春の情報処理試験に合格するための傾向と対策:特集:IT資格動向ウォッチ(4)(3/3 ページ)
高度試験(春試験区分)の出題概要と対策
◇受験状況
春期のみ実施される高度区分は、データベーススペシャリスト(DB)、エンベデッドシステムスペシャリスト(ES)、プロジェクトマネージャ(PM)、システム監査技術者(AU)の4区分です。平成21年春期の応募者は、プロジェクトマネージャ11.2%増、システム監査技術者22.7%減と動きがありましたが、他の2区分はほぼ横ばいです(表4) 。
| 試験区分 | H21春(人) | 前回(人) | |
| データベーススペシャリスト(DB) | 1万8538 | 1万7849 | H20春DB(旧) |
| エンベデッドシステムスペシャリスト(ES) | 5875 | 5964 | H20春ES(旧) |
| プロジェクトマネージャ(PM) | 1万6241 | 1万4610 | H20秋PM(旧) |
| システム監査技術者(AU) | 5313 | 7347 | H20春AU(旧) |
春・秋ともに実施する、FE、AP、SCは前編「秋の情報処理技術者試験を振り返る」参照
◇ 各試験の出題概要
前編の「秋の情報処理技術者試験を振り返る」で、高度試験の出題概要で述べたとおり、 以下のような特徴がありました。
- 午前I(共通分野):難易度が下がった
- 午前II(専門分野):区分固有の重点分野に出題範囲が限定された
- 午後I:3問選択が2問選択になって時間の余裕ができた
- 午後II:論述試験で、制限字数(記述量)が減少して時間の余裕ができた
21年春試験の結果でも、午前I、午前II試験の突破率は極めて高く、午前I免除制度の適用も考え合わせれば、今後、午前II試験からの受験者が中心となることが見込まれ、午後試験の成否が合格を左右することになるでしょう。
高度共通午前I
【対策の指針】
午前範囲全体から出題と範囲は広いですが、過去問の再出題・類題も多いため、過去問演習中心で対応できます。受験者の大半が合格できる難易度ですから、午前I対策には、必要以上に多くの時間を掛けないように留意してください。
セキュリティスペシャリスト(SC)
セキュリティスペシャリストについては、テクニカルエンジニア・情報セキュリティ(SV) と情報セキュリティアドミニストレータ(SU)を統合し、テクニカル(SV)が主体となることが公表されていました。21年春試験では、午後試験の問題ごとに技術面の知識(SVを意識)、管理面の知識(SUを意識)の色分けが比較的明確でしたが、今回試験では、問題中に両者の要素が設問として組み込まれるようになり、どちらか一方の知識だけでは完答が難しい構成となりました。技術面の知識レベルは、旧テクニカルエンジニア(情報セキュリティ)と同等以上であり、前回合格率16.0%と高い結果ではあったものの内容としては決して易しくなったとはいえないでしょう。
(午前II試験)
| 出題分野 | 出題比率(%) | 出題数 |
| セキュリティ | 60 | 15 |
| ネットワーク | 24 | 6 |
| システム開発技術 | 4 | 1 |
| ソフトウェア開発管理技術 | 4 | 1 |
| サービスマネジメント | 4 | 1 |
| システム監査 | 4 | 1 |
| 計 | 100 | 25 |
セキュリティ15問(60%)、ネットワーク6問(24%)と重点分野を中心に出題されています(春試験より6問増)。特に目新しいテーマはなく、内容・難易度とも標準的であったといえます(表5)。
(午後I試験)
電子メールセキュリティ、セキュアプログラミング、ICカードセキュリティ、クライアントセキュリティと、「技術的な視点から特定セキュリティ分野に絞り込まれた」テーマ設定でした。セキュアプログラミングでは、具体的な言語を想定した問題として今回初めてJava言語が題材となりました。設問レベルでは、認証技術、ウイルス対策技術、暗号技術、PKI、シンクライアント端末技術などの技術、情報セキュリティポリシ、パッチマネジメント、情報漏洩対策などの管理、両面の要素が盛り込まれており、技術と管理の両面の知識が求められています。一方、問題選択数が減って1問あたりの解答時間は増えましたが、問題分量が5〜7ページと多くなったこと、知識のみで解ける問題は少なくなり、セキュリティシステムの仕組みやセキュリティ要件など問題で与えられた条件を十分に理解しなければならない問題が多くなったことから、解答時間を多く必要とします。専門知識の要求水準も高まる傾向にあり、全体の難易度はやや高まっているといえるでしょう。
