理的変数,行動的変数に分類するとき,人口統計的変数に分類されるものはどれか。
ア 社交性などの性格
イ 職業
ウ 人口密度
エ 製品の使用割合
【正解】イ
消費者市場をセグメント化して分析する際に使われるものとして、四つのセグメント変数がある。
| 地理的変数 | 人口密度、都市の規模など |
| 人口統計的変数 | 年齢、性別、職業、家族構成など |
| 心理的変数 | 趣味、性格、価値観、ライフスタイルなど |
| 行動的変数 | 購買行動、購買動機、使用頻度など |
(ア)心理的変数
(ウ)地理的変数
(エ)行動的変数
問11 マーケティング戦略の策定プロセス
問11 マーケティング戦略の策定プロセスを幾つかのブロックに分けて順番に並べたとき,図の d に入るものはどれか。ただしア~エは a ~ d のいずれかに入るものとする。
ア 環境分析
イ マーケティングミックス決定
ウ ターゲット特定
エ 市場細分化
【正解】イ
マーケティングミックスとは、マーケティング戦略全体の中で実行戦略に位置付けられる。
つまり、環境分析→市場細分化→ターゲット特定→ポジション決定→マーケティングミックス決定→実行計画策定 の順番が正しい。
マーケティングミックスでは複数の要素を組み合わせて、その中から最良の組み合わせを選ぶ。
組み合わせる要素として用いられるのが「4P」で、「製品(Product)」「価格(Price)」「流通(Place)」「プロモーション(Promotion)」の頭文字をとったもの。
問12 エスノグラフィーの活用事例
問12 マーケティング調査におけるエスノグラフィーの活用事例はどれか。
ア 業界紙や業界新聞,調査会社の売れ筋ランキングなどから消費者の動向を探る。
イ 広告の一部に資料請求の項目を入れておき,それを照会してきた人数を調べる。
ウ 消費行動の現場で観察やインタビューを行い,気付かなかった需要を発掘する。
エ 同等の条件下で複数パターンの見出しを広告として表示し,反応の違いを測る。
【正解】ウ
エスノグラフィーとは、集団や社会の行動様式をフィールドワークによって調査・記録する手法のこと。
消費者の潜在的ニーズを発掘する手法として活用されている。
問13 SECI モデル
問13 SECI モデルにおいて,新たに創造された知識を組織に広め,新たな暗黙知として習得するプロセスはどれか。
ア 共同化(Socialization)
イ 表出化(Externalization)
ウ 連結化(Combination)
エ 内面化(Internalization)
【正解】エ
SECIモデルとは、知識を創造するナレッジマネジメントの実践フレームワークのこと。
共同化→表出化→連結化→内面化の四つの手順を繰り返すことで、組織的な知識を獲得する。
| 説明 | 例 | |
| 共同化(Socialization) | 個人の暗黙知を組織の暗黙知にする | OJTなどを通して個人のノウハウを伝達する |
| 表出化(Externalization) | 組織の暗黙知を組織の形式知とする | 会社のもつノウハウをマニュアル化する |
| 連結化(Combination) | 組織の形式知を組み合わせて新たな組織の形式知とする | マニュアルを組み合わせて新マニュアルを作成する |
| 内面化(Internalization) | 組織の形式知から新たな個人の暗黙知を得る | マニュアルに記載された方法を実践し習得する |
問14 死の谷
問14 技術経営における課題のうち,"死の谷" の説明として,適切なものはどれか。
ア コモディティ化が進んでいる分野で製品を開発しても,他社との差別化ができず,価格競争に陥り,利益の獲得が難しいこと
イ 新製品が市場に浸透していく過程において,実用性を重んじる顧客が受け入れず,より大きな市場を形成できないこと
ウ 先進的な製品開発に成功しても,事業化するためには更なる困難があること
エ プロジェクトのマネジメントが適切に行われないために,プロジェクトの現場に生じた過大な負担がメンバを過酷な状態に追い込み,失敗に向かってしまうこと
【正解】ウ
死の谷(Valley of Death)とは、開発ステージと事業化ステージの間に存在する障壁のこと。
商品を製造・販売して売上にまでつなげていくためには、資金や人材などの経営資源を適切に調達することが必要とされる。
