令和6年度秋期試験午前Ⅰ共通問題１６〜２０を解説

今回も、先日受験した令和６年度秋期試験の午前Ⅰ共通問題の解説を行っていきます。

今回解説するのは、問１６〜２０です。これらの問題で使用されていた用語は、以下の5つです。

エクスプロイトコード
ソフトウェアの使用性の評価
プロジェクトマネジメントにおけるスコープの管理
ファストトラッキング
RTOとRLO

是非、最後までご覧いただけると嬉しいです。

エクスプロイトコード
ソフトウェアの使用性の評価
プロジェクトマネジメントにおけるスコープの管理
ファストトラッキング
RTOとRLO
まとめ

エクスプロイトコード

エクスプロイトコードの説明はどれか。

ア　攻撃コードとも呼ばれ、ソフトウェアの脆弱性を悪用するコードのことであり、使い方によっては脆弱性の検証に役立つこともある。

イ　マルウェア定義ファイルとも呼ばれ、マルウェアを特定するための特徴的なコードのことであり、マルウェア対策ソフトによるマルウェアの検知に用いられる。

ウ　メッセージとシークレットデータから計算されるハッシュコードのことであり、メッセージの改ざん検知に用いられる。

エ　ログインのたびに変化する認証コードのことであり、不正に取得しても再利用できないので不正アクセスを防ぐ。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問１６

解答

ア

各選択肢の解説

ア：エクスプロイトコード

エクスプロイトコードは、特定のソフトウェアやシステムの脆弱性を悪用するために作られたコードのことを指します。このコードは、悪意を持った攻撃者によって使用されることが多いですが、セキュリティ研究者やペネトレーションテスト（侵入テスト）でも、脆弱性の存在を確認するために使用されることがあります。そのため、「攻撃コード」と呼ばれる一方で、適切に管理された環境では脆弱性の検証にも役立つものです。

イ：マルウェア定義ファイル

これはマルウェア対策ソフトで用いられる「ウイルス定義ファイル」や「シグネチャファイル」の説明です。これらはマルウェアを識別するための特徴的なデータであり、エクスプロイトコードとは無関係です。

ウ：ハッシュコード

これは「メッセージ認証コード（MAC）」や「ハッシュ値」の説明です。ハッシュ関数を用いて計算され、データの改ざん検知や認証に使われますが、エクスプロイトコードとは異なる概念です。

エ：認証コード

これは「ワンタイムパスワード（OTP）」の説明に近いです。ログイン時に使われる使い捨ての認証コードで、不正利用を防止する役割がありますが、エクスプロイトコードとは無関係です。

エクスプロイトコードのまとめ

エクスプロイトコードとは、ソフトウェアやシステムの脆弱性を悪用するために作成されたプログラムやスクリプトを指します。攻撃者がシステムへの不正アクセス、データの窃取、サービスの妨害などを目的に使用することが多いです。一方で、セキュリティ研究者は脆弱性の検証や修正のためにエクスプロイトコードを活用する場合もあります。そのため、適切な管理と使用が重要です。

ソフトウェアの使用性の評価

ソフトウェアの使用性を評価する指標の目標設定の例として、適切なものはどれか。

ア　ソフトウェアに障害が発生してから１時間以内に、利用者が使用できること

イ　ソフトウェアの使用方法を、利用者が１時間以内に習得できること

ウ　利用者から要望のある機能の改善を、１週間位以内に完了できること

エ　利用者の使用したい機器が、100％提供てきていること

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問１７

解答

イ

各選択肢の解説

ア：ソフトウェアに障害が発生してから1時間以内に、利用者が使用できること

この記述は、ソフトウェアの「可用性」や「復旧性」に関する指標の目標設定の例です。障害が発生してから早急に復旧させることを目指すものですが、「使用性（Usability）」とは関係がありません。

