ITパスポート 全分野の一問一答
📖 ITパスポート「全分野」の全500問と解説(一覧)
ITパスポートの全分野に関する一問一答(全500問)の正解と解説の一覧です。上の一問一答で実際に解いてから、ここで復習・確認できます。
-
問1.プロジェクトマネジメントにおけるWBSの説明として正しいものはどれか。
- ア.作業を階層的に分解した構成図
- イ.プロジェクトの予算書
- ウ.品質管理の手順書
- エ.リスク一覧表
正解:ア.作業を階層的に分解した構成図
解説:WBS(Work Breakdown Structure)はプロジェクトの作業を階層的に分解し、管理可能な単位にした構成図です。
-
問2.ガントチャートは、作業の進捗状況を視覚的に管理するための図表である。
正解:○(正しい)
解説:ガントチャートは横軸に時間、縦軸に作業項目をとり、帯状のバーで各作業の予定と実績を示す図表です。
-
問3.クリティカルパスの説明として正しいものはどれか。
- ア.コストが最も高い作業の経路
- イ.プロジェクト全体の所要時間を決定する最長経路
- ウ.最も人員が必要な作業の経路
- エ.品質リスクが最も高い経路
正解:イ.プロジェクト全体の所要時間を決定する最長経路
解説:クリティカルパスはプロジェクトにおいて所要時間が最長となる一連の作業経路で、遅延が全体に影響します。
-
問4.アジャイル開発では、短い反復(イテレーション)で開発を進める。
正解:○(正しい)
解説:アジャイル開発は1〜4週間程度の短いイテレーションを繰り返し、段階的にソフトウェアを完成させます。
-
問5.ウォーターフォールモデルの特徴として正しいものはどれか。
- ア.試作品を作りながら開発する
- イ.短い反復で開発する
- ウ.工程を順番に進め、原則として前の工程に戻らない
- エ.複数の工程を同時並行で進める
正解:ウ.工程を順番に進め、原則として前の工程に戻らない
解説:ウォーターフォールモデルは要件定義→設計→実装→テスト→運用と工程を順番に進める開発モデルです。
-
問6.SLAとは、サービス提供者と利用者の間でサービスレベルを合意した文書である。
正解:○(正しい)
解説:SLA(Service Level Agreement)はサービスの品質水準(稼働率・応答時間等)を明文化した合意書です。
-
問7.ITILの説明として正しいものはどれか。
- ア.データベースの設計手法
- イ.プログラミング言語の規格
- ウ.ネットワーク通信のプロトコル
- エ.ITサービスマネジメントのベストプラクティス集
正解:エ.ITサービスマネジメントのベストプラクティス集
解説:ITIL(Information Technology Infrastructure Library)はITサービスマネジメントのベストプラクティスをまとめたフレームワークです。
-
問8.インシデント管理の目的は、サービスの中断を最小限に抑え迅速に復旧することである。
正解:○(正しい)
解説:インシデント管理はサービスへの悪影響を最小限に抑え、可能な限り迅速にサービスを正常状態に復旧することを目的とします。
-
問9.問題管理とインシデント管理の違いとして正しいものはどれか。
- ア.問題管理は根本原因を究明し再発防止を図る
- イ.問題管理は迅速な復旧を目的とする
- ウ.問題管理はユーザからの問い合わせを管理する
- エ.問題管理は変更要求を管理する
正解:ア.問題管理は根本原因を究明し再発防止を図る
解説:問題管理はインシデントの根本原因を究明し再発防止策を講じます。迅速な復旧はインシデント管理の目的です。
-
問10.変更管理は、システムの変更によるリスクを最小化するプロセスである。
正解:○(正しい)
解説:変更管理はシステムへの変更を適切に管理し、変更によるリスクや悪影響を最小限に抑えるプロセスです。
-
問11.システム監査は、第三者の立場で情報システムの信頼性等を評価することである。
正解:○(正しい)
解説:システム監査は独立した立場の監査人が、情報システムの信頼性・安全性・効率性等を客観的に評価します。
-
問12.ファンクションポイント法の説明として正しいものはどれか。
- ア.プログラムの行数で見積もる手法
- イ.ソフトウェアの機能量に基づいて開発規模を見積もる手法
- ウ.過去の類似案件から見積もる手法
- エ.専門家の直感で見積もる手法
正解:イ.ソフトウェアの機能量に基づいて開発規模を見積もる手法
解説:ファンクションポイント法は入出力画面数やファイル数など、ソフトウェアの機能量から開発規模を見積もります。
-
問13.フルバックアップは、すべてのデータを毎回バックアップする方式である。
正解:○(正しい)
解説:フルバックアップは対象データのすべてを毎回コピーする方式です。復旧は容易ですがバックアップ時間が長くなります。
-
問14.差分バックアップと増分バックアップの違いとして正しいものはどれか。
- ア.差分と増分は同じ意味である
- イ.差分は前回のバックアップ以降の変更分、増分は前回のフルバックアップ以降の変更分
- ウ.差分は前回のフルバックアップ以降の変更分、増分は前回のバックアップ以降の変更分
- エ.差分はデータの削除分、増分はデータの追加分
正解:ウ.差分は前回のフルバックアップ以降の変更分、増分は前回のバックアップ以降の変更分
解説:差分バックアップは最後のフルバックアップからの変更分、増分バックアップは前回のバックアップからの変更分をコピーします。
-
問15.サービスデスクは、ユーザからの問い合わせの単一窓口(SPOC)である。
正解:○(正しい)
解説:サービスデスクはSPOC(Single Point of Contact)として、ユーザからのすべての問い合わせを一元的に受け付けます。
-
問16.プロジェクトのスコープとは何を指すか。
- ア.プロジェクトの人員体制
- イ.プロジェクトの予算
- ウ.プロジェクトのスケジュール
- エ.プロジェクトで実施する作業の範囲
正解:エ.プロジェクトで実施する作業の範囲
解説:スコープとはプロジェクトで実施する作業の範囲や成果物の範囲を指します。
-
問17.リスクの「回避」とは、リスク発生時に保険で補填する対策である。
正解:×(誤り)
解説:誤り。回避は「リスクが発生する活動自体を行わない」(保険は転嫁・移転)。
-
問18.テスト工程で用いるブラックボックステストの説明として正しいものはどれか。
- ア.プログラムの内部構造を考慮せず入出力の仕様に基づいてテストする
- イ.プログラムの内部構造に基づいてテストする
- ウ.ユーザが実環境でテストする
- エ.テスト対象を選択しないランダムテスト
正解:ア.プログラムの内部構造を考慮せず入出力の仕様に基づいてテストする
解説:ブラックボックステストはプログラムの内部構造を見ずに、入出力の仕様に基づいてテストする手法です。
-
問19.レビューとは、成果物を作成者本人のみが検証する活動である。
正解:×(誤り)
解説:誤り。レビューは「第三者による検証」(本人のみは自己レビューで効果限定的)。
-
問20.BCP(事業継続計画)の説明として正しいものはどれか。
- ア.新規事業の立ち上げ計画
- イ.災害時などに事業を継続・早期復旧するための計画
- ウ.年間の業務スケジュール
- エ.社員教育の年間計画
正解:イ.災害時などに事業を継続・早期復旧するための計画
解説:BCP(Business Continuity Plan)は災害や緊急事態の際に、事業の継続または早期復旧を図るための計画です。
-
問21.スクラムにおけるスプリントレビューの目的として正しいものはどれか。
- ア.プロジェクト全体のスケジュールを確定する
- イ.チーム内の人事評価を行う
- ウ.次のスプリントの予算を承認する
- エ.スプリントで完成したプロダクトインクリメントをステークホルダーに示しフィードバックを得る
正解:エ.スプリントで完成したプロダクトインクリメントをステークホルダーに示しフィードバックを得る
解説:スプリントレビューはスプリント終了時に実施し、完成した成果物をステークホルダーに提示してフィードバックを受け、プロダクトバックログを調整する場です。
-
問22.DevOpsとは、開発と運用が完全に分離した手法である。
正解:×(誤り)
解説:誤り。DevOpsは「開発と運用が連携」して迅速安定リリース(分離は従来型)。
-
問23.カンバン方式のプロジェクト管理で重要な概念はどれか。
- ア.WIP(仕掛かり作業)の制限による作業フローの最適化
- イ.すべての作業を同時に開始して並列処理する
- ウ.スプリント期間を厳密に2週間に固定する
- エ.毎日15分のデイリースタンドアップを義務化する
正解:ア.WIP(仕掛かり作業)の制限による作業フローの最適化
解説:カンバン方式ではWIP(Work In Progress)制限を設けて同時進行する作業数を制限し、ボトルネックを可視化してフローを最適化します。
-
問24.プロジェクトのリスク対応策のうち、リスクの影響を第三者に移転する方法として保険への加入がある。
正解:○(正しい)
解説:リスクの転嫁(移転)は、保険加入やアウトソーシング等によりリスクの影響を第三者に移す対応策です。回避・軽減・受容と並ぶ基本的なリスク対応策の一つです。
-
問25.PMBOK(Project Management Body of Knowledge)におけるステークホルダーの説明として正しいものはどれか。
- ア.プロジェクトに出資するスポンサーのみ
- イ.プロジェクトに影響を与える、または影響を受けるすべての個人や組織
- ウ.プロジェクトマネージャーとチームメンバーのみ
- エ.顧客と最終利用者のみ
正解:イ.プロジェクトに影響を与える、または影響を受けるすべての個人や組織
解説:ステークホルダーはプロジェクトの遂行や成果に利害関係を持つすべての個人・組織を指し、スポンサー、顧客、チームメンバー、経営層等を広く含みます。
-
問26.CI/CDは、コード変更を月1回程度の頻度でビルド・テストする仕組みである。
正解:×(誤り)
解説:誤り。CI/CDは「頻繁にビルド・テスト・デプロイ」(月1回ではなく日々・コミット毎)。
-
問27.EVM(アーンドバリューマネジメント)で使用するSPI(スケジュール効率指数)の計算式として正しいものはどれか。
- ア.PV ÷ EV
- イ.EV ÷ AC
- ウ.EV ÷ PV
- エ.AC ÷ PV
正解:ウ.EV ÷ PV
解説:SPI = EV(出来高)÷ PV(計画価値)で算出します。SPIが1.0未満ならスケジュール遅延、1.0超なら前倒しを意味します。なおCPI = EV ÷ ACです。
-
問28.ITサービスマネジメントにおけるキャパシティ管理の目的は、現在と将来のビジネス要件を満たす十分なIT能力を確保することである。
正解:○(正しい)
解説:キャパシティ管理はシステムの処理能力・ストレージ容量等が現在および将来のビジネス需要を満たすよう、計画・監視・調整を行うプロセスです。
-
問29.システム開発における受入テスト(UAT)の実施者として最も適切なのは誰か。
- ア.外部のセキュリティ監査人
- イ.開発チームのプログラマー
- ウ.プロジェクトマネージャー
- エ.発注者(ユーザー側)
正解:エ.発注者(ユーザー側)
解説:受入テスト(User Acceptance Test)は発注者やユーザーが実施し、開発されたシステムが業務要件を満たしているかを検証する最終テストです。
-
問30.ITIL 4ではサービスバリューチェーンという概念が導入され、価値の共創が重視されている。
正解:○(正しい)
解説:ITIL 4ではサービスバリューチェーン(計画・改善・エンゲージ・設計と移行・取得/構築・提供とサポート)を中心に、サービス提供者と利用者による価値の共創を重視しています。
-
問31.SRE(Site Reliability Engineering)の説明として正しいものはどれか。
- ア.ソフトウェアエンジニアリングの手法を用いてシステムの信頼性を維持・向上させるアプローチ
- イ.サーバルームの物理的セキュリティを管理する専門職
- ウ.ソフトウェアの機能テストのみを行う役割
- エ.データベースの設計と構築のみを担当する職種
正解:ア.ソフトウェアエンジニアリングの手法を用いてシステムの信頼性を維持・向上させるアプローチ
解説:SREはGoogleが提唱した概念で、ソフトウェアエンジニアリングの手法(自動化・モニタリング等)を運用に適用し、システムの可用性と信頼性を維持するアプローチです。
-
問32.プロジェクト憲章(プロジェクトチャーター)は、プロジェクトの正式な開始を承認する文書である。
正解:○(正しい)
解説:プロジェクト憲章はプロジェクトの目的・範囲・主要マイルストーン・予算概算・プロジェクトマネージャーの権限等を記載し、プロジェクトの正式な開始を宣言する文書です。
-
問33.マイクロサービスアーキテクチャの利点として正しいものはどれか。
- ア.すべてのサービスが同一のデータベースを共有する
- イ.各サービスを独立してデプロイ・スケーリングできる
- ウ.モノリシック構造よりも初期開発コストが必ず低い
- エ.サービス間の通信が不要になる
正解:イ.各サービスを独立してデプロイ・スケーリングできる
解説:マイクロサービスは機能ごとに独立したサービスとして開発・デプロイでき、特定サービスのみのスケーリングや技術スタックの選択が可能になります。
-
問34.システム監査人は、監査対象のシステム開発に直接関与する立場が望ましい。
正解:×(誤り)
解説:誤り。システム監査人は「監査対象に直接関与してはならない」(独立性が必須)。
-
問35.構成管理の説明として正しいものはどれか。
- ア.プロジェクトメンバーの人員配置を管理すること
- イ.ネットワークの物理的な配線を管理すること
- ウ.ITサービスを構成するハードウェア・ソフトウェア等の情報を管理すること
- エ.予算の配分を管理すること
正解:ウ.ITサービスを構成するハードウェア・ソフトウェア等の情報を管理すること
解説:構成管理(Configuration Management)はCI(構成アイテム)と呼ばれるITサービスの構成要素の情報をCMDB(構成管理データベース)で正確に管理するプロセスです。
-
問36.ペアプログラミングとは、2人のプログラマーが1台のPCで協力してコーディングする手法である。
正解:○(正しい)
解説:ペアプログラミングはXP(エクストリームプログラミング)のプラクティスの一つで、ドライバー(コードを書く人)とナビゲーター(レビューする人)の2人で協力して開発します。
-
問37.リリース管理の目的として正しいものはどれか。
- ア.すべての変更を一括でリリースすること
- イ.リリース日をできるだけ遅らせること
- ウ.開発チームの人数を最小化すること
- エ.テスト済みの変更を本番環境に安全に展開すること
正解:エ.テスト済みの変更を本番環境に安全に展開すること
解説:リリース管理はテスト済みの変更(ソフトウェア、ハードウェア、文書等)を計画的かつ安全に本番環境へ展開し、サービスへの影響を最小化するプロセスです。
-
問38.レトロスペクティブは、スクラム終了時に1度だけ実施するイベントである。
正解:×(誤り)
解説:誤り。レトロは「スプリントごとに実施」(毎回振り返りでプロセス改善)。
-
問39.コンティンジェンシープランの説明として正しいものはどれか。
- ア.リスクが現実化した場合に備えてあらかじめ策定する緊急時対応計画
- イ.リスクが発生しないように予防する計画
- ウ.プロジェクト完了後の評価を行う計画
- エ.日常業務のスケジュールを管理する計画
正解:ア.リスクが現実化した場合に備えてあらかじめ策定する緊急時対応計画
解説:コンティンジェンシープラン(緊急時対応計画)は、リスクが実際に発生した場合に迅速に対応するためにあらかじめ策定しておく計画です。
-
問40.サービスレベル目標(SLO)は、SLAで合意したサービスレベルを満たすための具体的な目標値である。
正解:○(正しい)
解説:SLO(Service Level Objective)はSLAを達成するために設定する具体的な目標値(例:稼働率99.9%、応答時間200ms以内等)です。SLI(指標)で測定します。
-
問41.ウォーターフォール開発とアジャイル開発を組み合わせたハイブリッド型開発手法が近年注目されている。
正解:○(正しい)
解説:ハイブリッド型開発は、要件が明確な部分にウォーターフォール、不確実性が高い部分にアジャイルを適用するなど、両手法の長所を組み合わせた実践的なアプローチです。
-
問42.IPA(情報処理推進機構)が公開する「情報セキュリティ10大脅威」の目的として正しいものはどれか。
- ア.脅威の発生件数を正確に順位付けする
- イ.社会的に影響の大きい情報セキュリティの脅威を広く周知し、対策を促進する
- ウ.特定のセキュリティ製品の購入を推奨する
- エ.情報セキュリティに関する法律の制定を行う
正解:イ.社会的に影響の大きい情報セキュリティの脅威を広く周知し、対策を促進する
解説:IPAの「情報セキュリティ10大脅威」は前年に発生した事案から社会的影響が大きかった脅威を選出・公表し、組織や個人の対策意識向上を図るものです。
-
問43.TDD(テスト駆動開発)では、実装コードを書いた後にテストコードを書く。
正解:×(誤り)
解説:誤り。TDDは「テストコードを先に書く」(実装後はNon-TDD、記述が逆)。
-
問44.可用性の指標として使われるMTBF(平均故障間隔)の説明として正しいものはどれか。
- ア.システムの停止が発生する頻度
- イ.システムの修理に要する平均時間
- ウ.システムが正常に稼働し続ける平均時間
- エ.システムの導入から廃棄までの期間
正解:ウ.システムが正常に稼働し続ける平均時間
解説:MTBF(Mean Time Between Failures)はシステムが故障から次の故障までに正常稼働する平均時間です。可用性 = MTBF ÷(MTBF+MTTR)で算出します。
-
問45.ベロシティとは、スクラムチームが1スプリントで完了できる作業量の実績値である。
正解:○(正しい)
解説:ベロシティはスクラムチームがスプリント内に完了させたストーリーポイントの合計で、将来のスプリント計画やリリース計画の見積もりに使用されます。
-
問46.ITガバナンスの説明として正しいものはどれか。
- ア.外部のコンサルタントにIT戦略をすべて委託すること
- イ.IT部門がすべてのIT予算を独立して決定する権限
- ウ.プログラマーが開発方針を自由に決定する体制
- エ.経営層がIT戦略の方向性を定め、IT投資の最適化とリスク管理を行う仕組み
正解:エ.経営層がIT戦略の方向性を定め、IT投資の最適化とリスク管理を行う仕組み
解説:ITガバナンスは経営陣の主導のもと、IT戦略がビジネス戦略と整合するよう方向付けし、IT投資・リスクを適切に管理する組織的な仕組みです。
-
問47.ナレッジマネジメントは、組織内の知識や経験を共有・活用して組織力を向上させる手法である。
正解:○(正しい)
解説:ナレッジマネジメントは個人が持つ暗黙知を形式知に変換し、組織全体で共有・活用する仕組みを構築する経営手法です。野中郁次郎のSECIモデルが有名です。
-
問48.コードレビューの主な目的として正しいものはどれか。
- ア.コードの品質向上とバグの早期発見
- イ.開発者の作業時間を記録すること
- ウ.プロジェクトの予算を管理すること
- エ.顧客への報告書を作成すること
正解:ア.コードの品質向上とバグの早期発見
解説:コードレビューは他の開発者がソースコードを確認し、バグ・設計上の問題・コーディング規約違反等を早期に発見して品質を向上させるプラクティスです。
-
問49.フェイルセーフとは、システム障害時に危険な方向に動く設計である。
正解:×(誤り)
解説:誤り。フェイルセーフは「安全な方向に制御」(記述が逆、安全優先)。
-
問50.アジャイル開発におけるプロダクトオーナーの役割として正しいものはどれか。
- ア.チームメンバーのタスクを細かく指示する
- イ.プロダクトバックログの優先順位を管理し、開発する機能の価値を最大化する
- ウ.ソースコードのレビューをすべて担当する
- エ.テスト環境の構築と運用を担当する
正解:イ.プロダクトバックログの優先順位を管理し、開発する機能の価値を最大化する
解説:プロダクトオーナーはプロダクトの価値を最大化する責任者で、プロダクトバックログの作成・優先順位付け・管理を行い、ステークホルダーとの窓口を務めます。
-
問51.PMBOKのスコープ管理では、プロジェクトで実施する作業と成果物の範囲を明確に定義し管理する。
正解:○(正しい)
解説:スコープ管理はプロジェクトに含まれる作業と成果物の範囲を定義・管理し、スコープクリープ(範囲の際限ない拡大)を防止する知識エリアです。
-
問52.PMBOKの品質管理では、コスト削減のみを優先する。
正解:×(誤り)
解説:誤り。品質管理は「成果物の要求事項適合検証」(コスト優先ではない)。
-
問53.EVM(アーンドバリューマネジメント)のSPI(スケジュール効率指数)が1.0を下回っている場合、プロジェクトは予定より進んでいる。
正解:×(誤り)
解説:誤り。SPIはEV÷PVで算出され、1.0未満の場合はスケジュールが遅延していることを意味します。1.0を超えると予定より進んでいる状態です。
-
問54.EVMのCPI(コスト効率指数)が1.0未満は、予算内で進行している状態である。
正解:×(誤り)
解説:誤り。CPI>1で予算内、CPI<1で予算超過(記述が逆)。
-
問55.SLA(サービスレベル合意書)には、サービスの稼働率やインシデント対応時間などの具体的な数値目標を記載する。
正解:○(正しい)
解説:SLAにはサービスの品質基準として稼働率(例:99.9%以上)、応答時間、復旧時間、インシデント対応時間などの定量的な目標を記載します。
-
問56.ITIL v4では、サービスバリューシステム(SVS)を中心概念として、組織がサービスを通じて価値を共創する仕組みを定義している。
正解:○(正しい)
解説:ITIL v4はSVS(Service Value System)を導入し、需要と機会をインプットとして、サービスバリューチェーンを通じて顧客と共に価値を生み出す体系を定義しています。
-
問57.ITIL v4の継続的改善は、特定タイミングだけ実施するイベントである。
正解:×(誤り)
解説:誤り。継続的改善は「段階的・継続的」(特定タイミングのみではない)。
-
問58.サービスレベル管理では、SLAで合意したサービスレベルの達成状況を監視し、未達の場合は改善措置を講じる。
正解:○(正しい)
解説:サービスレベル管理はSLAに基づいてサービスの提供状況を監視・測定し、目標未達の場合は原因分析と改善策の実施を行うプロセスです。
-
問59.変更管理プロセスでは、すべての変更を変更諮問委員会(CAB)が承認しなければならない。
正解:×(誤り)
解説:誤り。緊急変更や標準的変更(事前承認済みの低リスク変更)はCABの承認を経ずに実施できます。CAB承認が必要なのは通常変更(リスクのある変更)です。
-
