ITストラテジスト 午前2過去問題と解説シリーズ。
今回は、令和年度6春季です。
出典:令和6年度春季ITストラテジスト試験 午前Ⅱ問題より
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_st_am2_qs.pdf
Contents
- 問1 国際的に自由なデータ流通の促進を目指すというコンセプト
- 問2 金融業界で生まれた考え方
- 問3 組み込み型金融 (Embedded Finance)
- 問4 デザイン思考
- 問5 情報システム・モデル取引・契約書<第二版>
- 問6 アンゾフの成長マトリクス
- 問7 アドエクスチェンジ
- 問8 コーズリレーテッドマーケティング
- 問9 ライフサイクルエクステンション
- 問10 願客生涯価値を算出する際の考慮点
- 問11 顧客価値ヒエラルキー
- 問12 バランススコアカード
- 問13 SECIモデル
- 問14 API エコノミー
- 問15 SoE(Systens of Engagement)
- 問16 生産性指標
- 問17 フィルターバブル
- 問18 バスタブ曲線
- 問19 親和図
- 問20 キャッシュフロー計算書
- 問21 EVA(経済的付加価値)
- 問22 AI の学習データの著作権
- 問23 OCSP(Online Certificate Status Protocol)
- 問24 マルウェアのファイル解析と検知を難しくする攻撃
- 問25 政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準
- 関連リンク集
- 参考書
問1 国際的に自由なデータ流通の促進を目指すというコンセプト
問1 プライバシーやセキュリティ,知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する,国際的に自由なデータ流通の促進を目指すというコンセプトはどれか。
ア DFFT
イ ESG
ウ GEIT
エ SCM
【正解】ア
DFFTは、Data Free Flow with Trust(信頼性のある自由なデータ流通)の略。
このコンセプトは、G20(主要20カ国・地域)の場で日本が提唱し、国際的な議論を主導しているものでで、デジタル経済の成長にはデータの自由な流通が不可欠である一方で、プライバシー侵害やセキュリティリスクからデータを保護するための「信頼(Trust)」も確保する必要があるという考え方に基づいている。
(イ)ESGとは、Environment, Social, and Governance(環境、社会、ガバナンス)の略。
(ウ)GEITとは、Governance of Enterprise IT(企業ITのガバナンス)の略。企業価値向上のために、IT利用に関する意思決定や統制を行う仕組み。
(エ)SCMは、Supply Chain Managementの略。商品の原材料調達から生産、物流、販売に至る一連の流れを最適化する経営手法。
問2 金融業界で生まれた考え方
問2 金融業界で生まれた考え方で,主に被規制事業者が各種規制に正しく対応できているかどうかをチェックする業務などを,最新 IT を駆使して効率化する取組はどれか。
ア MOT
イ ギグエコノミー
ウ コンプライアンス
エ レグテック
【正解】エ
RegTech(レグテック)は規制(Regulation)と技術(Technology)を組み合わせた造語。
最新ITを駆使して複雑化・高度化が進む金融規制に対応する金融ITソリューションを指す。
(ア)MOT(Management of Technology)の略で、「技術を活かした経営」のこと。
(イ)ギグエコノミーは、インターネットを通じて単発の仕事を受注する働き方や、それによって成り立つ経済形態のこと。
(ウ)コンプライアンスは、法令遵守のことで、企業などが法令や各種規則を守ること。
問3 組み込み型金融 (Embedded Finance)
問3 組み込み型金融 (Embedded Finance)の事例はどれか。
ア 金融事業者である銀行が自行のインタ ーネットバンキングサイトで,全銀システ ムに接続して他の銀行向けの振込サービスを提供する。
