問1 AI システムが読み込む画像などの学習データの管理を対象としてシステム監査を 実施した。 判明した状況のうち, 監査人が, 指摘事項として監査報告書に記載すべきものはどれか。
目次
ア AI システムの学習期間中における学習データの責任追跡性を確保するために, 当該データを保管するサーバのアクセスログを取得し、定期的に確認を行っていた。 イ 学習データが消失した場合,当該データを保管するサーバのバックアップを利用 し, AIシステムで学習を再開することを定めていた。 ウ 学習データの機密性の確保に際して, データを保管するサーバでアクセス制御の 仕組みを実装していた。 エ 学習の基礎となるデータの信頼性の確保について, AI であれば問題ないとの憶測に基づき, 実績のない AIシステムに判断させたデータを利用していた。 正解:エ ア 監査の対象となる期間が1年を超える場合に限り, ISMAP クラウドサービスリストにおいて監査対象期間を公開しなければならない。 イ 監査の対象となる期間は最大1年である。 ウ 監査の対象となる期間を1年とする場合, ISMAP クラウドサービスリストにおいて監査対象期間は公開されない。 エ 監査の対象となる期間を1年より短くする場合には, 1か月の最低運用期間を経る必要がある。 正解:イ ア 監査基準に関連し, かつ, 検証できる, 記録, 事実の記述又はその他の情報 イ 監査のための活動及び手配事項を示すもの ウ 客観的証拠と比較する基準として用いる一連の要求事項 エ 特定の目的に向けた, 決められた期間内で実行するように計画された一連の監査に関する取決め 正解:エ ア 監査対象部門から事前に入手した資料を閲覧し, 監査対象の詳細や業務分掌の体制などを把握する。 イ 監査テーマに基づいて, 監査項目を設定し, 監査手続を策定し, 個別監査計画書に記載する。 ウ 経営トップにインタビューを行い, 現在抱えている問題についての認識を確認することによって, システム監査に対するニーズを把握し, 監査目的を決定する。 エ 個別監査計画を策定するために, 監査スケジュールについて監査対象部門と調整を図る。 正解:ア ア 監査調書に記載された監査人の所見,当該事実を裏づける監査証拠などについて監査対象部門との間で意見交換会は行わない。 イ 監査調書に記載された不備を指摘事項として報告する場合には、 全ての不備を監査報告書に記載する。 ウ 監査の結論を形成した後で、結論に至ったプロセスを監査調書に記録する。 エ 保証を目的とした監査であれ, 助言を目的とした監査であれ, 監査の結論を表明するための合理的な根拠を得るまで監査手続を実施する。 正解:エ ア システム監査人が, 監査対象の詳細を記録として残しておくために, 予備調査時に収集した資料だけをファイリングしたものである。 イ システム監査人が, 監査の結論に至った過程を明らかにするために,予備調査時に立てた仮説を文書化したものである。 ウ システム監査人が行ったインタビューの記録については、口頭で入手した証拠であるので,監査調書として保存しなくてもよい。 エ システム監査人は,作成した監査調書を所属する組織の文書管理規程に従って体系的に整理し, 保管するとともに, 権限のある者だけが利用できるようにする。 正解:エ ア 証拠としての質的十分性を備え, 証拠の保管要件に適合し,かつ, 偽造されていないことが確認された証拠 イ 証拠としての質的十分性を備え, 法令及び組織の内部規則に適合し,かつ, 適切な方法によって入手された証拠 ウ 証拠としての量的十分性を備え, システム管理基準に適合し,かつ, 情報システムから出力された証拠 エ 証拠としての量的十分性を備え, 確かめるべき事項に適合し,かつ, 証明力を備えた証拠 正解:エ ア 会計基準や法人税法などの改正を調査した上で, システムの変更要件を定義し, 承認を得る。 イ 固定資産情報の登録に伴って耐用年数をシステム入力する際に, 法人税法の耐用年数表との突合せを行う。 ウ システムで自動計算された減価償却費のうち, 製造原価に配賦されるべき金額の振替仕訳伝票を起票する。 エ システムに登録された固定資産情報と固定資産の棚卸結果とを照合して,除却・売却処理に漏れがないことを確認する。 