スタディルーム by rolerole

情報処理試験対策やIT業界への愚見・書評

情報処理安全確保支援士 出題予想(令和5年春)

情報処理安全確保支援士 情報処理試験対策

本記事では令和5年春向けの情報処理安全確保支援士の

出題予想を大胆に行っています。

 

※予想は筆者の独断です。読者の責任でご活用ください。

 

勉強をそれなりにしてきた人であれば、

どの範囲が出やすいんだろう?」と気になっていたり、

これまであまりうまく勉強時間が確保できていない人は、

残りの時間、何に対策すればいいんだろう?」と思っていたりしませんか。

 

本記事では、次回情報処理安全確保支援士を受験される方向けに、

  • 出題にはどのような傾向があるんだろう?
  • 次回にはどのような問題が出題される可能性があるのかな?
  • で、それらを午前問題、午後問題について知りたい!

といった疑問・要望にお答えしたいと思います。

 

なお、過去問は試験センターからダウンロード可能です。

www.jitec.ipa.go.jp

 

 

1. 午前II予想

過去問分析。

上図は過去3年の出題一覧です。

他の高度区分とは異なり、秋試験と春試験の両方で受験できるためか、

過去問と全く同じ問題が出題されることは少ないようです。

それでもよく出題されるキーワードは存在しますので、

傾向を分析してみましょう。

 

午前IIは60%がボーダーで、25問中15問とれば通過できます。

出題予想ポイントは次の通りです。

 

■午前II出題予想ポイント■
1. 令和4年秋・春・令和3年秋から同じキーワードの設問が5~6問出そう
2. SSO/SAMLやメールのセキュリティ技術は最近頻出で今回も出そう
3. 問18~20はNW系、問21はDB系、問25はAU系から出題される

 

順に説明します。

 

1-1. 令和4年秋・春・令和3年秋から同じキーワードの設問が5~6問出そう

前回(令和4年秋)は問4(Smurf攻撃)と問10(CASB)が

過去問からの再登場でした。

類題も合わせるともっと多くなるので、

今回(令和5年春)も近年から同じ問題・似た問題が

出題されるだろうという予想です。

令和4年春問2。正解はエ。

 

1-2. SSO/SAMLやメールのセキュリティ技術は最近頻出で今回も出そう

過去3回でSSO/SAMLは必ず出題されています。

また過去2回でメールのセキュリティ技術が出題されています。

この両者は最近の傾向として次回も出題される可能性が高いです。

令和4年春問16。正解はイ。

 

■情報処理安全確保支援士(SC)の問題はよく練られている?■

SCは登録セキスぺ制度の前提になっており、

登録セキスぺ制度は資格知識の陳腐化を防ぐために

数年に一度の更新料の支払いが必要です。

 

そのため登録セキスぺ制度を事業として捉えた場合、

他の試験区分とは異なる収入を持ちます。

そのためSCは試験問題の入れ替わりや

品質アップのためのコストをかけやすいと想像できます。

 

1-3. 問18~20はNW系、問21はDB系、問25はAU系から出題される

毎回、問18~20は必ずNW系、問21はDB系、問25はAU系から

出題されているため、今回もその形式で出題されることが考えられます。

 

このうち、NW系が出題される比重は高いので、

基本的なNW系の問題を頭に入れておくと得点源となるでしょう。

合格ラインは15問なので3問は無視できない数です。

 

令和4年春問20。正解はエ。

 

2. 午後I(記述)予想

  令和5年春 令和4年秋 令和4年春 令和3年秋
問1 出題予想 IoT製品の開発 Webアプリケーション開発のセキュリティ対策 セキュリティインシデント
問2 脆弱性に起因するセキュリティインシデントへの対応 セキュリティインシデント対応 システム開発での情報漏えい対策
問3 オンラインゲーム事業者でのセキュリティインシデント対応 スマートフォン向けQRコード決済サービスの開発 PCのマルウェア対策

上図は過去3回分の過去問テーマ分析です。

午後Iは3問中2問を選択します。

自分にとって相性のよいものを選択できるよう、

出題予想を参考にしてください。

 

午後Iの出題予想ポイントは次の通りです。

 

■午後I出題予想ポイント■
1. NW系のスキルがあると有利な問題が1~2問出題される
  (テーマ予想:オーソドックスなFWやゼロトラストNW?)
2. アプリ系のスキルがあると有利な問題が出題されるかもしれない
  (テーマ予想:SSL証明書?)
3. マネジメント系のスキルがあると有利な問題が出題されるかもしれない
  (テーマ予想:フォレンジック?)

 

順に説明します。

 

2-1. NW系のスキルがあると有利な問題が1~2問出題される

過去問を分析するとNW系のスキルがあると有利な出題が

毎回1~2問あります。

  • 令和4年秋 問2:FWフィルタリング 問3:コンテナ
  • 令和4年春 問2:IoT
  • 令和3年秋 問1:リモート保守 問3:マルウェア感染拡大防止

 

NW系の見極め方ですが、NW図表が多くある問題は、

NW色が濃いといってよいでしょう。

令和4年春問2より

NWの中でも何が出るか、ですが、

  • オーソドックスにFWフィルタリングルール
  • 近年の流行のゼロトラストNW

あたりは狙われるかもしれません。

 

2-2. アプリ系のスキルがあると有利な問題が出題されるかもしれない

アプリ系のスキルがあると有利な問題も出題されています。

最近の傾向は以下の通りです。

  • 令和4年秋 問1:IoT
  • 令和4年春 問1:Webシステム開発
  • 令和3年春 問1:OAuth

令和4年秋はシステムアーキテクト寄りというより

エンベデッドスペシャリスト寄りの内容でした。

アプリ系の問題は

問題の中にUML図が出ていたりソースコードが出ていたりします。

令和4年春問1より

 

アプリ系の中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

あたりはNW区分でも最近改めて出題されているので

狙われるかもしれません。

 

2-3. マネジメント系のスキルがあると有利な問題が出題されるかもしれない

マネジメント系のスキルがあると有利な問題も出題されます。

最近の傾向は以下の通りです。

マネジメント系の問題の見極め方は

比較的図表が少なく、組織が意思決定をするプロセスを

重視している問題です。

令和4年春問3より。目的を達成する方法を整理した表など。

 

マネジメント系の中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

あたりは午前試験でも他区分含め最近頻出の傾向があるので

狙われるかもしれません。

 

 

3. 午後II(論述)予想

  令和5年春 令和4年秋 令和4年春 令和3年秋
問1 出題予想 脅威情報調査 Webサイトのセキュリティ 協力会社とのファイル受渡し
問2 インシデントレスポンスチーム クラウドサービスへの移行 マルウェア感染への対処

上図は過去3回分の過去問テーマ分析です。

午後IIは2問中1問を選択します。

自分にとって相性のよいものを選択できるよう、

出題予想を参考にしてください。

 

午後IIの出題予想ポイントは次の通りです。

 

■午後II出題予想ポイント■
1. NW系の問題が1問または2問出題される
 (テーマ予想:検疫NW、SSO/SAML?)
2. アプリ系の問題が出題されるかもしれない
 (テーマ予想:XSS対策、多要素認証?)

順に説明します。

 

3-1. NW系の問題が1問または2問出題される

過去問を分析するとNW系のスキルがあると有利な出題が

毎回1~2問あります。

  • 令和4年秋 問1:ARPスプーフィング
  • 令和4年春 問2:CDN, SSO
  • 令和3年秋 問2:UTM

 

NW系の中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

  • オーソドックスにSSO/SAML
  • 原点回帰の検疫NW

あたりは狙われるかもしれません。

 

■効率的な勉強法

情報処理安全確保支援士とネットワークスペシャリストは相性がよく、

重複して問われる要素があります。

情報セキュリティの脅威を考える上で、侵入"経路"とは

ネットワークに他ならないためです。

両者を両方取得するつもりなら、時間を空けずに

勉強すると効率がよいかと思います。

 

3-2. アプリ系の問題が出題されるかもしれない

アプリ系のスキルがあると有利な問題も出題されています。

最近の傾向は以下の通りです。

  • 令和4年春 問1:アプリ(クリックジャッキング、XSSCSRF、SSRF対策)
  • 令和3年春 問1:アプリ(情報共有システム、XSS対策、FIDO、CSP)

 

アプリ系の中でも何が出るか、ですが、

XSS対策は毎年出ているので今後もキーワードになりそうです。

さらにスマホクラウド、テレワークの浸透で

多要素認証、CASBあたりも狙われるかもしれません。

 

なお、前回令和4年秋はアプリ系というよりマネジメント系が

出題されました。

テーマはインシデントレスポンスチームの編成です。

NW狙いの方はNWに振ってもよいですが、

アプリ狙いの方はマネジメント系の過去問も合わせて

対策をしておくと心強いでしょう。

 

おわりに

いかがだったでしょうか?

 

情報処理安全確保支援士を受験予定で、どのように対策を

進めればよいかの考え方の一助となれば幸いです。

 

本ブログでは、高度情報処理試験の、合格に向けたサポート記事を充実していきます。

「読者になる」ボタンで、ブログの更新時に通知されますので、ご検討ください。

 

それでは、ともに頑張りましょう。

 

ではそれまで。

ネットワークスペシャリスト 出題予想(令和5年春)

ネットワークスペシャリスト 情報処理試験対策

本記事では令和5年春向けのネットワークスペシャリスト

出題予想を大胆に行っています。

 

※予想は筆者の独断です。読者の責任でご活用ください。

 

勉強をそれなりにしてきた人であれば、

どの範囲が出やすいんだろう?」と気になっていたり、

これまであまりうまく勉強時間が確保できていない人は、

残りの時間、何に対策すればいいんだろう?」と思っていたりしませんか。

 

本記事では、次回ネットワークスペシャリストを受験される方向けに、

  • 出題にはどのような傾向があるんだろう?
  • 次回にはどのような問題が出題される可能性があるのかな?
  • で、それらを午前問題、午後問題について知りたい!