イ：ソフトウェアの使用方法を、利用者が1時間以内に取得できること

この記述は、ソフトウェアの「使用性（Usability）」を評価する指標の目標設定の例として適切です。使用性とは、利用者がソフトウェアを学習し、効率的かつ満足に操作できる度合いを指します。1時間以内に使用方法を習得できることは、学習の容易さに関連しており、使用性の目標設定として妥当です。

ウ：利用者から要望のある機能の改善を、1週間以内に完了できること

この記述は、ソフトウェアの「保守性（Maintainability）」や「変更管理能力」に関する指標の目標設定の例です。利用者の要望に迅速に対応する能力は重要ですが、「使用性」とは異なります。

エ：利用者の使用したい機器が、100％提供できていること

この記述は、ソフトウェアの「互換性（Compatibility）」や「移植性（Portability）」に関連する指標です。利用者が使用したい機器で動作することは重要ですが、「使用性」とは直接的な関係がありません。

ソフトウェアの使用性を評価する指標の目標設定のまとめ

ソフトウェアの使用性を評価する指標の目標設定は、ユーザーのニーズと期待を明確にすることから始まります。具体的には、操作の効率性、学習の容易さ、エラーの回避率などの測定可能な基準を設定します。また、ターゲットユーザーや利用シナリオに基づいて現実的な目標を設定し、定期的にレビューや調整を行うことが重要です。これにより、ソフトウェアの品質向上とユーザー満足度の向上が期待できます。

プロジェクトマネジメントにおけるスコープの管理

プロジェクトマネジメントにおけるスコープの管理の活動はどれか。

ア　開発ツールの新機能の教育が不十分と分かったので、開発ツールの教育機関を2日間延長した。

イ　要件定義が完了した時点で再見積りをしたところ、当初見積もった開発コストを超過することが判明したので、追加予算を確保した。

ウ　連携する計画であった外部システムのリリースが延期になったので、この外部システムとの連携に関わる作業は別プロジェクトで実施することにした。

エ　割り当てたテスト担当者が期待した結果を出せなかったので、経験豊富なテスト担当者と交代した。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問１８

解答

ウ

各選択肢の解説

ア：開発ツールの新機能の教育が不十分と分かったので、開発ツールの教育期間を2日間延長した。

この記述は、プロジェクトにおける「教育計画」や「リソース管理」の範囲に該当します。教育期間を延長する決定は、人的資源やスケジュール管理に関連しますが、「スコープ管理（Scope Management）」とは直接的に関係ありません。

イ：要件定義が完了した時点で再見積りをしたところ、当初見積もった開発コストを超過することが判明したので、追加予算を確保した。

この記述は、プロジェクトの「コスト管理（Cost Management）」の活動に関連しています。要件定義の段階でコストを再評価し、予算を追加することは重要ですが、これはスコープの管理ではなく、予算計画や資金調達に関する管理です。

ウ：連携する計画であった外部システムのリリースが延期になったので、この外部システムとの連携に係る作業は別プロジェクトで実施することにした。

この記述は、プロジェクトスコープの変更や調整を行う例です。スコープ管理では、プロジェクトで何を行うか、あるいは行わないかを明確にし、必要に応じて変更を行う活動が含まれます。外部システムとの連携作業をプロジェクトのスコープから外し、別プロジェクトに移す決定は、スコープ管理の典型的な例です。

エ：割り当てたテスト担当者が期待した結果を出せなかったので、経験豊富なテスト担当者と交代した。

この記述は、プロジェクトの「人的資源管理（Resource Management）」の活動に関連します。リソース（担当者）の適切な配置や調整に関するものであり、スコープ管理とは無関係です。

スコープ管理の説明

スコープ管理（Scope Management）は、プロジェクトで行うべき作業（および行わない作業）を特定し、明確にする活動を指します。これには以下が含まれます。