研究開発から事業化までのプロセスにおいて、乗り越えなければならないものとして他には魔の川やダーウィンの海がある。
魔の川(Devil River)は、研究ステージと製品化に向けた開発ステージの間に存在する障壁のこと。
ダーウィンの海(Darwinian Sea)は、事業化ステージと産業化ステージの間に存在する障壁のこと。
問15 JIT (Just In Time)
問15 JIT (Just In Time) の特徴はどれか。
ア 押し出し方式(プッシュシステム)である。
イ 各工程は使用した分だけを前工程に発注する。
ウ 他の品目の需要に連動しない在庫システムである。
エ 毎回仕様が異なる受注生産型の工場に適している。
【正解】イ
JIT (Just In Time) とは、無駄な在庫を極力持たず「必要なものを、必要なときに、必要な数だけつくる」という発想から生まれた生産方式のこと。
各工程は使用した分だけを前工程に発注するという簡単なもの。後工程で部品を使用したことを契機にして、前工程から必要な部品を引っ張ってくることからPULL型方式のひとつと言われている。
逆に、あらかじめ立てた生産計画に基づいて順番に生産する方式はPUSH型方式と呼ばれる。
問16 TOC
問16 TOC の特徴はどれか。
ア 個々の工程を個別に最適化することによって,生産工程全体を最適化する。
イ 市場の需要が供給能力を下回っている場合に有効な理論である。
ウ スループット(=売上高-資材費)の増大を最重要視する。
エ 生産プロセス改善のための総投資額を制約条件として確立された理論である。
【正解】ウ
TOC(Theory of Constraints)は、制約の理論とも言い、全体のスループットの増大を最重要視する。
全体のスループットは、生産工程に存在するボトルネック工程が決定するので、ボトルネック工程の能力に合わせて最適な生産を行ったり、ボトルネック工程を重点的に改善するなどしてスループットの増大を測る。
問17 計画生産量
問17 ある会社の生産計画部では,毎月 25 日に次の手続で翌月分の計画生産量を決定している。8 月分の計画生産量を求める式はどれか。
[手続]
(1)当月末の予想在庫量を,前月末の実在庫量と当月分の計画生産量と予想販売量から求める。
(2)当月末の予想在庫量と翌月分の予想販売量を基に,翌月末の予想在庫量が翌々月から 3 か月間の予想販売量と等しくなるように翌月分の計画生産量を決定する。
ア I6 + P7 - S7 + S8
イ S8 + S9 + S10 + S11 - I7
ウ S8 + S9 + S10 + S11 - I7
エ S9 + S10 + S11 - I7
【正解】エ
毎月25日に翌月の生産計画を立てるので、8月の計画生産量は7月に決定する。
つまり、当月は7月、前月は6月になる。
[手続]1,2を計算式に表すと次のようになる。
(1)当月末の予想在庫量 = 前月末実在庫量 + 当月分計画生産量 - 当月分予想販売量
(2)翌月末の予想在庫量 = 当月末実在庫量 + 翌月分計画生産量 - 翌月分予想販売量
= 翌々月から3か月間の予想販売量
In:n月の月末在庫量、Pn:n月分の生産量、Sn:n月分の販売量でそれぞれ代入してみると
(1)I7 = I6 + P7 - S7
(2)I8 = I7 + P8 - S8
= S9 + S10 + S11
が成り立つ
(2)は、I7 + P8 - S8 = S9 + S10 + S11であるから、
P8について解くと
P8 = S8 + S9 + S10 + S11 - I7 となる。
問18 行動科学理論
問18 ダグラス・マグレガーが説いた行動科学理論において,"人間は本来仕事が嫌いである。したがって,報酬と制裁を使って働かせるしかない" とするのはどれか。
ア X 理論
イ Y 理論
ウ 衛生要因
エ 動機づけ要因
【正解】ア
XY理論は、ダグラス・マグレガーの著書『企業の人間的側面』の中に登場する理論のこと。マズローの段階的欲求をもとにした動機づけに関する理論である。
X理論・・・生理的欲求や安全欲求を多く持つ人に対するマネジメント手法で、目標を達成できれば報酬を、未達ならば罰を与えるという管理手法のこと(性悪説に基づくアメとムチ)