問60.ITガバナンスは、現場のIT機器メンテナンスのみを担当する。
正解:×(誤り)
解説:誤り。ITガバナンスは「経営陣がIT投資・リスクを統治しIT活用を経営目標達成に貢献させる仕組み」(メンテナンスのみではない)。
-
問61.情報セキュリティポリシーは、基本方針のみの1階層構成が一般的である。
正解:×(誤り)
解説:誤り。セキュリティポリシーは「基本方針・対策基準・実施手順」3階層が一般的(1階層ではない)。
-
問62.PMBOKのコスト管理では、プロジェクト予算の策定と実績コストの監視を行い、コスト超過を防止する。
正解:○(正しい)
解説:コスト管理はコスト見積り・予算設定・コストコントロールの各プロセスにより、プロジェクトが承認済み予算内で完了するよう管理します。
-
問63.EVMのPV(計画価値)は、実績で完了した作業のコストを表す。
正解:×(誤り)
解説:誤り。PVは「計画上完了予定だった作業のコスト」(実績はAC:実コスト)。
-
問64.サービスバリューチェーンは、3つの活動で構成される。
正解:×(誤り)
解説:誤り。SVCは「6つの活動」(計画・改善・エンゲージ・設計移行・取得構築・提供サポート)。
-
問65.PMBOKのリスク転嫁は、リスクの発生確率を低減する戦略である。
正解:×(誤り)
解説:誤り。リスク転嫁は「影響を第三者に移転」(保険等)、確率低減は軽減戦略。
-
問66.PMBOKのコミュニケーション管理は、プロジェクト関係者間の適切な情報伝達を計画・実行・監視するプロセスである。
正解:○(正しい)
解説:コミュニケーション管理はステークホルダーに必要な情報を適切なタイミングで提供するため、コミュニケーション計画の策定・実行・監視を行います。
-
問67.EVMにおいて、SV(スケジュール差異)がマイナスの場合、プロジェクトは予定より進んでいることを意味する。
正解:×(誤り)
解説:誤り。SV(Schedule Variance)はEV-PVで算出されます。SVがマイナスの場合は出来高が計画を下回っており、スケジュールが遅延しています。
-
問68.SLAに違反した場合のペナルティ条項を定めておくことで、サービス品質の維持を促進する効果がある。
正解:○(正しい)
解説:ペナルティ条項(料金減額やサービスクレジット等)をSLAに盛り込むことで、サービス提供者にサービスレベル維持のインセンティブを与えます。
-
問69.COBIT(Control Objectives for Information and Related Technologies)は、ITガバナンスの国際的なフレームワークである。
正解:○(正しい)
解説:COBITはISACA(情報システムコントロール協会)が策定したITガバナンスと管理のフレームワークで、IT統制の目標と実践を体系化しています。
-
問70.情報セキュリティポリシーの「基本方針」は一般社員が策定し、経営層が承認する文書である。
正解:×(誤り)
解説:誤り。基本方針は経営層が主導して策定する最上位の文書で、組織としての情報セキュリティに対する姿勢や取り組みの方向性を示します。
-
問71.PMBOKの調達管理は、社員教育のみを行うプロセスである。
正解:×(誤り)
解説:誤り。調達管理は「外部から物品・サービス取得の計画・実行・管理」(社員教育ではない)。
-
問72.EVM(アーンドバリューマネジメント)で使用されるEV(アーンドバリュー)の説明として正しいものはどれか。
- ア.ある時点までに実際に支出したコスト
- イ.ある時点までに実際に完了した作業の予算上の価値
- ウ.プロジェクト完了時の見積り総コスト
- エ.ある時点までに計画されていた作業の予算額
正解:イ.ある時点までに実際に完了した作業の予算上の価値
解説:EV(Earned Value)は実際に完了した作業に対する予算額で、プロジェクトの出来高を金額で表します。実際の支出額(AC)や計画額(PV)とは異なります。
-
問73.ITIL v4の指導原則に含まれないものはどれか。
- ア.価値に着目する
- イ.現状から始める
- ウ.すべてのプロセスを最初から再構築する
- エ.フィードバックをもとに反復して進化する
正解:ウ.すべてのプロセスを最初から再構築する
解説:ITIL v4の7つの指導原則には「価値に着目する」「現状から始める」「フィードバックをもとに反復して進化する」等がありますが、全面的な再構築は含まれません。
-
問74.PMBOKの10の知識エリアに含まれないものはどれか。
- ア.スコープ管理
- イ.スケジュール管理
- ウ.コスト管理
- エ.売上管理
正解:エ.売上管理
解説:PMBOKの10知識エリアは統合・スコープ・スケジュール・コスト・品質・資源・コミュニケーション・リスク・調達・ステークホルダー管理です。売上管理は含まれません。
-
問75.EVMにおいて、プロジェクト完了時の見積り総コスト(EAC)の計算で、残作業を当初の計画通りに進める場合の式はどれか。
- ア.AC+(BAC-EV)
- イ.BAC÷CPI
- ウ.AC+(BAC-EV)÷CPI
- エ.BAC-SV
正解:ア.AC+(BAC-EV)
解説:残作業を当初予算通りに進める想定の場合、EAC=AC(実績コスト)+(BAC-EV)(残作業の予算)で算出します。
-
問76.ITガバナンスにおいて、経営層が果たすべき役割として最も適切なものはどれか。
- ア.システムの開発作業を直接行う
- イ.IT戦略の方向性を決定し、IT投資の優先順位を定める
- ウ.ネットワーク機器の設定を管理する
- エ.ヘルプデスクの問い合わせに対応する
正解:イ.IT戦略の方向性を決定し、IT投資の優先順位を定める
解説:ITガバナンスでは経営層がIT戦略の方向性の決定、IT投資ポートフォリオの管理、リスク管理の監督などの役割を担います。
-
問77.SLAで一般的に定義される指標として適切でないものはどれか。
- ア.サービス稼働率
- イ.インシデント対応時間
- ウ.従業員のモチベーション
- エ.障害復旧時間
正解:ウ.従業員のモチベーション
解説:SLAでは稼働率・応答時間・復旧時間など定量的に測定可能な指標を定義します。従業員のモチベーションはSLAの指標としては適切ではありません。
-
問78.変更管理における変更諮問委員会(CAB)の主な役割はどれか。
- ア.バックアップの実行を管理する
- イ.インシデントの一次対応を行う
- ウ.サービスデスクの運営管理を行う
- エ.変更要求を評価し、承認・却下の判断を行う
正解:エ.変更要求を評価し、承認・却下の判断を行う
解説:CAB(Change Advisory Board)は変更要求の影響やリスクを評価し、変更の承認・却下・延期などの判断を行う諮問機関です。
-
問79.PMBOKのステークホルダー管理の目的として最も適切なものはどれか。
- ア.プロジェクトの利害関係者を特定し、その期待や影響力を管理する
- イ.プロジェクトの予算を削減する
- ウ.プロジェクトチームの人数を最小化する
- エ.プロジェクトのスケジュールを短縮する
正解:ア.プロジェクトの利害関係者を特定し、その期待や影響力を管理する
解説:ステークホルダー管理はプロジェクトに影響を与える・受ける利害関係者を特定し、期待・要求・影響力を把握して適切に対応するプロセスです。
-
問80.情報セキュリティポリシーの3階層のうち、具体的な操作手順を記載する文書はどれか。
- ア.基本方針
- イ.実施手順
- ウ.対策基準
- エ.リスクアセスメント報告書
正解:イ.実施手順
解説:実施手順は情報セキュリティポリシーの最下層に位置し、対策基準で定めたルールを実現するための具体的な操作手順やマニュアルを記載します。
-
問81.PERT図は、プロジェクトの作業間の依存関係と所要時間を矢印と節点で表現するネットワーク図である。
正解:○(正しい)
解説:PERT(Program Evaluation and Review Technique)図は作業の前後関係と所要時間をネットワーク状に図示し、クリティカルパス分析に用いられます。
-
問82.アローダイアグラムでは、矢印が結合点を、丸印が作業を表す。
正解:×(誤り)
解説:誤り。アローダイアグラムは「矢印=作業、丸印=結合点(開始・終了時点)」(記述が逆)。
-
問83.クリティカルパス上の作業が遅れても、プロジェクト全体の完了に影響しない。
正解:×(誤り)
解説:誤り。クリティカルパスの作業遅延は「プロジェクト全体に影響」(その経路がボトルネック)。
-
問84.スクラムでは、プロダクトオーナー、スクラムマスター、開発チームの3つの役割が定義されている。
正解:○(正しい)
解説:スクラムのロールはプロダクトオーナー(何を作るか決定)、スクラムマスター(プロセス支援)、開発チーム(開発実行)の3つです。
-
問85.スクラムのスプリントは、期間の途中で延長することができる。
正解:×(誤り)
解説:誤り。スプリントは「固定長期間」(途中延長不可、終了で次へ)。
-
問86.デイリースクラムは、開発チームが毎日行う15分以内のタイムボックスの同期ミーティングである。
正解:○(正しい)
解説:デイリースクラムは毎日同じ時間に15分以内で実施し、スプリントゴールに向けた進捗確認と次の24時間の計画を行います。
-
問87.スクラムのプロダクトバックログは、プロダクトに必要な機能や要求を優先順位付けしたリストである。
正解:○(正しい)
解説:プロダクトバックログはプロダクトオーナーが管理する優先順位付きの要求一覧で、常に更新・再順序付けされます。
-
問88.カンバン方式では、作業中のタスク数(WIP:Work In Progress)に上限を設けてフローを可視化する。
正解:○(正しい)
解説:カンバンはWIP制限により仕掛かりを抑制し、ボトルネックを可視化してフローの最適化と継続的改善を図る手法です。
-
問89.DevOpsは、開発(Development)と運用(Operations)が密に連携し、迅速かつ安定したソフトウェアデリバリーを実現する考え方である。
正解:○(正しい)
解説:DevOpsは開発と運用の組織的・文化的な連携を重視し、自動化ツール・CI/CDパイプライン等で継続的なサービス改善を実現します。
-
問90.CI(継続的インテグレーション)は、開発者がコードを頻繁にリポジトリへ統合し、自動ビルド・自動テストを行う開発手法である。
正解:○(正しい)
解説:CIは複数開発者のコード変更を頻繁に統合し、ビルド・テストを自動実行することで、統合時のトラブルを早期発見する実践です。
-
問91.CD(継続的デリバリー)は、ソフトウェアを常にリリース可能な状態に保ち、短いサイクルでデプロイできるようにする手法である。
正解:○(正しい)
解説:CDはCIの次段階として、テストを通過したコードをいつでも本番環境にデプロイ可能な状態に保つ実践です。
-
問92.ファンクションポイント法とLOC法は、いずれも品質指標の測定方法である。
正解:×(誤り)
解説:誤り。FP法・LOC法は「ソフトウェア規模見積りの手法」(品質指標ではない)。
-
問93.プロジェクトの立ち上げフェーズで作成される「プロジェクト憲章」は、プロジェクトの目的・概要・主要ステークホルダーを定義する文書である。
正解:○(正しい)
解説:プロジェクト憲章はプロジェクトを公式に承認し、プロジェクトマネージャの権限を付与する文書で、目的・目標・概要等を記載します。
-
問94.WBS辞書は、WBSの各要素の詳細情報(作業内容、成果物、責任者等)を記述した補足文書である。
正解:○(正しい)
解説:WBS辞書はWBSの各ワークパッケージについて、作業内容・成果物・担当者・スケジュール・コスト等の詳細情報を記載する補完文書です。
-
問95.リスク対応戦略の「受容」は、リスクが発生しないよう全力で防止する戦略である。
正解:×(誤り)
解説:誤り。受容は「特別な対策を講じず発生時に対応」(防止は回避・軽減等)。
-
問96.リスク対応戦略の「軽減」は、リスクの発生確率または影響度を許容可能な範囲まで下げる戦略である。
正解:○(正しい)
解説:リスク軽減はテスト強化、バックアップ体制強化、プロトタイプ作成等により、発生確率や影響を低減させる能動的な対応策です。
-
問97.キャパシティ管理は、ITサービスが必要とするリソース(CPU、メモリ、ネットワーク等)の能力を最適に確保するプロセスである。
正解:○(正しい)
解説:キャパシティ管理は現在及び将来のビジネス需要を満たすよう、コストとリソースのバランスを取りながらITリソース能力を計画・管理します。
-
問98.可用性管理は、ITサービスが利用者の要求通りに利用可能であり続けることを保証するプロセスである。
正解:○(正しい)
解説:可用性管理はMTBF・MTTR等の指標を用いてサービスの稼働状況を監視し、合意されたサービスレベルで利用可能状態を維持します。
-
問99.リリース管理は、本番環境への新規・変更コンポーネントの展開(リリース)を計画し管理するプロセスである。
正解:○(正しい)
解説:リリース管理は複数の変更をまとめて計画的に本番環境にデプロイし、リリース成功を確実にするプロセスで、ロールバック計画も含みます。
-
問100.ITサービス継続性管理(ITSCM)は、災害等発生時にITサービスを復旧させBCPを支える取り組みである。
正解:○(正しい)
解説:ITSCMは事業影響度分析(BIA)やリスク評価に基づき、災害時のIT復旧手順・バックアップ・代替サイト等を計画・整備します。
-
問101.システム監査人は、被監査部門の業務に直接関与してから監査を行う。
正解:×(誤り)
解説:誤り。監査人は「被監査部門と独立した立場」、直接関与しないのが原則。
-
問102.システム監査報告書には、監査の目的・範囲・実施手続・監査意見・指摘事項及び改善提案などが記載される。
正解:○(正しい)
解説:監査報告書は監査結果を経営者等に報告するための公式文書で、監査の実施内容と監査意見、具体的な改善提案を明確に記載します。
-
問103.内部統制は、経営者の責任のもとで組織内に整備・運用される仕組みであり、業務の有効性・財務報告の信頼性・法令遵守・資産保全を目的とする。
正解:○(正しい)
解説:内部統制はCOSOフレームワークに基づき4つの目的を達成するための組織的仕組みで、経営者による整備・運用責任が明確化されています。
-
問104.BPRは、業務プロセスを微調整するだけの軽微な改善手法である。
正解:×(誤り)
解説:誤り。BPRは「業務プロセスを抜本的に再設計」(軽微改善ではない)。
-
問105.KJ法は、カードに書き出したアイデアをグルーピング・関連付けして、複雑な情報を体系化する発想法である。
正解:○(正しい)
解説:KJ法は川喜田二郎が考案した手法で、ブレーンストーミング等で得られた多数のアイデアを、親和性に基づきグループ化して構造化します。
-
問106.特性要因図(フィッシュボーン図)は、結果(特性)に影響を与える要因を魚の骨状に整理して原因分析を行う手法である。
正解:○(正しい)
解説:特性要因図は石川馨が考案したQC7つ道具の一つで、4M(Man, Machine, Material, Method)等の観点から要因を体系的に整理します。
-
問107.パレート図は、項目別の発生件数を降順で棒グラフに示し、累積比率を折れ線グラフで重ねた図で、重点管理対象の特定に用いられる。
正解:○(正しい)
解説:パレート図はQC7つ道具の一つで、上位の少数要因が全体の大部分を占める「パレートの法則(80:20の法則)」を可視化します。
-
問108.ヒストグラムは、データのばらつき分布を区間ごとの度数で示す棒グラフである。
正解:○(正しい)
解説:ヒストグラムはデータをいくつかの階級(区間)に分け、各階級の度数(データ数)を棒の高さで表現する統計グラフです。
-
問109.散布図は、2つの変量の関係性(相関関係)を視覚的に把握するための図である。
正解:○(正しい)
解説:散布図は縦軸・横軸に異なる2つの量を取り、各データ点をプロットすることで2変量の相関の有無や傾向を視覚化します。
-
問110.ファシリテーションは、会議の進行役が議論を活性化し、合意形成や意思決定を支援する技法である。
正解:○(正しい)
解説:ファシリテーションは中立的立場のファシリテーターが、参加者の主体的発言を促し、建設的な議論を通じて成果を引き出す技法です。
-
問111.ITILのサービスカタログ管理は、提供中のサービスの一覧を最新の状態で維持し利用者に公開するプロセスである。
正解:○(正しい)
解説:サービスカタログ管理は現役の全サービスの情報(内容・SLA・担当等)を一元管理し、利用者と提供者双方に正確な情報を提供します。
-
問112.コンフィギュレーション管理(構成管理)は、ITサービスを構成する構成品目(CI)の情報をCMDBに記録し管理するプロセスである。
正解:○(正しい)
解説:構成管理はハードウェア・ソフトウェア・ドキュメント等のCIとその関係をCMDBに記録し、サービス全体の構成情報を正確に維持します。
-
問113.PERT図における「クリティカルパス」の特徴として正しいものはどれか。
- ア.最も多くの作業を含む経路である
- イ.コストが最も高い経路である
- ウ.余裕時間(フロート)がゼロの最長経路である
- エ.最短の所要時間を持つ経路である
正解:ウ.余裕時間(フロート)がゼロの最長経路である
解説:クリティカルパスはプロジェクトの最長所要時間となる経路で、余裕時間が一切なく、その遅延が直接プロジェクト全体の遅延に結びつきます。
-
問114.問題管理は、インシデントの応急処置のみを担当する。
正解:×(誤り)
解説:誤り。問題管理は根本原因の特定と再発防止を担当します。インシデントの応急処置を行うのはインシデント管理です。
-
問115.スクラムのイベントに含まれないものはどれか。
- ア.ガントチャートレビュー
- イ.スプリントプランニング
- ウ.スプリントレビュー
- エ.スプリントレトロスペクティブ
正解:ア.ガントチャートレビュー
解説:スクラムの公式イベントはスプリント、スプリントプランニング、デイリースクラム、スプリントレビュー、スプリントレトロスペクティブの5つです。
-
問116.カンバン方式とスクラムの主な違いとして正しいものはどれか。
- ア.カンバンは大規模、スクラムは小規模プロジェクト専用である
- イ.カンバンは継続的フロー、スクラムは固定期間のスプリントで進める
- ウ.カンバンは設計のみ、スクラムは開発のみを扱う
- エ.両者に違いはない
正解:イ.カンバンは継続的フロー、スクラムは固定期間のスプリントで進める
解説:カンバンはタイムボックスを設けず連続的にタスクを流し、スクラムは固定期間(スプリント)で計画・実行・振り返りを繰り返します。
-
問117.ITILの変更管理は、変更を緊急に行うため計画書なしで実施する。
正解:×(誤り)
解説:誤り。変更管理は計画・承認・実施・記録のプロセスに従って行います。計画書なしでは変更を管理できません。
-
問118.CI/CDツールの代表例として最も適切なものはどれか。
- ア.AutoCAD、SolidWorks、CATIA
- イ.Photoshop、Illustrator、InDesign
- ウ.Word、Excel、PowerPoint
- エ.Jenkins、GitLab CI、GitHub Actions
正解:エ.Jenkins、GitLab CI、GitHub Actions
解説:Jenkins、GitLab CI、GitHub Actions、CircleCI等はCI/CDパイプラインを自動実行する代表的なツールです。
-
問119.問題管理データベース(PDB)は、解決策が判明した既知エラーを記録する。
正解:×(誤り)
解説:誤り。解決策が判明した既知エラーを記録するのは既知エラーデータベース(KEDB)です。PDB(問題管理DB)は問題そのものを管理します。
-
問120.システム監査における「予防統制」の例として適切なものはどれか。
- ア.ログの事後分析による不正検出
- イ.アクセス権限の事前設定と承認プロセス
- ウ.障害発生後の復旧手順
- エ.監査後の改善報告書作成
正解:イ.アクセス権限の事前設定と承認プロセス
解説:予防統制は不正やミスの発生前に防止する統制で、アクセス権限設定、職務分掌、入力チェック等が該当します。事後対応は発見統制です。
-
問121.システム監査基準は、海外政府が制定するものである。
正解:×(誤り)
解説:誤り。システム監査基準は経済産業省が制定する日本のガイドラインです。海外政府が制定するものではありません。
-
問122.QC7つ道具に含まれないものはどれか。
- ア.ヒストグラム
- イ.パレート図
- ウ.特性要因図
- エ.アローダイアグラム
正解:エ.アローダイアグラム
解説:QC7つ道具はパレート図、特性要因図、ヒストグラム、散布図、管理図、チェックシート、グラフ(層別)です。アローダイアグラムは新QC7つ道具です。
-
問123.内部統制報告書(J-SOX)は、自治体への公的報告書である。
正解:×(誤り)
解説:誤り。内部統制報告書(J-SOX)は上場企業の財務報告に係る内部統制の評価・報告制度です。自治体への報告書ではありません。
-
問124.ITILの「インシデント管理」と「問題管理」の違いとして正しいものはどれか。
- ア.両者は全く同じプロセスである
- イ.インシデント管理はサービス復旧、問題管理は根本原因究明を目的とする
- ウ.インシデント管理は再発防止、問題管理は即時復旧を目的とする
- エ.インシデント管理は技術側、問題管理は営業側のプロセスである
正解:イ.インシデント管理はサービス復旧、問題管理は根本原因究明を目的とする
解説:インシデント管理は目の前の障害を可能な限り迅速に復旧させ、問題管理はインシデントの根本原因を分析し再発防止を図ります。
-
問125.ファンクションポイント法の特徴として最も適切なものはどれか。
- ア.開発期間だけで見積もる
- イ.プログラムの行数で規模を算出する
- ウ.ソフトウェアの機能量(入出力画面数、ファイル数等)から規模を算出する
- エ.開発者の直感のみに依存する
正解:ウ.ソフトウェアの機能量(入出力画面数、ファイル数等)から規模を算出する
解説:ファンクションポイント法は外部入力・外部出力・内部論理ファイル・外部インターフェースファイル・外部照会の5要素から機能量を数値化します。
-
問126.SWOT分析のSは何を表すか。
- ア.System(システム)
- イ.Strategy(戦略)
- ウ.Strength(強み)
- エ.Sales(売上)
正解:ウ.Strength(強み)
解説:SWOT分析のSはStrength(強み)です。S(強み)、W(弱み)、O(機会)、T(脅威)の4つの観点で分析します。
-
問127.PDCAサイクルのCは何を表すか。
- ア.Change(変更)
- イ.Control(制御)
- ウ.Cost(コスト)
- エ.Check(評価)
正解:エ.Check(評価)
解説:PDCAサイクルのCはCheck(評価)です。Plan→Do→Check→Actのサイクルで継続的改善を図ります。
-
問128.コアコンピタンスとは、企業の弱みのことである。