といった疑問・要望にお答えしたいと思います。

 

なお、過去問は試験センターからダウンロード可能です。

www.jitec.ipa.go.jp

 

 

1. 午前II予想

過去3年分の出題実績・分析

上図は過去3年の出題一覧です。

他区分でも言えることですが、過去問から同じ問題・似た問題が

出題されることが多いです。

午前IIは60%がボーダーで、15問とれば通過できます。

 

午前IIの出題予想ポイントは次の通りです。

 

■午前II出題予想ポイント■
1. BGP、DNSは出題される
2. サブネット計算が2問ほど出る
3. SCの区分から5問ほど出る

 

順に説明します。

 

1-1. BGP、DNSは出題される

過去3年、BGPとDNSに関する問題が必ず出題されているので、

対策しておきましょう。

 

BGPはルーティングプロトコルの一つであり、

OSPFやRIPもよく出題されています。

DNSはMXレコードが最近多いですが、

NSレコード、Aレコードについても出題されます。

 

基礎的な問題ですが、だからこそ重要と言うことでしょう。

 

令和3年春問8。正解はア。

 

1-2. サブネット計算が2問ほど出る

IPv4のネットワークアドレス、ブロードキャストアドレスや、

ホストアドレス(数)の計算が出題されます。

これも基礎的なスキルですので、正しくアドレス設計が

できるようになっておきましょう。

 

令和3年春問10。正解はウ。

 

1-3. SCの区分から5問ほど出る

例年、SC(情報処理安全確保支援士)の区分から5問ほど出題されます。

合格ラインは15問なので、5問は無視できない数です。

過去問を研究して、得点源にしましょう。

 

SCが多い理由は、NWと密接に関わっているからです。

セキュリティ上の脆弱性を突く脅威がどこからやってくるかを

考えた時それは経路(=NW)に他ならないためです。

 

令和3年春問16。正解はイ。

 

2. 午後I(記述)予想

過去3年分の出題実績・分析

上図は過去3年分の過去問テーマ分析です。

午後Iは3問中2問を選択します。

自分にとって相性のよいものを選択しましょう。

 

午後Iの出題予想ポイントは次の通りです。

 

■午後I出題予想ポイント■
1. L2/L3を中心とした問題とセキュリティを中心とした問題が出る
2. NW図は複雑すぎず単純すぎないものが狙い目

 

順に説明します。

 

2-1. L2/L3を中心とした問題とセキュリティを中心とした問題が出る

昔からの傾向ですが、L2(データリンク層)/L3(ネットワーク層)など

いわゆる「低レイヤ」の知識が問われる問題と、

セキュリティをテーマとする問題が出題されるでしょう。

令和4年春の例で言うと、

です。

 

実務経験や問題への相性などで得意不得意は分かれると思います。

どちらがより得意か、自覚しておくと選択しやすいでしょう。

 

2-2. NW図は複雑すぎず単純すぎないものが狙い目

ネットワークスペシャリストはネットワーク図から情報を

読み取る力を重点的に評価されますが、

ネットワーク図が複雑すぎるまたは簡単すぎる問題は

正答率が低い傾向にあるようです。

 

複雑なものは読み取るのが困難であるから、

簡単なものは他の要素で難易度を調整するため

難しい問題が出題されると考えられます。

 

具体的には、

  • 令和3年問2「企業ネットワークの統合」
  • 令和元年問2「Webシステムの構成変更」

が「全体の正答率が低い」と試験センターにより講評されています。

 

前者はネットワーク図が複雑な例、

後者はネットワーク図が単純な例です。

過去問を解いて問題の選球眼を磨きましょう。

 

比較的複雑なネットワーク図の例(令和3年問2)

 

比較的簡単なネットワーク図の例。(令和元年問2)

 

3. 午後II(記述)予想

過去3年分の出題実績・分析

上図は過去3年分の過去問テーマ分析です。

午後IIは2問中1問を選択します。

自分にとって相性のよいものを選択しましょう。

 

午後IIの出題予想ポイントは次の通りです。

 

■午後II出題予想ポイント■
1. ルーティングプロトコル・冗長NW・DNSは出題されそう
2. 複雑なNW図を伴う問題は難易度が高い可能性あり

 

順に説明します。

 

3-1. ルーティングプロトコル・冗長NW・DNSは出題されそう

ルーティングプロトコルのOSPF・BGP、

冗長NWにおけるVRRP

そしてDNSは基礎的で歴史も長いプロトコルですが

特に最近頻出であるようです。

 

応用問題の作りやすい分野ではありますが、

基礎をおさえていれば十分に合格ラインに達することが

できると思います。

試験直前にも復習して、プロトコル固有の名称などが

問われても慌てないようにしましょう。

 

3-2. 複雑なNW図を伴う問題は難易度が高い可能性あり

ネットワーク図は実務的な経験がある方があれば

お判りでしょうが、いくらでも複雑にすることができます。

出題において、複雑なネットワーク図が出た時、

  • 見た目の印象の通り問題が難しくなる
  • 見た目と裏腹に何らかの調整のため問題が簡単になる

のどちらかが考えられますが

ネットワークスペシャリストにおいては前者のようです。

 

根拠は令和3年春の問1の正答率が低いためです。

問2は正答率が高いということと合わせ、試験センターによる

採点講評において公表されています。

 

なお、正答率の高低と難易度は一概には言えないのでご注意ください。

ネットワークの実務経験があり、図の読み解きなどに

自信がある方は複雑な問題を選んだ方が強みが活きやすいと思います。

 

ただ、自信がないのに複雑ということは逆に問題は簡単だという

逆張り」はしない方がよいと助言したいと思います。

 

 

■令和4年春午後II問1の過去問徹底解説■
前回の午後IIの問1における過去問分析記事はこちらです。
合わせてご参考ください。

studyrolerole.hatenablog.jp

 

 

おわりに

いかがだったでしょうか?

 

ネットワークスペシャリストを受験予定で、どのように対策を

進めればよいか悩んでいる方への一助となれば幸いです。

 

本ブログでは、高度情報処理試験の、合格に向けたサポート記事を充実していきます。

「読者になる」ボタンで、ブログの更新時に通知されますので、ご検討ください。

 

それでは、ともに頑張りましょう。

 

ではそれまで。

ITサービスマネージャ 出題予想(令和5年春)

ITサービスマネージャ 情報処理試験対策

本記事では令和5年春向けのITサービスマネージャの

出題予想を大胆に行っています。

 

※予想は筆者の独断です。読者の責任でご活用ください。

 

勉強をそれなりにしてきた人であれば、

どの範囲が出やすいんだろう?」と気になっていたり、

これまであまりうまく勉強時間が確保できていない人は、

残りの時間、何に対策すればいいんだろう?」と思っていたりしませんか。

 

本記事では、次回ITサービスマネージャを受験される方向けに、

  • 出題にはどのような傾向があるんだろう?
  • 次回にはどのような問題が出題される可能性があるのかな?
  • で、それらを午前問題、午後問題(記述・論文)について知りたい!

といった疑問・要望にお答えしたいと思います。

 

なお、過去問は試験センターからダウンロード可能です。

www.jitec.ipa.go.jp

 

 

1. 午前II予想

過去3年分の出題実績・分析

上図は過去3年の出題一覧です。

他区分でも言えることですが、過去問から同じ問題・似た問題が

出題されることが多いです。

午前IIは60%がボーダーで、15問とれば通過できます。

 

午前IIの出題予想ポイントは次の通りです。

 

■午前II出題予想ポイント■
1. 令和3年春から同じ問題が2~3問出る
2. 自区分(SM)は14問ほど(56%)出る。PM・SCも各3問ほど出る
3. ES・DB・AU・NWも各1問ずつ出るが、自信がなければ落とそう
4. データセンタの運用知識を問う問題が2問ほど出る

 

順に説明します。

 

1-1. 令和3年春から同じ問題が2~3問出る

令和4年春の過去問を分析すると、その"2回前"の令和1年秋から

同じ問題が2問出題されています。

ポートフォリオ・カタログ / インシデントモデル)

 

よって、次回は"2回前"である令和3年春からの2~3問

出題されるものと予想しました。

 

ただ前期(令和4年秋)はこの"2回前予想"はあまり

的中しませんでした。

それでも過去問2~3回前からは同じ問題・類題が出題されていた

ので、年度にとらわれ過ぎずに過去問対策することが

即効性の高い勉強となるでしょう。

 

令和3年春問3。正解はイ。

 

1-2. 自区分(SM)は14問ほど(56%)出る。PM・SCも各3問ほど出る

過去3年を分析すると、自区分(ITサービスマネージャ・SM)からの

出題は14問前後出ています。

PM(プロジェクトマネージャー)、SC(情報処理安全確保支援士)の

区分からも各3問前後出ています。

 

15問とれれば合格なので、自区分を完璧に近いように対策して、

不足分をPMとSCから得点するようにすれば午前IIは通過できます。

 

PMとSCの出題予想は難しいですが、

1歩勉強範囲を広げて準備しておくようにすると安心です。

 

令和3年春問19。正解はイ。

 

1-3. ES・DB・AU・NWも各1問ずつ出るが、自信がなければ落とそう

ES(エンベデッドスペシャリスト)・DB(データベーススペシャリスト)・

AU(システム監査技術者)・NW(ネットワークスペシャリスト)の

知識を問う問題も毎年1問は出題されています。

これはシステム運用を担うITサービスマネージャに求められる

資質として、周辺の区分の知識が必要ということだと思います。

 

1問程度ずつしか出ず、対策のコスパは悪いので

もともと得意などでなければ、諦めてほかの勉強に時間を割きましょう。

 