イ 金融事業者である損害保険会社が自社のインターネットサイトで,他社のサービスに接続することなく,火災保険の契約受付を行う。
ウ 非金融事業者である自動車メーカーが自社のインターネットサイトで,金融機関など他社のサービスに接続することなく ,顧客に対して購入希望の自動車の見積りを提供する。
エ 非金融事業者である百貨店が自社のインターネット販売サイトで,顧客が意識することなくクレジットカード会社のサ ービスに接続して,あらかじめクレジットカード情報を登録した顧客が購入した商品の代金決済を行う。
【正解】エ
組み込み型金融 (Embedded Finance)とは、金融サービス(決済、融資、保険など)を、金融以外のサービスやプラットフォーム(ECサイト、SaaS、自動車など)にシームレスに組み込むこと。
(ア)金融事業者である銀行が、金融サービス(振込)を自社サイトで提供しているため誤り。
(イ)金融事業者である損害保険会社が、自社サイトで保険契約を行っているため誤り。
(ウ)非金融事業者だが、提供しているのは見積りであり、金融サービス自体ではないため誤り。
問4 デザイン思考
問4 スタンフォード大学ハッソ・プラットナー・デザイン研究所によるデザイン思考の説明はどれか。
ア 与えられた問題に対して一 つの正しい解決策を見つけるために,アイディア出し の段階で,テーマに制限を設けてアイディアが発散しないようにする手法
イ 本質的な問題がどこにあるのかを絞り込むために,利用者との対話よりも,過去のデ ータや経験を分析することを重視する手法
ウ 利用者の立場から問題解決に取り組む方法論であり 、現場を観察することによって利用者を理解し,共感することから始め、問題定義,アイディア出し,試作,試行を繰り返す手法
エ 類似の問題が発生した場合に,迅速に解決策を探り当てるために、過去の問題とその解決策をナレッジデ ータベ ースとして蓄積する手法
【正解】ウ
デザイン思考は、人間中心のアプローチを核としている。そのプロセスは、以下の5つのステップを反復(イテレーション)しながら進めるのが特徴。
-
共感(Empathize): 利用者のニーズや課題を深く理解・共感する。
-
問題定義(Define): 共感を通じて得られた知見から、本当に解決すべき本質的な問題を定義する。
-
アイディア出し(Ideate): 定義された問題に対し、多様で自由な発想でアイディアを創出する。
-
試作(Prototype): アイディアを具体的な形(試作品)にする。
-
テスト(Test): 試作品を利用者に試してもらい、フィードバックを得て、プロセスを繰り返す。
問5 情報システム・モデル取引・契約書<第二版>
問5 “情報システム・モデル取引・契約書<第二版>” によれば,ウォ ーターフォール モデルによるシステム開発において,ユーザー (取得者)とベンダー (供給者)間で 請負型の契約を基本とするフェーズはどれか。
ア システム化計画フェ ーズから受入 ・導入支援フェ ーズまで
イ 要件定義フェ ーズから受入・導入支援フェーズまで
ウ 要件定義フェ ーズからシステム結合フェーズまで
エ システム内部設計フェ ーズからシステム結合フェーズまで
【正解】ウ
開発フェーズ(プログラミング、単体テスト、結合テストなど)は、要求仕様(設計書)に基づいて具体的に何を、いつまでに、いくらで作るかという「成果物」が明確になる。成果物が明確になり、かつベンダーの裁量で作業を進められるため、「成果物の完成」に対して報酬を支払う「請負契約」が基本となる。
準委託型と請負型の特徴は下表の通り。
| 準委任型 | 請負型 | |
| 契約目的 | 業務の遂行 | 業務の完成 |
| 成果物の完成責任 | なし | あり |
| 報酬の支払い | 一定期間ごと | 成果物の完成後 |
| 受託者の義務・責任 | 報告義務、善管注意義務 | 業務の完成、契約不適合責任 |
| 指揮命令権 | 受託者 | 受託者 |
| 著作権の帰属 | 委託社 | 受託者 |
問6 アンゾフの成長マトリクス
問6 アンゾフの成長マトリクスにおける多角化戦路に当てはまるものはどれか。
ア 新たな機能を付加した製品や新規に開発した製品を,現在の市場に投入する。
イ 技術開発,業務提携,MRAなどによって,新たな製品を新たな市場に投入し、成長の機会を求める。