正解:×(誤り)
解説:誤り。コアコンピタンスは「企業の中核となる独自の強み」(弱みではない)。
-
問129.BPR(ビジネスプロセスリエンジニアリング)の説明として正しいものはどれか。
- ア.業務プロセスを根本的に見直し再設計すること
- イ.既存システムの保守作業
- ウ.社員の人事評価制度
- エ.製品の品質検査手順
正解:ア.業務プロセスを根本的に見直し再設計すること
解説:BPRは業務の流れを根本的に見直し、抜本的に再設計して劇的な改善を目指す経営手法です。
-
問130.ROEは、企業の安全性を示す指標である。
正解:×(誤り)
解説:誤り。ROEは「自己資本利益率=収益性指標」(安全性は流動比率等)。
-
問131.損益分岐点とは、売上高と費用が等しくなり利益がゼロになる点である。
正解:○(正しい)
解説:損益分岐点では売上高=変動費+固定費となり、利益も損失もゼロの状態です。
-
問132.SCM(サプライチェーンマネジメント)の説明として正しいものはどれか。
- ア.顧客との関係を管理する手法
- イ.調達から販売までの供給連鎖を最適化する管理手法
- ウ.社内の知識を共有する仕組み
- エ.製品の品質を管理する手法
正解:イ.調達から販売までの供給連鎖を最適化する管理手法
解説:SCMは原材料の調達から生産・物流・販売まで、供給連鎖全体を統合的に管理し最適化する手法です。
-
問133.CRMは、サプライヤーとの関係管理に特化した手法である。
正解:×(誤り)
解説:誤り。CRMは「顧客関係管理」(サプライヤー管理はSCM)。
-
問134.PPM(プロダクトポートフォリオマネジメント)で「金のなる木」に分類される事業の特徴はどれか。
- ア.市場成長率が高く、市場占有率が低い
- イ.市場成長率が高く、市場占有率が高い
- ウ.市場成長率が低く、市場占有率が高い
- エ.市場成長率が低く、市場占有率が低い
正解:ウ.市場成長率が低く、市場占有率が高い
解説:「金のなる木」は市場成長率が低く市場占有率が高い事業で、少ない投資で安定収益を得られます。
-
問135.OJTとは、職場外の研修施設で行う集合教育である。
正解:×(誤り)
解説:誤り。OJTは「職場内で実業務を通じた教育」(職場外集合教育はOff-JT)。
-
問136.不正競争防止法で保護されるものとして正しいものはどれか。
- ア.商標
- イ.発明
- ウ.著作物
- エ.営業秘密
正解:エ.営業秘密
解説:不正競争防止法は営業秘密の不正取得や利用を規制します。発明は特許法、著作物は著作権法で保護されます。
-
問137.個人情報保護法において、個人情報とは生存する個人に関する情報で特定の個人を識別できるものをいう。
正解:○(正しい)
解説:個人情報保護法では、生存する個人に関する情報で、氏名等により特定の個人を識別できるものと定義されています。
-
問138.SaaS(Software as a Service)の説明として正しいものはどれか。
- ア.ソフトウェアをインターネット経由で提供するサービス
- イ.サーバのハードウェアを貸し出すサービス
- ウ.ネットワーク回線を提供するサービス
- エ.データセンターの設備を貸し出すサービス
正解:ア.ソフトウェアをインターネット経由で提供するサービス
解説:SaaSはソフトウェアの機能をインターネット経由でサービスとして提供する形態です。
-
問139.フィンテックは、ファッションと技術を組合せた造語である。
正解:×(誤り)
解説:誤り。フィンテックは「Finance(金融)+Technology」の造語(ファッションではない)。
-
問140.ニッチ戦略は、大企業が参入する大規模市場を狙う戦略である。
正解:×(誤り)
解説:誤り。ニッチは「大企業が参入しない小さな市場」を狙う戦略(記述が逆)。
-
問141.KPI(重要業績評価指標)の説明として正しいものはどれか。
- ア.企業の総売上高
- イ.目標達成に向けた進捗を測定する指標
- ウ.株価の変動率
- エ.従業員の離職率
正解:イ.目標達成に向けた進捗を測定する指標
解説:KPIは目標達成に向けたプロセスの進捗状況を定量的に測定するための指標です。
-
問142.CSR(企業の社会的責任)とは、企業が社会に対して果たすべき責任のことである。
正解:○(正しい)
解説:CSRは企業が利益追求だけでなく、環境保護・人権尊重・地域貢献などの社会的責任を果たすことです。
-
問143.ABC分析で、累積売上高の上位70%程度を占める商品群はどのランクか。
- ア.Cランク
- イ.Bランク
- ウ.Aランク
- エ.Dランク
正解:ウ.Aランク
解説:ABC分析では売上高の上位約70%をAランク、約70〜90%をBランク、残りをCランクに分類します。
-
問144.著作権は、特許庁に登録することで発生する権利である。
正解:×(誤り)
解説:誤り。著作権は「創作と同時に自動発生」(無方式主義、登録不要)。
-
問145.特許権の存続期間は出願日から何年か。
- ア.10年
- イ.15年
- ウ.50年
- エ.20年
正解:エ.20年
解説:特許権の存続期間は出願日から20年です。実用新案権は出願日から10年です。
-
問146.DXとは、紙書類を電子化することのみを意味する。
正解:×(誤り)
解説:誤り。DXは「デジタル技術活用の事業モデル・組織・文化等の根本変革」(電子化のみではない)。
-
問147.Society 5.0の説明として正しいものはどれか。
- ア.サイバー空間とフィジカル空間を高度に融合させた社会
- イ.完全自動化された無人工場を中心とした社会
- ウ.すべての産業がAIに置き換わった社会
- エ.インターネット上のみで経済活動が行われる社会
正解:ア.サイバー空間とフィジカル空間を高度に融合させた社会
解説:Society 5.0は第5期科学技術基本計画で提唱された概念で、IoT・AI・ビッグデータ等を活用してサイバー空間とフィジカル空間を融合させ、経済発展と社会的課題の解決を両立する人間中心の社会です。
-
問148.ESG投資のEは「Economy(経済)」を指す。
正解:×(誤り)
解説:誤り。ESGのEは「Environment(環境)」(経済ではない)。
-
問149.サブスクリプションモデルの説明として正しいものはどれか。
- ア.商品を一括購入して永久に利用するモデル
- イ.定額料金を支払い、一定期間サービスを継続的に利用するビジネスモデル
- ウ.広告収入で運営し利用者は無料で使えるモデル
- エ.利用量に応じて従量課金するモデル
正解:イ.定額料金を支払い、一定期間サービスを継続的に利用するビジネスモデル
解説:サブスクリプションモデルは月額・年額等の定額料金でサービスを継続利用する形態です。所有から利用への転換として近年急速に普及しています。
-
問150.リーンスタートアップとは、最小限の製品(MVP)を素早く市場に投入し、顧客からのフィードバックを基に改善を繰り返す手法である。
正解:○(正しい)
解説:リーンスタートアップはMVP(Minimum Viable Product)を迅速にリリースし、仮説検証のサイクルを高速に回すことで、無駄を省きながら事業を成長させる手法です。
-
問151.プラットフォームビジネスの例として最も適切なものはどれか。
- ア.社内向けのグループウェア
- イ.自社製品のみを販売する直販サイト
- ウ.売り手と買い手をマッチングするECモール
- エ.特定企業向けの受託開発
正解:ウ.売り手と買い手をマッチングするECモール
解説:プラットフォームビジネスは複数の利用者グループを仲介し、取引や交流の場を提供するビジネスモデルです。ECモールやフリマアプリ等が代表例です。
-
問152.GDPRは、米国の個人データ保護を規定する法令である。
正解:×(誤り)
解説:誤り。GDPRは「EU一般データ保護規則」(米国法ではない、EU法)。
-
問153.データドリブン経営の説明として正しいものはどれか。
- ア.データ入力業務を外部委託する経営手法
- イ.データセンターを自社で保有する経営方針
- ウ.すべての業務データを紙で保管する方針
- エ.データ分析に基づいて意思決定を行う経営手法
正解:エ.データ分析に基づいて意思決定を行う経営手法
解説:データドリブン経営は勘や経験だけに頼らず、収集・分析したデータに基づいて客観的に意思決定を行う経営手法です。
-
問154.シェアリングエコノミーとは、個人が保有する遊休資産やスキルを他者と共有・交換するビジネスモデルである。
正解:○(正しい)
解説:シェアリングエコノミーは空き部屋、車、スキル等の遊休資産をインターネットを介して共有・活用する経済モデルです。民泊やカーシェア等が代表例です。
-
問155.PoC(Proof of Concept)の説明として正しいものはどれか。
- ア.新しい概念や技術の実現可能性を検証すること
- イ.製品の量産体制を確立すること
- ウ.完成品の品質を検査すること
- エ.顧客に製品の操作方法を教育すること
正解:ア.新しい概念や技術の実現可能性を検証すること
解説:PoC(概念実証)は新しいアイデアや技術が実現可能かどうか、本格導入の前に小規模な試作やテストで検証することです。
-
問156.OKR(Objectives and Key Results)は、組織の目標設定と成果測定のフレームワークである。
正解:○(正しい)
解説:OKRは達成すべき目標(Objective)と、その達成度を測る主要な成果指標(Key Results)を設定する目標管理フレームワークです。Google等が採用しています。
-
問157.AI(人工知能)を業務に導入する際の留意点として最も適切なものはどれか。
- ア.AIの判断はすべて正しいため、人間の介入は不要である
- イ.AIの判断結果を人間が検証し、最終的な意思決定は人間が行う体制を整える
- ウ.AIの学習データは一度用意すれば更新不要である
- エ.AIの導入により全従業員を即座に削減すべきである
正解:イ.AIの判断結果を人間が検証し、最終的な意思決定は人間が行う体制を整える
解説:AIの判断にはバイアスや誤りが含まれる可能性があるため、人間による監視・検証(Human in the Loop)の体制が重要です。
-
問158.アジャイル開発の考え方をビジネス全体に適用し、変化に素早く対応できる組織を目指すことをビジネスアジリティという。
正解:○(正しい)
解説:ビジネスアジリティは市場や顧客ニーズの変化に迅速かつ柔軟に対応し、価値を継続的に提供できる組織能力を指します。
-
問159.フリーミアムモデルの説明として正しいものはどれか。
- ア.期間限定で無料体験を提供し、以降は全機能有料のモデル
- イ.すべての機能を無料で提供するモデル
- ウ.基本機能を無料で提供し、高度な機能は有料で提供するモデル
- エ.広告を表示する代わりにすべての機能を無料にするモデル
正解:ウ.基本機能を無料で提供し、高度な機能は有料で提供するモデル
解説:フリーミアムはFree+Premiumの造語で、基本機能は無料で多くのユーザーを集め、有料版への課金で収益を得るモデルです。
-
問160.カーボンニュートラルとは、CO2の排出量と吸収量を差し引きゼロにすることである。
正解:○(正しい)
解説:カーボンニュートラルは温室効果ガスの排出量を削減し、残りの排出量を森林吸収やCO2回収技術等で相殺して実質ゼロにすることです。
-
問161.マイケル・ポーターの5つの競争要因(5フォース分析)に含まれないものはどれか。
- ア.既存競合企業間の敵対関係
- イ.新規参入の脅威
- ウ.代替品の脅威
- エ.技術革新の速度
正解:エ.技術革新の速度
解説:5フォース分析は①既存競合間の敵対関係、②新規参入の脅威、③代替品の脅威、④買い手の交渉力、⑤売り手の交渉力の5つです。技術革新の速度は含まれません。
-
問162.ベンチャーキャピタル(VC)は、成長が見込まれるスタートアップ企業に出資する投資会社である。
正解:○(正しい)
解説:VCは高い成長が期待されるスタートアップに資金を出資し、株式上場やM&Aによるキャピタルゲインを狙う投資ファンドです。
-
問163.M&Aの形態のうち、相手企業を完全に吸収する方式を何というか。
- ア.合併(吸収合併)
- イ.株式公開買付(TOB)
- ウ.業務提携
- エ.MBO(マネジメントバイアウト)
正解:ア.合併(吸収合併)
解説:吸収合併は被合併会社の権利義務をすべて合併会社に承継させ、被合併会社は消滅する形態です。
-
問164.内部統制の目的には、業務の有効性・効率性、財務報告の信頼性、法令遵守、資産の保全が含まれる。
正解:○(正しい)
解説:内部統制の4つの目的は、①業務の有効性および効率性、②財務報告の信頼性、③事業活動に関わる法令等の遵守、④資産の保全です。
-
問165.API(アプリケーションプログラミングインタフェース)エコノミーの説明として正しいものはどれか。
- ア.APIの使用料を徴収するだけの課金モデル
- イ.企業がAPIを公開して外部サービスと連携し、新たな価値を創出する経済圏
- ウ.API開発者のみが利益を得る閉鎖的な市場
- エ.社内システム間のAPI連携のみを指す概念
正解:イ.企業がAPIを公開して外部サービスと連携し、新たな価値を創出する経済圏
解説:APIエコノミーは企業がAPIを公開・連携させることで、異なるサービス同士が組み合わさり新たなビジネス価値や収益機会を創出する経済圏です。
-
問166.デザイン思考において、ユーザーの行動を観察して潜在的なニーズを発見するプロセスを共感(Empathize)という。
正解:○(正しい)
解説:デザイン思考の最初のプロセスである共感(Empathize)では、ユーザーへのインタビューや行動観察を通じて、ユーザー自身も気づいていない潜在的ニーズを発見します。
-
問167.バランススコアカード(BSC)の4つの視点に含まれないものはどれか。
- ア.財務の視点
- イ.顧客の視点
- ウ.競合分析の視点
- エ.業務プロセスの視点
正解:ウ.競合分析の視点
解説:BSCの4つの視点は①財務、②顧客、③業務プロセス(内部プロセス)、④学習と成長です。競合分析の視点は含まれません。
-
問168.派遣先企業が派遣労働者に直接指揮命令することは禁止されている。
正解:×(誤り)
解説:誤り。派遣労働者の指揮命令は「派遣先が直接行う」(禁止ではない、これが派遣の特徴)。
-
問169.アンゾフの成長マトリクスで、既存市場に新製品を投入する戦略を何というか。
- ア.市場浸透戦略
- イ.多角化戦略
- ウ.新市場開拓戦略
- エ.新製品開発戦略
正解:エ.新製品開発戦略
解説:アンゾフの成長マトリクスでは、既存市場×新製品が「新製品開発戦略」です。市場浸透は既存市場×既存製品、新市場開拓は新市場×既存製品です。
-
問170.グリーンITとは、IT機器の省電力化やリサイクルなど環境に配慮したIT活用のことである。
正解:○(正しい)
解説:グリーンITは地球環境への負荷を軽減するために、IT機器の省エネ化、仮想化技術によるサーバ集約、電子化によるペーパーレス推進等を行う取り組みです。
-
問171.コンプライアンスの説明として正しいものはどれか。
- ア.法令や社会規範を遵守すること
- イ.競合他社と協力すること
- ウ.顧客の要望にすべて応えること
- エ.最新技術を常に導入すること
正解:ア.法令や社会規範を遵守すること
解説:コンプライアンス(法令遵守)は法律・規則だけでなく、社会的倫理や企業規範も含めて遵守することを意味します。
-
問172.テレワークは、必ずオフィスに出社して行う働き方である。
正解:×(誤り)
解説:誤り。テレワークは「ICT活用で時間・場所にとらわれない柔軟な働き方」(出社必須ではない)。
-
問173.ギグエコノミーの説明として正しいものはどれか。
- ア.大企業が市場を独占する経済形態
- イ.単発・短期の仕事をインターネット経由で請け負う働き方が広がった経済形態
- ウ.政府主導で雇用を創出する経済政策
- エ.終身雇用を前提とした日本型経済モデル
正解:イ.単発・短期の仕事をインターネット経由で請け負う働き方が広がった経済形態
解説:ギグエコノミーはフリーランスや個人が、プラットフォームを通じて単発・短期の仕事(ギグ)を請け負う新しい経済形態です。
-
問174.SDGsは、2050年までの達成を目指す国際目標である。
正解:×(誤り)
解説:誤り。SDGsは「2030年まで」の17目標(2050年ではない、2050はカーボンニュートラル等)。
-
問175.クラウドファンディングの説明として正しいものはどれか。
- ア.ベンチャーキャピタルから出資を受ける方法
- イ.銀行から大口融資を受ける仕組み
- ウ.インターネットを通じて不特定多数の人から資金を集める仕組み
- エ.自己資金のみで起業する方法
正解:ウ.インターネットを通じて不特定多数の人から資金を集める仕組み
解説:クラウドファンディングはCrowd(群衆)とFunding(資金調達)を組み合わせた造語で、インターネット上で多数の支援者から少額ずつ資金を集める仕組みです。
-
問176.ポーターの5つの力で「買い手の交渉力」とは、サプライヤーが要求する力のことである。
正解:×(誤り)
解説:誤り。買い手の交渉力は「顧客(買い手)が値下げ等を要求する力」(サプライヤーではない)。
-
問177.ポーターの5つの力分析における「売り手の交渉力」とは、自社製品を販売する営業力のことである。
正解:×(誤り)
解説:誤り。売り手の交渉力とは、原材料や部品を供給するサプライヤーが価格を引き上げたり供給条件を厳しくする力のことです。自社の営業力ではありません。
-
問178.バリューチェーン分析は、企業の活動を主活動と支援活動に分類し、どの工程で付加価値が生まれているかを分析する手法である。
正解:○(正しい)
解説:バリューチェーン分析では、購買物流・製造・出荷物流・販売・サービスの主活動と、全般管理・人事・技術開発・調達の支援活動に分けて価値の源泉を特定します。
-
問179.SWOT分析の「機会(O)」とは、自社内部の強みのことである。
正解:×(誤り)
解説:誤り。機会(Opportunity)は市場の成長や規制緩和など外部環境のプラス要因です。自社内部の強みはStrength(S)に分類されます。
-
問180.BSCの「学習と成長の視点」では、財務指標のみで評価する。
正解:×(誤り)
解説:誤り。学習成長視点は「従業員スキル・イノベーション能力等」を評価(財務指標は別視点)。
-
問181.BPR(ビジネスプロセスリエンジニアリング)は、既存の業務プロセスを少しずつ改善する手法である。
正解:×(誤り)
解説:誤り。BPRは既存プロセスの漸進的改善ではなく、業務プロセスをゼロベースで根本的に再設計し、劇的な改善を目指す手法です。漸進的改善はカイゼン(継続的改善)に該当します。
-
問182.戦略的アライアンスとは、複数の企業が経営資源を相互に活用し合うために結ぶ提携関係のことである。
正解:○(正しい)
解説:戦略的アライアンスは、企業間で技術・販売網・ブランド等の経営資源を共有・補完し合うことで、単独では達成困難な目標を実現する提携関係です。
-
問183.TOB(株式公開買付)とは、証券取引所を通じて不特定多数から株式を買い付ける手法である。
正解:×(誤り)
解説:誤り。TOBは証券取引所を通さず、買付価格・期間・株数を公告して不特定多数の株主から直接株式を買い付ける手法です。市場外での取引である点が特徴です。
-
問184.フランチャイズ方式では、フランチャイザー(本部)がフランチャイジー(加盟店)に対して経営ノウハウや商標の使用権を提供する。
正解:○(正しい)
解説:フランチャイズ方式では、本部が加盟店にブランド・商標の使用権、経営ノウハウ、商品供給などを提供し、加盟店はロイヤルティを支払います。
-
問185.実用新案権は、文芸作品を保護する権利である。
正解:×(誤り)
解説:誤り。実用新案は「物品の形状・構造・組合せに関する考案」(文芸は著作権)。
-
問186.意匠権の存続期間は、出願日から10年である。
正解:×(誤り)
解説:誤り。意匠権は「出願日から25年」(10年は実用新案権)。
-
問187.MBO(マネジメントバイアウト)とは、経営陣が自社の株式を買い取って経営権を取得する手法である。
正解:○(正しい)
解説:MBOは現経営陣が投資ファンド等の支援を受けて自社株式を買い取り、オーナー経営者となる手法です。上場企業の非公開化などに利用されます。
-
問188.SWOT分析のクロス分析において、「強み×脅威」の組み合わせでは、強みを活かして脅威を回避・軽減する戦略を検討する。
正解:○(正しい)
解説:クロスSWOT分析の「強み×脅威」では、自社の強みを活用して外部の脅威に対抗・回避する差別化戦略などを立案します。
-
問189.バリューチェーン分析における「購買物流」は、完成品を顧客に届ける活動のことである。
正解:×(誤り)
解説:誤り。購買物流(インバウンドロジスティクス)は原材料や部品の受入・保管・配分に関する活動です。完成品を顧客に届ける活動は出荷物流(アウトバウンドロジスティクス)です。
-
問190.コストリーダーシップ戦略は、最高品質で差別化を狙う戦略である。
正解:×(誤り)
解説:誤り。コストリーダーシップは「業界最低コスト」で競争優位を得る戦略(高品質差別化は差別化戦略)。
-
問191.BSCの「財務の視点」では、従業員満足度などの非財務指標を用いる。
正解:×(誤り)
解説:誤り。財務視点は「売上成長率・ROI等の財務指標」(非財務は学習・成長等)。
-
問192.商標権は、一度登録すると更新できず存続期間後に消滅する。
正解:×(誤り)
解説:誤り。商標権は「更新登録により半永久的に存続可能」(更新可能)。
-
問193.垂直統合とは、同業他社との合併を指す用語である。
正解:×(誤り)
解説:誤り。垂直統合はサプライチェーンの川上(原材料供給)や川下(販売・流通)の企業を統合することです。同業他社との合併は水平統合に該当します。
-
問194.代替品の脅威が高い業界では、既存製品の価格を引き上げやすい。
正解:×(誤り)
解説:誤り。代替品脅威高では「価格引き上げにくい」(顧客が代替品に流れる)。記述が逆。
-
問195.LBO(レバレッジドバイアウト)とは、買収対象企業の資産やキャッシュフローを担保に資金を借り入れて企業買収を行う手法である。
正解:○(正しい)
解説:LBOは買収先の資産や将来のキャッシュフローを担保にして金融機関から借入を行い、少ない自己資金で企業買収を実現する手法です。
-
問196.バリューチェーン分析の支援活動には、人事・労務管理、技術開発、調達活動などが含まれる。
正解:○(正しい)
解説:支援活動は主活動を支える間接的な活動で、全般管理(経理・法務等)、人事・労務管理、技術開発、調達活動の4つに分類されます。
-
問197.ポーターの5つの力分析において、業界の収益性を低下させる要因として最も適切なものはどれか。
- ア.新規参入障壁が低く、多くの企業が容易に参入できる
- イ.代替品が存在せず顧客に他の選択肢がない
- ウ.買い手の数が多く個々の交渉力が弱い
- エ.サプライヤーの数が多く競争が激しい
正解:ア.新規参入障壁が低く、多くの企業が容易に参入できる
