令和3年春午後

https://www.ap-siken.com/pdf/03_haru/pm01.pdf

●要約

R社はソフトウェア開発をしている会社である。ホームページがある。R社サイトにアクセスするには、HTTPSを使用する必要がある。

設問1

本文中の下線①で，Y社のPCがR社の偽サイトに誘導された際に，Y社のPCに偽のIPアドレスを返した可能性のあるDNSサーバを，解答群の中から全て選び，記号で答えよ。

基本的にはR社のリソースではあるはず

my ans
→
イのR社のキャッシュDNSサーバ
ウの権威DNSサーバ

①Y社の社員がブラウザでR社サイトのURLにアクセスする
②ブラウザはR社サイトのIPアドレスを取得するため、ドメインの名前解決をZ社のDNSサーバ（キャッシュサーバ）に依頼する
③Z社のDNSサーバは、キャッシュがあればそれをブラウザに返す。キャッシュがなければ反復問合せを行い、最終的にR社の権威DNSサーバから得られた結果をブラウザに返す
④ブラウザは受け取ったIPアドレスにアクセスする

よって、Z社のDNSサーバが確かにR社のDNSサーバに聴きに行ってはいるけど、実際にIPアドレスを返すのは上の2つになるということ

設問2

〔当該インシデントの原因調査〕について，

(1)表1及び本文中のaに入れる適切な字句を，解答群の中から選び，記号で答えよ。

管理者権限

正解！！
そりゃそうか！！

表1中の下線②で，R社サイトへのアクセスがほとんどなかった理由を20字以内で述べよ。

R社サイトにアクセスするユーザは、別のサイトに誘導されていたため。

正解！！

本文中の下線③で，Y社のPCが正しいR社サイトにアクセスできるようになるまで，しばらく時間が掛かった理由は，どのDNSサーバにキャッシュが残っていたからか，解答群の中から選び，記号で答えよ。

キャッシュDNSサーバ

不正解。。
Z社のDNSサーバ。。orz

キャッシュDNSサーバは、権威DNSサーバに行った問い合わせ結果を一定時間キャッシュとして保持し、そのキャッシュの有効期限内に再度同じドメインについて問い合わせがあった場合には、権威DNSサーバに問い合わせることなくキャッシュの情報をクライアントに返します。そして、キャッシュが切れれば再び権威DNSサーバに問い合わせを行います。
この仕組みにより、R社の権威DNSサーバのAレコードが正しいIPアドレスに戻されても、キャッシュの有効期限が切れるまでは従前の(偽の)IPアドレスが返されるので、アクセス先が正しいR社サイトに戻るまでには一定の時間を要することになります。

へ〜。要はR社のキャッシュサーバーは、Z社のDNSサーバが権威DNSサーバに聞きに行く時の内容をキャッシュしている分けであって、クライアントからのアクセスからは離れた場所にある

Z社！！どこから出てきた！！

設問3

セキュリティ対策の検討について

本文中の下線④で，同様なインシデントの再発防止に有効な対策として，R社の権威DNSサーバに実施すべきものを，解答群の中から選び，記号で答えよ。

my ans
→ 定期的に脆弱性検査と対策を実施する。

正解！！

本文中のbに入れる適切な字句を，解答群の中から選び，記号で答えよ。

あやふや
テキトーに応えてみる

my ans
→法人として認められている証明

正解！！
詳細解説↓

EV(Extended Validation)証明書は、証明書発行の際に申請組織が法的・物理的に実在するかを厳格に審査した上で発行されるサーバ証明書です。

R社のWebサーバが使用しているディジタル証明書が，ドメイン名の所有者であることが確認できるDV(Domain Validation)証明書

本文中の下線⑤で，R社のキャッシュDNSサーバがインターネットから問合せ可能な状態であることによって発生する可能性のあるサイバー攻撃を，解答群の中から選び，記号で答えよ。

インターネットにつながるから、パケットを送られる

my ans
→DDos

正解！！

本文中のcに入れるサイバー攻撃手法の名称を，15字以内で答えよ。

DNSキャッシュポイズニング

正解！！

https://www.ap-siken.com/pdf/03_haru/pm09.pdf

●要約

コスト見積もりについて。
L社はQ社の子会社。
Q社の新工場設立に伴い、新工場の生産管理システムを新規構築する。🏭
要件定義はQ社、設計以降はL社が行う。
システム設計と受け入れ支援は、準委任
実装工程は、請負である