Y理論・・・会的欲求や承認欲求を多く持つ人に対するマネジメント手法で、魅力ある目標や責任を与えてより高い成果を出させる管理手法のこと(性善説に基づいて機会を与える)
問19 ばらばらの予想を収束させる方法
問19 将来の科学技術の進歩の予想などについて,専門家などに対するアンケートを実施し,その結果をその都度回答者にフィードバックすることによって,ばらばらの予想を図のように収束させる方法はどれか。
ア ゴードン法
イ デルファイ法
ウ ミニマックス法
エ モンテカルロ法
【正解】イ
デルファイ法とは、専門家や有識者を対象としてアンケートを反復的に実施し、経験則や意見を集約して収束させる手法のこと。
(ア)ゴードン法とは、ブレーンストーミングの方法の一つで、本来の課題を把握しているものの、初めのうちは参加者に本当の課題を明示せず、より幅の広い抽象的なテーマのみを与えて行うブレーンストーミングのこと。
(ウ)ミニマックス法とは、ゲーム理論で用いられる判断基準の一つで、各代替案における最悪の場合を想定し,そのときに損失が最小となる(最大の損失を最小化する)ような案を選択する手法のこと。
(エ)モンテカルロ法は,乱数を用いたシミュレーションを繰り返して,近似解を求める計算手法のこと。
問20 ロットの抜取検査
問20 合格となるべきロットが,抜取検査で誤って不合格となる確率のことを何というか。
ア 合格品質水準
イ 消費者危険
ウ 生産者危険
エ 有意水準
【正解】ウ
抜取検査方式で、合格となるべきロットが不合格となる確率のことを生産者危険と言う。
生産者が利益を得る機会を損失してしまうリスクがあるため、このように呼ばれる。
逆に、不合格となるべきロットが合格になる確率のことを消費者危険と言う。
不良品が消費者の手に渡れば、消費者が不利益を被るリスクがあるため、このように呼ばれる。
問21 ブレーンストーミングによるトラブル対策
問21 利用者とシステム運用担当者によるブレーンストーミングを行って,利用者の操作に起因する PC でのトラブルについて,主要なトラブルごとに原因となったと思われる操作,利用状況などを拾い上げた。トラブル対策を立てるために,ブレーンストーミングの結果を利用して原因と結果の関係を整理するのに適した図はどれか。
ア 散布図
イ 特性要因図
ウ パレート図
エ ヒストグラム
【正解】イ
特性要因図は、現在見えている結果(特性)とその結果をもたらすことに影響を与えた原因(要因)を図示したもの。
魚の骨のような形のグラフになるため、フィッシュボーンとも呼ばれる。
(ア)散布図とは、縦軸、横軸に2項目の量や大きさ等を対応させ、データを点でプロットしたものである。分布図とも言う。2つの量に関係があるかどうかをみるのに非常に便利なグラフ。
(ウ)パレート図とは、値が降順にプロットされた棒グラフとその累積構成比を表す折れ線グラフを組み合わせた複合グラフのこと。
(エ)ヒストグラムとは、対象のデータを区間ごとに区切った度数分布表を、棒グラフに似た図で表現したグラフのこと。量的データの分布の様子を見るのに用いられる。
問22 インターネットのショッピングサイト
問22 インターネットのショッピングサイトで,商品の広告をする際に,商品の販売価格,商品の代金の支払時期及び支払方法,商品の引渡時期,売買契約の解除に関する事項などの表示を義務付けている法律はどれか。
ア 商標法
イ 電子契約法
ウ 特定商取引法
エ 不正競争防止法
【正解】ウ
特定商取引法とは、消費者トラブルが発生しやすい取引(例:訪問販売、インターネット販売、連鎖販売取引等)を対象に、消費者を保護することを目的とした法律のこと。
問23 格納型クロスサイトスクリプティング攻撃
問23 格納型クロスサイトスクリプティング(Stored XSS 又は Presistent XSS)攻撃に該当するものはどれか。
ア Web サイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行うことによって,その後に当該掲示板を閲覧した利用者の Web ブラウザで,攻撃用スクリプトが実行された。
イ Web ブラウザへの応答を生成する処理に脆弱性のある Web サイトに向けて,不正な JavaScript コードを含むリクエストを送信するリンクを攻撃者が用意し,そのリンクを利用者がクリックするように仕向けた。