解説:新規参入障壁が低いと多くの企業が参入し、競争が激化して業界全体の利益率が低下します。他の選択肢は収益性を維持・向上させる要因です。
-
問198.BSC(バランスト・スコアカード)の4つの視点の因果関係として適切な順序はどれか。
- ア.財務→顧客→業務プロセス→学習と成長
- イ.学習と成長→業務プロセス→顧客→財務
- ウ.顧客→財務→学習と成長→業務プロセス
- エ.業務プロセス→学習と成長→財務→顧客
正解:イ.学習と成長→業務プロセス→顧客→財務
解説:BSCでは「学習と成長」が「業務プロセス」を改善し、それが「顧客」満足度を高め、最終的に「財務」成果に結びつくという因果関係があります。
-
問199.SWOT分析のクロス分析で「弱み×機会」の戦略として適切なものはどれか。
- ア.強みを活かして脅威に対抗する戦略
- イ.強みを活かして機会を最大化する戦略
- ウ.弱みを克服して機会を活用する戦略
- エ.弱みと脅威の影響を最小化する戦略
正解:ウ.弱みを克服して機会を活用する戦略
解説:「弱み×機会」では、外部環境の好機を逃さないために自社の弱みを克服・補強する戦略を立案します。例えば提携やM&Aで弱みを補完することが考えられます。
-
問200.M&Aの手法のうち、対象企業の経営陣の同意を得ずに行う買収を何というか。
- ア.第三者割当増資
- イ.友好的買収
- ウ.株式交換
- エ.敵対的買収
正解:エ.敵対的買収
解説:敵対的買収は対象企業の経営陣の合意なしにTOB等を通じて株式を取得する買収手法です。経営陣の同意を得て行うものは友好的買収です。
-
問201.ポーターの3つの基本戦略に含まれないものはどれか。
- ア.多角化戦略
- イ.差別化戦略
- ウ.集中戦略
- エ.コストリーダーシップ戦略
正解:ア.多角化戦略
解説:ポーターの3つの基本戦略はコストリーダーシップ・差別化・集中の3つです。多角化戦略はアンゾフの成長マトリクスに含まれる戦略です。
-
問202.知的財産権のうち、産業財産権に分類されるものの組み合わせとして正しいものはどれか。
- ア.特許権・著作権・商標権・肖像権
- イ.特許権・実用新案権・意匠権・商標権
- ウ.実用新案権・著作権・意匠権・商標権
- エ.特許権・実用新案権・著作権・商標権
正解:イ.特許権・実用新案権・意匠権・商標権
解説:産業財産権は特許庁に出願・登録して保護される権利で、特許権・実用新案権・意匠権・商標権の4つです。著作権は産業財産権に含まれません。
-
問203.フランチャイズ方式のメリットとして、加盟店側にとって最も適切なものはどれか。
- ア.ロイヤルティの支払いが不要である
- イ.自由な経営判断でオリジナルの商品を販売できる
- ウ.確立されたブランドと経営ノウハウを活用して開業リスクを軽減できる
- エ.本部の経営方針に従う義務がない
正解:ウ.確立されたブランドと経営ノウハウを活用して開業リスクを軽減できる
解説:加盟店は本部の確立されたブランド力・経営ノウハウ・仕入ルートなどを利用でき、ゼロからの起業に比べて開業リスクを大幅に低減できます。
-
問204.バリューチェーン分析の主活動に含まれないものはどれか。
- ア.購買物流
- イ.製造
- ウ.サービス
- エ.人事・労務管理
正解:エ.人事・労務管理
解説:主活動は購買物流・製造・出荷物流・販売・マーケティング・サービスの5つです。人事・労務管理は支援活動に分類されます。
-
問205.BSCの「顧客の視点」で設定する指標として最も適切なものはどれか。
- ア.顧客満足度やリピート率
- イ.売上高営業利益率
- ウ.従業員の離職率
- エ.設備の稼働率
正解:ア.顧客満足度やリピート率
解説:顧客の視点では顧客満足度、顧客維持率(リピート率)、新規顧客獲得率、市場シェアなど、顧客にどのような価値を提供できているかを測る指標を設定します。
-
問206.3C分析とは、Customer(市場・顧客)、Competitor(競合)、Company(自社)の3つの観点から市場環境を分析するフレームワークである。
正解:○(正しい)
解説:3C分析は大前研一が提唱した経営戦略策定のフレームワークで、市場・顧客、競合、自社の3視点から事業成功要因を見出します。
-
問207.4P(マーケティングミックス)は、Product(製品)、Price(価格)、Place(流通)、Promotion(販売促進)の4要素から構成される。
正解:○(正しい)
解説:4Pはマッカーシーが提唱した売り手視点のマーケティングミックスで、製品・価格・流通・販売促進の統合的な組合せを検討します。
-
問208.4C分析の「Customer Value」は、4Pの「Price(価格)」に対応する買い手視点の概念である。
正解:×(誤り)
解説:誤り。Customer Value(顧客価値)は4PのProduct(製品)に対応します。Priceに対応するのはCost(顧客の負担するコスト)です。
-
問209.STP分析とは、Segmentation(市場細分化)、Targeting(標的市場選定)、Positioning(位置付け)の3ステップで構成されるマーケティング戦略立案手法である。
正解:○(正しい)
解説:STP分析は市場を細分化し、狙う標的市場を選び、その市場での自社の位置付けを明確化するマーケティング戦略の基本プロセスです。
-
問210.アンゾフの成長マトリクスにおいて、既存市場に新製品を投入する戦略は「市場開拓戦略」と呼ばれる。
正解:×(誤り)
解説:誤り。既存市場×新製品は「新製品開発戦略」です。既存製品×新市場が「市場開拓戦略」、新市場×新製品が「多角化戦略」に分類されます。
-
問211.イノベーター理論で、初期購入の革新的層は全体の約25%である。
正解:×(誤り)
解説:誤り。イノベーターは「約2.5%」(25%は10倍過大)。
-
問212.キャズム理論では、アーリーアダプターとアーリーマジョリティの間に大きな溝(キャズム)が存在し、これを超えることが普及の鍵とされる。
正解:○(正しい)
解説:ジェフリー・ムーアのキャズム理論は、革新層と主流市場の間に深い溝があり、これを乗り越える戦略が製品の本格普及に不可欠と説きます。
-
問213.OEM(Original Equipment Manufacturer)とは、自社ブランドのみで製品を製造する方式である。
正解:×(誤り)
解説:誤り。OEMは「発注元のブランド名で製造」(自社ブランドのみは通常製造)。
-
問214.ODM(Original Design Manufacturer)は、設計から製造までを受託する方式で、発注元は製品企画のみを行う。
正解:○(正しい)
解説:ODMは設計・製造を一括で受託する方式で、OEMが製造のみを請け負うのに対し、ODMは設計開発まで担当します。
-
問215.EMS(Electronics Manufacturing Service)は、電子機器の受託生産を専門とする業態である。
正解:○(正しい)
解説:EMSは電子機器の受託製造サービスで、台湾の鴻海精密工業等が代表的です。スマートフォンやPCの生産で広く活用されています。
-
問216.PL法では、製造業者は過失がある場合のみ損害賠償責任を負う。
正解:×(誤り)
解説:誤り。PL法は「過失の有無に関わらず損害賠償責任」(無過失責任、過失要件不要)。
-
問217.労働基準法では、法定労働時間は原則として1日8時間、1週40時間と定められている。
正解:○(正しい)
解説:労働基準法第32条で、使用者は労働者に1週40時間、1日8時間を超えて労働させてはならないと規定されています。
-
問218.労働者派遣法では、派遣先企業は派遣労働者に対して直接の雇用責任を負う。
正解:×(誤り)
解説:誤り。派遣労働者の雇用主は派遣元企業であり、雇用責任(賃金支払い等)は派遣元が負います。派遣先は指揮命令権を持つのみです。
-
問219.下請法(下請代金支払遅延等防止法)は、親事業者による下請事業者への不当な取引行為を規制する法律である。
正解:○(正しい)
解説:下請法は親事業者の優越的地位の濫用を防ぐため、受領拒否・代金減額・支払遅延・買いたたき等を禁止しています。なお2026年1月施行で下請法は『取適法(中小受託取引適正化法)』に改称(親事業者→委託事業者)。
-
問220.資金決済法では、電子マネーの発行者に対して供託金等の利用者保護措置を義務付けている。
正解:○(正しい)
解説:資金決済法は前払式支払手段の発行者に、未使用残高の2分の1以上の供託等を義務付け、利用者資金の保全を図っています。
-
問221.個人情報保護法における「要配慮個人情報」には、人種、信条、病歴、犯罪歴などが含まれる。
正解:○(正しい)
解説:要配慮個人情報は本人に対する不当な差別等が生じないよう特に配慮を要する情報で、取得時には原則本人の同意が必要です。
-
問222.マイナンバー(個人番号)は、社会保障・税・災害対策の3分野でのみ利用が認められている。
正解:○(正しい)
解説:マイナンバー法では利用範囲が社会保障・税・災害対策の3分野に厳格に限定され、それ以外での収集・利用は禁止されています。
-
問223.著作権法において、プログラムも著作物として保護対象に含まれる。
正解:○(正しい)
解説:著作権法第10条でプログラムの著作物が明示的に保護対象とされています。ただし、プログラム言語・規約・解法は保護対象外です。
-
問224.著作権法の私的使用のための複製は、家庭内等の限られた範囲で利用する目的であれば、他人の著作物を無許諾で複製できる例外規定である。
正解:○(正しい)
解説:著作権法第30条により、個人または家庭内等の限られた範囲での使用を目的とする複製は、著作権者の許諾なしで行えます。
-
問225.労働基準法において、週の法定労働時間は60時間と定められている。
正解:×(誤り)
解説:誤り。法定労働時間は「週40時間・1日8時間」(60時間ではない)。
-
問226.労働基準法における時間外労働は、特別な手続きや協定なしに自由にできる。
正解:×(誤り)
解説:誤り。時間外労働は「36協定(労使協定)と届出」が必要(自由ではない)。
-
問227.有給休暇の付与は、雇い入れの日から3年経過後に発生する。
正解:×(誤り)
解説:誤り。有給は「6か月継続勤務後」に10日付与(3年ではない)。
-
問228.エンタープライズアーキテクチャ(EA)は、ビジネスとITを包括的に整理・体系化し、全体最適を図る手法である。
正解:○(正しい)
解説:EAはビジネスアーキテクチャ、データアーキテクチャ、アプリケーションアーキテクチャ、テクノロジアーキテクチャの4層で全社最適を設計します。
-
問229.シェアリングエコノミーとは、個人等が保有する遊休資産を他者に貸し出して活用する経済モデルである。
正解:○(正しい)
解説:シェアリングエコノミーはプラットフォームを介して個人間で資産・スキル・時間等を共有する経済形態で、民泊や配車サービスが代表例です。
-
問230.独占禁止法は、企業の自由な競争を促進するために、競合他社との合併を禁止する法律である。
正解:×(誤り)
解説:誤り。独禁法は「不当な競争制限・私的独占等」を禁止(合併も大規模な場合は規制対象だが全面禁止ではない)。
-
問231.下請法は、親事業者が下請事業者に支払う代金を遅延させても問題ない法律である。
正解:×(誤り)
解説:誤り。下請法は「代金支払遅延を禁止」(保護法、遅延OKではない)。なお2026年1月施行で下請法は取適法(中小受託取引適正化法)に改称。
-
問232.労働者災害補償保険(労災)は、業務外の事故にも適用される。
正解:×(誤り)
解説:誤り。労災は「業務上または通勤途上の事故」が対象(業務外私的事故は対象外)。
-
問233.雇用保険の被保険者は、企業が任意に決めることができる。
正解:×(誤り)
解説:誤り。雇用保険被保険者は「法定要件」(週20時間以上等の労働者)、企業任意ではない。
-
問234.健康保険は、業務上の病気やケガにも適用される。
正解:×(誤り)
解説:誤り。健康保険は「業務外の傷病」が対象(業務上は労災保険)。
-
問235.国民年金第3号被保険者は、20歳以上60歳未満の自営業者である。
正解:×(誤り)
解説:誤り。第3号は「会社員等の被扶養配偶者(年収130万円未満等)」(自営業は第1号)。
-
問236.HRTech(エイチアールテック)は、人事・採用・労務等の人的資源管理にデジタル技術を活用する分野である。
正解:○(正しい)
解説:HRTechはHuman ResourcesとTechnologyの造語で、AI採用ツール、タレントマネジメントシステム、勤怠管理クラウド等が該当します。
-
問237.スマートファクトリーとは、IoT・AI・ロボット等を活用して生産プロセスを高度化・自動化した工場のことである。
正解:○(正しい)
解説:スマートファクトリーは設備・製品・人をデジタル連携させ、リアルタイムデータに基づく最適化・自律化を実現する次世代工場です。
-
問238.ポーターの5つの力分析の5要素に含まれないものはどれか。
- ア.新規参入の脅威
- イ.政治的圧力
- ウ.代替品の脅威
- エ.既存企業間の競争
正解:イ.政治的圧力
解説:ポーターの5つの力は、新規参入の脅威、代替品の脅威、買い手の交渉力、売り手の交渉力、既存企業間の競争です。政治的圧力は含まれません。
-
問239.4Pに対応する買い手視点の4Cフレームワークにおいて、Promotionに対応する要素はどれか。
- ア.Cost(顧客の負担)
- イ.Customer Value(顧客価値)
- ウ.Communication(コミュニケーション)
- エ.Convenience(利便性)
正解:ウ.Communication(コミュニケーション)
解説:4Cでは、Product→Customer Value、Price→Cost、Place→Convenience、Promotion→Communicationと対応します。
-
問240.アンゾフの成長マトリクスで、新市場に新製品を投入する戦略はどれか。
- ア.新製品開発戦略
- イ.市場浸透戦略
- ウ.市場開拓戦略
- エ.多角化戦略
正解:エ.多角化戦略
解説:新市場×新製品は多角化戦略です。既存市場×既存製品は市場浸透、既存市場×新製品は新製品開発、新市場×既存製品は市場開拓戦略となります。
-
問241.イノベーター理論における消費者区分を採用順に並べたとき、3番目に位置するのはどれか。
- ア.アーリーマジョリティ
- イ.イノベーター
- ウ.アーリーアダプター
- エ.レイトマジョリティ
正解:ア.アーリーマジョリティ
解説:採用順はイノベーター→アーリーアダプター→アーリーマジョリティ→レイトマジョリティ→ラガードで、3番目はアーリーマジョリティ(34%)です。
-
問242.OEMとODMの違いとして正しいものはどれか。
- ア.OEMは設計と製造、ODMは製造のみを受託する
- イ.OEMは製造のみ、ODMは設計と製造の両方を受託する
- ウ.OEMは販売まで、ODMは製造のみを受託する
- エ.両者は同じ意味である
正解:イ.OEMは製造のみ、ODMは設計と製造の両方を受託する
解説:OEMは発注者の仕様に基づき製造のみを受託、ODMは製品の設計開発段階から受託する方式です。ODMのほうが受託範囲が広くなります。
-
問243.個人情報保護法で定められた個人情報取扱事業者の義務に含まれないものはどれか。
- ア.安全管理措置の実施
- イ.利用目的の特定と通知・公表
- ウ.個人情報を最大限収集する義務
- エ.本人からの開示請求への対応
正解:ウ.個人情報を最大限収集する義務
解説:個人情報保護法は利用目的の特定、適正取得、安全管理、開示・訂正請求対応等を義務付けますが、収集を推奨する規定はありません。必要最小限が原則です。
-
問244.労働基準法で定められた時間外労働の上限規制(36協定の特別条項)に関する記述として正しいものはどれか。
- ア.時間外労働は年間1000時間まで認められる
- イ.時間外労働に上限は設けられていない
- ウ.時間外労働は月100時間を常に許容する
- エ.時間外労働は原則月45時間・年360時間を限度とする
正解:エ.時間外労働は原則月45時間・年360時間を限度とする
解説:2019年施行の改正労働基準法で、時間外労働は原則月45時間・年360時間、特別条項でも年720時間・月100時間未満等の上限が法定化されました。
-
問245.著作権法における著作者人格権に含まれない権利はどれか。
- ア.複製権
- イ.公表権
- ウ.氏名表示権
- エ.同一性保持権
正解:ア.複製権
解説:著作者人格権は公表権・氏名表示権・同一性保持権の3つです。複製権は著作権(財産権)に含まれ、譲渡や相続の対象となります。
-
問246.SDGsの17のゴールに含まれないものはどれか。
- ア.貧困をなくそう
- イ.軍事力の強化
- ウ.質の高い教育をみんなに
- エ.気候変動に具体的な対策を
正解:イ.軍事力の強化
解説:SDGsは持続可能な開発目標として貧困、飢餓、教育、気候変動、平和等の17目標で構成されます。軍事力強化は含まれません。
-
問247.DX推進において経営層が最初に取り組むべき活動として最も適切なものはどれか。
- ア.PC機器の一斉更新
- イ.プログラミング研修の実施
- ウ.DXビジョンと全社戦略の策定・発信
- エ.社内SNSの導入
正解:ウ.DXビジョンと全社戦略の策定・発信
解説:DXは経営層が自ら変革のビジョンと戦略を示し、組織全体にコミットメントを発信することが起点となります。単なるツール導入はDXとは言えません。
-
問248.シェアリングエコノミーに該当しないサービスはどれか。
- ア.カーシェアリング
- イ.民泊仲介サービス
- ウ.配車サービス(ライドシェア)
- エ.新聞の定期購読
正解:エ.新聞の定期購読
解説:シェアリングエコノミーは遊休資産の共有利用がコンセプトです。新聞の定期購読は個別の購入契約であり、共有モデルには該当しません。
-
問249.エンタープライズアーキテクチャ(EA)の4つの体系に含まれないものはどれか。
- ア.マーケティングアーキテクチャ
- イ.ビジネスアーキテクチャ
- ウ.データアーキテクチャ
- エ.テクノロジアーキテクチャ
正解:ア.マーケティングアーキテクチャ
解説:EAはビジネス、データ、アプリケーション、テクノロジの4アーキテクチャで構成されます。マーケティングアーキテクチャはEAに含まれません。
-
問250.オムニチャネル戦略の特徴として最も適切なものはどれか。
- ア.複数の販売チャネルを独立に運営する
- イ.実店舗・EC・アプリ等の在庫や顧客情報を統合し一貫した顧客体験を提供する
- ウ.実店舗のみに販売を集中する
- エ.EC専業で実店舗を持たない
正解:イ.実店舗・EC・アプリ等の在庫や顧客情報を統合し一貫した顧客体験を提供する
解説:オムニチャネルは複数チャネルを単に並立させるのではなく、バックエンドを統合してチャネル横断的にシームレスな顧客体験を提供する戦略です。
-
問251.2進数の「1010」を10進数に変換するといくつになるか。
- ア.8
- イ.12
- ウ.10
- エ.14
正解:ウ.10
解説:1010(2) = 1×8 + 0×4 + 1×2 + 0×1 = 10(10) です。
-
問252.CPUの主な役割として正しいものはどれか。
- ア.電力を供給する
- イ.データを長期保存する
- ウ.ネットワーク通信を制御する
- エ.プログラムの命令を解釈し実行する
正解:エ.プログラムの命令を解釈し実行する
解説:CPU(中央処理装置)はプログラムの命令を読み込み、解釈し、演算・制御を行うコンピュータの中核部品です。
-
問253.RAMは電源を切っても記憶内容が保持される不揮発性メモリである。
正解:×(誤り)
解説:誤り。RAMは電源を切ると記憶内容が消える揮発性メモリである。電源を切っても保持されるのはROMやフラッシュメモリ等の不揮発性メモリ。
-
問254.SSDはHDDに比べて一般的にデータの読み書き速度が遅い。
正解:×(誤り)
解説:誤り。SSDは半導体メモリで物理的な可動部がないため、HDDより読み書き速度が速い。
-
問255.OSの役割として正しいものはどれか。
- ア.ハードウェアとアプリケーションの仲介
- イ.文書の作成と編集
- ウ.表計算処理
- エ.プレゼンテーション作成
正解:ア.ハードウェアとアプリケーションの仲介
解説:OS(Operating System)はハードウェアを管理し、アプリケーションソフトウェアが動作するための基盤を提供します。
-
問256.データベースにおけるSQLのSELECT文は、データの検索に使用される。
正解:○(正しい)
解説:SELECT文はデータベースからデータを検索・取得するためのSQL文です。
-
問257.リレーショナルデータベースで、主キーの説明として正しいものはどれか。
- ア.テーブル間の関連を示す項目
- イ.レコードを一意に識別するための項目
- ウ.暗号化のための鍵
- エ.バックアップの基準となる項目
正解:イ.レコードを一意に識別するための項目
解説:主キー(プライマリキー)は各レコード(行)を一意に識別するための項目で、重複やNULLは許されません。
-
問258.LANはLong Area Networkの略で、広域なネットワークのことである。
正解:×(誤り)
解説:誤り。LANはLocal Area Networkの略で、企業内・建物内など限定された範囲のネットワーク。広域はWAN(Wide Area Network)。
-
問259.IPアドレスの説明として正しいものはどれか。
- ア.メールの件名
- イ.Webページの名前
- ウ.ネットワーク上の機器を識別するための番号
- エ.ファイルの保存場所
正解:ウ.ネットワーク上の機器を識別するための番号
解説:IPアドレスはネットワーク上の各機器を一意に識別するための論理アドレスです。
-
問260.DNSはIPアドレスを暗号化するための仕組みである。
正解:×(誤り)
解説:誤り。DNS(Domain Name System)はドメイン名をIPアドレスに変換する名前解決の仕組みであり、暗号化機能ではない。
-
問261.HTTPSの「S」は何を表すか。
- ア.System
- イ.Speed
- ウ.Standard
- エ.Secure
正解:エ.Secure
解説:HTTPSのSはSecureの略で、SSL/TLSによる暗号化通信を行うHTTPプロトコルです。
-
問262.クラウドコンピューティングでは、インターネット経由でITリソースを利用できる。
正解:○(正しい)
解説:クラウドコンピューティングはサーバ・ストレージ・ソフトウェア等のITリソースをインターネット経由で利用する形態です。
-
問263.IoT(Internet of Things)の説明として正しいものはどれか。
- ア.さまざまなモノがインターネットに接続されること
- イ.高速なインターネット回線
- ウ.インターネットの利用料金
- エ.インターネットの通信規格
正解:ア.さまざまなモノがインターネットに接続されること
解説:IoTは家電・自動車・センサーなどの「モノ」がインターネットに接続され、相互に通信する概念です。
-
