【国語とメタ読み】応用情報技術者R05秋監査の解説
今回の問題は、システム稼働時の5年前にCP策定し、発動も見直しもしていないので、監査でチェックするのがテーマ。
業務継続計画(BCP)は、可用性。セキュリティ3要素CIAのAにもある通り、セキュリティの色が濃い問題でした。
読みながら「5年前から時代遅れになってないかな?」「せっかくの緊急時計画なのに、抜け穴ないかな?」という観点で見ておくと、結構すんなり。
解きに入れるのが3頁終盤と遅めで、設問2は少しモヤとしますが、8割以上が狙える問題でした。
このNoteは私のIT専門学校での授業経験に基づいて、一緒に読んで解いていきます。本番での「思考の流れ」や「解法のコツ」なども書いているので、参考になったら嬉しいです。
それでは始めましょう!
過去問のダウンロードはIPA公式より。
>>公式の問題pdfへのリンク<<
>>公式の解答pdfへのリンク<<
選ぶか | 全4頁が最大の魅力
問11を選ぶかどうかだと、私は選ぶかも。解き始めは遅いですが、総頁4は短く、図1からも簡単な構成だと判断できたので。
設問も多いようで、穴埋めがほとんど。設問5の作文25文字も大変良心的。
業務継続計画(BCP)はセキュリティ面強めなのもグッド。問1セキュリティは必答なので、バキバキに対策してますからね。
総じて「解き始め3頁目」以外にマイナスポイントがありません。
読み | 概要
概要は1段落8行で適切。
大した情報はありません。通販システムの可用性を確保するために、バックアップサイトや緊急時の計画について、監査を受ける話。
一応、「通販システム」「CP」を作文で使うかもなので、四角囲みマーキングしておきましょう。
この時点では分かりませんが、話は「監査の手続き」よりは「セキュリティ」寄りです。問1に出てもオカシクなく、情報セキュリティマネジメント試験なら出そうな題材ですね。
読み | 【通販システムの概要】
サーバの処理能力の増強、冗長構成(ウォームスタンバイ)してきた話。サーバが東・西センターにある。
西センターがバックアップサイト。日次・夜間にデータを、東から西へ伝送。
西センターのバックアップシステムは、システム稼働当初から導入。普段は人事・会計の社内向けで稼働され、緊急時は待機サーバとして稼働する。直近2~3年は社内業務システムも稼働。
マーキングは、名称は四角囲み、数値は丸囲みが基本。
「5年」を丸囲み
「受注、出荷・配送、承認」を四角囲み
「処理能力を増強」に下線
「ウォームスタンバイ」を四角囲み
「人事給与システム」「会計システム」「社内業務支援システム」「社内システム」を四角囲み
この時点で、「当初は待機系として準備したけど、人事・会計だけでなく、日常業務にも使われているな。いざとなったらほんとに待機系として稼働できるんだろうか。取引量も当初よりも増えているらしいし。」と、ほんとに使える?という印象を持ちます。
なんかイチイチ怪しいんですよね。書き方が。
図1は問題なし。各センターで各システムが動き、データばバックアップされている様子が読めます。文章以上の情報はないですね。
読み | 【CPの概要】
5年前システム稼働時から、危機事象で東センターが使えなくなったときのCPを策定しているとのこと。
一応ここでチェック。大規模自然災害・システム障害・サイバー攻撃。「今から、対応できていない脅威が出てくるかもな」と。
緊急時は、西センターの社内システムを停止させ、ソフトウェアをセットし、バックアップデータを復元して暫定稼働。ウォームスタンバイなので適正ではあります。
ここで2点気になっておきます。
1点目。「社内システム停止して業務できるのかな?人事や会計はともかく、最近は業務支援のワークフローやグループウェアを使っているようだし」
2点目は最後の文。わざわざ「5年前の稼働依頼、CPを発動した実績はない」と付け加えています。「どこまで訓練しているのか」「本当に緊急時に使えるプランなのか」と疑っておきます。
「読んで気になった点」が設問に出るようになるのが、合格へのコツ。問題文の「読み直し」が多発すると時間切れになりますよね。
読み | 【CPの訓練状況】
稼働直前の5年前に復旧テスト。以後毎年、実機で訓練もしているとのこと。
一方で「引っかかる書き方だなぁ」と感じる部分も。
復旧テストは「5年前」以降はやってなさそう。
5年前の必要最低限の処理能力で、現在もいけるのか?
毎年の訓練は、ソフトウェアセット・DB復元「まで」とわざわざ書いてある。以降にネットワーク切り替え・稼働が控えているけど。
問題は見つかっていないとはいえ、「見直しは行われていない」 。想定してないリスクに対応できなのでは?と。
読み | 【本調査に向けた準備】
表1に到達して、やっと穴埋め。解きに入れます。
CPについて、監査(チェック)をしていくとのこと。
解き | 設問1a,b,c
穴埋めをしたいですが、「業務部問」や「訓練結果」など、今まで全く記載がない言葉ができて、読んできた問題文にヒントなさそう。。
表1の「想定されるリスク」を解決できるかな、と監査していくので、「想定されるリスク」をヒントとするしか。
正解と理由は以下。
a:カの目標復旧時間:時間を早くするか受け入れるしかないので
b:イのCP発動基準:発動判断をスパっとすれば良いので
c:オの評価項目:評価されないのが原因なので
「これだ!」と一発で引くほどでもなく「これでしょう」ぐらいですが、とはいえ他の選択肢を入れても違和感しかないですね。
(解説になってなくてすみませんが、設問1は細かく考えるものでもないです)
読み&解き | 設問2
表1の下、R05秋では唯一の会話パート。セキュリティスペシャリストなど上位資格では良くありますよ。
さて下線①に到達しました。CPのリスクシナリオをで想定されているリスクを答えるとのこと。追加されるべきリスクみたい。しかも2つ。
模範解答は、「システム障害発生時の影響が拡大するリスク」「サイバー攻撃の脅威が増大するリスク」。
「リスク」を問われいるので、問題文から言葉「リスク」を拾ってきます。念のため下線①の後も流し読み。短いので。
1頁目の最初より:システム障害発生時の影響の拡大(新たなリスク)
1頁目の最初より:サーバ攻撃の脅威の増大(新たなリスク)
表1より:復旧まで時間がかかるリスク
表1より:CP発動が遅れるリスク
表1より:潜在的な問題が発見されないリスク
最後の会話より:復旧後に問題が発生するリスク
最後の会話より:暫定復旧が円滑に実施できないリスク
機械的にオーバーに全部拾いました。
下線①の指摘に「承知した」とあり話が終わっています。つまり下線①より後の「最後の会話」は違います。表1のリスクは3つなので違います(メタですが)。
よって1頁目の「システム障害発生時の影響の拡大」「サーバ攻撃の脅威の増大」を新たなリスクとして範囲に追加する、と。
私も含めてモヤっとする方もいらっしゃると思いますが、わざわざ「リスクを二つ挙げ」と書かれているのは、「問題文に二つ書いてるよ」という意味。ノーヒントで二つ挙げろではないです。ノーヒントで2つなんて無理ゲーすぎますからね。
補強 | モヤっとするのも分かります
モヤっとするところも一緒に考えます。
【CPの概要】にて「CPのリスクシナリオとしては、大規模自然災害、システム障害、サイバー攻撃(併せて以下、危機事象という)」とあります。
ここから先は
R05秋に不合格になった方、過去問演習に取り組む方向けのNoteです。 APのNoteはこのマガジンにまとめるつもりです。
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