令和3年春問21。正解はウ。

 

1-4. データセンタの運用知識を問う問題が2問ほど出る

ITサービスマネージャの特有の出題として、

データセンタの知識を問う問題が毎年出題されています。

令和元年秋問12・15はDCの仮想化サーバ技術・コールドアイル、

令和3年春問12・13はクールピット・PUE、

令和4年春問13はティア3、といった具合です。

運用を担うものとしてデータセンタの知識を求めているという

ことでしょう。

令和3年春問12。正解はイ。

2. 午後I(記述)予想

過去3年分の出題実績・分析

上図は過去3年分の過去問テーマ分析です。

午後Iは3問中2問を選択します。

自分にとって相性のよいものを選択しましょう。

 

午後Iの出題予想ポイントは次の通りです。

 

■午後I出題予想ポイント■
1. 変更管理・運用テストが出題されるかも
2. 難易度についてはここ数年の傾向から難しすぎず簡単すぎずとなりそう

 

順に説明します。

 

2-1. 変更管理・運用テストが出題されるかも

ITサービスマネージャはITILの構成項目などから順にテーマ出題されます。

近年の傾向を見ると頻出テーマ(キーワード)としては、

  • インシデント管理
  • サービスの継続性管理

がありますがこれらはいわば運用者としては当然のことであり、

どんな問題にも多かれ少なかれ関係するので除外します。

その上であえて予想すると

  • 変更管理
  • 運用テスト

が最近は登場していないので、狙われる可能性があるのでは

ないでしょうか。

 

 

ITILの構成要素と項目■
ITIL の5大構成要素とSMで狙われやすい項目の整理です

1. サービストランジション
 構成管理・リリース管理・テスト・変更管理・ナレッジ管理など
2. サービスデザイン
 サービスカタログ・可用性管理・サービスレベル管理・セキュリティ管理・サプライヤ管理・継続性管理など
3. サービスオペレーション
 インシデント管理・イベント管理・問題管理
4. サービスストラテジ
 SMというよりはST(ITストラテジスト)の範疇である
5. 継続的サービス改善
 重要な概念だが単体では問われにくい

 

2-2. 難易度についてはここ数年の傾向から難しすぎず簡単すぎずとなりそう

採点講評には問題全体の正答率についてコメントがあります。(令和3年から)

過去2年の採点講評を見ると、問題全体の正答率については

どの問題についても「平均的だった」とコメントされています。

 

正答率と難易度は異なるものですが、

あえて予想をすると年ごとに正答率や難易度のばらつきは

少ない方が試験センターとしても望ましいでしょうから、

今回も平均的な問題が出題されるのではないでしょうか。

 

 

3. 午後II(論述)予想

過去3年分の出題実績・分析

上図は過去3年分の過去問テーマ分析です。

午後IIは2問中1問を選択します。

自分にとって相性のよいものを選択しましょう。

 

午後IIの出題予想ポイントは次の通りです。

 

■午後II出題予想ポイント■
1. 1問はコミュニケーション管理について出題されそう
2. 1問は従来のITILの構成要素から出題されそう

 

順に説明します。

 

3-1. 1問はコミュニケーション管理について出題されそう

IPAシラバスを昨年改訂しており、アジャイル開発など

変化の激しい状況への対応策としてコミュニケーション管理を重視しています。

また、令和3年春問1も令和1年秋問2もコミュニケーションがテーマであった

ことから、頻出であり今回も狙われやすいと思います。

 

シラバスについては以下の記事も参照にしてください。

studyrolerole.hatenablog.jp

 

 

3-2. 1問は従来のITILの構成要素から出題されそう

もう1問は新シラバスに対応できていない受験者への

救済措置的な意味で、従来型の出題、

つまりITILの構成要素がテーマになると予想します。

最近のテーマを振り返って狙われそうなのは、

  • 運用テスト
  • 構成管理

あたりでしょうか。

 

おわりに

いかがだったでしょうか?

 

ITサービスマネージャを受験予定で、どのように対策を

進めればよいか悩んでいる方への一助となれば幸いです。

 

本ブログでは、高度情報処理試験の、合格に向けたサポート記事を充実していきます。

「読者になる」ボタンで、ブログの更新時に通知されますので、ご検討ください。

 

それでは、ともに頑張りましょう。

 

ではそれまで。

ネットワークスペシャリスト テレワーク環境の導入【記述式の徹底解説】(令和4年春午後2問1)

ネットワークスペシャリスト 情報処理試験対策

 

本記事ではネットワークスペシャリストの午後(記述)対策として、

令和4年午後2問1で出題された過去問の解説をします。

 

  • 問題
    • 問題文全文
    • 出題趣旨(試験センターより)
    • 採点講評(試験センターより)
    • 問題特性
  • 解法
    • 設問1 本文中の穴埋め問題
    • 設問2 〔SSL-VPN調査とテレワーク環境への適用〕について
      • (1) TLS1.3 で同時に行われる処理
      • (2) 電子証明書における識別用情報
    • 設問3 〔SSL-VPN調査とテレワーク環境への適用〕について
      • (1) クライアント証明書の仕組み
      • (2) 証明書検証に必要な前提情報
      • (3) サーバ証明書で低減できるリスク
      • (4) 鍵交換方式のTLS1.3における改善点
      • (5) CSRに署名する鍵と検証する鍵
      • (6) 証明書失効リスト内の一意識別情報
    •  
    • 設問4、設問5 について
  • 総評
    • 解答一覧
    • 問題特性(再掲)

 

問題

過去問の問題文、出題要旨、採点講評は試験センターからダウンロード可能です。

www.jitec.ipa.go.jp

 

問題文全文




出題趣旨(試験センターより)

 

採点講評(試験センターより)



 

問題特性

出題年度 令和4年春 問題 午後II・問1
出題形式 記述式 設問数 24
問題文ページ数 10ページ 設問タイプ別
内訳		 単語回答 12
記述 9
設問文ページ数 2ページ 選択 1
総合難易度 数字回答 2
総評(筆者) 大きく分けると設問1~4がSSL/TLS、設問5がNW冗長化。TLS1.3など特定のバージョンの特定の仕様を問うような問題は比較的難易度が高いと思われた。基本的な知識を問う問題が多いので落とさないようにすれば問題なく合格点は取れると思われる。狭い範囲の知識を問う問題にあまり時間を取られないようにしたい。

コロナ禍の副産物ともいえるテレワーク環境の導入がテーマです。

 

SSL-VPN装置を導入し、自宅PCなどからVDI上の仮想PCにログイン、

動作させることでリモートワークを実現する仕組みです。

 

設問の内訳を見ると、前半はSSL/TLSPKIに関する知識、

後半に冗長NWの設計に関する知識が問われており、

これらの知識が得点源となり合否を左右するポイントでしょう。

 

 

解法

設問1 本文中の穴埋め問題

空欄ア

設問タイプ 単語回答 対策 知識
難易度 配点(筆者予想) 2
正答 改ざん検知

TLSプロトコルのセキュリティ機能が列挙されており、

残り1つを埋める問題。

 

TLSプロトコルとは言っていますが、一般的にネットワーク上の脅威から

身を守るためにどんなセキュリティ技術が必要かを考えればよいでしょう。

 

ネットワーク上の脅威とは、大きく分けて

  • 盗聴
  • 改ざん
  • なりすまし
  • 否認

に分けられます。

 

対応するセキュリティ技術は次の通りです。

  1. 盗聴 → 暗号化(によって防ぐ)
  2. 改ざん → 改ざん検知(によって防ぐ)
  3. なりすまし、否認 → 認証(によって防ぐ)

 

1. と 3. は問題文に書かれているので、正解は改ざん検知となります。

 

正答:改ざん検知

 

■ネットワーク上の脅威とその対策について■

単に「TLSプロトコルのセキュリティ機能は何か」と覚えるのではなく、

ネットワーク上の脅威と対策にはどのようなポイントをおさえておけば
よいかを頭に入れておいた方がよいでしょう。

参考サイトは掃いて捨てるほどありますが、本質的なところをおさえた
上で正答にたどり着いていただきたいと思います。

念のため参考サイトも2点ほど紹介します。
e-words.jp
冒頭サマリの次の1文目に、
と対応している3機能が書かれています。
この説明はSSLのページにも書かれています。

www5e.biglobe.ne.jp

3分間ネットワーク基礎講座の著者、網野衛二氏の
Webサイトです。
Flash動画が組み込まれているので
動かない環境の方も多いと思いますが、
本質をおさえるには良い導入だと思います。

なお、著作で3分間ネットワークシリーズを
手掛けていらっしゃる方です。

 
空欄イ・ウ

設問タイプ 単語回答 対策 知識
難易度 配点(筆者予想) 2
正答 L2フォワーディング

設問タイプ 単語回答 対策 知識
難易度 配点(筆者予想) 2
正答 ポート
 
空欄イは2か所に同じ単語が入ります。
最初の空欄の直後に各方式の説明があり、ヒントとなっています。
 

SSL-VPN技術調査とテレワーク環境への適用〕(抜粋・4ページ)


本問題は知識を問う問題なので、ここでは三方式の違いを

OSI参照モデルに則り図解したイメージで説明します。

SSL-VPN リバースプロキシ方式
基本はブラウザ(レイヤ7)で完結するため、
ブラウザで動作するアプリしか使用できない制約があります。
テレワークの業務内容にもよりますが、
情報系のアプリやウェブ参照だけで完結できる業務であれば
比較的手軽に採用できるメリットがあります。

SSL-VPN ポートフォワーディング方式
特定のポートをローカルでリッスンさせてSSL転送することで
リモートのアプリを呼び出す方式です。
痛し痒しな面があり、あまり実用化されている製品は少ない印象です。
ですがOSI参照モデルカプセル化の真骨頂とも言える使い方であり、
ネットワークエンジニアとしては理解しておきたい方式です。
 