正解:ア ア 債権データ生成時における, 得意先コードを用いた得意先マスターと債権データとの自動マッチング イ 債権データの金額項目のフォーマットチェック ウ スプレッドシートを用いた売掛債権回転期間の前年同期比較チェック エ 正規の権限者による操作に限定するアクセスコントロール 正解:ウ ア 出力情報の受渡し 配布を管理する受渡簿の作成 イ データを検証するコントロールトータルの組込み ウ 入力画面における商品コードの実在性チェック エ プログラム作成における上位者によるロジックのレビュー 正解:エ ア CSF → KPI → SLO イ KPI → CSF → SLO ウ KPI → SLO → CSF エ SLO → CSF → KPI 正解:ア ア A 案 B 案 ウ C案 エ D 案 正解:ウ ア 国及び地方公共団体, 並びにこれに準ずる公的機関は, 公共の福祉を目的として他者の著作物を使用する場合, 著作権者に使用料を支払う必要がないという考え方 イ 著作権者は, 著作権使用料の徴収を第三者に委託することが認められており、委託を受けた著作権管理団体はその徴収を公平に行わなければならないという考え方 ウ 著作物の利用に当たっては,その内容や題号を公正に取り扱うため、 著作者の意に反し、利用者が勝手に変更, 切除その他の改変を行ってはならないという考え方 エ 批評, 解説, ニュース報道, 教授, 研究, 調査などといった公正な目的のためであれば,一定の範囲での著作物の利用は,著作権の侵害に当たらないという考え方 正解:エ ア 売上額が一定の基準を下回る事業者は,経済産業大臣から “特定デジタルプラットフォーム提供者”として認定されることによって, 保護を受けることができる。 イ “特定デジタルプラットフォーム提供者”は, サービスの透明性・公正性を確保するため, 独立性が認められており, 国などから規制を受けることはない。 ウ “特定デジタルプラットフォーム提供者” は、商品等提供利用者に対して, デジタルプラットフォームの提供を拒絶する場合における判断の基準を開示する必要はない。 エ“特定デジタルプラットフォーム提供者” は,毎年度、事業概要や苦情処理などの所定の事項を記載した報告書を経済産業大臣に提出しなければならない。 正解:エ ア A社が,その方法を指定した上で目的物の修補, 代替物又は不足分の引渡しの請求を行った場合, B社は, A社が指定した方法に必ず従う必要がある。 イ A社には,契約不適合の程度に応じた目的物の修補, 代替物又は不足分の引渡し, 損害賠償, 契約の解除, 及び履行の追完請求を行ったが履行の追完がなされない場合における代金の減額を求める権利がある。 ウ A社は,目的物の修補, 代替物又は不足分の引渡しの請求を行う場合, 成果物の引渡しから1年以内に請求をしなければならない。 エ契約不適合責任は,無過失責任に該当するので, B 社の帰責事由の有無にかかわらず, A社には損害賠償請求が認められる。 正解:イ ア SL理論 イ Y理論 ウ コンピテンシーモデル エ マズローの欲求段階説 正解:ア ア 認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言 イ 認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言 ウ 認証局の認証業務の運用などに関する詳細を規定した文書 エ 認証局を監査する第三者機関の運用などに関する詳細を規定した文書 正解:ウ ア 暗号技術の調査を行い, 電子政府における調達のために参照すべき暗号のリストを公表するためのプロジェクト イ 検知したサイバー攻撃の情報を公的機関に集約し, 高度なサイバー攻撃対策につなげていく取組 ウ 制御システムにおけるセキュリティマネジメントシステムの認証制度ぜい エ 脆弱性関連情報の発見から公表に至るまでの対処プロセス 正解:イ ア 対策を講じることによって, リスクを修正するプロセス イ リスクとその大きさが受容可能か否かを決定するために, リスク分析の結果をリスク基準と比較するプロセス ウ リスクの特質を理解し, リスクレベルを決定するプロセス エ リスクの発見、認識及び記述を行うプロセス 正解:イ ア PC に不正アクセスし, その PC のリソースを利用して, 暗号資産のマイニングを行う攻撃 イ 暗号資産取引所の Web サイトに不正ログインを繰り返し、取引所の暗号資産を盗む攻撃 ウ 巧妙に細工した電子メールのやり取りによって, 企業の担当者をだまし、攻撃者の用意した暗号資産口座に送金させる攻撃 エ マルウェア感染した PC に制限を掛けて利用できないようにし, その制限の解除と引換えに暗号資産を要求する攻撃 正解:ア ア “指定送付先” を指定する際, “付加情報” 表のどの行でも選択できる。 イ“付加情報” と “顧客” 表の行数は一致していなければならない。 ウ “付加情報” 表には “顧客” 表に対する参照制約を指定する。 