ウ 現在の市場において現有製品の広告,及び宣伝を強化し、顧客の購入頻度や購入量を増やす。
エ 現有製品を海外市場に投入し、新たな市場セグメントの開拓を図る。
【正解】イ
アンゾフの成長マトリクスは、製品と市場の視点から,事業拡大の方向性を市場浸透・製品開発・市場開拓・多角化に分けて,戦略を検討する手法のこと。
| 製品/市場 | 既存市場 | 新規市場 |
| 既存製品 | 市場浸透戦略 | 新市場開拓戦略 |
| 新規製品 | 新製品開発戦略 | 多角化戦略 |
(ア)新製品開発戦略
(ウ)市場浸透戦略
(エ)新市場開拓戦略
問7 アドエクスチェンジ
問7 アドエクスチェンジの説明はどれか。
ア インタ ーネット上の複数の広告媒体を束ねて,広告枠を管理し、入札型インプレ ッション課金と呼ばれるオークション形式のリアルタイム入札によって,広告枠ごとに掲載する広告を決定する仕組み
イ 企業や起業家がインターネット上で事業資金を必要とする目的や内容を告知し、資金提供者を募集する仕組み
ウ 検索エンジンに入力された検索語句に連動して広告を表示し,これがクリックされた量に応じて,広告主から広告料を徴収する仕組み
エ ネットオークションなどで,落札者が出品者に代金の支払を行ったにもかかわらず出品者が商品を送らないといったトラブルを防ぐために,売り手と買い手の間に 入り代金の支払を仲介する仕組み
【正解】ア
アドエクスチェンジとは、広告の取引所のこと。複数のWebサイトやアプリ(広告媒体)の広告枠をまとめて取り扱い、広告主がリアルタイム入札(RTB:Real-Time Bidding)というオークション形式で、インプレッション(表示)ごとに広告枠を買い付けられるようにするプラットフォーム。これにより、広告主はターゲットとするユーザーに効率よく広告を配信でき、媒体側は収益を最大化できる。
(イ)クラウドファンティングの説明。
(ウ)検索連動型広告(リスティング広告)の説明。
(エ)エクスローサービスの説明。
問8 コーズリレーテッドマーケティング
問8 コーズリレーテッドマーケティングの特徴はどれか。
ア 顧客との継続的な取引関係を構築して維持することによって,顧客生涯価値を高 め,企業収益に貢献する。
イ 顧客の許可を得てから勧誘や広告活動を行うことによって,願客との長期的な信 頼関係や友好関係の形成を重視する。
ウ 商品の売上の一部をNPO法人に寄付するなど,社会貢献活動を支援する信条をア ピールし、販売促進に つなげる。
エ 蓄積された顧客情報を分析することによって,見込客の特定,的確な提案,顧客 の購買促進や顧客のロイヤルティ向上などに役立てる。
【正解】ウ
コーズリレーテッドマーケティング(Cause Related Marketing)とは、商品やサービスの売上によって得た利益の一部(または全部)を、NPO・NGOや国連機関などの組織に寄付することでイメージ向上を図るマーケティング手法のこと。
問9 ライフサイクルエクステンション
問9 ライフサイクルエクステンションの手法の例はどれか。
ア 自社にとっての新規市場に新製品を提供することによって,自社の延命を図る。
イ 新製品を高価格で設定することによって,短期の資金回収を図る。
ウ プロダクトライフサイクルの成熱期から衰退期にかけて,性能や品質の向上,機能やデザインの多様化などによって ,売上高の維持,増大を図る。
エ プロダクトライフサイクルの導入期から成長期にかけて,広告宣伝費を投入することによ って,製品の認知度向上を図る。
【正解】ウ
ライフサイクルエクステンション(Life Cycle Extension:PLC延長戦略)とは、製品が市場で成熟期や衰退期に入り売上が伸び悩んだり、減少し始めたりした際に、製品の寿命を延ばし、再び売上を回復・維持しようとする戦略のこと。
具体的には、製品の改良(性能・品質向上)、機能追加、パッケージやデザインの変更、新しい用途の提案、価格の見直しなどを行います。これにより、既存顧客の買い替えを促したり、新たな顧客層を獲得したりすることを狙う。
(ア)多角化戦略の説明
(イ)スキミング戦略の説明
(エ)市場浸透戦略の説明
問10 願客生涯価値を算出する際の考慮点
問10 一人の顧客に関する願客生涯価値を算出する際の考慮点として,適切なものはどれか。