問264.AIにおける機械学習とは、データからパターンを自動的に学習する技術である。
正解:○(正しい)
解説:機械学習は大量のデータからパターンやルールをコンピュータが自動的に学習し、予測や判断を行う技術です。
-
問265.API(Application Programming Interface)の説明として正しいものはどれか。
- ア.アプリケーションの画面デザイン
- イ.ソフトウェアの機能を外部から利用するための仕組み
- ウ.プログラミング言語の一種
- エ.ハードウェアの接続端子
正解:イ.ソフトウェアの機能を外部から利用するための仕組み
解説:APIはソフトウェアの機能や情報を外部のプログラムから利用するためのインターフェース仕様です。
-
問266.RPA(Robotic Process Automation)は、定型業務をソフトウェアロボットで自動化する技術である。
正解:○(正しい)
解説:RPAはPC上の定型的なデスクワーク(データ入力、転記等)をソフトウェアロボットで自動化する技術です。
-
問267.USBメモリは電源を切るとデータが消える揮発性の記憶装置である。
正解:×(誤り)
解説:誤り。USBメモリはフラッシュメモリを用いた不揮発性の記憶装置であり、電源を切ってもデータは保持される。
-
問268.プログラミング言語の分類で、コンパイラ型言語の特徴として正しいものはどれか。
- ア.翻訳せずにそのまま実行する
- イ.1行ずつ翻訳しながら実行する
- ウ.ソースコード全体を機械語に翻訳してから実行する
- エ.ハードウェアが直接理解できる言語
正解:ウ.ソースコード全体を機械語に翻訳してから実行する
解説:コンパイラ型言語はソースコード全体をまとめて機械語に翻訳(コンパイル)してから実行します。
-
問269.E-R図は、エンティティ(実体)とリレーションシップ(関連)を表現する図である。
正解:○(正しい)
解説:E-R図(Entity-Relationship Diagram)はデータベース設計でエンティティ(実体)とその間の関連を視覚的に表現します。
-
問270.ストレージの容量の大小関係として正しいものはどれか。
- ア.1KB > 1MB > 1GB > 1TB
- イ.1GB > 1TB > 1MB > 1KB
- ウ.1MB > 1GB > 1TB > 1KB
- エ.1TB > 1GB > 1MB > 1KB
正解:エ.1TB > 1GB > 1MB > 1KB
解説:1TB = 1024GB、1GB = 1024MB、1MB = 1024KBの関係があり、TB > GB > MB > KB の順に大きくなります。
-
問271.エッジコンピューティングの説明として正しいものはどれか。
- ア.メインフレームで集中処理を行う手法
- イ.すべてのデータをクラウドに集約して一括処理する手法
- ウ.データの発生源に近い場所でデータ処理を行う分散コンピューティング手法
- エ.データを物理メディアで郵送して処理する手法
正解:ウ.データの発生源に近い場所でデータ処理を行う分散コンピューティング手法
解説:エッジコンピューティングはIoT機器や拠点等のデータ発生源(エッジ)に近い場所で処理を行い、低遅延・帯域節約・プライバシー保護を実現する手法です。
-
問272.5Gの主な特徴は、低速・小容量・高遅延・少数同時接続である。
正解:×(誤り)
解説:誤り。5Gの特徴は高速大容量・超低遅延・多数同時接続。低速・小容量等は4G以前と比較して劣る性能であり5Gの説明として誤り。
-
問273.コンテナ技術の説明として正しいものはどれか。
- ア.ネットワーク機器を一つのラックに集約する技術
- イ.データを物理的な箱に入れて保管する技術
- ウ.サーバの筐体を小型化する技術
- エ.アプリケーションとその実行環境を軽量にパッケージ化して移植性を高める技術
正解:エ.アプリケーションとその実行環境を軽量にパッケージ化して移植性を高める技術
解説:コンテナ技術(Docker等)はアプリケーションとその依存関係をコンテナにパッケージ化し、環境に依存せずに動作させる仮想化技術です。VMより軽量で起動が高速です。
-
問274.ディープラーニング(深層学習)は、ニューラルネットワークの層を深くして複雑なパターンを学習する機械学習手法である。
正解:○(正しい)
解説:ディープラーニングは多層のニューラルネットワーク(CNN、RNN等)を用いて、画像認識・自然言語処理等の複雑なタスクで高い精度を発揮する手法です。
-
問275.ブロックチェーンの特徴として正しいものはどれか。
- ア.分散型の台帳技術で、データの改ざんが極めて困難
- イ.中央管理者が全データを一元管理する技術
- ウ.データの読み書き速度がリレーショナルDBより常に速い
- エ.暗号化されたデータは復元できない技術
正解:ア.分散型の台帳技術で、データの改ざんが極めて困難
解説:ブロックチェーンはP2Pネットワークの参加者がデータを共有・検証する分散型台帳技術で、暗号技術によりデータの改ざん耐性が高い特徴があります。
-
問276.NATの役割は、ドメイン名とIPアドレスを相互変換することである。
正解:×(誤り)
解説:誤り。NAT(Network Address Translation)はプライベートIPとグローバルIPを変換する技術。ドメイン名とIPの変換はDNSの役割。
-
問277.仮想化技術のハイパーバイザーの説明として正しいものはどれか。
- ア.仮想通貨のマイニングを行うハードウェア
- イ.物理サーバ上で複数の仮想マシンを動作させるためのソフトウェア
- ウ.ネットワーク上の通信を監視するソフトウェア
- エ.データベースの性能を最適化するツール
正解:イ.物理サーバ上で複数の仮想マシンを動作させるためのソフトウェア
解説:ハイパーバイザーは物理ハードウェア上に仮想的なコンピュータ環境(VM)を複数作成・管理するソフトウェアです。VMware、Hyper-V、KVM等が代表例です。
-
問278.NoSQLデータベースはリレーショナルモデルに依存せず、大量データの高速処理に適している。
正解:○(正しい)
解説:NoSQL(Not Only SQL)はキーバリュー型、ドキュメント型、カラム型、グラフ型等の非リレーショナルなデータモデルで、ビッグデータの高速処理やスケーラビリティに優れています。
-
問279.OSI参照モデルの第3層(ネットワーク層)で動作する機器はどれか。
- ア.リピーター
- イ.スイッチングハブ(L2スイッチ)
- ウ.ルーター
- エ.アクセスポイント
正解:ウ.ルーター
解説:ルーターはOSI参照モデルの第3層(ネットワーク層)で動作し、IPアドレスに基づいてパケットの経路制御(ルーティング)を行います。L2スイッチは第2層で動作します。
-
問280.IaaS(Infrastructure as a Service)では、完成したアプリケーションソフトウェアをサービスとして提供する。
正解:×(誤り)
解説:誤り。IaaSは仮想サーバ・ストレージ等のインフラを提供する形態。完成したアプリ提供はSaaS(Software as a Service)。
-
問281.GPUの主な用途として近年注目されているものはどれか。
- ア.メールサーバの管理
- イ.文書ファイルの圧縮・解凍
- ウ.プリンターの印刷制御
- エ.AI・機械学習の大規模並列演算処理
正解:エ.AI・機械学習の大規模並列演算処理
解説:GPU(Graphics Processing Unit)は元々グラフィックス処理用ですが、大量の並列演算が得意な特性を活かし、AIのディープラーニングや科学技術計算に広く活用されています。
-
問282.LPWA(Low Power Wide Area)は、低消費電力で広範囲の通信が可能なIoT向け無線通信技術である。
正解:○(正しい)
解説:LPWAは低消費電力で数km〜数十kmの長距離通信が可能な無線通信技術の総称で、IoTセンサー等のデータ送信に適しています。LoRaWAN、Sigfox等が代表例です。
-
問283.サーバレスアーキテクチャの説明として正しいものはどれか。
- ア.サーバの管理をクラウド事業者に委ね、開発者はコードの実行に集中できるアーキテクチャ
- イ.物理サーバを一切使用しないアーキテクチャ
- ウ.サーバを自社で保有・運用するアーキテクチャ
- エ.サーバOSにLinuxのみを使用するアーキテクチャ
正解:ア.サーバの管理をクラウド事業者に委ね、開発者はコードの実行に集中できるアーキテクチャ
解説:サーバレスはサーバ管理をクラウド事業者が担い、開発者はビジネスロジックの実装に集中できるアーキテクチャです。AWS Lambda等のFaaS(Function as a Service)が代表例です。
-
問284.RAID 1(ミラーリング)は、データを複数のディスクに分散して書き込むことで高速化を図る方式である。
正解:×(誤り)
解説:誤り。RAID 1は同じデータを2つのディスクに書き込み冗長性を確保する方式(ミラーリング)。データを分散して高速化するのはRAID 0(ストライピング)。
-
問285.REST APIの特徴として正しいものはどれか。
- ア.常にSOAPプロトコルを使用する
- イ.HTTPメソッド(GET、POST、PUT、DELETE等)を用いてリソースを操作する
- ウ.バイナリ形式でのみデータをやり取りする
- エ.サーバ側でクライアントの状態を常に保持する
正解:イ.HTTPメソッド(GET、POST、PUT、DELETE等)を用いてリソースを操作する
解説:REST APIはHTTPメソッドを使ってリソースを操作するアーキテクチャスタイルで、ステートレス(状態を保持しない)であることが特徴です。JSONやXML形式が一般的です。
-
問286.デジタルツインとは、現実世界のモノやプロセスをデジタル空間上に再現する技術である。
正解:○(正しい)
解説:デジタルツインはIoTセンサー等から収集したデータを基に、物理的な製品や設備をデジタル空間上にリアルタイムで再現し、シミュレーションや予測に活用する技術です。
-
問287.IPv6アドレスの長さとして正しいものはどれか。
- ア.64ビット
- イ.32ビット
- ウ.128ビット
- エ.256ビット
正解:ウ.128ビット
解説:IPv6アドレスは128ビット長で、約3.4×10の38乗個のアドレスを提供します。IPv4の32ビット(約43億個)と比べ、実質無限に近いアドレス空間を持ちます。
-
問288.アルゴリズムの計算量を表すO記法において、O(n log n)は一般的にO(n²)よりも効率が悪い。
正解:×(誤り)
解説:誤り。nが大きくなるほどn²はn log nより急速に増大するため、O(n log n)の方が効率が良い。クイックソート等がO(n log n)、バブルソート等がO(n²)。
-
問289.SDN(Software Defined Networking)の説明として正しいものはどれか。
- ア.ネットワーク上のソフトウェアライセンスを管理する技術
- イ.ネットワーク機器をすべてソフトウェアでシミュレーションする技術
- ウ.ソフトウェアのバグをネットワーク経由で修正する技術
- エ.ネットワークの制御をソフトウェアで一元管理し、柔軟に構成変更できる技術
正解:エ.ネットワークの制御をソフトウェアで一元管理し、柔軟に構成変更できる技術
解説:SDNはネットワーク機器のデータ転送機能と制御機能を分離し、制御をソフトウェア(SDNコントローラー)で集中管理することで、柔軟かつ動的なネットワーク構成を可能にする技術です。
-
問290.PaaS(Platform as a Service)では、物理サーバや物理ストレージといったハードウェアそのものをサービスとして提供する。
正解:×(誤り)
解説:誤り。PaaSはOS・ミドルウェア等のアプリ実行環境(プラットフォーム)を提供する形態。物理ハードウェア提供はIaaSに該当する。
-
問291.量子コンピュータの計算の基本単位として正しいものはどれか。
- ア.量子ビット(キュービット)
- イ.バイト
- ウ.ニブル
- エ.ワード
正解:ア.量子ビット(キュービット)
解説:量子コンピュータは量子ビット(qubit)を計算の基本単位とし、0と1の重ね合わせ状態を利用して古典コンピュータでは困難な問題を高速に解ける可能性があります。
-
問292.CDN(Content Delivery Network)は、世界中のユーザのアクセスを単一のオリジンサーバに集約して処理する仕組みである。
正解:×(誤り)
解説:誤り。CDNはコンテンツを地理的に分散したエッジサーバに配置し、ユーザに近いサーバから配信することで高速化と負荷分散を図る仕組み。
-
問293.WebSocketの特徴として正しいものはどれか。
- ア.サーバからクライアントへの一方向通信のみ可能
- イ.クライアントとサーバ間で双方向のリアルタイム通信が可能
- ウ.ファイル転送専用のプロトコル
- エ.メール送受信専用のプロトコル
正解:イ.クライアントとサーバ間で双方向のリアルタイム通信が可能
解説:WebSocketはHTTP接続を通じて確立される全二重通信プロトコルで、サーバとクライアント間でリアルタイムに双方向のデータ通信が可能です。チャットアプリ等で利用されます。
-
問294.オブジェクト指向プログラミングの3大特性は、カプセル化・継承・正規化である。
正解:×(誤り)
解説:誤り。OOPの3大特性はカプセル化・継承・ポリモーフィズム(多態性)。正規化はデータベース設計の概念であり関係ない。
-
問295.マルチクラウド戦略の利点として正しいものはどれか。
- ア.運用管理が単一クラウドより必ず簡単になる
- イ.クラウドの利用料金が必ず安くなる
- ウ.特定のクラウド事業者へのベンダーロックインを回避できる
- エ.セキュリティの設定が自動的に統一される
正解:ウ.特定のクラウド事業者へのベンダーロックインを回避できる
解説:マルチクラウドは複数のクラウド事業者を併用する戦略で、ベンダーロックイン回避・各社の強みを活用・障害時のリスク分散等の利点があります。ただし管理の複雑さは増します。
-
問296.Git(バージョン管理システム)はソースコードの変更履歴を管理し、複数人での共同開発を支援するツールである。
正解:○(正しい)
解説:Gitは分散型バージョン管理システムで、ソースコードの変更履歴を記録・管理し、ブランチ機能やマージ機能により複数の開発者が並行して開発する環境を支援します。
-
問297.データレイクの説明として正しいものはどれか。
- ア.少量の重要データのみを厳選して保管する仕組み
- イ.データを高度に正規化して格納するリレーショナルDB
- ウ.データを定期的に自動削除するストレージ
- エ.構造化・非構造化データを問わず生のまま大量に蓄積するストレージ
正解:エ.構造化・非構造化データを問わず生のまま大量に蓄積するストレージ
解説:データレイクはCSV、JSON、画像、ログ等の構造化・半構造化・非構造化データを加工せず生の形式で大量に蓄積し、後から分析に活用するストレージ基盤です。
-
問298.TCP/IP通信において、TCPはコネクションレス型のプロトコルで信頼性は保証されない。
正解:×(誤り)
解説:誤り。TCPはコネクション型でハンドシェイク・再送制御等により信頼性の高いデータ転送を保証する。コネクションレスで信頼性を保証しないのはUDP。
-
問299.SoC(System on a Chip)の説明として正しいものはどれか。
- ア.CPU、メモリ、通信機能等を1つのチップに統合した集積回路
- イ.サーバを1つのラックに集約したシステム
- ウ.複数のOSを1台のPCで動作させるシステム
- エ.ソフトウェアのソースコードを管理するシステム
正解:ア.CPU、メモリ、通信機能等を1つのチップに統合した集積回路
解説:SoCはCPU・GPU・メモリコントローラ・通信チップ等を1つの半導体チップに統合した集積回路で、スマートフォンやIoT機器等に広く使われています。
-
問300.クラウドネイティブとは、クラウド環境の利点を最大限に活かすようにアプリケーションを設計・構築するアプローチである。
正解:○(正しい)
解説:クラウドネイティブはコンテナ、マイクロサービス、CI/CD、宣言型API等を活用し、クラウド環境でスケーラブルかつ回復力のあるアプリケーションを構築するアプローチです。CNCFが推進しています。
-
問301.OSI参照モデルの第1層(物理層)は、電気信号やビット列の伝送に関する規定を定めている。
正解:○(正しい)
解説:物理層はケーブルの種類、コネクタの形状、電圧レベル、ビットレートなど、物理的な接続と信号伝送に関する仕様を規定します。
-
問302.OSI参照モデルの第3層(ネットワーク層)は、TCPやUDPを用いてエンドツーエンドの通信制御を行う。
正解:×(誤り)
解説:誤り。第3層(ネットワーク層)はIPアドレスによるルーティングを担当する。TCP/UDPによるエンドツーエンド制御は第4層(トランスポート層)。
-
問303.OSI参照モデルの第4層(トランスポート層)は、セッションの確立・維持・終了を担当する。
正解:×(誤り)
解説:誤り。第4層(トランスポート層)はTCP/UDP等によるエンドツーエンドの通信制御を担う。セッションの確立・維持・終了は第5層(セッション層)。
-
問304.サブネットマスクは、ネットワーク機器を物理的に識別するためのMACアドレスを指定するパラメータである。
正解:×(誤り)
解説:誤り。サブネットマスクはIPアドレスのネットワーク部とホスト部を区別するための32ビット値。MACアドレスは別の概念で48ビットの物理アドレス。
-
問305.クラスCのIPアドレス(/24)で使用できるホストアドレスの最大数は256個である。
正解:×(誤り)
解説:誤り。/24のネットワークではホスト部が8ビット(256通り)ですが、ネットワークアドレスとブロードキャストアドレスを除くため、実際に使えるのは254個です。
-
問306.ハイパーバイザ型の仮想化技術は、物理サーバ上に仮想化ソフトウェアを直接動作させ、複数の仮想マシンを稼働させる方式である。
正解:○(正しい)
解説:ハイパーバイザ型(Type1)は物理ハードウェア上で直接ハイパーバイザが動作し、複数のゲストOSを効率的に管理・実行する仮想化方式です。
-
問307.コンテナ型仮想化は、各コンテナが独自のOSカーネルを持つことで強力な分離を実現する。
正解:×(誤り)
解説:誤り。コンテナ型仮想化はホストOSのカーネルを共有することで軽量化を実現している。各仮想マシンが独自OSを持つのはハイパーバイザ型仮想化。
-
問308.データベースの第1正規形とは、すべての非キー属性が主キーに完全関数従属し、部分関数従属が排除された状態である。
正解:×(誤り)
解説:誤り。第1正規形は繰り返し項目を含まず各セルに単一値のみを持つ状態。部分関数従属の排除は第2正規形の条件。
-
問309.データベースの第3正規形とは、すべての属性が繰り返し項目を含まず、各セルに単一値のみを持つ状態である。
正解:×(誤り)
解説:誤り。単一値であることは第1正規形の条件。第3正規形は第2正規形を満たした上で推移的関数従属が排除された状態。
-
問310.SQLのINSERT文は、既存レコードの値を更新するために使用される。
正解:×(誤り)
解説:誤り。INSERTは新しいレコードを追加するための文。既存レコードの値を更新するのはUPDATE文。
-
問311.SQLのDELETE文はテーブルそのものを削除するコマンドである。
正解:×(誤り)
解説:誤り。DELETE文はテーブル内の行(レコード)を削除するコマンドです。テーブルそのものを削除するにはDROP TABLE文を使用します。
-
問312.プログラミングにおける変数とは、データを格納するための名前付きの記憶領域のことである。
正解:○(正しい)
解説:変数はプログラム中でデータを一時的に格納・参照するための名前付きの記憶領域で、実行中に値を変更することができます。
-
問313.プログラミングの「関数(メソッド)」とは、特定の処理をまとめて名前を付けたもので、繰り返し呼び出して利用できる。
正解:○(正しい)
解説:関数はまとまった処理に名前を付けて定義し、必要な場面で何度でも呼び出して再利用できるプログラムの構成要素です。コードの重複を防ぎ保守性を高めます。
-
問314.OSI参照モデルの第2層(データリンク層)は、電気信号やビット列の物理的な伝送に関する規定を定めている。
正解:×(誤り)
解説:誤り。電気信号やビット伝送の規定は第1層(物理層)。第2層(データリンク層)はMACアドレスによる同一ネットワーク内の通信制御を担う。
-
問315.NATは、プライベートIPアドレスとグローバルIPアドレスを相互変換する技術である。
正解:○(正しい)
解説:NAT(Network Address Translation)は組織内のプライベートIPアドレスをインターネット接続時にグローバルIPアドレスに変換する技術です。
-
問316.SQLのUPDATE文は、テーブルから既存レコードを削除するために使用される。
正解:×(誤り)
解説:誤り。UPDATEは既存レコードの値を更新する文。レコードの削除はDELETE文。
-
問317.データベースの第2正規形とは、第1正規形を満たした上で、推移的関数従属が排除された状態である。
正解:×(誤り)
解説:誤り。推移的関数従属の排除は第3正規形の条件。第2正規形は第1正規形を満たした上で部分関数従属が排除された状態。
-
問318.プログラミングにおけるループ(繰り返し)処理は、条件を満たす間、同じ処理を繰り返し実行する制御構造である。
正解:○(正しい)
解説:ループ処理(for文、while文等)は指定された条件が真の間、処理ブロックを繰り返し実行する基本的な制御構造です。
-
問319.OSI参照モデルの第7層(アプリケーション層)は、データの暗号化や文字コード変換などの形式変換を担う層である。
正解:×(誤り)
解説:誤り。第7層(アプリケーション層)はHTTP・SMTP等のアプリ向けプロトコルが動作する層。暗号化や文字コード変換は第6層(プレゼンテーション層)の役割。
-
問320.ホスト型の仮想化は、物理ハードウェア上に直接仮想化ソフトウェア(ハイパーバイザ)を動作させる方式である。
正解:×(誤り)
解説:誤り。ホスト型は既存OSの上に仮想化ソフトをインストールして仮想マシンを動かす方式。ハードウェア上で直接動作するのはハイパーバイザ型(ベアメタル型)。
-
問321.プログラミングにおける条件分岐(if文)は、条件式の真偽に基づいて実行する処理を切り替える制御構造である。
正解:○(正しい)
解説:条件分岐は条件式を評価し、真(true)の場合と偽(false)の場合で異なる処理を実行する、順次・反復と並ぶ基本的な制御構造です。
-
問322.OSI参照モデルの第5層(セッション層)の役割として正しいものはどれか。
- ア.IPアドレスに基づくルーティングを行う
- イ.データの暗号化と復号を行う
- ウ.通信の開始・維持・終了の管理を行う
- エ.ビット列を電気信号に変換する
正解:ウ.通信の開始・維持・終了の管理を行う