エ“付加情報” 表には “注文” 表に対する参照制約を指定する。 正解:ウ 問22 スイッチングハブ同士を接続する際に, 複数のポートを束ねて一つの論理ポートとして扱う技術はどれか。 ア MIME イ MIMO ウ マルチパート エ リンクアグリゲーション 正解:エ a 参加者全員が持ち回りでレビュー責任者を務めながらレビューを行うので、参加者全員の参画意欲が高まる。 b レビュー対象物の作成者が説明者になって, 参加者は質問をし,かつ, 要検討事項となり得るものについてコメントしてレビューを行う。 c 資料を事前に準備し, 進行役の議長や読み上げ係といった, 参加者の役割をあらかじめ決めておくとともに, 焦点を絞って厳密にレビューし、結果を分析して,レビュー対象物を公式に評価する。 正解:エ ア 規模の経済性 イ業者間の敵対関係 ウ 仕入先の集中度 エ 流通チャネルの確保 正解:イ ア 消費者は,他のブランドへの乗換えにほとんど抵抗感がないので、目新しさや多様性を求めて、 様々なブランドの製品を試しに購入する行動が見られる。 イ 消費者は,どのブランドも同じようだと感じるので,いつも購入している, 最初に目に付いた,単に知っているなどを理由にブランドを選ぶ傾向がある。 ウ 消費者は,どのブランドを購入すればよいか見分けがつかないまま購入し, その後にブランドの評価を行うので、購入後に何らかの後悔を感じる傾向がある。 エ 消費者は,まずブランド間の差異を認識した上で、 様々な観点でブランド間の違いの分析・評価を繰り返した後に, 最終的に購入するブランドを決定する。 正解:ウ 問1 正解: エAIシステムの学習データ管理において、実績のないAIシステムに判断させたデータを利用することは、データの信頼性を損なう重大な問題です。システム監査人はこのような不適切な慣行を指摘すべきです。 問2 正解: イISMAPの標準監査手続では、監査の対象となる期間は最大1年と定められています。これは、クラウドサービスの変化の速さを考慮し、定期的な評価を確保するためです。 問3 正解: エJIS Q 19011:2019における「監査プログラム」の定義は、特定の目的に向けた、決められた期間内で実行するように計画された一連の監査に関する取決めを指します。 問4 正解: ア予備調査の段階では、監査対象の詳細や業務分掌の体制を把握するために、事前に入手した資料を閲覧することが適切です。これにより、効果的な監査計画の策定が可能になります。 問5 正解: エシステム監査基準では、監査の種類に関わらず、結論を表明するための合理的な根拠を得るまで監査手続を実施することが求められています。これは監査の信頼性を確保するために重要です。 問6 正解: エ監査調書は重要な監査証拠であり、適切に管理されるべきです。組織の文書管理規程に従って整理・保管し、アクセス制御を行うことは、監査の信頼性と機密性を確保する上で不可欠です。 問7 正解: エ十分かつ適切な監査証拠は、量的十分性を備え、確かめるべき事項に適合し、証明力を備えている必要があります。これらの要素が監査結論の信頼性を支えます。 問8 正解: ア固定資産管理システムのIT全般統制として、法改正に基づくシステム変更要件の定義と承認は適切です。これにより、システムの継続的な適合性が確保されます。 問9 正解: ウ売掛債権回転期間の前年同期比較は、債権残高の異常を検出する効果的な方法です。この分析により、回収の遅れや異常な増加を識別できます。 問10 正解: エプログラム作成における上位者によるロジックのレビューは、IT全般統制の一部です。これにより、プログラムの品質と整合性が確保されます。 問11 正解: アSLA作成の適切な順序は、まずCSF(重要成功要因)を特定し、それに基づいてKPI(重要業績評価指標)を設定し、最後にSLO(サービスレベル項目)を決定することです。 問12 正解: ウTCO(総所有費用)が最小のものはC案です。3年間の総費用(開発費用+運用費用×3年)を比較すると、C案が最も低コストとなります。 問13 正解: エフェアユースは、一定の条件下で著作物を著作権者の許可なく利用できる概念です。これは、批評、教育、研究などの目的で著作物を利用する際の柔軟性を提供します。 問14 正解: ア 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律では、一定規模以上の事業者が規制対象となります。小規模事業者は認定を受けることで対象となる可能性があります。· 問15 正解: イ電子署名法では、電子署名が本人によるものであることを確認するための措置として、電子証明書の発行が規定されています。