ア 願客が紹介する他の顧客の購入見込みも対象とする。
イ 顧客の平均購入単価よりも年間購入回数を重視する。
ウ 商品を新しく買い換える行為は考慮しない。
エ 新製品のプロモ ーション費用は対象としない。
【正解】ア
顧客生涯価値は、一人の顧客が、取引開始から終了までの期間に、企業にもたらす利益の総額を推計したもの。
正確に算出するためには、単にその顧客自身による直接的な売上や利益だけでなく、その顧客が企業にもたらす間接的な貢献も考慮に入れる必要がある。
問11 顧客価値ヒエラルキー
問11 コトラーによれば、顧客価値ヒエラルキ ーとして五つの製品レベルを分類したときに, 表中の a に該当するものはどれか。
ア イノベーション
イ 既存製品
ウ 試作品
エ 中核ベネフィット
【正解】エ
コトラーの顧客価値ヒエラルキーとは、顧客が製品やサービスに求める価値を5つの段階(レベル)に分けて考えるためのフレームワークのこと。
「スマートフォン」に当てはめてみると、次のようになる。
-
核となる便益(Core Benefit): 「いつでも誰とでも連絡を取り、情報を得たい」
-
基本製品(Generic Product): 通話機能、画面、バッテリー、基本的なOS
-
期待製品(Expected Product): 壊れにくいこと、十分なバッテリー持ち、スムーズな操作性
-
拡大型製品(Augmented Product): 無料のクラウドストレージ、24時間サポート、独自の決済サービス
-
潜在製品(Potential Product): 完全なAR/VR統合、脳波コントロール機能など、現在実現はしていない未来の機能
問12 バランススコアカード
問12 バランススコアカードにおける業績評価指標のうち, “学習と成長の視点” に分類 されるものはどれか。
ア 顧客満足度調査の結果
イ 従業員の特許取得件数
ウ 従業員 一人当たりの売上高
エ 新規顧客獲得数
【正解】イ
バランススコアカードとは、企業のビジョンと戦略を実現するために、財務、顧客、内部ビジネスプロセス、学習と成長という四つの視点から事業活動を検討し、アクションプランまで具体化していくマネジメント手法。
(ア)顧客の視点
(ウ)財務の視点
(エ)顧客の視点
問13 SECIモデル
問13 SECI モデルにおいて,新たに創造された知識を組織に広め、新たな暗黙知として 習得するプロセスはどれか。
ア 共同化(Socialization)
イ 表出化(Externalization)
ウ 連結化(Combination)
エ 内面化(Internalization)
【正解】エ
SECIモデルとは、知識を創造するナレッジマネジメントの実践フレームワークのこと。
共同化→表出化→連結化→内面化の四つの手順を繰り返すことで、組織的な知識を獲得する。
| 説明 | 例 | |
| 共同化(Socialization) | 個人の暗黙知を組織の暗黙知にする | OJTなどを通して個人のノウハウを伝達する |
| 表出化(Externalization) | 組織の暗黙知を組織の形式知とする | 会社のもつノウハウをマニュアル化する |
| 連結化(Combination) | 組織の形式知を組み合わせて新たな組織の形式知とする | マニュアルを組み合わせて新マニュアルを作成する |
| 内面化(Internalization) | 組織の形式知から新たな個人の暗黙知を得る | マニュアルに記載された方法を実践し習得する |
問14 API エコノミー
問14 API エコノミーの事例として,適切なものはどれか
ア 既存の学内データベースのAPI を活用できるEAI (Enterprise Application Integration) ツールを使い,大学業務システムを短期間で再構築することによって経費を削減できた。
イ 自社で開発した音声合成システムの利用を促進するために,自部門で開発したAPI を自社内の他の部署に提供した。
ウ 不動産会社が自社で保持する顧客デ ータをBI (Business Intelligence)ツールのAPI を使って可視化することによって ,商圏における売上規模を分析できるようになった。