本質的には特定のTCPまたはUDPのポート番号を使う通信を
トンネルさせる技術なので、SSL-VPNだけに特有の方式ではありません。
たとえば、SSHによるポートフォワーディングも実現可能です。

SSL-VPN L2フォワーディング方式
接続元に仮想NICを生やし、ネットワーク(データリンク)のレベルで
通信をカプセル化・転送処理してしまおうという発想です。
アプリ全盛のこの時代、特定ポート番号だけを使用するアプリだけでは
業務が回らなくなることも考えられるので、
導入例としては最も多い方式なのではないかと個人的に思います。
 
L2フォワーディングという命名も、ポートフォワーディングの
上位互換的なメッセージを想起するので、業界の思惑を感じます。
 
以上より、正解は以下の通りです。
正答:(空欄イ)L2フォワーディング (空欄ウ)ポート
 

 

SSL-VPN 3方式の比較■

以下のリンクが表で分かりやすくまとまっていたので紹介します。

qiita.com

 
 
空欄エ

設問タイプ 単語回答 対策 知識
難易度 配点(筆者予想) 2
正答 公開
 
空欄アでも説明したようにネットワーク上の脅威の対策として

「認証」という技術がありますが、本問はその実装についての

問われています。

基本的な問題です。

 

PKIを成立させるための、CAが正当性を保証する対象が空欄エに入ります。

公開鍵ですね。

 

公開鍵が送信者のものである、ということを保証するために

三者機関(認証局、CA)が証明しているという関係性です。

 

正答:公開

 

空欄オ

設問タイプ 単語回答 対策 読み方を覚える
難易度 配点(筆者予想) 2
正答 ポートフォワーディング

P主任が採用したSSL-VPNの方式が入ります。

空欄イでも解説した3方式のいずれかが正解で、

本質的には3択の問題です。

ヒントは直前の文章にあります。

SSL-VPN 技術調査とテレワーク環境への適用〕(抜粋・5ページ)

青の下線でも引きましたが、ポート番号を明示しているのがポイントです。

3389番ポートを443番ポートにフォワーディングすれば

実現できそうです。

ポートフォワーディング方式のSSL-VPNの図を見て確認してください。

SSL-VPN ポートフォワーディング方式

正答:ポートフォワーディング 

 

設問カ

設問タイプ 単語回答 対策 知識
難易度 配点(筆者予想) 2
正答 DHE

ヒントも無く、知っていなければそれまでなので、

難易度は「難」としました。

 

本設問に限らず、TLS1.3に関する問題は後ほど出題されますので、

ここではTLS1.3の参考リンクと鍵交換方式についてのみ触れます。

 

milestone-of-se.nesuke.com

10年ぶりにTLSの新バージョンが登場したということで、

TLS1.2との違いを中心にまとめられているページです。

 

pkiwithadcs.com

こちらはTLS1.3を中心に説明しているページですね。

 

いずれのページにもTLS1.3が採用している鍵交換方式について

触れられています。

規定されている方式は、

  • DHE
  • ECDHE
  • PSK

の3種類ですね。

このうち、PSK(Pre Shared Key)は「事前共有鍵」と和訳される

ことからも分かる通り、予め共有鍵(フレーズ)を通信の両者で

持つというやり方です。

よって公開鍵暗号の鍵交換が求める場面ではそぐわず、

まず実運用では見られない方式であることから、

PSKに関しては触れられていない記事もあるようです。

 

DHEは Ephemeral Diffie Hellman の事で、

鍵交換方式において他の方式と区別するためにEを後ろに

もって呼称されるようになっています。

 

ECDHE は Ephemeral Elliptic Curve Diffie-Hellman の略で

楕円曲線 Diffie-Hellman 鍵共有方式のことです。

 

正答:DHE

 

なお、公開鍵のセッションごとに同じ(静的な)値で Diffie-Hellman 鍵交換を
行うことを Static Diffie-Hellman と言い、
セッションごとに異なる値で行うことを Ephemeral Diffie-Hellman
言います。
前者はTLS1.3では利用できなくなりました。

 

Diffie-Hellman 鍵交換方式■

詳細は理解せずとも正答できますし、
よほど学術的な文脈でもない限りIT現場の実運用でも困らないと
思いますが、DHE と ECDHE について簡単に解説します。

はじめに、DH(Diffie-Hellman )鍵交換法についてですが、
離散対数問題という逆算の困難さを利用しています。

盗聴の可能性のある通信の両者で安全に情報を共有するために
開発されました。
以下のリンクが実数値も踏まえ分かりやすくまとまっているので
詳細はこちらを参照ください。

milestone-of-se.nesuke.com

 

また楕円曲線上の離散対数問題を採用したのが
Ephemeral Elliptic Curve Diffie-Hellman です。
Elliptic Curve は楕円曲線を表しています。

 
 
 
続きを読む

ITストラテジスト 顧客満足度を向上させる新サービスの企画【論文の書き方】(令和4年春問1)

ITストラテジスト 論文の書き方

本記事ではITストラテジストの午後II(論文)対策として、

令和4年問1で出題された過去問を分析します。

実際に論文を書く上での考え方を整理し

論文骨子を設計するところまでやっていきます。

 

 

 

問題(令和4年問1)

過去問は試験センターから引用しています。

表題:『ITを活用した顧客満足度を向上させる新商品や新サービスの企画について』

 

 

 

設問文は以下の通り。

 

 

何が問われているかを把握する

問題文を読むと第二段落に「ある保険会社」の新商品の企画事例が

書かれていることが分かります。

次いで第三段落にITストラテジストとしてのまとめが書かれており、

箇条書きで以下三点あることが分かります。

  • どのような顧客に対して、接点を増やしたり、関係性を高めたりするか
  • 顧客との接点で、どのような新たな価値を提供するか
  • 新商品や新サービスを実現するためにどのようなデータを扱うか

 

読み方としては第二段落を読んで具体的な企画事例をイメージし、

第三段落と照らし合わせて論述の骨子を見出すのがよいでしょう。

設問でいうと設問イで論述する内容となります。

 

設問アは、「事業概要」「顧客満足度を向上させることが必要となった背景」

が問われています。

顧客満足度」は全体を貫くキーワードであり、

という対応となっています。

ポイントとしては、設問イでは問われていることに答えながら、

なぜその企画が顧客満足度を伸ばせるのか

をきちんと論述することが重要です。

 

設問ウは比較的定型的な質問であり、「経営層への提案、評価、改善策」が

問われています。

経営層への提案時は施策の有効性を評価する指標と投資効果を

合わせて説明しなければなりません。

この時、顧客満足度が向上したことを示す指標を盛り込むのが重要です。

 

まとめると問われていることは次の通りです。

 

設問ア

 事業概要

 顧客満足度を向上させる必要性の背景

設問イ 新サービスの企画

 顧客との接点

 新たな価値

 新サービス実現に必要なデータ

設問ウ 経営層への説明

 新サービス企画の提案

 評価と改善点

 

 

出題要旨と採点講評からの分析

 

試験センターから公表されている出題要旨と採点講評を確認して

出題の意図と論述のNG例を把握します。

 

出題要旨

 

採点講評

 

出題要旨の2段落目の1文目の後半に、

顧客との接点や関係性、新たな価値、扱うデータを明確にして

と企画における重要ポイントが列挙されています。

これらが設問イに盛り込まれていないと、減点対象となるでしょう。

また2文目の後半に、

効果目標や評価指標を設定する能力など

と記載されています。

「効果目標」は問題文・設問文に登場しない単語ですが、

「評価指標」と合わせて設問ウで論述されるべき内容でしょう。

いずれも経営層に提案する時にポイントとなる観点です。

 

採点講評からは、

顧客との接点や関係性、顧客の体験などを十分に理解できておらず、

ITを活用した新サービスなどの記述にとどまっている論述も散見された

というNG例も記載されています。

 

キーワードは顧客の体験。

顧客の行動に寄り添った企画が重要と言うことです。

たとえば一方的な情報の提供というだけでは顧客の行動を

変えられないので、顧客に寄り添うような仕組みが必要と

考えられます。

 

また、顧客との関係性が重要なので、

扱うシステム・サービスとしては

基幹システムの新設・増設などではテーマにそぐわなくなるでしょう。

 

 

本問題のポイントは、顧客との接点・関係性あります。

CX(Customer Experience。顧客体験)をいかにITを使って

改善させられるかを問われていると言ってよいでしょう。

 

昨今のDX的なテーマの一つと言ってよく、

対策をしてきた方にとっては取り組みやすい設問だったと思います。

 

■CXとは■
CXとは、商品やサービスを購入するまでの過程・使用する過程・
購入後のフォローアップなどの過程における
経験の訴求を重視するものです。
www.nri.com
上記参考リンクでは、「感情的な価値」を付加価値として
差別化を図るものとして説明されています。

 

 

論文を設計する

問われていることの概略を把握したら

自身の経験や用意してきた論文パーツに当てはめて

どのように論述を展開するかを設計します。

 

 

設問アの設計

設問アは「事業概要」「顧客満足度を向上させる必要性の背景」

を問われています。

設問文には「事業特性とともに」と書かれているので、

忘れずに盛り込む必要があります。

 

事業特性をどこに入れるかは書きやすいところで

よいと思います。

私の場合、事業概要を書く部分に背景として

業界背景~経営課題を書くことが多いので今回は、

  • 1-1. に 事業概要、経営目標
  • 1-2. に顧客満足度の向上を必要とする背景

と節立てをしました。

 

事業特性については 1-2. に盛り込む形としました。

 

1-1. 事業概要、事業目標

この節は準備していた素材となる論文のパーツを

盛り込んで書いていきます。

ただ、問題のテーマがCXなので、

基幹システムの改修などではシナリオがそぐわないでしょう。

顧客の動きを意識した新サービス、

仮に改修であったとしても顧客の接点があるシステムを

念頭において事業概要を書きましょう。

 