ウ 攻撃者が,乗っ取った複数の PC 上でスクリプトを実行して大量のリクエストを攻撃対象の Web サイトに送り付け,攻撃対象の Web サイトをサービス不能状態にした。
エ 攻撃者がスクリプトを使って,送信元 IP アドレスを攻撃対象の Web サイトの IP アドレスに偽装した大量の DNS リクエストを多数の DNS サーバに送信することによって,大量の DNS レスポンスが攻撃対象の Web サイトに送り付けられた。
【正解】ア
クロスサイトスクリプティング(XSS)とは、攻撃対象のWebサイトの脆弱性を突き、攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けることで、サイトに訪れるユーザーの個人情報などを詐取する攻撃のこと。
XSSは、さらに分類すると格納型XSS、DOMベースXSSなどに分けることができる。
格納型XSSは、WEBページ側に悪意のあるスクリプトを仕込んでおく手法で、WEBページがリクエストを適切に処理せずレスポンスを返すことで、アクセスするユーザすべてに攻撃をする。
DOMベースXSSは、クライアント側で処理を実行するときに悪意のあるコードが混入することで攻撃を受ける形態。主に動的にHTMLを生成するJava Scriptで発生することが多い。
(イ)DOMベースXSSの説明
(ウ)DDoS攻撃の説明
(エ)DNSリフレクション攻撃の説明
問24 ディジタル証明書
問24 ディジタル証明書が失効しているかどうかをオンラインで確認するためのプロトコルはどれか。
ア CHAP
イ LDAP
ウ OCSP
エ SNMP
【正解】ウ
OCSP(Online Certificate Status Protocol)は、ディジタル証明書の有効性を問い合わせる手順を定めたプロトコルのこと。
(ア)CHAP(Challenge-Handshake Authentication Protocol )は、ユーザやネットワークホストに対する認証プロトコルのこと。
(イ)LDAP(Lightweight Directory Access Protocol)は、ディレクトリ・サービスに接続するために使用される通信プロトコルのこと。
(エ)SNMP(Simple Network Management Protocol)は、SNMPマネージャとSNMPエージェント間での通信プロトコルのこと。
問25 NOTICE
問25 2019 年 2 月から総務省,情報通信研究機構(NICT)及びインターネットサービスプロバイダが連携して開始した "NOTICE" という取組はどれか。
ア NICT が依頼のあった企業のイントラネット内の Web サービスに対して脆弱性診断を行い,脆弱性が見つかった Web サービスの管理者に対して注意喚起する。
イ NICT がインターネット上の IoT 機器を調査することによって,容易に推測されるパスワードなどを使っている IoT 機器を特定し,インターネットサービスプロバイダを通じて利用者に注意喚起する。
ウ スマートフォンにアイコンやメッセージダイアログを表示するなどし,緊急情報を通知する仕組みを利用して,スマートフォンのマルウェアに関してスマートフォン利用者に注意喚起する。
エ 量子暗号技術を使い,インターネットサービスプロバイダが緊急地震速報,津波警報などの緊急情報を安全かつ自動的に住民のスマートフォンに送信して注意喚起する。
【正解】イ
NOTICE(National Operation Towards IoT Clean Environment)とは、総務省、国立研究開発法人情報通信研究機構(NICT)及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組。
出典:https://notice.go.jp/
参考書
ALL IN ONE オールインワン パーフェクトマスター ITストラテジスト 2023年度版
IT ストラテジスト試験で実施される午前 Ⅱ、午後 Ⅰ、午後 Ⅱ の 3 つの専門試験すべての対策ができるオールインワンのテキスト&問題集。
ITストラテジスト 合格論文の書き方・事例集
ITストラジテジスと試験で実施される午後 Ⅱ の論文に特化したテキスト。