エ ホテル事業者が,他社が公開しているタクシ ー配車アプリのAPI を自社のアプリに組み込み,サービスを提供した。
【正解】エ
APIエコノミーとは、企業が自社の持つデータ、機能、サービスをAPI(Application Programming Interface)として外部に公開・提供し、他社(外部)がそのAPIを利用して新しいサービスや価値を創出し、その結果として経済圏(エコノミー)が拡大していく現象やビジネスモデル全体を指す。
問15 SoE(Systens of Engagement)
問15 企業システムにおけるSoE(Systens of Engagement) の説明はどれか。
ア 高可用性,拡張性,セキュリティを確保しながら情報システムを稼働させるためのハ ードウェア,ソフトウェアから構成されるシステム基盤
イ 社内業務プロセスに組み込まれ、定型業務を処理し ,結果を記録することによって省力化を実現するためのシステム
ウ データの活用を通じて,消費者や顧客企業とのつながりや関係性を深めるためのシステム
エ 日々の仕訳伝票を入力した上で, デ ータの改ざん,消失を防ぎながら取引データベースを維持管理することによって,財務報告を行うためのシステム
【正解】ウ
SoE (Systems of Engagement)とは、「顧客とのつながり」を意識したシステムのこと。
システム設計概念の用語として、他にSoR(Systems of Records)、SoI(Systems of Insight)がある。
| 特徴 | 具体的なツール、システム | |
| SoE (Systems of Engagement) | 顧客とのつながりを重視 | 会計、人事、受発注管理、など |
| SoR(Systems of Records) | 正確に記録することを重視 | グループウェア、CRM、電子メールなど |
| SoI(Systems of Insight) | 情報や分析から有用な洞察を得ることを重視 | BI、ERP、など |
問16 生産性指標
問16 生産性指標のうち,操業度を説明したものはどれか。
ア 工場全体の設備能力の利用度合いを,標準生産量に対する実際生産量の割合で表す。
イ 個人若しくはグループ,又は 一つの機械若しくは 一群の機械について,総実働時 間に対する有効作業時間 (直接作業時間)の割合で表す。
ウ 作業者一人一人の能率のことであり,計画工数に対する正味実工 数の割合で表す。
エ 従業員 一人当たりの生産額 (生産量)で表す。
【正解】ア
操業度とは、企業が持つ生産設備や人員の能力(キャパシティ)に対して、実際にどれだけの生産活動を行ったかを示す指標のこと。
設備をどれだけ有効に使っているかを測る。
問17 フィルターバブル
問17 SNSやWeb検索などに関して,イーライ・パリサーが提唱したフィルターバブルの記述として,適切なものはどれか。
ア PC やスマートフォンなど,使用する機器の性能やソフトウェアの機能に応じて、 利用者は情報へのアクセスにフィルターがかかっており、様々な格差が生じている。
イ SNS で一般のインタ ーネット利用者が発信する情報が増えたことによって,Web 検索の結果は非常に膨大なものとなり,個人による適切な情報収集が難しくなった。
ウ 広告収入を目的に、事実とは異なるフィルターのかかったニュ ースがSNSなどを通じて発信されるようになったので,正確な情報を検索することが困難になった。
エ 利用者の属性・行動などに応じ、好ましいと考えられる情報がより多く表示され、利用者は実社会とは隔てられたパーソナライズされた情報空間へと包まれる。
【正解】エ
フィルターバブルとは、利用者の過去の検索履歴、クリック履歴、位置情報、属性などのデータに基づき、「利用者が好むであろう」と推測される情報だけを優先的に表示する現象のこと。
問18 バスタブ曲線
問18 バスタブ曲線における偶発故障期間の特徴を説明したものはどれか。
ア 一旦下がった故障率が再び増加していく。
イ 故障率は時間の経過によらずほぼ一定となる。
ウ 最初は故障率が高く次第に故障率が低下していく。
エ 最初は故障率が低く徐々に増加していく。
【正解】イ
バスタブ曲線とは、製品やシステムの寿命全体における故障率の変化を模式的に表した曲線のこと。その形状が浴槽(バスタブ)に似ていることから名付けらた。