また、設問ウでは経営層への提案を書く必要があるので、

設問アで経営目標に触れておくと後に展開しやすくなります。

 

具体的には次の通りです。

  • 不動産業者。
  • 地域の人口減が経営課題。
  • 中長期経営計画
      店舗とオンラインのマルチチャネルで地域ニーズに応える
      DX化による顧客の利便性向上
      3年後に売上高3000億円、営業利益率14%

中長期経営計画は中長期情報システム化計画と対応付けられるものです。

これらの単語を盛り込むことで、

ITストラテジストとして必要な「経営との橋渡し」が可能である

スキルのアピールに繋がります。

 

 

■経営戦略と情報戦略の関係■
経営戦略と情報戦略は下記のような関係性があります。
用語は書籍などによって若干異なりますが、ポイントとしては
対応する経営の戦略・計画と整合性をとるという姿勢です。

経営戦略と情報戦略の関係

 

図は下記の参考書より引用しています。
とても分かりやすいので業務知識を仕入れたい方は参考にしてください。

 

 

 

1-2. 顧客満足度を向上させる必要性の背景

ざっくりとした背景としては 1-1. に書いてありますが、

明確に「顧客満足度を向上させる必要性」(WHY)はここにある、

と書いておくと読みやすく加点対象となるでしょう。

 

ITストラテジストとしての立場を明確にして、

「ITを用いて顧客満足度の向上を図る理由は」

「経営目標が顧客の利便性と接点を重視しているから」

と書けば、わかりやすいと思います。

※直接の理由は経営層に言われたから。

 さらにその理由は1-1節に業界の背景として書かれている、

 という構造になっています。

 

設問イでは顧客との接点や価値向上をどのように図るか、

ということを書くので、事業特性はそのことを見据えて

書きましょう。

 

例えば、「○○という事業特性」があるから、

「××という企画によって顧客の価値が向上する」と

いった論旨にしなければなりません。

 

具体的には以下の通りです。

地域密着で顧客にきめ細かいケアができる強みを持つ

この特性は設問イで企画が有効な施策となる

ネタ振りの意味があります。

 

 

設問イの設計

顧客満足度の向上をどうやって図るか(HOW)を伝えるために、

ITを活用して具体的に新サービス・新商品を書きます。

 

問題からの指定は次の3点を盛り込むことです。

  • どのような顧客に対して、接点を増やしたり、関係性を高めたりするか
  • 顧客との接点で、どのような新たな価値を提供するか
  • 新商品や新サービスを実現するためにどのようなデータを扱うか

 

3点を節に対応付けて論述するとよいでしょう。

 

なお、本記事で具体例としている不動産業の場合は、

賃貸であっても仲介であっても売り主と買い主の両役が登場します。

基本的には買い主側の行動に立って論述していますが、

2-3. 節の「扱うデータ」では売り主から情報提供してもらう必要もあり、

注意が必要です。

 

2-1. 顧客との接点と関係性

ここでいう1点目は顧客について書く必要がありますが、

年代・性別・職業でのターゲットという意味ではなく、

顧客の行動に注目して書く必要があります。

 

問題文(保険会社の事例)からの例示では、

スマートデバイスで契約期間中の顧客

から

健康データを活用して、良く年以降の保険料を割り引く仕組みを提供した

とあります。

これは暗に従来の保険会社は顧客に保険契約を締結させれば終了で、

以降の顧客へのアプローチはしていないことを指摘しているようです。

 

顧客の体験(CX)を想像する必要があります。

 

もし不動産業における顧客(買い主)の場合ですと、

認知前、情報収集中、内覧、検討、ローン審査中、

成約、金消、アフターフォロー

といった各ステップが考えられます。

 

どのステップでどのような施策を打つかが企画の見せ所です。

 

具体例としては、以下のような展開が考えられます。

顧客との接点

①情報収集中~成約前までの顧客

②成約後の顧客(アフターフォロー)

関係性を高めるサービスと方法

スマートフォンやゴーグルでVR内覧サービスを提供

②情報誌・メルマガ・SNSでお得な住まい情報を提供

 

具体例としては2点書いているので、以降の節でも

対応を分かりやすくするために番号を揃えて書くようにします。

 

2-2. 新たな価値

本節も顧客視点が重要です。

問題文からの具体例では

  • 保険料の割引
  • 健康的な食事へのアドバイス
  • スポーツジムの利用の割引

が示されています。

 

ここでは新たな企画またはサービスによって

顧客が何が嬉しいかについて書けばよいことになります。

具体例としては、前節と対応付けて、以下のようになります。

  ①物件の比較検討する場所を制限しない点。時間が短縮化できる点。

  ②住居点検やリフォームの潜在的な必要性に自覚してもらえる点。

 

また、設問アで触れた事業特性を踏まえ、

なぜその企画が有効なのかと言う理由を盛り込む必要があります。

顧客の価値を具体的に説明している 2-2. 節に盛り込むのが

論旨展開上やりやすいと思います。

 

具体的には以下の要領です。

地域密着できめ細かいフォローをする体制があるからしかけを打ちやすく、

新たな価値につながる

 

情報発信する内容で差別化が図れ、またイベントなどの主催により、

顧客との接点の維持と有益な情報を発信できる強みがあってこそ

効果を見込める企画である、ということですね。

 

2-3. 新サービス実現に必要なデータ

この節はややシステム寄りの観点が必要です。

企画実現に必要なデータは何か、という点ですね。

 

問題文からの具体例では

  • 顧客の同意のもと健康診断や歩行などの健康データを収集する

とあります。

 

具体例としては、前節と対応付けて以下のようになります。

  ①取り扱い物件を360度内覧のできる画像データ

  ②賃貸・取得した住居の利用目的・顧客の家族構成・年齢などの顧客データ

 

不動産業を例としているので、①は売り主から、②は買い主から提供される

データであることに注意が必要です。

どちらも顧客の同意が必要であることも注記しておくと、

データの取り扱いにおけるセキュリティ面のスキルを保有している

ことのアピールにもつながるでしょう。

 

設問ウの設計

設問ウで問われていることは

  • 設問イで述べた企画を経営層へ提案することとその評価
  • 評価を受けて改善したこと

の2点です。

より詳細に分けると 提案・評価・改善点の3点ですので、

3節に分けてもよいし、

評価の部分をいずれかの節に統合して全体で2節としてもよいでしょう。

 

3-1. 新サービス企画の提案

経営層への企画提案を行いますが、

問題文の最終段落の第一文目に

顧客満足度を測る指標や投資効果とともに

という指定があることに注目してください。

 

指標はKPI(Key Performance Indecator)の案と考えるのがよいでしょう。

経営計画の導出に使用したBSC(Balance Score Card)を参照して、

経営目標とのずれがないことを説明すると、

「経営層との橋渡しをしているITストラテジスト」を

アピールすることができます。

 

具体的には以下の要領です。

  [内部プロセスの視点]
   ①VR内覧システムの稼働数と稼働時間
   ②情報誌・メルマガ・SNSの情報発信数
  [顧客の視点]
   ①VR内覧システムの利用者登録数、アンケートによる顧客満足度のポイント
   ②情報誌・メルマガ・SNSの開封率、後続サービスの成約につながった数
  契約時やサービス利用時にアンケートを取り顧客満足度の向上を見える化した。

 

[]で書いたのはBSCでいう「4つの視点」の一部です。

ITストラテジストが扱う視点としてはこの2つ(内部プロセス・顧客)が

順当だと思います。

「人材の学習・育成の視点」は人事部、「財務の視点」は財務・会計の

領域であり、専門知識が不可欠になるからです。

※盛り込んでもよいですが、あくまでITストラテジストとしては

 指標の決定は避け、情報提供スタンスにとどめた方が良いでしょう。

 

 

■BSC、KPIとは■
BSCとは、4つの視点を階層上に並べ、それぞれの課題や
目標を書き、全体として整合性のある戦略を組み立てるための
フレームワークです。

BSC概要図

バランススコアカードは経営戦略を導出するための

フレームワークですが、KPIを設定するところは
ITストラテジストの立場でも可能なところと思います。

KPIとは、プロセスの実施状況を計測する指標であり、
直接的にコントロール可能な指標の意味で使われます。

特に顧客の視点・内部プロセスの視点は主体的に
KPIを提案するのが望ましい活動と言えるでしょう。

なお、図は下記の参考書より引用しています。
とても分かりやすいので業務知識を仕入れたい方は参考にしてください。

 

 

3-2. 評価と改善点

この節は比較的定型的な設問であり、

準備してきた材料をそのまま充当できるケースもあるでしょう。

 

たとえば

などが考えられると思います。

 

今回、具体例としては以下のように書きました。

概ね高評価も、財務指標はCFOと共同で策定するよう指示あり。

前節で述べた通り、財務の視点は専門家の指示を仰いだ方がよい、

という指摘を受けたことを書いています。

 

