平成30年度 秋期 システムアーキテクト試験 午前Ⅱ 問題の解答と解説

2022年10月23日作成,2023年2月12日更新

試験時間は 10:50 ~ 11:30(40 分)である。

問1 CRUD マトリックス

CRUD マトリックスの説明はどれか。

問1 の解答と解説を表示

問1 の解答と解説

【答え】

CRUD マトリックスとは,様々な種類のデータを扱うシステムやソフトウェアを設計する際に,どの機能やプログラム(モジュール)が,どのデータを作成(C),読み出し(R),更新(U),削除(D)するのかを表の形で整理したもの。

問2 要件の分析結果を承認する権限

共通フレーム 2013 によれば,システム要件の分析を供給者に委託した場合,要件の分析結果を承認する権限をもつのは誰か。

問2 の解答と解説を表示

問2 の解答と解説

【答え】

共通フレーム 2013 は,ソフトウェアライフサイクルプロセスにおける作業項目を定義したものである。『合意プロセス』の『取得プロセス』の『取得の準備』アクティビティの『システム要件,ソフトウェア要件の承認権限』タスクにおいて,次のように定められている。

1.1.1.4 システム要件,ソフトウェア要件の承認権限

取得者がシステム又はソフトウェア要件の分析を供給者に委託したとしても,要件の分析結果を承認する権限は取得者がもっている。

よって,システム要件の分析を供給者に委託した場合,要件の分析結果を承認する権限をもつのは,取得者となる。

運用者
『運用プロセス』における主体
開発者
『テクニカルプロセス』の『システム開発プロセス』における主体
企画者
『テクニカルプロセス』の『企画プロセス』における主体

問3 開発のための CMMI 1.3 版

開発のための CMMI 1.3 版のプロセス領域のうち,運用の考え方及び関連するシナリオを確立し保守するプラクティスを含むものはどれか。

問3 の解答と解説を表示

問3 の解答と解説

【答え】

システム開発は場当たり的にではなく,定義されたプロセス(プラクティス)に則って実施すべきである。そのためにも,標準的なプロセスを確立し,成熟させていくことが求められる。CMMI (Capability Maturity Model Integration) は,ソフトウェアを開発する組織やプロジェクトにおけるプロセスの成熟度を評価するモデルである。

問4 アシュアランスケース

システムやソフトウェアの品質に関する主張の正当性を裏付ける文書である "アシュアランスケース" を導入する目的として,適切なものはどれか。

問4 の解答と解説を表示

問4 の解答と解説

【答え】

アシュアランスケース(assurance cases)とは,システムやソフトウェアの品質を保証するために,証拠を用いて論理的に説明するための文書である。アシュアランスケースを導入することによって,証拠を用いて論理的に説明することができ,システムやソフトウェアが目標の品質を達成できることを証明する。

アシュアランス(Assurance : 保証) + ケース(Case : 論拠)

ア)HOZOP (the HAZard and OPerability) の導入目的である。

イ)FMEA (Failure Mode and Effects Analysis) の導入目的である。

ウ)FTA (Fault Tree Analysis) の導入目的である。

問5 ソフトウェア要件定義プロセス

ソフトウェア要件定義プロセスで定義する内容の具体例として,適切なものはどれか。

問5 の解答と解説を表示

問5 の解答と解説

【答え】

ソフトウェア要件定義プロセスの目的は,「システムのソフトウェア要素の要件を確立すること」と定義されている。具体的には,開発者側が利用者側にヒアリングを行って,ソフトウェアに要求される機能要件などを明確にするプロセスといえる。「基幹システムから利用者の所属情報を取得する」ことは,ソフトウェアに要求される機能要件に該当する。そして,「全てのサブシステムで共通の通信プロトコルを使用する」ことは,この機能要件を実現するための具体的な方法を示している。よって,選択肢アの内容は,ソフトウェア要件定義プロセスで定義する内容の具体例に該当する。

イ)データエントリ画面における応答時間は,ソフトウェアだけでなく,ハードウェアの性能も含むシステムの性能要件に該当する。よって,システム要件定義プロセスで定義する内容に該当する。

ウ)システム設計では,ハードウェア,ソフトウェア,手作業という要素に分け,それぞれの目標を明確にする。これより,「窓口業務は,ソフトウェアで実現することと人手で実施する作業を組み合わせて運用する」は,システム設計プロセスで定義する内容に該当する。