曲線は、以下の3つの期間に分けられる。
-
-
初期故障期間: 故障率が高く、時間とともに低下する。設計ミスや製造上の欠陥が原因。
-
偶発故障期間: 故障率が低く、時間によらずほぼ一定となる。予測不能な外的な要因や突然の負荷増加などが原因。
-
摩耗故障期間: 故障率が再び増加していく。部品の劣化や疲労、寿命などが原因。
-
問19 親和図
問19 親和図の特徴はどれか。
ア 原因と結果を対比させた図式表現であり、不良原因の追及に用いられる。
イ 錯綜した問題点や,まとまっていない意見、アイディアなどを整理し、まとめるために用いられる。
ウ 二つ以上の変数の相互関係を表すのに役立つ。
エ 分布の形,目標値からのばらつき状態などから、製品の品質の状態が規格値に対して満足いくものかなどを判断するために用いられる。
【正解】イ
親和図法は、KJ法とも呼ばれ、雑多で大量な言語データ(意見、アイディア、事実など)を収集し、それらの「親和性(似た傾向、関連性)」に基づいてグループ化し、整理・統合することで、潜在的な構造や本質的な問題を浮かび上がらせる手法のこと。
(ア)特性要因図の説明。
(ウ)散布図の説明。
(エ)ヒストグラムの説明。
問20 キャッシュフロー計算書
問20 キャッシュフロー計算書における,営業活動によるキャッシュフローは何万円か。
ア 44
イ 104
ウ 128
エ 188
【正解】ウ
キャッシュフローとは、会計上での現金利益や資金の流れのことで、三つに分類できる。
| 分類 | 説明 |
| 営業活動によるキャッシュフロー | 商品の仕入れや販売など企業本来の営業活動によって得られたキャッシュの増減額 |
| 投資活動によるキャッシュフロー | 設備投資や有価証券などへの投資によるキャッシュの増減額 |
| 財務活動によるキャッシュフロー | 外部からの資金の借入や返済などによるキャッシュの増減額 |
営業活動によるキャッシュ・フローは、次の計算で求めることができる。
108 + 42 - 60 + 30 + 40 - 32 = 128百万
問21 EVA(経済的付加価値)
問21 EVA(経済的付加価値)の算出方法を説明したものはどれか。
ア 効果の現在価値と投資額の差がゼロになる資本コストを求める。
イ 税引後営業利益から資本コストを引いて金額を求める。
ウ 投資額に対してどれだけ利益を生み出しているかを求める。
エ 投資額を回収するのに必要な期間(年数)を求める。
【正解】イ
EVA(Economic Value Added:経済的付加価値)は、収益性を評価する指標のこと。
企業が事業活動で得られた利益から資本コストを差し引いて金額を求める。
(ア)IRR(内部利益率)の説明。
(ウ)ROI(投資収益率)の説明。
(エ)回収期間法の説明。
問22 AI の学習データの著作権
問22 公衆への提供などが行われた他人の著作物を AI の学習データとして利用する行為に関して,著作権法に照らして適切なものはどれか。ただし ,著作物の利用は、AI による情報解析の範囲で行われ、著作物に表現された思想又は感情を享受することを目的とするものではない。また,日本国内で作成された著作物を日本国内で利用する場合であり、利用者と著作権者との間で特段の契約は存在しないものとする。
ア 他人の著作物から情報を抽出してAI に学習させる行為は、どのような条件にお いても,一切禁止されている。
イ 著作権者の許諾が得られた場合に限って,著作権者との合意の範囲内において,AI の学習に利用できる。
ウ 著作権者の利益を不当に害さない場合,その必要と認められる限度において,商業利用であるか否かを問わず、著作権者の許諾なくAI の学習に利用できる。
エ 著作権者の利益を不当に害する場合及び商業利用の場合を除いて ,著作権者の許諾なくAI の学習に利用できる。
【正解】ウ
AIによる学習(情報解析)のための著作物利用について、以下の要件を満たせば、著作権者の許諾なく利用できる。
-
利用目的: 情報解析の用に供する場合(著作物に表現された思想又は感情を享受することを目的としない)
-
利用の態様: その必要と認められる限度において
-
商業利用の有無: 商業利用であるか否かを問わず
-
制限事項: 著作権者の利益を不当に害することとなる場合を除く