これにより、電子署名の信頼性と法的有効性が確保されます。 問16 正解: ウ個人情報保護法における「仮名加工情報」は、他の情報と照合しない限り特定の個人を識別できないように加工した情報です。これにより、個人情報の利活用と保護のバランスを取ることが可能になります。 問17 正解: エISO/IEC 27001:2022では、情報セキュリティマネジメントシステム(ISMS)の継続的改善のためのPDCAサイクルが重視されています。このアプローチにより、組織は常に変化するセキュリティ脅威に対応できます。 問18 正解: イ情報セキュリティ10大脅威2023において、「サプライチェーンの弱点を悪用した攻撃」が組織向け脅威の第1位となっています。これは、取引先や委託先を通じた間接的な攻撃の危険性が高まっていることを示しています。 問19 正解: ウNIST SP 800-53 Rev.5では、セキュリティ管理策のカテゴリーの一つとして「リスクアセスメント」が含まれています。これは、組織のセキュリティリスクを特定し評価するための重要な要素です。 問20 正解: イNIST SP 800-61 Rev.2では、インシデント対応のライフサイクルとして、「準備」「検知と分析」「封じ込め、根絶、復旧」「インシデント後の活動」の4段階が定義されています。これにより、体系的なインシデント対応が可能になります。 問21 正解: ウUMLのデータモデルを関係データベースに実装する際、「付加情報」表には「顧客」表に対する参照制約を指定します。これは、「付加情報」が「顧客」に従属する関係を表現するためです。 問22 正解: エスイッチングハブ同士を接続する際に、複数のポートを束ねて一つの論理ポートとして扱う技術は「リンクアグリゲーション」です。この技術により、帯域幅の拡大と冗長性の確保が可能になります。 問23 正解: エレビューの種類と説明の組み合わせについて、aはラウンドロビンレビュー、bはウォークスルー、cはインスペクションを指しています。これらの手法は、ソフトウェア開発プロセスにおける品質保証の重要な要素です。 問24 正解: イファイブフォース分析において、図中のaに入る要因は「業者間の敵対関係」です。これは、業界内での競争の激しさを表す中心的な要因であり、企業の戦略立案に重要な影響を与えます。 問25 正解: ウヘンリー・アサエルの消費者購買行動モデルにおいて、不協和低減型に分類される製品に対する消費者行動は、「消費者は、どのブランドを購入すればよいか見分けがつかないまま購入し、その後にブランドの評価を行うので、購入後に何らかの後悔を感じる傾向がある」というものです。これは、高関与だがブランド間の差異が小さい製品カテゴリーに典型的に見られる行動パターンです。 共有: いいね:
ア AI システムの学習期間中における学習データの責任追跡性を確保するために, 当該データを保管するサーバのアクセスログを取得し、定期的に確認を行っていた。 イ 学習データが消失した場合,当該データを保管するサーバのバックアップを利用 し, AIシステムで学習を再開することを定めていた。 ウ 学習データの機密性の確保に際して, データを保管するサーバでアクセス制御の 仕組みを実装していた。 エ 学習の基礎となるデータの信頼性の確保について, AI であれば問題ないとの憶測に基づき, 実績のない AIシステムに判断させたデータを利用していた。 正解:エ 問2 “政府情報システムのためのセキュリティ評価制度 (ISMAP) 標準監査手続” における“監査の対象となる期間” の記述のうち, 適切なものはどれか。
ア 監査の対象となる期間が1年を超える場合に限り, ISMAP クラウドサービスリストにおいて監査対象期間を公開しなければならない。 イ 監査の対象となる期間は最大1年である。 ウ 監査の対象となる期間を1年とする場合, ISMAP クラウドサービスリストにおいて監査対象期間は公開されない。 エ 監査の対象となる期間を1年より短くする場合には, 1か月の最低運用期間を経る必要がある。 正解:イ 問3 JIS Q 190112019 (マネジメントシステム監査のための指針) における,“監査プログラム”の定義はどれか。
ア 監査基準に関連し, かつ, 検証できる, 記録, 事実の記述又はその他の情報 イ 監査のための活動及び手配事項を示すもの ウ 客観的証拠と比較する基準として用いる一連の要求事項 エ 特定の目的に向けた, 決められた期間内で実行するように計画された一連の監査に関する取決め 正解:エ 問4 システム監査基準 (平成30年)において, システム監査人が実施する予備調査の作業として,適切なものはどれか。