エ)「利用者の利便性を考えて,受付端末は店舗の入り口から 5 メートル以内に設置する」という内容は,システムの利用容易性という非機能要件である。よって,この内容は,システム要件定義プロセスで定義する内容に該当する。

問6 システム及び/又はソフトウェア製品の品質特性

JIS X 25010:2013(システム及びソフトウェア製品の品質要求及び評価(SQuaRe)―システム及びソフトウェア品質モデル)で定義されたシステム及び/又はソフトウェア製品の品質特性に関する説明のうち,適切なものはどれか。

問6 の解答と解説を表示

問6 の解答と解説

【答え】

イは性能効率性,ウは使用性,エは信頼性である。

問7 ソフトウェアの要件定義や分析・設計で用いられる技法

ソフトウェアの要件定義や分析・設計で用いられる技法に関する記述のうち,適切なものはどれか。

問7 の解答と解説を表示

問7 の解答と解説

【答え】

決定表(デシジョンテーブル)は,条件とそれに対応する処理を表形式で表す図式表現である。複雑な条件判定を伴う要件定義の記述手段として有効である。

問8 ソフトウェア構築プロセス

ソフトウェアを実装する一連のプロセスのアクティビティで実施するタスクの内容のうち,ソフトウェア構築プロセスのものはどれか。

問8 の解答と解説を表示

問8 の解答と解説

【答え】

ソフトウェアユニット及びデータベースを作成し,これらをテストするための手順とデータを作成するのは,ソフトウェア構築プロセスのタスクの内容である。

問9 ブラックボックステスト

ブラックボックステストにおけるテストケースの設計に関する記述として,適切なものはどれか。

問9 の解答と解説を表示

問9 の解答と解説

【答え】

ブラックボックステストでは,機能を仕様書で調べて,どのようなデータを入力するとどのような結果になるのかを確認してテストケースを設計する。

ア)テストケースは無作為に抽出するのではなく,入力と出力の関係をいくつかの同値クラス(同じような結果になるグループ)に分けた上で,各同値クラスを網羅するように設計すべきである。

イ)使用頻度が低いものを抽出対象とし,外部仕様を網羅するテストケースを設計すべきである。

エ)このようなテストケース設計を命令網羅という。命令網羅は,プログラムの内部構造に着目するホワイトボックステストに分類される技法である。

問10 全数検査

製品を出荷前に全数検査することによって,出荷後の故障品数を減少させ,全体の費用を低減したい。次の条件で全数検査を行ったときに低減できる費用は何万円か。ここで,検査時に故障が発見された製品は修理して出荷するものとする。

[条件]
  1. 製造する個数 : 500 個
  2. 全数検査を実施しなかった場合の,出荷個数に対する故障品の発生率 : 3 %
  3. 全数検査における,製造個数に対する故障品の発生率 : 2 %
  4. 全数検査を実施した場合の,出荷個数に対する故障品の発生率 : 1 %
  5. 検査費用 : 1 万円/個
  6. 出荷前の故障品の修理費用 : 50 万円/個
  7. 出荷後の故障品の修理費用 : 200 万円/個
問10 の解答と解説を表示