問23 OCSP(Online Certificate Status Protocol)
問23 OCSP ク ライアントからOCSP レスポンダーへのリクエストとそのレスポンスに関する記述のうち、適切なものはどれか。
ア デジタル証明書全体をOCSP レスポンダーに送信し,そのレスポンスでデジタル証明書の有効性を確認する。
イ デジタル証明書全体をOCSP レスポンダーに送信し、そのレスポンスとしてタイムスタンプトークンの発行を受ける。
ウ デジタル証明書のシリアル番号,証明書発行者の識別名(DN) のハッシュ値などをOCSP レスポンダーに送信し,そのレスポンスでデジタル証明書の有効性を確認する。
エ デジタル証明書のシリアル番号,証明書発行者の識別名(DN) のハッシュ値などをOCSP レスポンダーに送信し、そのレスポンスとしてタイムスタンプトークンの発行を受ける。
【正解】ウ
OCSP(Online Certificate Status Protocol)は、ディジタル証明書の有効性を問い合わせる手順を定めたプロトコルのこと。
証明書全体ではなくシリアル番号などの識別情報のみを送信する。
問24 マルウェアのファイル解析と検知を難しくする攻撃
問24 マルウェアが,その実行ファイルをターゲットの コンピュータのファイルシステム 上に生成せずに,メモリ上にだけ生成することによって,マルウェア対策ソフトが行うマルウェアのファイル解析と検知を難しくする攻撃はどれか。
ア 0Sコマンドインジェクション攻撃
イ カミンスキー攻撃
ウ クロスサイトスクリプティング攻撃
エ ファイルレス攻撃
【正解】エ
ファイルレス攻撃(Fileless Attack)は、その名の通り、ファイル(実行ファイル)を使用しない、またはファイルをシステムに書き込まない攻撃手法のこと。
従来のマルウェア対策ソフトは、ファイルシステム上の不審なファイルをスキャンして検知することが主流だが、ファイルを使用しないのでファイル解析に基づく従来のセキュリティ対策を回避しやすく、検知が非常に困難になります。
問25 政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準
問25 “政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準(今和5年9月22日最終改定)”に関する記述のうち、適切なものはどれか 。
ア ISMAP 管理基準は、ガバナンス基準、マネジメント基準、管理策基準,監査基準 の四つから構成されている。
イ ガバナンス基準の実施主体は経営陣であり,情報セキュリティガバナンスのプロセスとして,評価,指示,モニタ,コミュニケーション及び保証の各プロセスが定められている。
ウ 管理策基準は,管理者が実施すべき事項として,情報セキュリティマネジメントの計画、実行,点検,処置及びリスクコミュニケ ーションに必要な事項を定めている
エ マネジメント基準は,組織における情報セキュリティマネジメントの確立段階に おいて,リスク対応方針に従って管理策を選択する際の選択肢を与えている。
【正解】イ
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度のこと。
出典:ISMAP(https://www.ismap.go.jp/csm)
ISMAP管理基準は、①ガバナンス基準、②マネジメント基準、③管理策基準の3種類から構成される。
関連リンク集
- 令和5年度春季午前2 問題と解説
- 令和4年度春季午前2 問題と解説
- 令和3年度春季午前2 問題と解説
- 令和元年度秋季午前2 問題と解説
- 平成30年度秋季午前2 問題と解説
- 平成29年度秋季午前2 問題と解説
- 平成28年度秋季午前2 問題と解説
- 平成27年度秋季午前2 問題と解説
参考書
ALL IN ONE オールインワン パーフェクトマスター ITストラテジスト 2023年度版
IT ストラテジスト試験で実施される午前 Ⅱ、午後 Ⅰ、午後 Ⅱ の 3 つの専門試験すべての対策ができるオールインワンのテキスト&問題集。
ITストラテジスト 合格論文の書き方・事例集
ITストラジテジスと試験で実施される午後 Ⅱ の論文に特化したテキスト。