スコープ定義：プロジェクトの範囲を明確にする。
スコープ変更の管理：必要に応じてスコープを追加、削除、調整する。
スコープの確認：ステークホルダーと共有し、合意を得る。

プロジェクトマネジメントにおけるスコープの管理のまとめ

プロジェクトマネジメントにおけるスコープ管理は、プロジェクトの目標と成果物を明確に定義し、それに基づいて計画や作業を進めるプロセスです。スコープが不明確なまま進行すると、リソースの浪費や納期遅延のリスクが高まります。適切なスコープ管理には、要求事項の収集、スコープの定義、変更管理プロセスの導入が必要です。これにより、プロジェクトの成功と顧客満足度を確保することが可能になります。

ファストトラッキング

プロジェクトマネジメントにおけるファストトラッキングの例として、適切なものはどれか。

ア　クリティカルパス上のアクティビティの開始が遅れたので、そのアクティビティに人的資源を追加した。

イ　コストを削減するために、これまで承認されていた残業を禁止した。

ウ　仕様の確定が大幅に遅れたので、プロジェクトの完了予定日を延期した。

エ　設計が終わったモジュールから順にプログラム開発を実施するようにして、スケジュールを短縮した。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問１９

解答

エ

各選択肢の解説

ア：クリティカルパス上のアクティビティの開始が遅れたので、そのアクティビティに人的資源を追加した。

この記述は「クラッシング（Crashing）」と呼ばれる手法の例です。クラッシングは、スケジュールの短縮を目的として、リソース（人的資源や機材）を追加する方法です。ファストトラッキング（Fast Tracking）ではなく、異なるスケジュール短縮手法に該当します。

イ：コストを削減するために、これまで承認されていた残業を禁止した。

これはコスト削減に関する決定であり、スケジュール短縮やファストトラッキングとは関係がありません。むしろ、このような対応はプロジェクトスケジュールを延長するリスクがあるため、逆の効果を生む可能性があります。

ウ：仕様の確定が大幅に遅れたので、プロジェクトの完了予定日を延期した。

この記述は、スケジュールの調整（遅延対応）に関する例であり、スケジュールを短縮するファストトラッキングの例ではありません。

エ：設計が終わったモジュールから順にプログラム開発を実施するようにして、スケジュールを短縮した。

ファストトラッキング（Fast Tracking）は、通常は順序立てて行うアクティビティを並行して進めることで、スケジュールを短縮する手法です。この記述では、設計がすべて完了するのを待たず、完了した部分から順次プログラム開発を開始することでスケジュールを短縮しています。これはファストトラッキングの典型的な例です。

ファストトラッキングの説明

ファストトラッキングは、プロジェクトスケジュールを短縮するための手法の一つで、通常は順序通りに実施されるタスクを一部並行して進める方法です。ただし、次のようなリスクが伴う点に注意が必要です。

作業の重複や再作業が発生する可能性がある。
コミュニケーションコストが増加し、管理が複雑になる。

ファストトラッキングのまとめ

ファストトラッキングとは、プロジェクトのスケジュール短縮を目的として、通常は順序立てて実行するタスクを並行して進める手法です。この方法により、全体の所要時間を短縮できますが、タスク間の依存関係が密接な場合、リスクや再作業の可能性が増加します。適用する際は、慎重なリスク評価とコミュニケーション計画が重要です。ファストトラッキングは、納期遵守が重要なプロジェクトで効果的ですが、バランスの取れた判断が求められます。

RTOとRLO

サービスマネジメントにおいて、中断したサービスを復旧させるときの目標を定めた指標に、RTO（目標復旧時間）、RPO（目標復旧時点）及びRLO（目標復旧レベル）がある。RTOとRLOとを定めた例として、適切なものはどれか。