論文骨子

以上を踏まえ、論文骨子は次のようになりました。

1.事業概要、事業背景
 1-1.事業概要と事業目標
 不動産業者。地域の人口減が経営課題。
 中長期経営計画
  ・店舗とオンラインのマルチチャネルで地域ニーズに応える
  ・DX化による顧客の利便性向上
  ・3年後に売上高3000億円、営業利益率14%
 1-2.顧客満足度を向上させる必要性の背景
 顧客の接点を保ち顧客満足度をあげることが経営目標であるため
 事業特性として、地域密着で顧客にきめ細かいケアができる強みを持つ
2.顧客満足度を向上させるためのITを活用した新サービスの企画
 2-1.顧客との接点と関係性
 顧客との接点
  ①情報収集中~成約前までの顧客
  ②成約後の顧客(アフターフォロー)
 関係性を高めるサービスと方法
  ①スマートフォンやゴーグルを用いたVR内覧サービスを提供する
  ②情報誌・メルマガ・SNSでお得な住まい情報や提供する
 2-2.新たな価値
  ①物件の比較検討する場所を制限しない点。時間が短縮化できる点。
  ②住居点検やリフォームの潜在的な必要性に自覚してもらえる点。
 地域密着できめ細かいフォローをする体制があるからしかけを打ちやすく、
 新たな価値につながる
 2-3.新サービス実現に必要なデータ
  ①取り扱い物件を360度内覧のできる画像データ
  ②賃貸・取得した住居の利用目的・顧客の家族構成・年齢などの顧客データ
3.経営層への提案、評価、改善点
 3-1.新サービス企画の提案
  中長期経営計画と整合性が取れていることを説明するため、次のKPIを設定。
  [内部プロセスの視点]
   ①VR内覧システムの稼働数と稼働時間
   ②情報誌・メルマガ・SNSの情報発信数
  [顧客の視点]
   ①VR内覧システムの利用者登録数、アンケートによる顧客満足度のポイント
   ②情報誌・メルマガ・SNSの開封率、後続サービスの成約につながった数
  契約時やサービス利用時にアンケートを取り顧客満足度の向上を見える化した。
 3-2.評価と改善点
  概ね高評価も、財務指標はCFOと共同で策定するよう指示あり。

 

論文全文について

ここまででも十分考え方はお伝え出来たかと思いますが、

論文全文を参考にされたい方は有料とはなりますが

以下記事の末尾をご参照ください。

note.com


 

まとめ

いかがでしたでしょうか?

本記事ではITストラテジストの午後II(論文)対策として、

令和4年問1で出題された論文の書き方を紹介しました。

顧客体験をデザインして新サービスを打ち出すという、

典型的なDX系の出題であったと思います。

今後もしばらくは3問中1問はDX系が出題されると思いますので、

狙い目とする方は類題を解いて練習を重ねてください。

 

私自身の受験記もまとめているので合わせて参考にしてください。

 

ITストラテジストの合格秘訣まとめ■

 

また、他の区分・過去問の【論文の書き方】の記事については

以下リンクを参照ください。

論文の書き方 カテゴリーの記事一覧 - スタディルーム by rolerole

 

今後も、【論文の書き方】記事を充実して参ります。

ではそれまで。

ITサービスマネージャ 災害に備えたITサービス継続計画【論文の書き方】(令和4年春問1)

論文の書き方 ITサービスマネージャ

本記事ではITサービスマネージャの午後II(論文)対策として、

令和4年問1で出題された過去問を分析します。

実際に論文を書く上での考え方を整理し

論文骨子を設計するところまでやっていきます。

 

 

 

問題(令和4年問1)

過去問は試験センターから引用しています。

表題:『災害に備えたITサービス継続計画について』

 



 

設問文は以下の通り。



 

何が問われているかを把握する

問題文を読むとITサービス継続計画の作り方について述べられている

ことが分かります。

問題文の中段に①②③で書かれていることが、

ITサービス継続計画の具体的な策定方法です。

 

一方、設問文を見てみると、

設問アは例年の通りの「あなたが携わったITサービスの概要」に加え、

作成手順の①②が対応していることが分かります。

①はITサービスに影響を与える事態

②は事業への影響

ですね。

 

設問イが③に対応しています。

③には、対応策の作り方として目標に従って決定するべきと

書かれています。

また設問文にしか書かれていないこととして、

その対応策が妥当であると判断した理由も問われています。

まとめると、設問イは目標、対応策、妥当性が問われています。

 

設問ウの前半部分は定型的な質問で、「評価」を書くものです。

後半部分は今後のITサービス継続計画の見直し・改善活動が問われています。

 

おしなべて、BCP(事業継続計画)の問題であり、

テーマとしてはオーソドックスな内容といってよいと思います。

 

 

強いて注意点があるとすれば問題文の中段③の中に、

 

目標復旧時間、目標復旧時点、目標復旧レベル」

 

という目標の具体的な指標が例示されているところです。

設問イをはじめ目標を論述する箇所はこれらの指標は

意識して採用した方がよいでしょう。

 

 

まとめると問われていることは次の通りです。

 

設問ア

 ITサービスの概要

 ITサービスに影響を与える事態

 事業への影響

設問イ

 ITサービス継続計画の目標

 ITサービス継続計画の対応策

 対応策の妥当性

設問ウ

 ITサービス継続計画の対応策の評価

 ITサービス継続計画の見直しと改善活動

 

 

出題要旨と採点講評からの分析

 

試験センターから公表されている出題要旨と採点講評を確認して

出題の意図と論述のNG例を把握します。

 

出題要旨

 

採点講評

 

出題要旨の2段落目の1文目は、設問ア~ウで問われていることを

単に列挙したものです。

具体的には本記事の前節のまとめ部分と同じなので、

確認したい方はそちらをご覧ください。

 

 

採点講評の1文目には以下の記述があります。

日頃から、災害に備えたITサービス継続計画の策定に関わっている受験者にとっては取り組みやすいテーマ

これは実際の組織では災害や他社の障害事例を目にするたびに

対策するので、取り組みやすいテーマでというのはその通りだと思います。

 

 

また同じく1文目に"良かった点"として

顧客の事業継続計画の目標を正しく理解

ITサービスの特徴を踏まえた適切な対応策

という文があります。

 

前者の文は、「事業継続計画」と「ITサービス継続計画」を

分けて考える必要があることが示唆されています。

紛らわしいですが問題文にもこの2つは明確に使い分けが

されており、混同すると減点対象となるでしょう。

最も大きな違いは、事業継続計画は顧客(利用部門・経営陣など)が

策定するのに対し、ITサービス継続計画は

ITサービスマネージャが策定するという点です。

 

後者の文は、対応策がITサービスの特徴を踏まえている必要がある

ことが読み取れます。

設問アで述べるITサービスの特徴を踏まえて、

設問イで対応策を論述する必要があります。

 

 

また、採点講評には以下のNG例に関する記述があります。

ITサービス継続計画の目標を論述せずに対応策だけを論述したもの

ITサービス継続計画の目標と対応策が整合していない論述

 

ここから、ITサービス継続計画には

目標ありきで対応策を策定することが重要であること

が読み取れます。

目標と対応策は設問イで問われる内容ですが、

設問文にもある通り対応策の妥当性についても論述する必要があります。

妥当性を示すために目標との対応付け(整合性)が必要と考えられます。

 

 

本問題のポイントは、対応策の妥当性にあります。

妥当性を示すために目標に言及し、

その目標を設定した理由が設問アで分析した災害事象や影響を極小化するためと

いう形で論文全体で整合性をとることが重要でしょう。

 

論文を設計する

問われていることの概略を把握したら

自身の経験や用意してきた論文パーツに当てはめて

どのように論述を展開するかを設計します。

 

 

設問アの設計

設問アは「ITサービスの概要」「ITサービスに影響を与える事態」

「事業への影響」について問われています。

 

採点講評の1文目を思い出してください。

設問イで書くことになる「対応策」は「ITサービスの特徴」を

踏まえる必要があります。

たとえばそのITサービスがすでにクラウド上で構築されているのに

対応策が自社内の停電時について書かれているような論述は

適切でないことが分かります。

 

またシナリオとして「私」がユーザ企業にいるか

アウトソース先の企業にいるかを決める必要がありますが、

今回のケースではアウトソース先の企業にいると

若干書きづらいのではないかと思います。

理由は、よく似た言葉ですが、「事業継続計画」と

「ITサービス継続計画」を分けて理解して論述する

必要があるためです。

 

「事業継続計画」はユーザ企業(利用部門)の立場で

論述しなければいけないのに対し、「ITサービス継続計画」は

ITサービスマネージャの立場で書かなければなりません。

もしも「私」がアウトソース先の企業にいる場合は、

ユーザ企業の「事業継続計画」に対して

アウトソース先の企業として提供している「ITサービスの継続計画」を

論述する必要がありますが、その関係性を論述しようとすると

設問アの文字数が足りなくなる恐れがあるからです。

 

1-1. ITサービスの概要

ここではITサービスの具体的な内容(システムの運用管理、

運用業務、サービスデスクなど)に加え、

のちの「対応策」を意識した特徴を入れることが必須です。

問題文の2段落目に

ITサービス継続計画には、ITサービス継続要件を実現する

対策実施、教育訓練、維持改善、緊急時対応が含まれる

とあり、「対策実施」を含んでいますので、

この時点では対策前のITサービスを記述するのが

書きやすいと思います。

 

のちにシステムを冗長化して可用性をあげることを

対応策とするなら、この時点では「冗長化されていない」

ことを明示したり、

のちにデータを遠隔地に退避させることを対応策とするなら、

この時点ではデータもシステムと同じ所に存在し

バックアップもないことを明示したりします。

 

私の場合はのちに「バックアップサイトをデータセンタに構築する」

ことを対応策とするために

ITサービス(基幹システムの運用管理とサービスデスク)が

本社に構築され本社にのみ存在する

という特徴を入れました。

 

1-2. ITサービスに影響を与える事態

前節のITサービスの特徴を受けた内容にします。

私の場合は

本社の被災

という内容を入れました。

 

この節(1-2.)は次の節(1-3.)と合わせて論述しても

問題ないと思うので、

文章量が少なく感じる場合は節の設計を検討しましょう。

 

1-3. 事業への影響

この節も顧客への影響や目標を理解しているかをアピールする

上で採点上重要なポイントです。

 

設問イにはITサービス継続計画の目標を記載する必要があるので、

この節の書き方としては、

  • その目標を達成できなければどうなるかという逆算的なアプローチ

と、前節からの流れで

  • ITサービスに影響を与える事態が発生したら事業がどうなるかというアプローチ

の両方から考えるとよいでしょう。

 