問10 の解答と解説

【答え】

全数検査を実施しなかった場合,出荷後の故障品の修理費用のみが発生し,その費用は次式で求められる。

500 個 × 3 % × 200 万円/個 = 3,000 万円

全数検査を実施した場合,検査費用,出荷前の故障品の修理費用,出荷後の故障品の修理費用が発生し,その費用は次式で求められる。

500 個 × 1 万円/個 + 500 個 × 2 % × 50 万円/個 + 500 個 × 1 % × 200 万円/個 = 2,000 万円

よって,低減できる費用は 1,000 万円である。

問11 流れ図

次の流れ図において,

① → ② → ③ → ⑤ → ② → ③ → ④ → ② → ⑥

の順に実行させるために,① において m と n に与えるべき初期値 a と b の関係はどれか。ここで,a,b はともに正の整数とする。

流れ図
問11 の解答と解説を表示

問11 の解答と解説

【答え】

まず,① → ② → ③ → ⑤ により,n = n - m となる。

次に,② → ③ → ④ により,m = 2m - n となる。

最後に,② → ⑥ であり,次式が成り立つ。

2m - n = n - m

よって,3m = 2n が成り立ち,① において m と n に与えるべき初期値 a と b の関係は 3a = 2b である。

問12 システム適格性確認テスト

共通フレーム 2013 において,システム適格性確認テストで適合を評価する対象となるのは,どのアクティビティで定義又は設計した内容か。

問12 の解答と解説を表示

問12 の解答と解説

【答え】

共通フレーム 2013 において,システム適格性確認テストで適合を評価する対象となるのは,システム要件定義で定義した内容である。

テスト要求事項が定義されるアクティビティとテストの組合せ
図 テスト要求事項が定義されるアクティビティとテストの組合せ

問13 スクラムを適用したアジャイル開発

スクラムを適用したアジャイル開発において,スクラムチームで何がうまくいき,何がうまくいかなかったのかを議論し,継続的なプロセス改善を促進するアクティビティはどれか。

問13 の解答と解説を表示

問13 の解答と解説

【答え】

スクラムを適用したアジャイル開発とは,ラグビーで組まれるスクラムと同じように,システム開発を行うメンバがスクラムを組んで,顧客にとってその時点で最適な開発成果物を短期間に開発する手法のことを意味している。すなわち,ここでのスクラムとは,一つの目的に向かって,一定以上のスキルを有する少人数のメンバからなるチーム(スクラムチーム)がコミュニケーションを重視して開発していく様子を指す。スクラムを適用したアジャイル開発では,プロジェクト全体をいくつかの短い期間に区切って,それをスプリントと呼ぶ。このスプリントの期間に,スプリントプランニング,デイリースクラム+毎日の開発作業の繰返し,スプリントレビュー,スプリントレトロスペクティブの順でアクティビティを実行していく。

スプリントプランニング
スプリントの開発目標を明確にし,必要な作業を洗い出し,スプリントチームのメンバに割り当てる
スプリントレトロスペクティブ
スプリントを振り返り,スプリントでよかった点や改善すべき点,その原因と改善策を,スクラムチームのメンバで議論して,次回スプリントに生かす。
スプリントレビュー
プロダクトオーナがスプリントの最終日に行う成果に対するレビュー
デイリースクラム
チームの状況を共有し,困っていれば助け合うために毎朝行う,短時間のミーティング

問14 要件定義プロセスの活動内容

共通フレーム 2013 によれば,要件定義プロセスの活動内容には,利害関係者の識別,要件の識別,要件の評価,要件の合意などがある。このうちの要件の識別において実施する作業はどれか。

問14 の解答と解説を表示

問14 の解答と解説

【答え】

要件定義プロセスの要件の識別では,利害関係者から要件を漏れなく引き出し,制約条件や運用シナリオなどを明らかにする。

アは「利害関係者の識別」,イは「要件の評価」,ウは「要件の合意」で実施する作業である。

問15 WTO 政府調達協定

WTO 政府調達協定の説明はどれか。

問15 の解答と解説を表示

問15 の解答と解説

【答え】

外務省のホームページにおいて,1994 年に締結された WTO 政府調達協定について,「適用範囲を新たにサービス分野の調達や地方政府機関による調達等にまで拡大するもので,政府調達における国際的な競争の機械を一層拡大させるとともに,苦情申立て,協議及び紛争解決に関する実効的な手続きを定め,政府調達をめぐる締約国間の問題につき一層円滑な解決を図る仕組みが整備され」とある。

WTO 政府調達協定では,政府や自治体などが,基準を超える調達をする際,原則として一般競争による入札を実施することが定められている。これは,締約国に対する市場開放を進めて国際的な競争の機会を増大させることを目的としている。

アは RoHS 指令,イはグリーン購入,エは TRIPS 協定の説明である。

問16 NRE (Non-Recurring Expense)

NRE (Non-Recurring Expense) の例として,適切なものはどれか。

問16 の解答と解説を表示

問16 の解答と解説

【答え】

NRE (Non-Recurring Expense) とは,製品や部品を開発・製造する際,設計・開発工程の作業に掛かる開発経費の総計を指す。試作品の製造経費を含むが,量産品の製造経費は含まない。半導体製品について用いられることが多く,ASIC(特定用途向け集積回路)などでは,NRE が高額となることもある。

recurring
  1. 繰り返し起きる[発生する]
  2. 《数学》循環性の

アは運用経費,ウは損害賠償経費,エは特許使用料である。

問17 バランススコアカード

IT 投資の評価手法のうち,バランススコアカードを用いた手法を説明したものはどれか。

問17 の解答と解説を表示

問17 の解答と解説

【答え】

バランススコアカード(BSC : Balanced ScoreCard) は,財務,顧客,内部ビジネスプロセス(業務プロセス),学習と成長という四つの視点から,事業を多角的に評価しようとするものである。