ア 監査対象部門から事前に入手した資料を閲覧し, 監査対象の詳細や業務分掌の体制などを把握する。 イ 監査テーマに基づいて, 監査項目を設定し, 監査手続を策定し, 個別監査計画書に記載する。 ウ 経営トップにインタビューを行い, 現在抱えている問題についての認識を確認することによって, システム監査に対するニーズを把握し, 監査目的を決定する。 エ 個別監査計画を策定するために, 監査スケジュールについて監査対象部門と調整を図る。 正解:ア 問5 システム監査基準 (平成30年) の “監査の結論の形成” において規定されているシステム監査人の行為として、 適切なものはどれか。
ア 監査調書に記載された監査人の所見,当該事実を裏づける監査証拠などについて監査対象部門との間で意見交換会は行わない。 イ 監査調書に記載された不備を指摘事項として報告する場合には、 全ての不備を監査報告書に記載する。 ウ 監査の結論を形成した後で、結論に至ったプロセスを監査調書に記録する。 エ 保証を目的とした監査であれ, 助言を目的とした監査であれ, 監査の結論を表明するための合理的な根拠を得るまで監査手続を実施する。 正解:エ 問6 内部監査部門に所属するシステム監査人が実施する監査において, 監査調書に関する記述のうち, 最も適切なものはどれか。
ア システム監査人が, 監査対象の詳細を記録として残しておくために, 予備調査時に収集した資料だけをファイリングしたものである。 イ システム監査人が, 監査の結論に至った過程を明らかにするために,予備調査時に立てた仮説を文書化したものである。 ウ システム監査人が行ったインタビューの記録については、口頭で入手した証拠であるので,監査調書として保存しなくてもよい。 エ システム監査人は,作成した監査調書を所属する組織の文書管理規程に従って体系的に整理し, 保管するとともに, 権限のある者だけが利用できるようにする。 正解:エ 問7 システム監査基準 (平成 30 年) における “十分かつ適切な監査証拠” を説明したものはどれか。
ア 証拠としての質的十分性を備え, 証拠の保管要件に適合し,かつ, 偽造されていないことが確認された証拠 イ 証拠としての質的十分性を備え, 法令及び組織の内部規則に適合し,かつ, 適切な方法によって入手された証拠 ウ 証拠としての量的十分性を備え, システム管理基準に適合し,かつ, 情報システムから出力された証拠 エ 証拠としての量的十分性を備え, 確かめるべき事項に適合し,かつ, 証明力を備えた証拠 正解:エ 問8 固定資産管理システムのITに係る全般統制として, 最も適切なものはどれか。
ア 会計基準や法人税法などの改正を調査した上で, システムの変更要件を定義し, 承認を得る。 イ 固定資産情報の登録に伴って耐用年数をシステム入力する際に, 法人税法の耐用年数表との突合せを行う。 ウ システムで自動計算された減価償却費のうち, 製造原価に配賦されるべき金額の振替仕訳伝票を起票する。 エ システムに登録された固定資産情報と固定資産の棚卸結果とを照合して,除却・売却処理に漏れがないことを確認する。 正解:ア 問9 債権管理システムから出力された債権残高の集計処理結果を用いて, 経理部門が事後的に実施できる, 債権残高に関する異常の有無の検証に有効な方法はどれか。
ア 債権データ生成時における, 得意先コードを用いた得意先マスターと債権データとの自動マッチング イ 債権データの金額項目のフォーマットチェック ウ スプレッドシートを用いた売掛債権回転期間の前年同期比較チェック エ 正規の権限者による操作に限定するアクセスコントロール 正解:ウ 問10 ITの統制活動のうち, ITに係る全般統制に該当するものはどれか。
ア 出力情報の受渡し 配布を管理する受渡簿の作成 イ データを検証するコントロールトータルの組込み ウ 入力画面における商品コードの実在性チェック エ プログラム作成における上位者によるロジックのレビュー 正解:エ 問11 SLA を作成する際に, サービスレベル項目 (SL0), 重要業績評価指標 (KPI), 重要成功要因 (CSF) の三つを検討する。 検討する順序のうち, 最も適切なものはどれか。
ア CSF → KPI → SLO イ KPI → CSF → SLO ウ KPI → SLO → CSF エ SLO → CSF → KPI 正解:ア 問12 新システムの開発を計画している。 提案された4案の中で, TCO (総所有費用)が最小のものはどれか。ここで,このシステムは開発後, 3年間使用するものとする。