解説:セッション層は通信セッションの確立・維持・終了を管理し、全二重・半二重の通信制御やチェックポイントの設定を行います。
-
問323.IPv4アドレスのサブネットマスクが255.255.255.192(/26)の場合、1つのサブネットで利用できるホスト数は最大いくつか。
- ア.30
- イ.254
- ウ.126
- エ.62
正解:エ.62
解説:/26ではホスト部が6ビット(64通り)で、ネットワークアドレスとブロードキャストアドレスを除くと利用可能なホスト数は64−2=62個です。
-
問324.仮想化技術の種類のうち、Docker等で利用される方式はどれか。
- ア.コンテナ型仮想化
- イ.ハイパーバイザ型仮想化
- ウ.ホスト型仮想化
- エ.パラバーチャライゼーション
正解:ア.コンテナ型仮想化
解説:DockerはコンテナエンジンとしてホストOSのカーネルを共有するコンテナ型仮想化を採用しており、軽量で高速なアプリケーション実行環境を提供します。
-
問325.SQLで特定の条件を満たすレコードのみを取得する場合に使用する句はどれか。
- ア.ORDER BY句
- イ.WHERE句
- ウ.GROUP BY句
- エ.HAVING句
正解:イ.WHERE句
解説:WHERE句はSELECT文やUPDATE文で条件を指定し、条件を満たすレコードのみを抽出・操作するために使用します。
-
問326.データベースの正規化を行う主な目的として最も適切なものはどれか。
- ア.テーブル数を最小限に抑える
- イ.データの検索速度を最大限に高速化する
- ウ.データの冗長性を排除し、更新時の矛盾を防止する
- エ.データベースの容量を最大限に節約する
正解:ウ.データの冗長性を排除し、更新時の矛盾を防止する
解説:正規化の主目的はデータの重複(冗長性)を排除し、挿入異常・更新異常・削除異常などのデータ矛盾を防ぐことです。
-
問327.OSI参照モデルの第6層(プレゼンテーション層)の役割として正しいものはどれか。
- ア.アプリケーションにネットワーク機能を提供する
- イ.通信セッションの確立と終了を管理する
- ウ.エンドツーエンドの通信信頼性を確保する
- エ.データの表現形式の変換(文字コード変換、圧縮、暗号化)を行う
正解:エ.データの表現形式の変換(文字コード変換、圧縮、暗号化)を行う
解説:プレゼンテーション層はデータの表現形式を統一する役割を持ち、文字コード変換、データ圧縮、暗号化・復号などを担当します。
-
問328.SQLのGROUP BY句と併用してグループ化されたデータに対して条件を指定する場合に使用する句はどれか。
- ア.HAVING句
- イ.WHERE句
- ウ.ORDER BY句
- エ.DISTINCT句
正解:ア.HAVING句
解説:HAVING句はGROUP BYでグループ化した後の集計結果に対して条件を指定します。WHERE句はグループ化前の行に対する条件指定に使用します。
-
問329.プログラミングにおける「配列」の説明として最も適切なものはどれか。
- ア.データを先入れ先出しで管理するデータ構造
- イ.同じデータ型の複数のデータを連続した領域に格納するデータ構造
- ウ.キーと値のペアでデータを管理するデータ構造
- エ.データを階層的に管理するデータ構造
正解:イ.同じデータ型の複数のデータを連続した領域に格納するデータ構造
解説:配列は同一データ型の複数の要素を添字(インデックス)で管理するデータ構造で、メモリ上に連続して配置されます。
-
問330.IPアドレスの枯渇問題を根本的に解決するために策定されたプロトコルはどれか。
- ア.DHCP
- イ.NAT
- ウ.IPv6
- エ.ARP
正解:ウ.IPv6
解説:IPv6は128ビットのアドレス空間を持ち、IPv4(32ビット)の約43億個に対して事実上無限のアドレスを提供し、枯渇問題を根本的に解決します。
-
問331.特性要因図(フィッシュボーン)は、財務指標の推移を表す図である。
正解:×(誤り)
解説:誤り。特性要因図は「結果に影響する要因を魚骨状に整理」する原因分析図(財務指標ではない)。
-
問332.2進数の「1111」を16進数に変換すると「F」になる。
正解:○(正しい)
解説:1111(2) = 8+4+2+1 = 15(10) = F(16)です。2進数4桁が16進数1桁に対応します。
-
問333.8ビットで表現できる符号なし整数の最大値は127である。
正解:×(誤り)
解説:誤り。8ビット符号なし整数の最大値は2^8-1=255。127は符号付き8ビット整数の最大値。
-
問334.散布図は、時系列データの推移を表す図である。
正解:×(誤り)
解説:誤り。散布図は「2変量の相関関係」を視覚化(時系列は折れ線・棒グラフ等)。
-
問335.論理積(AND)は、入力のいずれかが1であれば出力が1となる論理演算である。
正解:×(誤り)
解説:誤り。AND(論理積)は入力がすべて1のときだけ出力が1。いずれかが1で1になるのはOR(論理和)。
-
問336.論理和(OR)は、入力がすべて1のときだけ出力が1となる論理演算である。
正解:×(誤り)
解説:誤り。OR(論理和)は入力のいずれか1つでも1なら出力が1。すべて1のときだけ1になるのはAND(論理積)。
-
問337.パレート図は、データの分布のばらつきを示す図である。
正解:×(誤り)
解説:誤り。パレート図は「項目別発生件数の降順棒+累積比率折れ線」(ばらつきはヒストグラム)。
-
問338.トランザクションのACID特性のうち「A」はAvailability(可用性)を意味し、システムが常に利用可能であることを保証する。
正解:×(誤り)
解説:誤り。ACIDの「A」はAtomicity(原子性)。トランザクション内の処理がすべて実行されるか全く実行されないかを保証する性質。Availabilityは別概念。
-
問339.ACID特性の「C」はConcurrency(並行性)を意味し、複数トランザクションが同時に実行できることを保証する。
正解:×(誤り)
解説:誤り。ACIDの「C」はConsistency(一貫性)であり、トランザクション実行前後でデータ整合性が保たれることを保証する性質。並行性はACIDとは別の概念。
-
問340.システム監査における監査の3要素は、独立性・正確性・誠実性のみで構成される。
正解:×(誤り)
解説:誤り。監査の主要原則は独立性・客観性・専門性等多様(3要素のみは不十分な定義)。
-
問341.ACID特性の「D」はDistribution(分散性)を意味し、データが複数のノードに分散配置されることを保証する。
正解:×(誤り)
解説:誤り。ACIDの「D」はDurability(耐久性・永続性)。コミットされた結果がシステム障害でも失われないことを保証する性質。
-
問342.データベースのトランザクションにおけるCOMMITは、処理途中の変更をすべて取り消し開始時点の状態に戻す操作である。
正解:×(誤り)
解説:誤り。COMMITは処理結果を確定し永続化する操作。変更を取り消し開始時点に戻す操作はROLLBACK。
-
問343.ROLLBACKは、トランザクション開始時点の状態にデータを戻す操作である。
正解:○(正しい)
解説:ROLLBACKはCOMMIT前の変更を取り消し、トランザクション開始時点のデータベース状態に戻す操作です。
-
問344.デッドロックとは、複数のトランザクションが互いに相手のロック解放を待ち続けて処理が進まなくなる状態である。
正解:○(正しい)
解説:デッドロックは複数トランザクションが循環的にロック待ちとなる状態で、DBMSは検出すると片方をROLLBACKして解消します。
-
問345.排他制御の「共有ロック」は、複数のトランザクションから同時に読み取りを許可するロックである。
正解:○(正しい)
解説:共有ロック(Sロック)は読み取り時に取得するロックで、同時に複数取得可能ですが、他のトランザクションの書き込みは阻止します。
-
問346.NoSQLデータベースは、リレーショナルモデル以外のデータモデル(KVS、ドキュメント、グラフ等)を採用したデータベースの総称である。
正解:○(正しい)
解説:NoSQLはKey-Value型、ドキュメント型、カラム指向型、グラフ型等の多様なデータモデルを採用し、大規模分散処理に適します。
-
問347.MACアドレスは48ビットで構成され、ネットワーク機器の製造段階で一意に割り当てられる物理アドレスである。
正解:○(正しい)
解説:MACアドレスは48ビット(6バイト)で表され、前半24ビットが製造ベンダID、後半24ビットがベンダ内一意番号として割り当てられます。
-
問348.DHCPは、ネットワーク内のホストに対してIPアドレス等のネットワーク設定を自動的に配布するプロトコルである。
正解:○(正しい)
解説:DHCPはIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバ等の設定情報をクライアントに自動配布します。
-
問349.ルータはネットワーク層(L3)で動作し、異なるネットワーク間でパケットを中継する機器である。
正解:○(正しい)
解説:ルータはIPアドレスに基づいてルーティングを行い、異なるネットワーク(LAN間、LAN−WAN間等)を接続する役割を担います。
-
問350.スイッチングハブ(L2スイッチ)は、MACアドレスに基づきフレームを該当ポートにのみ転送する機器である。
正解:○(正しい)
解説:L2スイッチはMACアドレステーブルを持ち、宛先MACが接続されたポートにのみフレームを転送するため、ネットワーク効率が向上します。
-
問351.Wi-Fi規格の「Wi-Fi 6」は、IEEE 802.11axに対応する無線LAN規格である。
正解:○(正しい)
解説:Wi-Fi 6(IEEE 802.11ax)は高速・高効率な無線LAN規格で、多数同時接続環境での性能向上を実現しています。
-
問352.Bluetoothは数メートルから数十メートル程度の範囲で利用される近距離無線通信規格である。
正解:○(正しい)
解説:Bluetoothは2.4GHz帯を使用する近距離無線規格で、スマートフォン、ワイヤレスイヤホン、IoT機器等に広く利用されます。
-
問353.GPUは元々グラフィックス処理向けのプロセッサだが、並列計算能力が高いためAI・機械学習の学習処理にも活用される。
正解:○(正しい)
解説:GPUは数千コアによる並列処理が得意で、ディープラーニングの行列演算等と親和性が高く、AI学習の主要ハードウェアとなっています。
-
問354.機械学習における教師あり学習では、入力データと正解ラベルのペアから学習を行う。
正解:○(正しい)
解説:教師あり学習は入力と正解のペア(ラベル付きデータ)から回帰や分類のモデルを学習します。画像認識や売上予測等に用いられます。
-
問355.教師なし学習は正解ラベルを与えず、データの構造やパターンをアルゴリズムが自ら発見する学習方式である。
正解:○(正しい)
解説:教師なし学習はクラスタリングや次元削減等のタスクに用いられ、ラベル付けコストを抑えられる反面、結果の評価が難しい特徴があります。
-
問356.強化学習は、エージェントが環境との相互作用を通じて、報酬を最大化する行動方針を学習する手法である。
正解:○(正しい)
解説:強化学習は試行錯誤によって得られる報酬を最大化するように方策を学習します。ゲームAIや自動運転、ロボット制御等に応用されます。
-
問357.ディープラーニングは多層のニューラルネットワークを用いて複雑な特徴を自動抽出する機械学習手法である。
正解:○(正しい)
解説:ディープラーニングは中間層を多数重ねたニューラルネットワークにより、従来は人手で設計していた特徴量を自動学習します。
-
問358.生成AIにおける「ハルシネーション」とは、AIが事実に基づかない内容をもっともらしく生成してしまう現象である。
正解:○(正しい)
解説:ハルシネーションは生成AIの主要課題の一つで、学習データ不足や統計的推論の誤りにより、実在しない情報を生成するリスクがあります。
-
問359.RAG(Retrieval-Augmented Generation)は、外部知識を検索して取得した情報を基に生成AIが回答を行う手法である。
正解:○(正しい)
解説:RAGは関連文書を検索して生成プロンプトに含めることで、ハルシネーション低減と最新情報の反映を実現する生成AI活用手法です。
-
問360.プロンプトエンジニアリングは、生成AIから望ましい出力を得るためのプロンプト(指示文)の設計・最適化技術である。
正解:○(正しい)
解説:プロンプトエンジニアリングは役割設定、文脈提示、出力形式指定、例示(Few-shot)等の手法でAIの回答品質を向上させる実践技術です。
-
問361.ブロックチェーンは、取引データを暗号化してブロックに格納し、それらを鎖状に連結して分散管理する技術である。
正解:○(正しい)
解説:ブロックチェーンは各ブロックが前ブロックのハッシュ値を含むことで改ざん困難性を実現し、多数ノードで分散管理される台帳技術です。
-
問362.IaaSはインフラ(サーバ・ストレージ・ネットワーク)、PaaSは開発実行基盤、SaaSはアプリケーションソフトウェアをサービスとして提供する形態である。
正解:○(正しい)
解説:クラウドは管理範囲に応じ、IaaS(インフラ提供)、PaaS(OS・ミドルウェアまで)、SaaS(アプリまで)の3層に大別されます。
-
問363.10進数の「100」を2進数に変換したものはどれか。
- ア.1111111
- イ.1100010
- ウ.1010101
- エ.1100100
正解:エ.1100100
解説:100 = 64 + 32 + 4 = 2^6 + 2^5 + 2^2 で、2進数では1100100になります。
-
問364.16進数「1A」を10進数に変換したものはどれか。
- ア.26
- イ.22
- ウ.32
- エ.36
正解:ア.26
解説:1A(16) = 1×16 + 10×1 = 16 + 10 = 26(10)です。
-
問365.2進数の加算「1011 + 1101」の結果を2進数で表すとどれか。
- ア.10100
- イ.11000
- ウ.11100
- エ.10000
正解:イ.11000
解説:1011(2) = 11、1101(2) = 13、11+13 = 24。24(10) = 11000(2)となります。
-
問366.8ビットで表現できる符号付き整数(2の補数表現)の範囲として正しいものはどれか。
- ア.0〜255
- イ.−127〜127
- ウ.−128〜127
- エ.−255〜255
正解:ウ.−128〜127
解説:8ビット2の補数では最上位ビットが符号を示し、表現範囲は−2^7〜2^7−1(−128〜127)となります。
-
問367.論理演算で「A AND (NOT A)」の結果は常にどの値になるか。
- ア.未定義
- イ.1(真)
- ウ.Aの値に依存
- エ.0(偽)
正解:エ.0(偽)
解説:AとNOT Aは常に真偽が反対なので、両者のANDは常に偽(0)となります。これを矛盾律と呼びます。
-
問368.データベースの正規化を第1正規形から第3正規形まで進める主な目的はどれか。
- ア.データの冗長性を排除し更新異常を防ぐ
- イ.データベースの検索速度を最大化する
- ウ.テーブル数を最小化する
- エ.すべての列を主キーにする
正解:ア.データの冗長性を排除し更新異常を防ぐ
解説:正規化の主目的はデータ冗長性の排除と更新異常(挿入・更新・削除異常)の防止です。速度向上より整合性維持が主眼です。
-
問369.リレーショナルデータベースにおける外部キー(外部参照キー)の役割として正しいものはどれか。
- ア.レコードを一意に識別する
- イ.他のテーブルの主キーを参照し、テーブル間の関連を示す
- ウ.テーブルの物理的配置を示す
- エ.データを暗号化する
正解:イ.他のテーブルの主キーを参照し、テーブル間の関連を示す
解説:外部キーは他テーブルの主キー(または一意制約列)を参照し、テーブル間の参照整合性を保証するキーです。
-
問370.SQLの結合(JOIN)で、両方のテーブルで一致する行のみを返す結合はどれか。
- ア.RIGHT OUTER JOIN
- イ.LEFT OUTER JOIN
- ウ.INNER JOIN
- エ.FULL OUTER JOIN
正解:ウ.INNER JOIN
解説:INNER JOINは結合条件を満たす行のみを返します。OUTER JOINは一致しない行もNULLを含めて返します。
-
問371.OSI参照モデルとTCP/IPモデルの対応で、TCP/IPのインターネット層に対応するOSIの層はどれか。
- ア.物理層(第1層)
- イ.データリンク層(第2層)
- ウ.トランスポート層(第4層)
- エ.ネットワーク層(第3層)
正解:エ.ネットワーク層(第3層)
解説:TCP/IPのインターネット層(IPが動作する層)はOSI参照モデルのネットワーク層(第3層)に対応します。
-
問372.機械学習の手法のうち、教師なし学習に該当するものはどれか。
- ア.クラスタリング
- イ.回帰分析
- ウ.分類(classification)
- エ.強化学習
正解:ア.クラスタリング
解説:クラスタリングはラベルなしデータをグループ分けする教師なし学習の代表手法です。回帰・分類は教師あり学習に該当します。
-
問373.生成AI利用時のハルシネーション対策として最も有効なものはどれか。
- ア.プロンプトを極限まで短くする
- イ.RAGにより外部の信頼できる情報源を検索参照させる
- ウ.同じ質問を一度だけ問う
- エ.出力を検証せずそのまま採用する
正解:イ.RAGにより外部の信頼できる情報源を検索参照させる
解説:RAGはAIに外部知識ベースを検索させて根拠ある回答を生成させる手法で、ハルシネーション低減に有効です。
-
問374.IaaS・PaaS・SaaSの違いとして正しいものはどれか。
- ア.3者とも管理責任範囲は同じである
- イ.管理責任範囲が利用者側に少ないのがIaaS、多いのがSaaSである
- ウ.管理責任範囲が利用者側に多いのがIaaS、少ないのがSaaSである
- エ.SaaSはインフラのみを提供する
正解:ウ.管理責任範囲が利用者側に多いのがIaaS、少ないのがSaaSである
解説:IaaSではOS以上を利用者が管理、PaaSではアプリ・データのみ、SaaSではデータのみ管理と、SaaSほど利用者側の管理範囲が小さくなります。
-
問375.ブロックチェーンの特徴として最も適切なものはどれか。
- ア.データの変更が容易である
- イ.中央集権的な管理により高速処理を実現する
- ウ.暗号化機能は含まれていない
- エ.分散管理により中央管理者不在でも改ざん困難な台帳を実現できる
正解:エ.分散管理により中央管理者不在でも改ざん困難な台帳を実現できる
解説:ブロックチェーンは複数ノードによる分散管理とハッシュチェーン構造により、中央管理者なしで改ざん困難性と透明性を両立します。
-
問376.情報セキュリティの3要素(CIA)に含まれないものはどれか。
- ア.迅速性(Agility)
- イ.完全性(Integrity)
- ウ.機密性(Confidentiality)
- エ.可用性(Availability)
正解:ア.迅速性(Agility)
解説:情報セキュリティの3要素(CIA)は機密性・完全性・可用性です。迅速性は含まれません。
-
問377.マルウェアとは、悪意のあるソフトウェアの総称である。
正解:○(正しい)
解説:マルウェア(Malware)はMalicious Softwareの略で、ウイルス・ワーム・トロイの木馬等の悪意あるソフトウェアの総称です。
-
問378.ランサムウェアの説明として正しいものはどれか。
- ア.パスワードを盗み取る
- イ.データを暗号化して身代金を要求する
- ウ.コンピュータを遠隔操作する
- エ.ネットワークを遮断する
正解:イ.データを暗号化して身代金を要求する
解説:ランサムウェアはファイルを暗号化して使用不能にし、復号のための金銭(身代金=ランサム)を要求するマルウェアです。
-
問379.フィッシングとは、偽のWebサイトやメールで個人情報を騙し取る手法である。
正解:○(正しい)
解説:フィッシングは実在する組織を装った偽メールやWebサイトでパスワードやクレジットカード情報を騙し取る詐欺手法です。
-
問380.ソーシャルエンジニアリングの説明として正しいものはどれか。
- ア.社会インフラのシステム開発
- イ.ソーシャルメディアの管理手法
- ウ.人間の心理的な隙を突いて情報を不正に入手する手法
- エ.ネットワークの脆弱性を突く攻撃
正解:ウ.人間の心理的な隙を突いて情報を不正に入手する手法
解説:ソーシャルエンジニアリングは技術的手段ではなく、人間の心理的弱点を利用して機密情報を入手する手法です。
-
問381.ファイアウォールは、外部ネットワークからの不正アクセスを防ぐ仕組みである。
正解:○(正しい)
解説:ファイアウォールは内部ネットワークと外部ネットワークの境界に設置し、不正な通信を遮断する仕組みです。
-
問382.多要素認証の説明として正しいものはどれか。
- ア.複数回ログインを試行して認証する
- イ.複数のパスワードを入力して認証する
- ウ.複数の管理者が承認して認証する
- エ.知識・所持・生体の異なる要素を組み合わせて認証する
正解:エ.知識・所持・生体の異なる要素を組み合わせて認証する
解説:多要素認証は知識(パスワード)、所持(ICカード)、生体(指紋)の中から2つ以上の異なる要素で本人確認します。
-
問383.公開鍵暗号方式では、暗号化と復号に同じ鍵を使用する。
正解:×(誤り)
解説:誤り。公開鍵暗号方式は暗号化と復号に異なる鍵(公開鍵と秘密鍵)を使用する非対称鍵暗号方式。同じ鍵を使うのは共通鍵暗号方式。
-
問384.デジタル署名の目的として正しいものはどれか。
- ア.送信者の本人確認と改ざん検知
- イ.データの暗号化
- ウ.ウイルスの検出
- エ.アクセス制御
正解:ア.送信者の本人確認と改ざん検知
解説:デジタル署名は送信者が本人であること(認証)と、データが改ざんされていないこと(完全性)を確認する技術です。
-
問385.SSLサーバ証明書は、Webサイトのコンテンツが圧縮されデータ転送量が削減されていることを証明するものである。
正解:×(誤り)
解説:誤り。SSLサーバ証明書は通信の暗号化およびWebサイト運営者の実在性を証明するもの。データ圧縮を証明する仕組みではない。
-
問386.DoS攻撃の説明として正しいものはどれか。
- ア.パスワードを総当たりで試す攻撃
- イ.大量のアクセスでサーバをダウンさせる攻撃
- ウ.データベースに不正なSQLを注入する攻撃
- エ.Webサイトを改ざんする攻撃
正解:イ.大量のアクセスでサーバをダウンさせる攻撃
解説:DoS(Denial of Service)攻撃は大量のアクセスを送りつけてサーバやネットワークを過負荷にし、サービスを妨害する攻撃です。
-
問387.SQLインジェクションは、Webアプリケーションの入力欄に不正なSQL文を挿入する攻撃である。