またポイントとしてはITサービスやシステムの観点ではなく、

システムを利用する利用者の立場にたっての影響を記載する必要があります。

ですのでたとえば

  • ○○システムが2時間使えなくなる

のではなく

  • ○○業務が2時間停止する

と書く必要があります。

言いたいことは同じようでも、ここを混同すると関係者間の立場を

理解してないととられ減点対象となるでしょう。

 

私の場合は1-1.で書いたITサービスが2つあるのでそれぞれ、

基幹システムの長時間停止による販売業務停止

サービスデスクの停止による社員と顧客の満足度低下

としました。

 

 

設問イの設計

問題文の中段の③が対応していることと、

設問文に「対応策が妥当であると判断した理由」を含めるという指定

に注意して論文を設計します。

 

③を注意深く読むと、

事業継続計画で定めた目標(目標復旧時間、目標復旧時点、目標復旧レベル)

に従って決定し、ITサービス継続計画に反映する

とあるので、設問からは指定されていませんが、

まず「事業継続計画」の目標を書いた上で

「ITサービス継続計画」の目標を書くのが分かりやすいと思います。

 

 

論文上は、一例として

2-1.節 ITサービス継続計画の目標(冒頭に事業継続計画の目標も書く)

2-2.節 ITサービス継続計画の対応策(対応策ごとに妥当性を書く)

と書くとよいでしょう。

書く方の書きやすさによっては「事業継続計画の目標」や「妥当性」の節を

分けて書くのもよいでしょう。

 

2-1. ITサービス継続計画の目標

設問アの1-3.の事業への影響を受けて、

その影響を極小化するための目標を設定します。

 

私の場合はまず事業継続計画の目標を書きました。

①販売業務の半日以内の再開

②サービスデスクの停止を理由にした顧客満足度の低下をさせない

繰り返しになりますがこの目標は利用者(経営者)の目線で

書く必要があり、ITサービスマネージャとしては

主体的に策定するものではなくインプットされるものと

理解しておくとよいでしょう。

 

次にITサービス継続計画の目標を書きますが、

私の場合はここで目標復旧時間、目標復旧時点、目標復旧レベルの

観点を入れました。

この観点は具体的で詳細になればなるほどシステム寄りの対応策が

講じやすくなるので、ITエンジニア・担当者としての能力を

アピールするのに最適な部分だと思います。

 

例えば、以下の要領です(私の場合)。

①販売業務の目標復旧時間:12時間以内
 目標復旧時点:被災時点の販売データからシームレスに業務再開
 目標復旧レベル:在庫限りの販売を再開。仕入れ販売は物流復旧のちに再開。
②サービスデスクの目標復旧時間:即時
 目標復旧時点:被災時点の対応データからシームレスにサービス再開
 目標復旧レベル:平常時と同等

番号は事業継続計画の目標と対応づけをしておくと

採点者にとって理解しやすくなります。

 

また実際には休日・夜間の場合はどうなるかなど、

具体的な経験をしている方であればあるほど

書き込みしやすい部分でもあると思うので、

紙面が許せば経験をアピールするためにも場合分けを書き加えておきましょう。

 

たとえば、営業日に限るなどの注釈をいれたり、

休日・夜間の対応も念頭にいれて逆算したと

目標の設定プロセスを書いたりなどが考えられます。

 

 

2-2. 対応策とその妥当性

本問題の中心となる節です。

対応策を列挙するだけではなく、なぜその対応策が妥当なのかと言う

理由を盛り込む必要があります。

さらに目標との整合性も意識しましょう。

 

構図としては、

  • 対応策が○○である。
  • なぜ○○を策定したかというと目標△△を達成するためである。

という展開を意識すればよいと思います。

 

また対応策は設問アで触れたITサービスの特徴も踏まえている

必要があります。

これについては設問アの節で注意した通りです。

 

問題文として触れられている表現としては、第二段落に

ITサービス継続計画には、ITサービス継続要件を実現する

対策実施、教育訓練、維持改善、緊急時対応が含まれる

と書かれており、このうち維持改善は設問ウで問われるので

対応策としては「対策実施」「教育訓練」「緊急時対応」が

挙げられています。

具体例は問題文中段の③の中に

災害発生時のサービス代替手段の準備

重要データの遠隔地保管

復旧手順の策定

災害発生に備えた教育訓練の定期実施

などが挙げられているので、ここから自分の経験に照らして

書きやすいものを2 ,3ピックアップして書くのがよいでしょう。

 

私の場合は、次のように設計しました。

①-1.基幹システムのバックアップサイトをデータセンタに構築
 Webシステムはコールドスタンバイ、
 データベースは目標復旧時点を達成するためホットスタンバイ。
①-2.バックアップサイトへの切り替え訓練を計画
 目標復旧時間を達成するため年に一度実施。
 休日・夜間であっても対応できるように
 定期的に手順を確認する。
②.サービスデスクを複数の拠点に分散する
 目標復旧時間を達成するため本社と支社に分散配置。
 担当者が共有する対応データはすでにデータセンタ上の
 個別システムで管理され済み。

論述のテクニックとして丸番号は目標と対応付けています。

①-1.①-2.と分けているのは目標①に対して

対応策が2つあることを紐づけて論述するためです。

 

分類すると①-1.と②は問題文でいうところの「対策実施」にあたり

①-2.は「教育訓練」にあたります。

「対策実施」はITサービスマネージャのみで行うのではなく、

システムアーキテクトやプロジェクトマネージャーの範疇になってくる

ITシステムの開発部隊と連携して対策を実施した、と書くと

立場と役割を理解していることのアピールになると思います。

「教育訓練」は訓練をどの頻度で実施するか、具体的な頻度を

数値で論述する必要があるでしょう。

 

また下線部で表現していますが

目標○○を達成するためと書いてある部分が妥当性の説明になります。

 

たとえばなぜ(対応策が)ホットスタンバイなのかというと、

その理由(妥当性)は目標復旧時点を満たすため、

という構造になるように論述します。

 

 

設問ウの設計

設問ウで問われていることは

  • 設問イで述べた対応策の評価
  • ITサービス継続計画の見直し、改善の活動

の2点です。

前者は典型的なやったことの振り返り型の設問ですが

後者は問題文から意図を読み取る必要があります。

 

3-1. 対応策の評価

ITサービス継続計画を策定してしばらく運用した時点を想定し、

その間、結果がどうだったかというように展開するとよいでしょう。

 

ヒントとしては1-2.節と1-3.節で述べた

  • ITサービスに影響を与える事態が実際に発生したか
  • 実際に発生したなら業務への影響は極小化できたか

といった観点を盛り込むとよいでしょう。

 

「災害は発生しなかった」ですと紙面が余るので、

具体的にITサービス継続計画の対応策が発動して、

事業への影響を抑え込めた、ということを書くとよいと思います。

 

私の場合は次のことを書きました。

想定していた被災事象が一度発生。5時間で業務再開でき、目標達成。

 

3-2. 見直しと改善

問題文の第二段落にある

ITサービス継続計画には、ITサービス継続要件を実現する

対策実施、教育訓練、維持改善、緊急時対応が含まれる

という文の維持管理が対応します。

 

また最終段落に

社会環境の変化、技術動向などによって事業への影響も変わる

という文があるので、

念頭に置いてITサービス継続計画を見直す活動を論述しましょう。

 

私の場合は次のことを書きました。

ソフトウェアやファームウェアのアップデートに伴う切り替え手順の更新。
事業継続計画の目標や対象の見直しに追随。

後者の具体例としては、たとえば

本社への依存度を下げる事業方針に追随して

バックアップサイトの方を本社にする、ですとか

異常気象を想定してバックアップサイトも同時に被災する

ケースにも対応する、などが考えられます。

 

 

論文骨子

以上を踏まえ、論文骨子は次のようになりました。

1.ITサービスの概要、サービスに影響を与える事態、事業への影響
 1-1.私が携わったITサービスの概要
 衣料品の卸売業者。基幹システムの運用管理とサービスデスク。
 基幹システムは本社に構築されている。サービスデスクも本社にある。
 1-2.ITサービスに影響を与える事態
 本社の被災。
 1-3.分析して評価した事業への影響
 基幹システムの長時間停止による販売業務停止。
 サービスデスクの停止による社員と顧客の満足度低下。
2.事業への影響を極小化するためのITサービス継続計画
 2-1.ITサービス継続計画の目標
 事業継続計画の目標
  ①販売業務の半日以内の再開
  ②サービスデスクの停止を理由にした顧客満足度の低下をさせない
 ITサービス継続計画の目標
  ①販売業務の目標復旧時間:12時間以内
   目標復旧時点:被災時点の販売データからシームレスに業務再開
   目標復旧レベル:在庫限りの販売を再開。仕入れ販売は物流復旧のちに再開。
  ②サービスデスクの目標復旧時間:即時
   目標復旧時点:被災時点の対応データからシームレスにサービス再開
   目標復旧レベル:平常時と同等
 2-2.対応策とその妥当性
  ①-1.基幹システムのバックアップサイトをデータセンタに構築
   Webシステムはコールドスタンバイ、
   データベースは目標復旧時点を達成するためホットスタンバイ。
  ①-2.バックアップサイトへの切り替え訓練を計画
   目標復旧時間を達成するため年に一度実施。
   休日・夜間であっても対応できるように定期的に手順を確認する。
  ②.サービスデスクを複数の拠点に分散する
   目標復旧時間を達成するため本社と支社に分散配置。
   担当者が共有する対応データはすでにデータセンタ上の個別システムで管理され済み。
3.ITサービス継続計画の対応策の評価、見直しと改善
 3-1.対応策の評価
  想定していた被災事象が一度発生。5時間で業務再開でき、目標達成。
 3-2.見直しと改善
  ソフトウェアやファームウェアのアップデートに伴う切り替え手順の更新。
  事業継続計画の目標や対象の見直しに追随。

 

論文全文について

ここまででも十分考え方はお伝え出来たかと思いますが、

論文全文を参考にされたい方は有料とはなりますが

以下記事の末尾をご参照ください。

note.com

 

まとめ

いかがでしたでしょうか?