ア A 案 B 案 ウ C案 エ D 案 正解:ウ 問13 フェアユースの説明はどれか。
ア 国及び地方公共団体, 並びにこれに準ずる公的機関は, 公共の福祉を目的として他者の著作物を使用する場合, 著作権者に使用料を支払う必要がないという考え方 イ 著作権者は, 著作権使用料の徴収を第三者に委託することが認められており、委託を受けた著作権管理団体はその徴収を公平に行わなければならないという考え方 ウ 著作物の利用に当たっては,その内容や題号を公正に取り扱うため、 著作者の意に反し、利用者が勝手に変更, 切除その他の改変を行ってはならないという考え方 エ 批評, 解説, ニュース報道, 教授, 研究, 調査などといった公正な目的のためであれば,一定の範囲での著作物の利用は,著作権の侵害に当たらないという考え方 正解:エ 問14 “特定デジタルプラットフォームの透明性及び公正性の向上に関する法律” における“特定デジタルプラットフォーム提供者” に関する規定として、 適切なものはどれか。
ア 売上額が一定の基準を下回る事業者は,経済産業大臣から “特定デジタルプラットフォーム提供者”として認定されることによって, 保護を受けることができる。 イ “特定デジタルプラットフォーム提供者”は, サービスの透明性・公正性を確保するため, 独立性が認められており, 国などから規制を受けることはない。 ウ “特定デジタルプラットフォーム提供者” は、商品等提供利用者に対して, デジタルプラットフォームの提供を拒絶する場合における判断の基準を開示する必要はない。 エ“特定デジタルプラットフォーム提供者” は,毎年度、事業概要や苦情処理などの所定の事項を記載した報告書を経済産業大臣に提出しなければならない。 正解:エ 問15 A 社は, B 社にソフトウェアの開発を委託し、 それを稼働させるためのサーバとクライアントPC を購入したところ, 目的物となる納品物が, 契約内容に適合しない事実を知った。 民法の契約不適合責任に関する記述として適切なものはどれか。ただし,A社とB社の間で契約不適合責任に関する特約は合意されていないものとする。
ア A社が,その方法を指定した上で目的物の修補, 代替物又は不足分の引渡しの請求を行った場合, B社は, A社が指定した方法に必ず従う必要がある。 イ A社には,契約不適合の程度に応じた目的物の修補, 代替物又は不足分の引渡し, 損害賠償, 契約の解除, 及び履行の追完請求を行ったが履行の追完がなされない場合における代金の減額を求める権利がある。 ウ A社は,目的物の修補, 代替物又は不足分の引渡しの請求を行う場合, 成果物の引渡しから1年以内に請求をしなければならない。 エ契約不適合責任は,無過失責任に該当するので, B 社の帰責事由の有無にかかわらず, A社には損害賠償請求が認められる。 正解:イ 問16 リーダーシップを“タスク志向”と“人間関係志向”の強弱で四つの型に分し, 部下の成熟度によって, 有効なリーダーシップの型が変化するとしたものはどれか。
ア SL理論 イ Y理論 ウ コンピテンシーモデル エ マズローの欲求段階説 正解:ア 問17 公開鍵基盤における CPS (Certification Practice Statement) に該当するものはどれか。
ア 認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言 イ 認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言 ウ 認証局の認証業務の運用などに関する詳細を規定した文書 エ 認証局を監査する第三者機関の運用などに関する詳細を規定した文書 正解:ウ 問18 “サイバー情報共有イニシアティブ (J-CSIP)” の説明はどれか。
ア 暗号技術の調査を行い, 電子政府における調達のために参照すべき暗号のリストを公表するためのプロジェクト イ 検知したサイバー攻撃の情報を公的機関に集約し, 高度なサイバー攻撃対策につなげていく取組 ウ 制御システムにおけるセキュリティマネジメントシステムの認証制度ぜい エ 脆弱性関連情報の発見から公表に至るまでの対処プロセス 正解:イ 問19 JIS Q 27000:2019 (情報セキュリティマネジメントシステム用語)におけるリスク評価についての説明として、 適切なものはどれか。
ア 対策を講じることによって, リスクを修正するプロセス イ リスクとその大きさが受容可能か否かを決定するために, リスク分析の結果をリスク基準と比較するプロセス ウ リスクの特質を理解し, リスクレベルを決定するプロセス エ リスクの発見、認識及び記述を行うプロセス 正解:イ 問20 クリプトジャッキングに該当するものはどれか。