アは「キャッシュフロー評価による投資評価」,イは「IT ポートフォリオ」,エは「オプション価格評価による投資評価」の説明である。

問18 FC(ファイバチャネル)

ストレージのインタフェースとして用いられる FC(ファイバチャネル)の特徴として,適切なものはどれか。

問18 の解答と解説を表示

問18 の解答と解説

【答え】

FC(ファイバチャネル)は,コンピュータ(サーバ)と周辺機器(ストレージ)間のデータ転送方式の一つであり,ストレージのインタフェースとして用いられている。伝送媒体に,最大転送速度 32 G ビット/秒の光ケーブルや電気ケーブル(同軸ケーブルなど)を使用し,最大伝送距離 10 km の高速データ転送を実現する。

ア)TCP/IP の上位層ではなく,TCP/IP を包含して作られている。FC は F0 から F4 の 5 層で構成され,F2 が IP に,F3 が TCP にそれぞれ対応している。

イ)接続形態としては,サーバとストレージとの 1 対 1 接続や n 対 1 接続,スイッチを介する n 対 n 接続のいずれもが可能である。

エ)パラレル SCSI を用いるのは,物理層ではなく,トランスポート層である。

問19 マルチプロセッサの性能

1 台の CPU の性能を 1 とするとき,その CPU を $n$ 台用いたマルチプロセッサの性能 $P$ が,

\[ P=\frac{n}{1+(n-1)a} \]

で表されるとする。ここで,$a$ はオーバヘッドを表す定数である。例えば,$a=0.1$,$n=4$ とすると,$P\ne 3$ なので,4 台の CPU から成るマルチプロセッサの性能は約 3 になる。この式で表されるマルチプロセッサの性能には上限があり,$n$ を幾ら大きくしても $P$ はある値以上に大きくならない。$a=0.1$ の場合,$P$ の上限は幾らか。

問19 の解答と解説を表示

問19 の解答と解説

【答え】

与えられた数式の $n$ を無限大に接近させる極限値を計算する。

\[ \lim_{n\to \infty}{\frac{n}{1+(n-1)a}} \] \[ \lim_{n\to \infty}{\frac{n}{an+1-a}} \] \[ \lim_{n\to \infty}{\frac{1}{a+\frac{1-a}{n}}}=\frac{1}{a} \]

よって,$a=0.1$ の場合,$n$ をいくら大きくしても性能 $P$ は 10 以上にはならない。

$a=0.1$ の場合,CPU 台数 $n$ とマルチプロセッサの性能 $P$ との関係を下図に示す。

CPU 台数とマルチプロセッサの性能との関係

問20 キャパシティプランニング

IT インフラストラクチャのキャパシティプランニングの目的として,最も適切なものはどれか。

問20 の解答と解説を表示

問20 の解答と解説

【答え】

情報システムを開発・改修する際に,機材の台数や処理性能,記憶容量,回線容量などの計画を立てることをキャパシティプランニング (capacity planning) という。

問21 関係モデルの候補キー

関係モデルの候補キーの説明のうち,適切なものはどれか。

問21 の解答と解説を表示

問21 の解答と解説

【答え】

候補キーとは,関係のタプルを一意に識別できる属性集合(一つ以上の属性)のうち,それ以上属性を減らすとタプルを一意に識別できなくなる必要最小限の属性集合をいう。一つの関係に候補キーが一つの場合は,その候補キーが主キーとなる。しかし,一つの関係に複数の候補キーが存在する場合は,複数の候補キーの中から一つを選択し主キーとする。また,候補キーは関係のタプルを一意に識別できる属性集合なので,タプルごとに実現値は異なる。