正解:○(正しい)
解説:SQLインジェクションはWebフォーム等の入力欄に不正なSQL文を注入し、データベースを不正に操作する攻撃手法です。
-
問388.クロスサイトスクリプティング(XSS)の説明として正しいものはどれか。
- ア.ドメイン名を偽装する攻撃
- イ.サーバ間で不正にデータを転送する攻撃
- ウ.Webサイトに悪意あるスクリプトを埋め込み、利用者のブラウザで実行させる攻撃
- エ.ファイルを暗号化して身代金を要求する攻撃
正解:ウ.Webサイトに悪意あるスクリプトを埋め込み、利用者のブラウザで実行させる攻撃
解説:XSSはWebサイトの脆弱性を利用して悪意あるスクリプトを挿入し、利用者のブラウザ上で実行させる攻撃です。
-
問389.ウイルス対策ソフトのパターンファイルは定期的に更新する必要がある。
正解:○(正しい)
解説:パターンファイル(ウイルス定義ファイル)を最新に更新しないと、新種のマルウェアを検出できません。
-
問390.バイオメトリクス認証の例として正しいものはどれか。
- ア.ワンタイムパスワード認証
- イ.パスワード認証
- ウ.ICカード認証
- エ.指紋認証
正解:エ.指紋認証
解説:バイオメトリクス認証は指紋・虹彩・顔・静脈パターンなど、身体的特徴を利用した生体認証方式です。
-
問391.VPN(Virtual Private Network)は、暗号化や認証を行わず公衆回線をそのまま利用する通信方式である。
正解:×(誤り)
解説:誤り。VPNは公衆回線上にトンネリング・暗号化等で仮想的な専用線を構築する技術であり、安全な通信路を提供する。
-
問392.ISMS(情報セキュリティマネジメントシステム)の国際規格はどれか。
- ア.ISO/IEC 27001
- イ.ISO 9001
- ウ.ISO 14001
- エ.ISO 22000
正解:ア.ISO/IEC 27001
解説:ISO/IEC 27001はISMS(情報セキュリティマネジメントシステム)の国際規格です。9001は品質、14001は環境の規格です。
-
問393.ゼロデイ攻撃とは、脆弱性の修正プログラム(パッチ)が公開され広く適用された後に行われる攻撃である。
正解:×(誤り)
解説:誤り。ゼロデイ攻撃は脆弱性が発見されてから修正パッチが提供されるまでの期間(猶予日数=0日)に実行される攻撃を指す。
-
問394.パスワードの管理方法として適切なものはどれか。
- ア.覚えやすいように名前と生年月日を組み合わせる
- イ.推測されにくい長いパスワードを設定し、サービスごとに異なるものを使う
- ウ.すべてのサービスで同じパスワードを使う
- エ.パスワードをメモしてディスプレイに貼る
正解:イ.推測されにくい長いパスワードを設定し、サービスごとに異なるものを使う
解説:推測されにくい十分な長さのパスワードを設定し、サービスごとに異なるパスワードを使用することが重要です。
-
問395.不正アクセス禁止法は、権限のないコンピュータへのアクセスを禁止する法律である。
正解:○(正しい)
解説:不正アクセス禁止法は、アクセス権限のないコンピュータへの侵入や他人のID・パスワードの不正使用を禁止しています。
-
問396.ゼロトラストセキュリティの基本原則として正しいものはどれか。
- ア.社内ネットワークからのアクセスはすべて信頼する
- イ.社内外を問わずすべてのアクセスを信頼せず検証する
- ウ.ファイアウォールの内側は安全とみなす
- エ.一度認証されたユーザーは以後の検証を省略する
正解:イ.社内外を問わずすべてのアクセスを信頼せず検証する
解説:ゼロトラストは「何も信頼しない」を前提に、ネットワークの内外を問わずすべてのアクセスに対して認証・認可・暗号化を求めるセキュリティモデルです。
-
問397.サプライチェーン攻撃とは、攻撃者が標的組織のシステムに直接侵入を試みる手法であり、第三者を経由しない攻撃である。
正解:×(誤り)
解説:誤り。サプライチェーン攻撃は取引先・委託先・ソフトウェアベンダ等のセキュリティ対策の弱い第三者を経由して最終標的を攻撃する手法。
-
問398.SIEM(Security Information and Event Management)の説明として正しいものはどれか。
- ア.マルウェアを自動駆除するアンチウイルスソフト
- イ.ファイアウォールのルールを自動設定するツール
- ウ.複数のシステムからセキュリティログを収集・分析し、脅威を検知する仕組み
- エ.データのバックアップを自動化するツール
正解:ウ.複数のシステムからセキュリティログを収集・分析し、脅威を検知する仕組み
解説:SIEMはファイアウォール、IDS/IPS、サーバ等の各種ログを一元的に収集・相関分析し、セキュリティインシデントを早期に検知・対応するための統合管理基盤です。
-
問399.EDR(Endpoint Detection and Response)は、エンドポイント(PC・サーバ等)の不審な挙動を監視し、脅威を検知・対応する仕組みである。
正解:○(正しい)
解説:EDRはPCやサーバ等のエンドポイントの動作を常時監視し、マルウェアの侵入や不審な振る舞いを検知した際に、隔離や調査等の迅速な対応を支援するセキュリティ製品です。
-
問400.ハッシュ関数の特徴として正しいものはどれか。
- ア.入力データより常にハッシュ値のほうがデータサイズが大きい
- イ.異なる入力からは必ず異なるハッシュ値が得られる
- ウ.ハッシュ値から元のデータを復元できる
- エ.同じ入力からは常に同じハッシュ値が得られるが、ハッシュ値から元データを復元できない
正解:エ.同じ入力からは常に同じハッシュ値が得られるが、ハッシュ値から元データを復元できない
解説:ハッシュ関数は一方向性(ハッシュ値から元データを復元不可)と決定性(同じ入力→同じ出力)を持ちます。異なる入力から同じハッシュ値が生じる衝突の可能性はゼロではありません。
-
問401.WAF(Web Application Firewall)は、Webサーバのハードウェア故障やディスク異常を検知するための監視ツールである。
正解:×(誤り)
解説:誤り。WAFはWebアプリへの攻撃(SQLインジェクション・XSS等)を検知・遮断するセキュリティ機器。ハードウェア故障の検知はWAFの機能ではない。
-
問402.APT(Advanced Persistent Threat)攻撃の特徴として正しいものはどれか。
- ア.特定の組織を標的に、長期間にわたり執拗に攻撃を続ける
- イ.不特定多数を対象にした大量のスパムメール
- ウ.短時間で大量のアクセスを集中させるDoS攻撃
- エ.USBメモリ経由でのみ感染するマルウェア
正解:ア.特定の組織を標的に、長期間にわたり執拗に攻撃を続ける
解説:APT攻撃は高度な技術を持つ攻撃者が、特定の組織を標的に数ヶ月〜数年にわたり継続的に攻撃を行い、機密情報の窃取等を目的とする持続的標的型攻撃です。
-
問403.CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応する専門チームである。
正解:○(正しい)
解説:CSIRTはセキュリティインシデントの予防・検知・対応・復旧を行う組織内の専門チームで、インシデント発生時の窓口として他組織のCSIRTとも連携します。
-
問404.パスワードリスト攻撃の説明として正しいものはどれか。
- ア.すべての文字の組み合わせを順に試すブルートフォース攻撃
- イ.他のサービスで漏洩したID・パスワードの組み合わせを使って不正ログインを試みる攻撃
- ウ.辞書に載っている単語を順に試す攻撃
- エ.管理者のパスワードを直接盗み見る攻撃
正解:イ.他のサービスで漏洩したID・パスワードの組み合わせを使って不正ログインを試みる攻撃
解説:パスワードリスト攻撃は、流出した他サービスのID・パスワードリストを流用して別のサービスへの不正ログインを試みる攻撃です。パスワードの使い回しが被害を拡大させます。
-
問405.MFAにおけるTOTP(Time-based One-Time Password)は、利用者の現在地(位置情報)に基づいて生成される一時的なパスワードである。
正解:×(誤り)
解説:誤り。TOTPは時刻情報をベースに一定時間ごとに変化するワンタイムパスワード。位置情報をベースとはしない。
-
問406.ランサムウェアの被害を軽減するための対策として最も適切なものはどれか。
- ア.すべてのデータをクラウドにのみ保存する
- イ.ランサムウェアの身代金を速やかに支払う
- ウ.定期的にオフラインバックアップを取得し、復旧手順を整備する
- エ.アンチウイルスソフトのみに頼る
正解:ウ.定期的にオフラインバックアップを取得し、復旧手順を整備する
解説:ランサムウェア対策にはオフライン(ネットワーク非接続)のバックアップが重要です。オンラインバックアップは暗号化される恐れがあり、身代金支払いは推奨されません。
-
問407.DLP(Data Loss Prevention)は、外部からのDDoS攻撃を検知・遮断する仕組みである。
正解:×(誤り)
解説:誤り。DLPは機密情報の社外への持ち出し・流出を検知・防止する仕組み。DDoS攻撃の対策はDLPの目的ではない。
-
問408.DNSSEC(DNS Security Extensions)の目的として正しいものはどれか。
- ア.ドメイン名の登録を自動化する
- イ.DNSの名前解決速度を向上させる
- ウ.DNSサーバの負荷を軽減する
- エ.DNS応答の改ざん(DNSキャッシュポイズニング等)を防止する
正解:エ.DNS応答の改ざん(DNSキャッシュポイズニング等)を防止する
解説:DNSSECはDNS応答にデジタル署名を付加し、応答の正当性を検証することで、DNSキャッシュポイズニング等のDNS応答改ざん攻撃を防ぐセキュリティ拡張です。
-
問409.ペネトレーションテスト(侵入テスト)は、実際に攻撃手法を用いてシステムの脆弱性を検証するテストである。
正解:○(正しい)
解説:ペネトレーションテストは攻撃者の視点で実際にシステムへの侵入を試み、セキュリティ上の弱点を洗い出すテストです。脆弱性診断(スキャン)より実践的な検証手法です。
-
問410.マルウェアの種類のうち、正規のソフトウェアに見せかけて悪意ある動作をするものはどれか。
- ア.トロイの木馬
- イ.ワーム
- ウ.ランサムウェア
- エ.アドウェア
正解:ア.トロイの木馬
解説:トロイの木馬は有用なプログラムに偽装してユーザーにインストールさせ、バックドア設置や情報窃取等の悪意ある動作を行うマルウェアです。自己増殖機能は持ちません。
-
問411.OAuthは、共通鍵暗号方式を用いて通信内容を暗号化するための暗号アルゴリズムである。
正解:×(誤り)
解説:誤り。OAuthはパスワードを第三者に渡さずアプリ間でアクセス権限を委譲する認可フレームワーク。暗号アルゴリズムではない。
-
問412.ビジネスメール詐欺(BEC)の手口として正しいものはどれか。
- ア.大量の広告メールを不特定多数に送信する
- イ.経営者や取引先になりすまして偽の送金指示メールを送る
- ウ.メールサーバに大量のアクセスを集中させて停止させる
- エ.メールの添付ファイルにウイルスを仕込む
正解:イ.経営者や取引先になりすまして偽の送金指示メールを送る
解説:BEC(Business Email Compromise)は経営者や取引先になりすまして、偽の請求書や送金先変更の指示メールを送り、金銭を詐取する詐欺です。標的型攻撃の一種です。
-
問413.セキュリティバイデザインとは、システムの企画・設計段階からセキュリティを組み込む考え方である。
正解:○(正しい)
解説:セキュリティバイデザインは、開発の後工程でセキュリティ対策を追加するのではなく、企画・設計の初期段階からセキュリティ要件を組み込む開発方針です。
-
問414.CRYPTREC暗号リストの説明として正しいものはどれか。
- ア.暗号を解読するためのツール一覧
- イ.世界中で使用禁止となった暗号方式のリスト
- ウ.日本政府が推奨する暗号技術のリスト
- エ.暗号通貨の取引所一覧
正解:ウ.日本政府が推奨する暗号技術のリスト
解説:CRYPTREC暗号リストは、電子政府推奨暗号リスト等を含み、日本政府が安全性と実装性を評価して推奨する暗号技術を示すリストです。AES、RSA等が含まれます。
-
問415.シャドーITとは、組織のIT部門が把握・管理していないITサービスやデバイスを従業員が業務に利用することである。
正解:○(正しい)
解説:シャドーITはIT部門の承認なく従業員が個人のクラウドサービス・アプリ・端末等を業務利用することで、情報漏洩やセキュリティリスクの原因となります。
-
問416.MITM(Man-in-the-Middle)攻撃の説明として正しいものはどれか。
- ア.パスワードを総当たりで解析する攻撃
- イ.大量のパケットを送りつけてサーバを停止させる攻撃
- ウ.Webサイトを書き換えてマルウェアを配布する攻撃
- エ.通信経路に割り込み、通信内容を傍受・改ざんする攻撃
正解:エ.通信経路に割り込み、通信内容を傍受・改ざんする攻撃
解説:MITM攻撃は通信する2者の間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃です。暗号化されていない通信や偽の証明書を使って実行されます。
-
問417.FIDO2は、ユーザにパスワードの定期変更を強制するパスワードベースの認証規格である。
正解:×(誤り)
解説:誤り。FIDO2はパスワードに依存しない(パスワードレス)認証標準規格で、生体認証やセキュリティキーを利用する。
-
問418.インシデントレスポンスのプロセスで、最初に行うべきステップはどれか。
- ア.検知と分析(インシデントの特定と影響範囲の把握)
- イ.根本原因の除去
- ウ.システムの全面復旧
- エ.報告書の作成
正解:ア.検知と分析(インシデントの特定と影響範囲の把握)
解説:インシデントレスポンスは①準備→②検知と分析→③封じ込め・根絶・復旧→④教訓(事後活動)の順で行います。インシデント発生時はまず検知・分析で状況を把握します。
-
問419.セキュリティポリシーとは、組織の情報セキュリティに関する基本方針を文書化したものである。
正解:○(正しい)
解説:セキュリティポリシーは組織がどのように情報資産を保護するかの基本方針・対策基準・実施手順を定めた文書で、情報セキュリティマネジメントの基盤となります。
-
問420.サンドボックスの説明として正しいものはどれか。
- ア.ファイアウォールの別称
- イ.不審なプログラムを隔離された仮想環境で実行し、挙動を安全に分析する仕組み
- ウ.パスワードを安全に保管する金庫
- エ.バックアップデータの保管場所
正解:イ.不審なプログラムを隔離された仮想環境で実行し、挙動を安全に分析する仕組み
解説:サンドボックスは隔離された安全な環境で不審なファイルやプログラムを実行し、マルウェアかどうかを判定する分析手法・仕組みです。本番環境への影響を防ぎます。
-
問421.個人情報保護法における要配慮個人情報には、人種、信条、病歴等が含まれる。
正解:○(正しい)
解説:要配慮個人情報は本人に対する不当な差別・偏見が生じないよう特に配慮を要する個人情報で、人種・信条・社会的身分・病歴・犯罪の経歴等が該当し、取得には原則本人の同意が必要です。
-
問422.CVE(Common Vulnerabilities and Exposures)の説明として正しいものはどれか。
- ア.暗号アルゴリズムの強度を評価する基準
- イ.コンピュータウイルスの検体を収集するデータベース
- ウ.ソフトウェアの脆弱性を一意に識別するための共通番号体系
- エ.ファイアウォールのルールを標準化する規格
正解:ウ.ソフトウェアの脆弱性を一意に識別するための共通番号体系
解説:CVEは公開された脆弱性にCVE-YYYY-NNNNN形式の固有IDを割り当て、異なる組織・ツール間で同一の脆弱性を一意に特定・参照できるようにする識別番号体系です。
-
問423.SOC(Security Operation Center)は、24時間365日体制でセキュリティの監視・分析を行う組織である。
正解:○(正しい)
解説:SOCはネットワークやシステムを常時監視し、セキュリティイベントの検知・分析・対応を行う専門組織です。SIEMやEDR等のツールを活用してインシデントの早期発見を図ります。
-
問424.SSID隠蔽(ステルスモード)だけで無線LANのセキュリティは十分に確保できる。
正解:×(誤り)
解説:誤り。SSID隠蔽はネットワーク名を非表示にするだけで、専用ツールで容易に検出可能です。WPA3等の暗号化やMACアドレスフィルタリング等、複数の対策を組み合わせる必要があります。
-
問425.SOAR(Security Orchestration, Automation and Response)の説明として正しいものはどれか。
- ア.データベースのバックアップを自動化するツール
- イ.ソースコードの脆弱性を自動検出するツール
- ウ.ネットワーク帯域を自動拡張する技術
- エ.セキュリティ運用の自動化・オーケストレーションによりインシデント対応を効率化するプラットフォーム
正解:エ.セキュリティ運用の自動化・オーケストレーションによりインシデント対応を効率化するプラットフォーム
解説:SOARはセキュリティツール間の連携を自動化し、インシデント対応のワークフローを標準化・効率化するプラットフォームです。SIEMと連携してアラート対応を迅速化します。
-
問426.ゼロトラストセキュリティモデルでは、社内ネットワークからのアクセスは信頼できるものとして扱い、認証や検証は省略する。
正解:×(誤り)
解説:誤り。ゼロトラストは『何も信頼しない』を前提とし、社内ネットワークからのアクセスであっても常に認証と検証を行う考え方。
-
問427.SIEM(Security Information and Event Management)は、複数のシステムのログを収集・統合分析し、セキュリティ上の脅威を検出するシステムである。
正解:○(正しい)
解説:SIEMはファイアウォール、IDS、サーバ等の多様なログを一元収集し、相関分析によって単一のログでは発見困難な脅威やインシデントを検出します。
-
問428.IDSは不正アクセスを検知した際に自動的に通信を遮断する機能を持つ。
正解:×(誤り)
解説:誤り。IDS(侵入検知システム)は不正アクセスの検知と通知を行いますが、自動遮断は行いません。自動遮断機能を持つのはIPS(侵入防止システム)です。
-
問429.IPS(侵入防止システム)は、不正な通信を検知して管理者に通報するのみで、通信を自動遮断する機能は持たない。
正解:×(誤り)
解説:誤り。検知のみで通報するのはIDS。IPSはIDSの検知機能に加えて不正通信を自動的にブロック(遮断)する機能を持つ。
-
問430.SOAR(Security Orchestration, Automation and Response)は、セキュリティインシデントへの対応を自動化・効率化するプラットフォームである。
正解:○(正しい)
解説:SOARはインシデント対応のワークフローを自動化し、SIEM等のツールと連携してセキュリティ運用の効率化と対応速度の向上を実現します。
-
問431.ペネトレーションテストとは、実際の攻撃手法を用いてシステムの脆弱性を検証するテストである。
正解:○(正しい)
解説:ペネトレーションテスト(侵入テスト)はホワイトハッカーが実際の攻撃手法を用いてシステムへの侵入を試み、脆弱性の有無と影響度を実践的に検証します。
-
問432.共通鍵暗号方式は、暗号化と復号に異なる鍵を使用するため、鍵の配送が不要である。
正解:×(誤り)
解説:誤り。共通鍵暗号は暗号化と復号に同じ鍵を使う方式。そのため鍵を安全に配送する必要があり鍵配送が課題となる。異なる鍵を使うのは公開鍵暗号方式。
-
問433.デジタルフォレンジックとは、不正アクセスや情報漏洩などの事案発生後に、電子的証拠を収集・保全・分析する技術である。
正解:○(正しい)
解説:デジタルフォレンジックはコンピュータやネットワーク上の電子的証拠を法的に有効な形で収集・保全・分析し、事実関係を解明する技術・手法です。
-
問434.ゼロトラストモデルでは、一度認証に成功すれば同一セッション中は再認証不要とする。
正解:×(誤り)
解説:誤り。ゼロトラストでは一度認証されても継続的に信頼性を検証します。アクセスするリソースや状況の変化に応じて再認証・再検証を求める「継続的検証」が原則です。
-
問435.AES(Advanced Encryption Standard)は公開鍵暗号方式のアルゴリズムであり、デジタル署名等に広く利用されている。
正解:×(誤り)
解説:誤り。AESは共通鍵(対称鍵)暗号方式のブロック暗号アルゴリズム。公開鍵暗号方式の代表例はRSAや楕円曲線暗号。
-
問436.RSA暗号は共通鍵暗号方式の代表的なアルゴリズムであり、離散対数問題の難しさを安全性の根拠としている。
正解:×(誤り)
解説:誤り。RSAは公開鍵暗号方式のアルゴリズムで、安全性の根拠は大きな素数の積の素因数分解の困難性。離散対数問題はDH鍵交換等が根拠。
-
問437.WAFは通常のファイアウォールと同様にIPアドレスやポート番号のみに基づいて通信を制御する。
正解:×(誤り)
解説:誤り。WAFはIPアドレスやポート番号だけでなく、HTTPリクエストの内容(URL、パラメータ、Cookie等)を詳細に検査してWebアプリケーション層の攻撃を防御します。
-
問438.SIEMの主要な機能の一つに、異なるログ間の相関分析(コリレーション)がある。
正解:○(正しい)
解説:相関分析はSIEMの中核機能で、複数の異なるソースのログイベントを関連付けて分析し、単独では検知できない複合的な攻撃パターンを発見します。
-
問439.ペネトレーションテストは脆弱性スキャンと同じものであり、ツールによる自動検査のみで完了する。
正解:×(誤り)
解説:誤り。ペネトレーションテストは脆弱性スキャンとは異なり、発見した脆弱性を実際に悪用して侵入を試みるテストです。専門家の手動テストが重要な要素です。
-
問440.デジタルフォレンジックにおいて、証拠の改ざんを防ぐためにハッシュ値による完全性の検証が行われる。
正解:○(正しい)
解説:フォレンジック調査では収集した証拠データのハッシュ値を記録し、分析前後でハッシュ値が一致することを確認して証拠の完全性(改ざんされていないこと)を保証します。
-
問441.ハイブリッド暗号方式は、2つの異なる公開鍵暗号アルゴリズムを組み合わせて利用する方式である。
正解:×(誤り)
解説:誤り。ハイブリッド暗号は共通鍵暗号と公開鍵暗号を組み合わせ、共通鍵で本文を暗号化し共通鍵自体は公開鍵で暗号化する方式。
-
問442.SOARは人間の判断を完全に排除し、すべてのセキュリティ対応を全自動で行うシステムである。
正解:×(誤り)
解説:誤り。SOARは定型的なインシデント対応を自動化しますが、重大なインシデントの最終判断や例外的な事象への対応には人間の判断が必要です。人間とシステムの協調が基本です。
-