ア PC に不正アクセスし, その PC のリソースを利用して, 暗号資産のマイニングを行う攻撃 イ 暗号資産取引所の Web サイトに不正ログインを繰り返し、取引所の暗号資産を盗む攻撃 ウ 巧妙に細工した電子メールのやり取りによって, 企業の担当者をだまし、攻撃者の用意した暗号資産口座に送金させる攻撃 エ マルウェア感染した PC に制限を掛けて利用できないようにし, その制限の解除と引換えに暗号資産を要求する攻撃 正解:ア 問21 UML を用いて表した図のデータモデルを関係データベース上に実装する際の解釈のうち,適切なものはどれか。
ア “指定送付先” を指定する際, “付加情報” 表のどの行でも選択できる。 イ“付加情報” と “顧客” 表の行数は一致していなければならない。 ウ “付加情報” 表には “顧客” 表に対する参照制約を指定する。 エ“付加情報” 表には “注文” 表に対する参照制約を指定する。 正解:ウ 問22 スイッチングハブ同士を接続する際に, 複数のポートを束ねて一つの論理ポートとして扱う技術はどれか。 ア MIME イ MIMO ウ マルチパート エ リンクアグリゲーション 正解:エ 問23 a~c の説明に対応するレビューの名称として、 適切な組合せはどれか。
a 参加者全員が持ち回りでレビュー責任者を務めながらレビューを行うので、参加者全員の参画意欲が高まる。 b レビュー対象物の作成者が説明者になって, 参加者は質問をし,かつ, 要検討事項となり得るものについてコメントしてレビューを行う。 c 資料を事前に準備し, 進行役の議長や読み上げ係といった, 参加者の役割をあらかじめ決めておくとともに, 焦点を絞って厳密にレビューし、結果を分析して,レビュー対象物を公式に評価する。 正解:エ 問24 ファイブフォース分析は, 業界構造を, 業界内で競争が激化する五つの要因を用いて図のように説明している。図中のaに入る要因はどれか。
ア 規模の経済性 イ業者間の敵対関係 ウ 仕入先の集中度 エ 流通チャネルの確保 正解:イ 問25 消費者行動研究者ヘンリー・アサエルは,消費者と製品との関わりの程度と, 消費者がブランド間の違いを知覚できる程度によって, 消費者の購買行動が異なるとし, 図に示す四つの製品タイプ (型) を導出した。 この図において, 不協和低減型に分類 される製品に対する消費者の行動はどれか。 ここで, ア~エは,いずれかの型に対する消費者の行動に該当するものとする。
ア 消費者は,他のブランドへの乗換えにほとんど抵抗感がないので、目新しさや多様性を求めて、 様々なブランドの製品を試しに購入する行動が見られる。 イ 消費者は,どのブランドも同じようだと感じるので,いつも購入している, 最初に目に付いた,単に知っているなどを理由にブランドを選ぶ傾向がある。 ウ 消費者は,どのブランドを購入すればよいか見分けがつかないまま購入し, その後にブランドの評価を行うので、購入後に何らかの後悔を感じる傾向がある。 エ 消費者は,まずブランド間の差異を認識した上で、 様々な観点でブランド間の違いの分析・評価を繰り返した後に, 最終的に購入するブランドを決定する。 正解:ウ
解答と解説
問1 正解: エAIシステムの学習データ管理において、実績のないAIシステムに判断させたデータを利用することは、データの信頼性を損なう重大な問題です。システム監査人はこのような不適切な慣行を指摘すべきです。 問2 正解: イISMAPの標準監査手続では、監査の対象となる期間は最大1年と定められています。これは、クラウドサービスの変化の速さを考慮し、定期的な評価を確保するためです。 問3 正解: エJIS Q 19011:2019における「監査プログラム」の定義は、特定の目的に向けた、決められた期間内で実行するように計画された一連の監査に関する取決めを指します。 問4 正解: ア予備調査の段階では、監査対象の詳細や業務分掌の体制を把握するために、事前に入手した資料を閲覧することが適切です。これにより、効果的な監査計画の策定が可能になります。 問5 正解: エシステム監査基準では、監査の種類に関わらず、結論を表明するための合理的な根拠を得るまで監査手続を実施することが求められています。これは監査の信頼性を確保するために重要です。 問6 正解: エ監査調書は重要な監査証拠であり、適切に管理されるべきです。組織の文書管理規程に従って整理・保管し、アクセス制御を行うことは、監査の信頼性と機密性を確保する上で不可欠です。 