ア　サービスが中断する３時間前の時点の状態にデータを復旧し、利用者の50％以上にサービスを提供できるようにする。

イ　サービスが中断する直前の状態でデータを復旧し、当日のサービス終了時刻を、サービスが中断していた時間だけ延長する。

ウ　サービスの中断から１時間以内に、中断する１時間前の時点の状態にデータを復旧する。

エ　サービスの中断から１日以内に、中断したサービスのうちの重要なサービスに限定してサービスを復旧する。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅰ問２０

解答

エ

各選択肢の解説

ア：サービスが中断する3時間前の時点の状態にデータを復旧し、利用者の50％以上にサービスを提供できるようにする。

この記述では、データの復旧時点（3時間前）に関する内容は、RPO（目標復旧時点）を定めた例に該当します。一方で、利用者へのサービス提供割合の設定はRLO（目標復旧レベル）に関連する可能性がありますが、時間的な指標であるRTO（目標復旧時間）が示されていません。したがって、RTOとRLOの両方を定めた例とは言えません。

イ：サービスが中断する直前の状態でデータを復旧し、当日のサービス終了時刻を、サービスが中断していた時間だけ延長する。

この記述では、RPO（中断直前の状態でデータを復旧）に関する内容が含まれていますが、RTO（目標復旧時間）やRLO（目標復旧レベル）についての具体的な目標は示されていません。このため、RTOとRLOの両方を定めた例には該当しません。

ウ：サービスの中断から1時間以内に、中断する1時間前の時点の状態でデータを復旧する。

この記述では、RTO（1時間以内の復旧）とRPO（中断する1時間前のデータ復旧）が示されていますが、RLO（目標復旧レベル）についての具体的な指標は示されていません。したがって、RTOとRLOを定めた例には該当しません。

エ：サービスの中断から1日以内に、中断したサービスのうちの重要なサービスに限定してサービスを復旧する。

この記述では、以下の点が明確に示されています。
- RTO（目標復旧時間）：1日以内に復旧する。
- RLO（目標復旧レベル）：中断したサービスの中でも「重要なサービス」に限定して復旧する。
  RTOとRLOの両方が具体的に定められているため、適切な例として該当します。

RTO（目標復旧時間）の解説

RTO（目標復旧時間）とは、システムや業務が中断した際に、復旧するまでの目標時間を指します。災害や障害が発生した際、業務影響を最小限に抑えるために設定される重要な指標です。RTOを短縮するには、バックアップや冗長化、迅速な復旧手順の整備が求められます。この指標は、事業継続計画（BCP）や災害復旧計画（DRP）の策定において重要な役割を果たします。

RPO（目標復旧時点）の解説

RPO（目標復旧時点）とは、災害や障害が発生した際に許容できるデータ損失の範囲を示す指標です。具体的には、システム復旧時にどの時点までデータを戻す必要があるかを定義します。RPOを短縮するためには、データのリアルタイム同期や頻繁なバックアップが重要です。この指標は、業務の継続性や顧客への影響を最小限に抑えるため、事業継続計画（BCP）の設計において欠かせない要素です。

RLO（目標復旧レベル）の解説

RLO（目標復旧レベル）とは、災害や障害が発生した際に、復旧後に達成すべきシステムやサービスの機能レベルを定めた指標です。完全な機能復旧が難しい場合でも、最低限の業務を維持するために必要なレベルを明確にします。これにより、復旧の優先順位やリソース配分を効率的に行うことが可能となります。RLOは、業務継続計画（BCP）や災害復旧計画（DRP）の実行段階で実務的なガイドラインとして機能します。

RTOとRLOのまとめ

RTO（目標復旧時間）は、システムやサービスが障害発生後に復旧すべき目標時間を示します。一方、RLO（目標復旧レベル）は、復旧後のシステムやサービスがどの程度の性能や機能を達成すべきかを定義する指標です。これらは、事業継続計画（BCP）や災害復旧計画（DRP）の中で重要な要素となり、リスク評価やビジネスの重要性に基づいて設定されます。適切な目標設定により、業務影響を最小限に抑えることが可能です。