問443.ゼロトラストの実現にはマイクロセグメンテーション(ネットワークの細分化)が有効な手段の一つである。
正解:○(正しい)
解説:マイクロセグメンテーションはネットワークを細かいセグメントに分割し、セグメント間の通信を厳密に制御することで、ゼロトラストの最小権限アクセスを実現します。
-
問444.IDS/IPSのシグネチャ型検知は、既知の攻撃パターンのデータベースと照合して不正を検知する方式である。
正解:○(正しい)
解説:シグネチャ型検知は既知の攻撃パターン(シグネチャ)のデータベースとネットワーク通信を照合し、一致した場合に不正と判定する方式です。
-
問445.デジタルフォレンジックの調査対象には、ハードディスクだけでなくメモリダンプやネットワークパケットも含まれる。
正解:○(正しい)
解説:フォレンジック調査はディスクフォレンジック・メモリフォレンジック・ネットワークフォレンジック等、電子的に記録されたあらゆるデータが対象となります。
-
問446.ゼロトラストセキュリティモデルの基本原則として最も適切なものはどれか。
- ア.管理者アカウントには無制限のアクセス権を付与する
- イ.社内ネットワークのみ信頼し、外部からのアクセスを全て遮断する
- ウ.ファイアウォールの内側は安全とみなして自由にアクセスを許可する
- エ.すべてのアクセスを検証し、最小権限の原則に基づいて許可する
正解:エ.すべてのアクセスを検証し、最小権限の原則に基づいて許可する
解説:ゼロトラストは内部・外部を問わずすべてのアクセスを検証し、必要最小限の権限のみを付与する「Never Trust, Always Verify」が基本原則です。
-
問447.WAFが防御できる攻撃として適切でないものはどれか。
- ア.DDoS攻撃(大量パケット型)
- イ.クロスサイトスクリプティング
- ウ.SQLインジェクション
- エ.ディレクトリトラバーサル
正解:ア.DDoS攻撃(大量パケット型)
解説:WAFはWebアプリケーション層の攻撃を防御しますが、ネットワーク層への大量パケット型DDoS攻撃の防御は専用のDDoS対策サービスが必要です。
-
問448.SIEMの導入効果として最も適切なものはどれか。
- ア.すべてのサイバー攻撃を完全に防御できる
- イ.複数のセキュリティ機器のログを統合分析し、脅威の早期発見と対応を効率化できる
- ウ.ファイアウォールを不要にできる
- エ.ウイルス対策ソフトを代替できる
正解:イ.複数のセキュリティ機器のログを統合分析し、脅威の早期発見と対応を効率化できる
解説:SIEMはログの統合収集・相関分析によりインシデントの早期発見を可能にし、セキュリティ運用の可視化と効率化を実現します。完全防御の保証ではありません。
-
問449.共通鍵暗号方式と公開鍵暗号方式の比較として正しいものはどれか。
- ア.共通鍵暗号は鍵配送の問題がないが、処理速度が遅い
- イ.公開鍵暗号は処理速度が速く、鍵配送の問題もない
- ウ.共通鍵暗号は処理速度が速いが、鍵の安全な配送が課題である
- エ.両方式の処理速度と安全性に違いはない
正解:ウ.共通鍵暗号は処理速度が速いが、鍵の安全な配送が課題である
解説:共通鍵暗号は公開鍵暗号に比べて処理速度が速いですが、送信者と受信者で同じ秘密鍵を共有する必要があり、鍵の安全な配送が課題です。
-
問450.IDS/IPSの検知方式のうち、通常の通信パターンからの逸脱を検知する方式はどれか。
- ア.プロキシ型
- イ.シグネチャ型
- ウ.ステートフル型
- エ.アノマリ型(異常検知型)
正解:エ.アノマリ型(異常検知型)
解説:アノマリ型は正常な通信パターンをベースラインとして学習し、そこから大きく逸脱する通信を異常として検知する方式です。未知の攻撃にも対応できます。
-
問451.ペネトレーションテストの実施手順として適切な順序はどれか。
- ア.計画策定→情報収集→脆弱性分析→侵入試行→報告
- イ.侵入試行→情報収集→計画策定→報告→脆弱性分析
- ウ.報告→計画策定→情報収集→脆弱性分析→侵入試行
- エ.情報収集→侵入試行→報告→計画策定→脆弱性分析
正解:ア.計画策定→情報収集→脆弱性分析→侵入試行→報告
解説:ペネトレーションテストはまずテスト範囲や目標を計画し、対象の情報を収集、脆弱性を分析した上で侵入を試行し、最終的に結果を報告します。
-
問452.デジタルフォレンジックにおいて、証拠となるデータの保全で最も重要なことはどれか。
- ア.証拠データを最新の状態に更新してから分析する
- イ.証拠データの原本を変更せず、複製を作成して分析する
- ウ.分析結果に合わせて証拠データを修正する
- エ.不要と判断したデータは削除してから分析する
正解:イ.証拠データの原本を変更せず、複製を作成して分析する
解説:フォレンジックでは証拠の完全性を保つため、原本には一切手を加えず、ビットレベルの完全なコピー(イメージ)を作成して分析を行います。
-
問453.SOARの主な構成要素として適切でないものはどれか。
- ア.セキュリティオーケストレーション
- イ.インシデント対応の自動化
- ウ.ハードウェアの物理的な保守管理
- エ.脅威インテリジェンスの活用
正解:ウ.ハードウェアの物理的な保守管理
解説:SOARはオーケストレーション(ツール連携)、自動化(定型対応の自動実行)、レスポンス(インシデント対応管理)と脅威情報の活用が主要構成要素で、物理保守は含まれません。
-
問454.ゼロトラスト実現のための技術要素として適切でないものはどれか。
- ア.多要素認証(MFA)
- イ.マイクロセグメンテーション
- ウ.エンドポイント検出と対応(EDR)
- エ.境界型ファイアウォールのみに依存した防御
正解:エ.境界型ファイアウォールのみに依存した防御
解説:ゼロトラストはMFA・マイクロセグメンテーション・EDR等を組み合わせて実現します。境界型ファイアウォールのみに頼る従来型防御はゼロトラストとは対極の考え方です。
-
問455.シングルサインオン(SSO)は、利用するシステムやサービスごとにユーザが毎回個別に認証を行わなければならない仕組みである。
正解:×(誤り)
解説:誤り。SSOは1回の認証で連携した複数のシステム・サービスを利用できる仕組み。毎回個別認証する従来方式とは逆の概念。
-
問456.OAuthは、第三者アプリにユーザのID・パスワードそのものを渡してアクセスを許可する認証方式である。
正解:×(誤り)
解説:誤り。OAuthはID・パスワードを第三者アプリに渡さず、トークンによって限定的なアクセス権限を委譲する認可プロトコル。
-
問457.ハッシュ関数の特徴として、同じ入力からは異なるハッシュ値が得られ、ハッシュ値から元の入力を簡単に復元できる。
正解:×(誤り)
解説:誤り。ハッシュ関数は同じ入力からは常に同じハッシュ値を生成し、出力から入力を復元することは事実上不可能(一方向性)という性質を持つ。
-
問458.SHA-256は、128ビットのハッシュ値を生成する暗号学的ハッシュ関数である。
正解:×(誤り)
解説:誤り。SHA-256は名前の通り256ビット(32バイト)のハッシュ値を生成する。128ビット出力はMD5等。
-
問459.ソルト(salt)とは、パスワードを保存する際にハッシュ化されたパスワードを短縮しデータ容量を削減する処理である。
正解:×(誤り)
解説:誤り。ソルトはパスワードをハッシュ化する際に付加するランダムな値で、レインボーテーブル攻撃対策として用いる。容量削減を目的とする処理ではない。
-
問460.標的型攻撃とは、特定の組織や個人を狙って機密情報の窃取等を目的に実行されるサイバー攻撃である。
正解:○(正しい)
解説:標的型攻撃は業務関連を装ったメール(標的型メール)等で特定標的に侵入し、長期潜伏して機密情報を窃取する高度な攻撃手法です。
-
問461.APT攻撃は、特定標的に対して長期間にわたり潜伏しながら情報窃取を行う高度で執拗な攻撃のことである。
正解:○(正しい)
解説:APT(Advanced Persistent Threat)は高度な技術と持続的な活動を特徴とし、国家支援型組織等による長期的サイバー攻撃を指します。
-
問462.CSRF(クロスサイトリクエストフォージェリ)とは、Webページの入力欄に悪意のあるスクリプトを挿入し他ユーザのブラウザで実行させる攻撃である。
正解:×(誤り)
解説:誤り。スクリプト挿入はXSS(クロスサイトスクリプティング)。CSRFはログイン中ユーザのブラウザから意図しないリクエストを送信させる攻撃で別物。
-
問463.DDoS攻撃は、攻撃者が単一の端末から標的に対し大量のトラフィックを送りサービス妨害を引き起こす攻撃である。
正解:×(誤り)
解説:誤り。単一端末からの攻撃はDoS攻撃。DDoS(分散型)は多数のボット等から複数の端末を使って同時に大量トラフィックを送る攻撃。
-
問464.ビジネスメール詐欺(BEC)は、取引先や経営者を装ったメールで担当者を騙し送金等を実行させる詐欺である。
正解:○(正しい)
解説:BEC(Business Email Compromise)は経営者・取引先等になりすまして偽の送金指示等を行う詐欺で、国際的に大きな被害が報告されています。
-
問465.パスワードリスト攻撃は、他サービスから漏洩したID・パスワードの組み合わせを流用し、別サービスへの不正ログインを試みる攻撃である。
正解:○(正しい)
解説:パスワードリスト攻撃はパスワード使い回しを悪用する攻撃で、多くのユーザが同一パスワードを複数サービスで利用している実態を突きます。
-
問466.ブルートフォース攻撃は、よく使われる単語やパスワードのリスト(辞書)を順に試してパスワードを推測する攻撃である。
正解:×(誤り)
解説:誤り。辞書を用いるのは辞書攻撃。ブルートフォース攻撃は可能なパスワードを片端から総当たりで試行する攻撃。
-
問467.辞書攻撃は、考えられるパスワードの組合せを片端から総当たりで試行する攻撃である。
正解:×(誤り)
解説:誤り。総当たりはブルートフォース攻撃。辞書攻撃はよく使われる単語やパスワードのリスト(辞書)を順番に試行する攻撃。
-
問468.MITM(中間者攻撃)とは、攻撃者が通信を傍受せず正規の通信路を経由して送受信を行う合法的な手法である。
正解:×(誤り)
解説:誤り。MITMは通信の当事者間に攻撃者が割り込み通信内容を盗聴・改ざんする攻撃で、不正な攻撃手法。
-
問469.DNSキャッシュポイズニングは、DNSサーバ自体を停止させ名前解決ができないようにする攻撃である。
正解:×(誤り)
解説:誤り。DNSキャッシュポイズニングはDNSサーバのキャッシュに偽のIPアドレス情報を注入し利用者を偽サイトに誘導する攻撃。サーバ停止はDoS等の別攻撃。
-
問470.サプライチェーン攻撃は、取引先や委託先・ソフトウェアベンダ等を経由して標的組織を攻撃する手法である。
正解:○(正しい)
解説:サプライチェーン攻撃は直接の標的ではなく、標的に接続する委託先やソフトウェア部品を経由して侵入する攻撃で、近年急増しています。
-
問471.JIS Q 27001は、個人情報保護マネジメントシステム(PMS)の要求事項を定めたJIS規格である。
正解:×(誤り)
解説:誤り。JIS Q 27001はISO/IEC 27001を基にした情報セキュリティマネジメントシステム(ISMS)規格。PMS規格はJIS Q 15001。
-
問472.JIS Q 15001は、ISO/IEC 27001を基にした情報セキュリティマネジメントシステム(ISMS)の規格である。
正解:×(誤り)
解説:誤り。JIS Q 15001は個人情報保護マネジメントシステム(PMS)の規格でプライバシーマーク制度の基準となる。ISMS規格はJIS Q 27001。
-
問473.情報セキュリティの3要素に、真正性・責任追跡性・否認防止性・信頼性を加えた7要素で捉える考え方もある。
正解:○(正しい)
解説:拡張された情報セキュリティはCIA3要素に真正性・責任追跡性・否認防止性・信頼性の4要素を加えた7要素で議論されます。
-
問474.リスクアセスメントは、リスクの特定・分析・評価から成る一連のプロセスである。
正解:○(正しい)
解説:リスクアセスメントはISO/IEC 27005等で定義され、リスク特定→リスク分析→リスク評価の順でリスクを体系的に把握するプロセスです。
-
問475.セキュリティバイデザインは、システムの企画・設計段階からセキュリティを組み込む設計思想である。
正解:○(正しい)
解説:セキュリティバイデザインは事後対応ではなく、開発ライフサイクルの初期段階から脅威分析と対策設計を行うアプローチです。
-
問476.プライバシーバイデザインは、プライバシー保護をシステムの設計段階から組み込む考え方である。
正解:○(正しい)
解説:プライバシーバイデザインは7つの基本原則(事後対応でなく事前予防等)に基づき、開発初期からプライバシー保護を設計に組み込む思想です。
-
問477.BYOD(Bring Your Own Device)とは、会社が支給した業務用端末を従業員が私的な用途で使用することである。
正解:×(誤り)
解説:誤り。BYODは従業員が私物の端末(自分のスマホ・PC等)を業務で利用すること。会社支給端末の私的利用は別の概念。
-
問478.MDM(Mobile Device Management)は、企業のメインフレームやデータベースサーバを集中管理する仕組みである。
正解:×(誤り)
解説:誤り。MDMはスマートフォンやタブレット等のモバイル端末を企業が一元的に管理・制御する仕組み。サーバ管理ではない。
-
問479.エンドポイントセキュリティは、PC・スマートフォン等の末端機器を保護するセキュリティ対策である。
正解:○(正しい)
解説:エンドポイントセキュリティはウイルス対策、EDR、デバイス制御等で末端機器を守る対策で、ゼロトラスト時代にますます重要性を増しています。
-
問480.CSIRT(シーサート)は、組織内でセキュリティインシデント対応を専門に行うチームである。
正解:○(正しい)
解説:CSIRT(Computer Security Incident Response Team)はインシデント検知・分析・対応・復旧と外部連携を担う専門組織です。
-
問481.SOC(Security Operation Center)は、セキュリティ監視・分析・対応を24時間365日体制で行う専門組織である。
正解:○(正しい)
解説:SOCはSIEM等を活用してセキュリティイベントを継続監視し、脅威の早期検知と対応を行う運用組織です。
-
問482.ISMAPは、個人情報保護法に基づき民間企業の個人情報取扱いを評価・認証する制度である。
正解:×(誤り)
解説:誤り。ISMAP(政府情報システムのためのセキュリティ評価制度)は日本政府が利用するクラウドサービスの安全性を評価・登録する制度。個人情報保護の評価制度ではない。
-
問483.ディープフェイクは、AI技術を用いて人物の顔や音声を巧妙に合成・改変したメディアで、偽情報の拡散リスクがある。
正解:○(正しい)
解説:ディープフェイクはディープラーニングによる映像・音声合成技術で、詐欺・なりすまし・フェイクニュース等への悪用リスクが懸念されます。
-
問484.耐量子計算機暗号(PQC)とは、量子コンピュータ自体を構成するために必要となる暗号アルゴリズムの総称である。
正解:×(誤り)
解説:誤り。PQCは量子コンピュータによる解読攻撃に耐えることを目指した古典コンピュータ上で動作する次世代暗号技術。量子コンピュータを構成するための暗号ではない。
-
問485.IoT機器のセキュリティ対策として、初期パスワードの変更と最新ファームウェアへの更新が基本である。
正解:○(正しい)
解説:IoT機器は初期設定のまま使用されマルウェア感染源となるケースが多いため、初期パスワード変更とファームウェア更新が必須の基本対策です。
-
問486.多要素認証(MFA)で組み合わせる要素の分類として正しいものはどれか。
- ア.知識要素・所持要素・生体要素
- イ.パスワード・ユーザID・メールアドレス
- ウ.数字・文字・記号
- エ.サーバ・クライアント・ネットワーク
正解:ア.知識要素・所持要素・生体要素
解説:MFAは記憶(知識:パスワード等)、所持(スマホ・ICカード等)、生体(指紋・顔等)の異なる要素から2つ以上を組み合わせます。
-
問487.公開鍵暗号方式を用いたデジタル署名において、署名生成と署名検証に用いる鍵の組合せとして正しいものはどれか。
- ア.署名生成は受信者の公開鍵、検証は受信者の秘密鍵
- イ.署名生成は送信者の秘密鍵、検証は送信者の公開鍵
- ウ.署名生成は送信者の公開鍵、検証は送信者の秘密鍵
- エ.署名生成・検証ともに共通鍵
正解:イ.署名生成は送信者の秘密鍵、検証は送信者の公開鍵
解説:デジタル署名は送信者の秘密鍵で署名を生成し、誰でも送信者の公開鍵で検証できるため、なりすまし防止と改ざん検知を実現します。
-
問488.ハッシュ関数の性質として適切でないものはどれか。
- ア.異なる入力から同じ出力(衝突)が得られることは極めて稀
- イ.同じ入力からは常に同じ出力が得られる
- ウ.出力から容易に入力を復元できる
- エ.任意長の入力から固定長の出力が得られる
正解:ウ.出力から容易に入力を復元できる
解説:ハッシュ関数は一方向性(出力から入力を求めることが困難)を持ちます。容易に復元できるのは暗号化関数です。
-
問489.SQLインジェクション対策として最も有効なものはどれか。
- ア.ユーザ名の非公開化
- イ.入力フィールドの文字数制限のみ
- ウ.Webサーバの再起動
- エ.プレースホルダ(バインド機構)を用いたパラメータ化クエリの使用
正解:エ.プレースホルダ(バインド機構)を用いたパラメータ化クエリの使用
解説:プレースホルダ(パラメータ化クエリ)はSQL構文とデータを明確に分離し、SQL文として解釈されないため、最も根本的で有効な対策です。
-
問490.XSS(クロスサイトスクリプティング)の対策として最も適切なものはどれか。
- ア.HTML特殊文字のエスケープ処理(サニタイズ)を行う
- イ.パスワードを複雑にする
- ウ.サーバのCPUを強化する
- エ.ネットワーク回線を高速化する
正解:ア.HTML特殊文字のエスケープ処理(サニタイズ)を行う
解説:XSS対策の基本はHTML出力時に < や & 等の特殊文字をエスケープ処理し、スクリプトとして解釈されないようにすることです。
-
問491.CSRF対策として有効なものはどれか。
- ア.HTTPS通信に切り替える
- イ.ワンタイムトークンをフォームに埋め込み、リクエスト時に検証する
- ウ.パスワードを長くする
- エ.CPUを増強する
正解:イ.ワンタイムトークンをフォームに埋め込み、リクエスト時に検証する
解説:CSRFトークン(ワンタイムトークン)の埋め込みと検証により、正規フォーム経由でない不正リクエストを識別・拒否できます。
-
問492.ゼロデイ攻撃への有効な対策として最も適切なものはどれか。
- ア.ソフトウェアを更新しない
- イ.パターンファイルのみに依存する
- ウ.EDR等の挙動ベース検知と多層防御の実施
- エ.単一のウイルス対策ソフトだけを導入する
正解:ウ.EDR等の挙動ベース検知と多層防御の実施
解説:未知の脆弱性を突くゼロデイ攻撃にはシグネチャ型検知では不十分で、EDR等の挙動監視と複数層の防御の組み合わせが効果的です。
-
問493.ランサムウェア感染への事前対策として最も有効なものはどれか。
- ア.すべてのファイルを公開する
- イ.身代金を事前に準備する
- ウ.社内Wi-Fiを無効化する
- エ.オフライン(隔離された)バックアップの定期取得
正解:エ.オフライン(隔離された)バックアップの定期取得
解説:ランサムウェアはオンラインバックアップも暗号化するため、ネットワークから隔離されたオフラインバックアップが復旧の最も確実な手段です。
-
問494.パスワードの取り扱いに関する推奨事項として最も適切なものはどれか。
- ア.長く複雑にし、サービスごとに異なるものをパスワードマネージャで管理する
- イ.すべてのサービスで同一パスワードを使う
- ウ.誕生日と名前を組み合わせる
- エ.付箋でディスプレイに貼っておく
正解:ア.長く複雑にし、サービスごとに異なるものをパスワードマネージャで管理する
解説:使い回しはパスワードリスト攻撃の被害を拡大させます。十分な長さの複雑なパスワードをサービスごとに設定し、マネージャで管理すべきです。
-
問495.生体認証の性能指標「他人受入率(FAR)」の説明として正しいものはどれか。
- ア.本人を誤って他人と拒絶する割合
- イ.本人でない他人を誤って本人として受け入れる割合
- ウ.認証処理の速度
- エ.登録可能な人数
正解:イ.本人でない他人を誤って本人として受け入れる割合
解説:FAR(False Acceptance Rate)は他人受入率で、低いほど安全性が高くなります。対になる本人拒否率はFRR(False Rejection Rate)です。
-
問496.ISMSにおけるPDCAサイクルで、セキュリティ対策の有効性を評価するフェーズはどれか。
- ア.Do(実施)
- イ.Plan(計画)
- ウ.Check(評価)
- エ.Act(改善)
正解:ウ.Check(評価)
解説:PDCAのCheckフェーズで監査・監視・測定を通じて対策の有効性を評価し、Actフェーズで改善につなげるサイクルを回します。
-
問497.無線LAN(Wi-Fi)で推奨される暗号化方式として最も安全性が高いものはどれか。
- ア.WPA1
- イ.WEP
- ウ.オープン(暗号化なし)
- エ.WPA3
正解:エ.WPA3
解説:WPA3は2018年に策定された最新の無線LAN暗号化規格で、WEP・WPA・WPA2の脆弱性を改善した最も安全性の高い方式です。
-
問498.EDRとSIEMの役割の違いとして最も適切なものはどれか。
- ア.EDRはエンドポイントの挙動監視、SIEMは複数ログの統合相関分析を行う
- イ.EDRはネットワーク監視、SIEMはエンドポイント対策を行う
- ウ.両者は同一のツールである
- エ.EDRはログ分析のみ、SIEMは物理対策を行う
正解:ア.EDRはエンドポイントの挙動監視、SIEMは複数ログの統合相関分析を行う
解説:EDRは各エンドポイントの挙動を詳細に監視して脅威を検知・対応し、SIEMは組織全体の多様なログを集約して相関分析を行います。
-
問499.DLP(Data Loss Prevention)は、機密情報の不正な持ち出しや漏洩を監視・防止するセキュリティ対策である。
正解:○(正しい)
解説:DLPは社内の機密データを識別・分類し、メール送信・USB持出し・クラウドアップロード等の経路で情報漏洩が起きないよう監視・遮断する仕組みです。
-
問500.CASB(Cloud Access Security Broker)は、利用者とクラウドサービスの間に位置し、利用状況の可視化やセキュリティポリシーの適用を行う仕組みである。
正解:○(正しい)
解説:CASBは企業の従業員が利用する各種クラウドサービス(SaaS等)への通信を仲介し、シャドーIT検出、アクセス制御、データ保護、脅威防御等の機能を提供します。