問7 正解: エ十分かつ適切な監査証拠は、量的十分性を備え、確かめるべき事項に適合し、証明力を備えている必要があります。これらの要素が監査結論の信頼性を支えます。 問8 正解: ア固定資産管理システムのIT全般統制として、法改正に基づくシステム変更要件の定義と承認は適切です。これにより、システムの継続的な適合性が確保されます。 問9 正解: ウ売掛債権回転期間の前年同期比較は、債権残高の異常を検出する効果的な方法です。この分析により、回収の遅れや異常な増加を識別できます。 問10 正解: エプログラム作成における上位者によるロジックのレビューは、IT全般統制の一部です。これにより、プログラムの品質と整合性が確保されます。 問11 正解: アSLA作成の適切な順序は、まずCSF(重要成功要因)を特定し、それに基づいてKPI(重要業績評価指標)を設定し、最後にSLO(サービスレベル項目)を決定することです。 問12 正解: ウTCO(総所有費用)が最小のものはC案です。3年間の総費用(開発費用+運用費用×3年)を比較すると、C案が最も低コストとなります。 問13 正解: エフェアユースは、一定の条件下で著作物を著作権者の許可なく利用できる概念です。これは、批評、教育、研究などの目的で著作物を利用する際の柔軟性を提供します。 問14 正解: ア 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律では、一定規模以上の事業者が規制対象となります。小規模事業者は認定を受けることで対象となる可能性があります。· 問15 正解: イ電子署名法では、電子署名が本人によるものであることを確認するための措置として、電子証明書の発行が規定されています。これにより、電子署名の信頼性と法的有効性が確保されます。 問16 正解: ウ個人情報保護法における「仮名加工情報」は、他の情報と照合しない限り特定の個人を識別できないように加工した情報です。これにより、個人情報の利活用と保護のバランスを取ることが可能になります。 問17 正解: エISO/IEC 27001:2022では、情報セキュリティマネジメントシステム(ISMS)の継続的改善のためのPDCAサイクルが重視されています。このアプローチにより、組織は常に変化するセキュリティ脅威に対応できます。 問18 正解: イ情報セキュリティ10大脅威2023において、「サプライチェーンの弱点を悪用した攻撃」が組織向け脅威の第1位となっています。これは、取引先や委託先を通じた間接的な攻撃の危険性が高まっていることを示しています。 問19 正解: ウNIST SP 800-53 Rev.5では、セキュリティ管理策のカテゴリーの一つとして「リスクアセスメント」が含まれています。これは、組織のセキュリティリスクを特定し評価するための重要な要素です。 問20 正解: イNIST SP 800-61 Rev.2では、インシデント対応のライフサイクルとして、「準備」「検知と分析」「封じ込め、根絶、復旧」「インシデント後の活動」の4段階が定義されています。これにより、体系的なインシデント対応が可能になります。 問21 正解: ウUMLのデータモデルを関係データベースに実装する際、「付加情報」表には「顧客」表に対する参照制約を指定します。これは、「付加情報」が「顧客」に従属する関係を表現するためです。 問22 正解: エスイッチングハブ同士を接続する際に、複数のポートを束ねて一つの論理ポートとして扱う技術は「リンクアグリゲーション」です。この技術により、帯域幅の拡大と冗長性の確保が可能になります。 問23 正解: エレビューの種類と説明の組み合わせについて、aはラウンドロビンレビュー、bはウォークスルー、cはインスペクションを指しています。これらの手法は、ソフトウェア開発プロセスにおける品質保証の重要な要素です。 問24 正解: イファイブフォース分析において、図中のaに入る要因は「業者間の敵対関係」です。これは、業界内での競争の激しさを表す中心的な要因であり、企業の戦略立案に重要な影響を与えます。 問25 正解: ウヘンリー・アサエルの消費者購買行動モデルにおいて、不協和低減型に分類される製品に対する消費者行動は、「消費者は、どのブランドを購入すればよいか見分けがつかないまま購入し、その後にブランドの評価を行うので、購入後に何らかの後悔を感じる傾向がある」というものです。これは、高関与だがブランド間の差異が小さい製品カテゴリーに典型的に見られる行動パターンです。
ライセンス :本記事のテキスト/コードは特記なき限り
CC BY 4.0 です。引用の際は出典URL(本ページ)を明記してください。
利用ポリシー もご参照ください。
コメント