ア)候補キーはタプルを一意に識別する属性集合なので,その関係の属性の中から選択する。

ウ)主キーの中から候補キーを選ぶのではなく,候補キーの中から主キーを選ぶ。

エ)候補キーは,複数存在することもある。

問22 ストレージ技術

磁気ディスク装置や磁気テープ装置などの外部記憶装置とサーバを,通常の LAN とは別の高速な専用ネットワークで接続してシステムを構成するものはどれか。

問22 の解答と解説を表示

問22 の解答と解説

【答え】

磁気ディスク装置や磁気テープ装置などのストレージ(補助記憶装置)をネットワーク上に配置する方式として,DAS,NAS,SAN などがある。これらのうち,SAN (Strorage Area Network) はファイバチャネルなどを用いて LAN とは別の高速な専用ネットワークを構築し,そのネットワーク上にストレージを接続する方式である。通常の LAN に大きな負担をかけることなくデータにアクセスすることができる。

DAFS (Direct Access File System)
高スループット,低遅延を実現するファイル共有プロトコル
DAS (Direct Attached Storage)
ストレージを接続したサーバやホストコンピュータをネットワークに接続し,ネットワーク上で共有利用できるようにする方式
NAS (Network Attached Storage)
専用のストレージをネットワークに直接接続し,ネットワーク上で共有利用できるようにする方式。SAN のように専用のネットワークを用意する必要がなく,ネットワーク上からは通常のファイルサーバのように見える

問23 格納型クロスサイトスクリプティング攻撃

格納型クロスサイトスクリプティング(Stored XSS 及び Persistent XSS)攻撃に該当するものはどれか。

問23 の解答と解説を表示

問23 の解答と解説

【答え】

クロスサイトスクリプティング(XSS)は,動的に Web ページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して,悪意のあるスクリプトを混入させることで,攻撃者が仕込んだ操作を実行させたり,別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法である。

XSS 脆弱性のある Web アプリケーションでは,以下の影響を受ける可能性がある。

  • サイト攻撃者のブラウザ上で,攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ,利用者が被害にあう。
  • 同様にブラウザ上でスクリプトを実行され,サイト利用者の権限で Web アプリケーションの機能を利用される。
  • Web サイト上に偽の入力フォームが表示され,フィッシングにより利用者が個人情報を盗まれる。

XSS の手口として,Web アプリケーションのフォームの入力フィールドに,悪意のある JavaScript コードを含んだデータを入力する。

格納型クロスサイトスクリプティング(Stored XSS 又は Persistent XSS)攻撃では,Web サイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行うことによって,その後に当該掲示板を閲覧した利用者の Web ブラウザで,攻撃用のスクリプトを実行する。

問24 コモンクライテリア(CC)

情報技術セキュリティ評価のための国際標準であり,コモンクライテリア(CC)と呼ばれるものはどれか。

問24 の解答と解説を表示

問24 の解答と解説

【答え】

ISO/IEC 15408 は,セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造,運用などに関する国際標準であり,情報セキュリティ評価基準として,1999年6月に採択された。ITSEC (Information Technology Security Evaluation Criteria) や CC (Common Criteria) とも呼ばれ,同義で扱われる。

CC(Common Criteria:コモンクライテリア)は,製品やシステムに対して,情報セキュリティを評価し認証するための評価基準である。

ISO 9001 は品質マネジメントシステムに関する国際規格,ISO 14004 は環境マネジメントシステムに関する国際規格,ISO/IEC 27005 は情報セキュリティマネジメントに関する国際規格である。

問25 Web アプリケーションにおけるセキュリティ上の脅威とその対策

Web アプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち,適切なものはどれか。

問25 の解答と解説を表示

問25 の解答と解説

【答え】

SQL インジェクションは,アプリケーションが想定していない SQL 文を実行させてデータベースを不正に操作する攻撃の手口である。対策としてプレースホルダの使用が挙げられる。プレースホルダは,変数や式などの可変パラメタの場所に埋め込んだ「?」のことで,外部から不正な SQL 文を注入できないようにする。

ア)OS コマンドインジェクションとは,コンピュータの OS を操作するための命令を外部から実行する攻撃の手口である。対策としては,シェルを起動できる言語機能を利用しないようにすることが挙げられる。

ウ)クロスサイトスクリプティングとは,Web サイトの脆弱性を利用し,その脆弱性サイトを利用した Web ブラウザで攻撃者が作成したスクリプトを実行させる攻撃の手口のことを指している。対策としては,HTML で特殊な意味を持つ文字をエスケープ処理してスクリプトが埋め込まれないようにする方法や不正な文字列の入力を制限する手法などがある。

エ)セッションハイジャックとは,ログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてシステムにアクセスする手口のことである。対策としては推測困難なセッション ID を使用することが挙げられる。

inserted by FC2 system