●設問1

a、b、fに入る単語は？

a

 

規定書っていう単語がそれっぽい？

my ans
→エ　スコープ規定書

正解！！
解説→スコープ規定書とは、プロジェクトで対応するシステムの機能や作業内容を定義するドキュメントです。
面白いのはやはり推測でどうにかなってしまう！！

b

ワークっていう単語がそれっぽい？

my ans
→ク　ワークパッケージ

正解！！
解説→ ワークパッケージとは、WBSの最下層に並べられる作業単位で、進捗やパフォーマンスの計測や状況をコントロールするのに用いられます。
割と当てずっぽうで大丈夫！

f

これも割とあってずっぽう

my ans
→ウ　コンティジェンシ予備

不正解orz
コンティジェンシー
contingency 偶発や偶然を意味します。

コンティンジェンシ予備
プロジェクトリスクマネジメントで特定されている既知のリスクが現実化した場合に備えて確保される予備の時間や資金
→「既知の未知」に備える

マネジメント予備
プロジェクトスコープの範囲外の予期できない作業のために確保される予備の時間や資金
→「未知の未知」に備える

よって答えはマネジメント予備

●設問2

(1) ①L社は超過コストをQ社に要求することはできなかった の理由は？

my ans
→請負契約では、契約時の金額以上は請求できないため。

不正解かな？三角はもらえるような気もする
回答→
請負契約は仕事の完成に対して報酬が支払われるから (24文字)

(2) ②積上げ法に加えてファンクションポイント(以下，FPという)法でも実施すること の理由は？

my ans
→WBS内のタスクで、要件されている必要な機能を全て把握できていない可能性があるため。

？？
回答→複数の手法を併用して見積りの精度を高めるため (22文字)
敢えて答えるような内容でもない気がする。。独特な試験だよね。。

●設問3

〔1回目のコスト見積り〕について，本文中の下線③で漏れていた説明の内容を40字以内で答えよ。

指摘事項内に絶対答えがある。。

my ans
→過去のプロジェクトの実績を参照してしまうと、指摘内の最良のケースと、最悪のケースを想定できないた

不正解！！
回答→
本プロジェクト類似の複数のシステム開発プロジェクトと比較していること (34文字)

解説→
「類推法」「複数のプロジェクトとの比較」「概算値の見積り」という3点についてはM課長の指示と合致していますが、その複数のプロジェクトが本プロジェクトに類似したシステム開発であったという説明がありません。

●設問4

・c に入る数値は？

(100千万円　× 4 + 90千万円　+ 200千万円) ÷ 6
= 660千万円 ÷ 6
=110千万円

my ans
→115

正解！！
→数式はあってたけどケアレスミスしていたので本番は気をつける

・dに入る字句は？2字で。

評価か、重み　だと思う
評価だと、開発評価になるので不適切？

my ans
→重み

不正解orz
回答→規模
どうやら問題文から切り取ってくるというわけでもないよう。。

ファンクションポイント法とは、ソフトウェアの開発規模を測定する手法です。ソフトウェアの機能ごとに、その処理内容の複雑さなどからファンクションポイントという点数を付けていき、システム開発の規模や工数を導き出します。

・e に入る数値は？

表3のEIFと、EQから、他の項目についての算出方法を導いていく必要があるはず。

個数の箇所は、単純に該当するファンクションタイプが上の表で何行あるかとだけ関係があるように見える。

よって、

ILF は、低が2行、中が1行

4 × 2 + 5 × 1
= 13

EI は、中が2行

4 × 2
= 8

EOは、低が1行

7 × 1
=7

e 
= 7 + 20 + 13 + 8 + 7
= 55

my ans
→55

正解！！
グッド

●サービスマネジメント

T1

(1)

ウ

(2)

30 × 24 - ( 5 × 4 )
= 720 - 20
= 700

T2

(1)

ウ

不正解

サービスマネジメントの一般的な知識と語群より、単一窓口を意味する「SPOC」が当てはまると判断できます。
SPOCとは、利用者からの問い合わせに対応する単一窓口のことで「Single Point of Contact」の略です。利用者からの問い合わせを一元管理することで、対応業務の効率化及び品質向上を目的として設置されます。

(2)

Saasサービスの障害なのか、アドオン機能の障害なのか。

T3

c

対応手順書

d

？

T4

(1)

？

一応文章にあった

(2)

影響を受けるモジュールの依存関係の調査