本記事ではITサービスマネージャの午後II(論文)対策として、

令和4年問1で出題された論文の書き方を紹介しました。

障害対応や未然防止策は頻出の分野です。

障害に起因する火消しの対応や再発防止策の策定に

携わった方は書きやすいと思いますので、

論文という形に落とし込む練習を重ねてください。

 

自分の苦労談を論文という形で表現できるようになれば

実務上のマネジメントにも役に立てることができると思います。

 

また、他の区分・過去問の【論文の書き方】の記事については

以下リンクを参照ください。

論文の書き方 カテゴリーの記事一覧 - スタディルーム by rolerole

 

今後も、【論文の書き方】記事を充実して参ります。

ではそれまで。

情報処理安全確保支援士 出題予想(令和4年秋)

情報処理安全確保支援士 情報処理試験対策

本記事では令和4年秋向けの情報処理安全確保支援士の

出題予想を大胆に行っています。

 

※予想は筆者の独断です。読者の責任でご活用ください。

 

勉強をそれなりにしてきた人であれば、

どの範囲が出やすいんだろう?」と気になっていたり、

これまであまりうまく勉強時間が確保できていない人は、

残りの時間、何に対策すればいいんだろう?」と思っていたりしませんか。

 

本記事では、次回情報処理安全確保支援士を受験される方向けに、

  • 出題にはどのような傾向があるんだろう?
  • 次回にはどのような問題が出題される可能性があるのかな?
  • で、それらを午前問題、午後問題について知りたい!

といった疑問・要望にお答えしたいと思います。

 

なお、過去問は試験センターからダウンロード可能です。

www.jitec.ipa.go.jp

 

 

1. 午前II予想

過去問分析。

上図は過去3年の出題一覧です。

他の高度区分とは異なり、秋試験と春試験の両方で受験できるためか、

過去問と全く同じ問題が出題されることは少ないです。

それでもよく出題されるキーワードは存在しますので、

傾向を分析してみましょう。

 

午前IIの出題予想ポイントは次の通りです。

 

■午前II出題予想ポイント■
1. 令和4年春・令和3年秋から同じキーワードの設問が5~6問出そう
2. サイバーセキュリティ経営ガイドラインver2.0やCRYPTRECは今回も出るか
3. 問18~20はNW系、問21はDB系、問25はAU系から出題される

 

順に説明します。

 

1-1. 令和3年春・秋から同じキーワードの設問が5~6問出そう

前回(令和4年春)で出題された問題について、

その1回前(令和3年秋)、2回前(令和3年春)からの出題との

キーワードの再出題数を分析すると以下の通り。

 

1回前から令和3年秋からの再出題数:

 3問(SAML、サイバーキルチェーン、TLS

2回前から令和3年春からの再出題数:

 2問(サイドチャネル攻撃、HSTS)

 

このことから、今回(令和4年秋)も、

1回前(令和4年春)から3問、2回前(令和3年秋)から2問

出題される可能性があるということです。

 

令和4年春問3より。正解はイ。

サイドチャネル攻撃をキーワードとする設問は

SC区分のみならず多くの他の区分でも再出題されている印象です。

 

1-2. サイバーセキュリティ経営ガイドラインver2.0やCRYPTRECは今回も出るか

試験センターであるIPAのような非営利団体や経済団体が

規定した規格やガイドラインは出題されやすいという予想から、

サイバーセキュリティ経営ガイドラインver2.0やCRYPTRECあたりが

今回も狙われるのではないかと予想します。

 

令和4年春問9より。正解はイ。

 

■情報処理安全確保支援士(SC)の問題はよく練られている?■

SCは登録セキスぺ制度の前提になっており、

登録セキスぺ制度は資格知識の陳腐化を防ぐために

数年に一度の更新料の支払いが必要です。

 

そのため登録セキスぺ制度を事業として捉えた場合、

他の試験区分とは異なる収入を持ちます。

そのためSCは試験問題の入れ替わりや

品質アップのためのコストをかけやすいと想像できます。

 

1-3. 問18~20はNW系、問21はDB系、問25はAU系から出題される

毎回、問18~20は必ずNW系、問21はDB系、問25はAU系から

出題されているため、今回もその形式で出題されることが考えられます。

 

このうち、NW系が出題される比重は高いので、

基本的なNW系の問題を頭に入れておくと得点源となるでしょう。

 

令和3年春問20より。正解はウ。

 

2. 午後I(記述)予想

過去問テーマ分析。キーワードによる独自分析。

上図は過去3回分の過去問テーマ分析です。

午後Iは3問中2問を選択します。

自分にとって相性のよいものを選択できるよう、

出題予想を参考にしてください。

 

午後Iの出題予想ポイントは次の通りです。

 

■午後I出題予想ポイント■
1. NW系のスキルがあると有利な問題が1~2問出題される
  (テーマ予想:検疫NWやクラウド接続NW?)
2. アプリ系のスキルがあると有利な問題が出題されるかもしれない
  (テーマ予想:SSO/SAML?)
3. マネジメント系のスキルがあると有利な問題が出題されるかもしれない
  (テーマ予想:フォレンジック?)

 

順に説明します。

 

2-1. NW系のスキルがあると有利な問題が1~2問出題される

過去問を分析するとNW系のスキルがあると有利な出題が

毎回1~2問あります。

  • 令和4年春 問2:NW(IoT)
  • 令和3年秋 問1:NW(リモート保守) 問3:NW(マルウェア感染拡大防止)
  • 令和3年春 問2:NW(DNS) 問3:NW(脆弱性プログラム配信手順)

 

NW系の見極め方ですが、NW図表が多くある問題は、

NW色が濃いといってよいでしょう。

令和3年秋問3より

 

NWの中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

あたりは狙われるかもしれません。

 

2-2. アプリ系のスキルがあると有利な問題が出題されるかもしれない

アプリ系のスキルがあると有利な問題も出題されています。

最近の傾向は以下の通りです。

  • 令和4年春 問1:アプリ(Webシステム開発
  • 令和3年春 問1:アプリ(OAuth)

アプリ系の問題は

問題の中にUML図が出ていたりソースコードが出ていたりします。

令和4年春問1より

 

アプリ系の中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

あたりは午前試験でも他区分含め最近頻出の傾向があるので

狙われるかもしれません。

 

2-3. マネジメント系のスキルがあると有利な問題が出題されるかもしれない

マネジメント系系のスキルがあると有利な問題も出題されます。

最近の傾向は以下の通りです。

  • 令和4年春 問3:マネジメント(スマホ向けQR決済)
  • 令和3年秋 問2:マネジメント(IRM製品)

マネジメント系の問題の見極め方は

比較的図表が少なく、組織が意思決定をするプロセスを

重視している問題です。

令和4年春問3より。目的を達成する方法を整理した表など。

 

マネジメント系の中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

あたりは午前試験でも他区分含め最近頻出の傾向があるので

狙われるかもしれません。

 

 

3. 午後II(論述)予想

過去問テーマ分析。キーワードによる独自分析。

上図は過去3回分の過去問テーマ分析です。

午後IIは2問中1問を選択します。

自分にとって相性のよいものを選択できるよう、

出題予想を参考にしてください。

 

午後IIの出題予想ポイントは次の通りです。

 

■午後II出題予想ポイント■
1. NW系の問題が1問または2問出題される
 (テーマ予想:検疫NW、ゼロトラスト?)
2. アプリ系の問題が出題されるかもしれない
 (テーマ予想:XSS対策、多要素認証?)

順に説明します。

 

3-1. NW系の問題が1問または2問出題される

過去問を分析するとNW系のスキルがあると有利な出題が

毎回1~2問あります。(()内は代表的な技術ワード)

  • 令和4年春 問2:NW(CDN, SSO)
  • 令和3年秋 問2:NW(UTM)
  • 令和3年春 問1:NW(FWレポート) 問2:NW(DHCP802.1X

 

NW系の中でも何が出るか、ですが、過去問と同じテーマは

すぐに再出題されないと仮定して、

  • 最近のバズワードのゼロトラスト
  • オーソドックスに検疫NW

あたりは狙われるかもしれません。

 

■効率的な勉強法

情報処理安全確保支援士とネットワークスペシャリストは相性がよく、

重複して問われる要素があります。

情報セキュリティの脅威を考える上で、侵入"経路"とは

ネットワークに他ならないためです。

両者を両方取得するつもりなら、時間を空けずに

勉強すると効率がよいかと思います。

 

3-2. アプリ系の問題が出題されるかもしれない

アプリ系のスキルがあると有利な問題も出題されています。

最近の傾向は以下の通りです。

  • 令和4年春 問1:アプリ(クリックジャッキング、XSSCSRF、SSRF対策)
  • 令和3年春 問1:アプリ(情報共有システム、XSS対策、FIDO、CSP)

 

アプリ系の中でも何が出るか、ですが、

XSS対策は毎年出ているので今後もキーワードになりそうです。

さらにスマホクラウド、テレワークの浸透で

多要素認証あたりも狙われるかもしれません。

 

おわりに

いかがだったでしょうか?

 

情報処理安全確保支援士を受験予定で、どのように対策を

進めればよいかの考え方の一助となれば幸いです。

 

本ブログでは、高度情報処理試験の、合格に向けたサポート記事を充実していきます。

「読者になる」ボタンで、ブログの更新時に通知されますので、ご検討ください。

 

それでは、ともに頑張りましょう。

 

ではそれまで。