(午後II試験)
出題テーマは、「認証・認可基盤構築の実施計画」(アイデンティティマネジメント:IDMが主題)、「社内LANの見直し」(ネットワークセキュリティ、物理セキュリティが主題)でした。1問当たり10〜12ページの長文問題であり、主題となるテーマだけでなく幅広い分野について専門知識の適用能力を探る総合問題となっています。単純にセキュリティ技術を問う設問よりも、技術・管理の両面から解答を導き出す設問が多い傾向があります。難易度は高めといえます。
【対策の指針】
(午前II試験)
出題の8割を占めている重点分野、「情報セキュリティ」「ネットワーク」で確実に得点できなければいけません。認証技術、暗号技術、Webアプリケーションのセキュリティ対策、リスク対策、TCP/IP関連など、過去の頻出テーマを中心に出題されるとでしょうから、旧試験のテクニカルエンジニア(SV)や情報セキュリティアドミニストレータ(SU)の過去問題演習、最新の技術トピックの知識習得などを重点に学習するとよいでしょう。
(午後I試験)
今後、出題が予想される知識項目は、
(1)システムセキュリティ対策、セキュアプログラミング
(2)脆弱性分析、インシデント分析、不正アクセス対策
(3)アクセス管理、ウイルス対策、暗号・認証技術、PKI
などがあります。ただし、個別知識の習得ではなく、例えば、システムやアプリケーションに想定される脅威・脆弱性に対して、どの技術を適用して対応すべきか、またその留意点は何かというように、関連する技術を一連の知識として習得する必要があるでしょう。前述のとおり、問われる技術内容が詳細化し、専門性が高まる傾向にありますから、より詳細な理解が重要です。
(午後II試験)
技術知識だけでは解答できない設問が多いため、セキュリティ管理の視点、具体的な管理策について学習する必要があります。セキュリティ関連の午後II試験過去問題から、管理面をテーマとする問題を中心に演習をするとよいでしょう。技術面の必要知識は、午後Iと同じです。
データベーススペシャリスト(DB)
出題内容、レベルともに旧テクニカルエンジニアと同じといわれていましたが、果たして「データベースの開発・運用経験」と「データベース理論」が問われているという点で旧試験と趣旨は同じですが。データベース理論を基にデータベースシステムを構築する、より実務的な能力を重視しているようです。
(午前II試験)
| 出題分野 | 出題比率(%) | 出題数 |
| データベース | 56 | 14 |
| セキュリティ | 12 | 3 |
| コンピュータ構成要素 | 8 | 2 |
| システム構成要素 | 8 | 2 |
| システム開発技術 | 8 | 2 |
| ソフトウェア開発管理技術 | 8 | 2 |
| 計 | 100 | 25 |
データベーススペシャリストの重点分野、データベースが14問と出題の56%を占めています。ほかの関連分野については、セキュリティ3問、コンピュータ構成要素・システム構成要素・システム開発技術・ソフトウェア開発管理が各2問ずつと出題範囲全般から出題されています。データベース分野の問題テーマ、難易度ともに変化はなく、旧試験と同じと考えてよいでしょう(表6)。
(午後I試験)
出題テーマは、「データベースの基礎理論」「データベースの設計」「SQLアプリケーション開発」と最重要な主題です。
データベース基礎理論では、XMLデータベース型の標記ルールを導入し、新しい理論への対応が意識されています。
データベース設計では、テーブル設計、テーブル設計における項目間の制約条件設計、主キーと外部キーの設計と相貌的なデータベース設計を行っています。
SQLプログラミングは、アプリケーションシステムの機能とSQLプログラムの関係の判断を求めるなど、単なるプログラミングの域からデータベースアプリケーションのシステムの開発へと領域が拡大しています。
出題テーマは旧試験と変わりませんが、内容は新しい技術を取り込みつつ、適用する題材がより詳細、複雑で高度なものとなっています。事例を説明する問題も旧試験の1.5倍程度にボリュームアップしました。理論・設計の内容は難しくなっていますが、1問当たりの解答時間が約45分と5割増しになったことを考慮して、難易度は同程度とみてよいでしょう。
(午後II試験)
出題テーマは、「データベースの設計と運用」「データベースの設計」でした。旧試験と比較しても、題材となる業務事例、データベースシステムの開発に用いる技術に変わりはありません。E‐Rダイアグラムを基に概念データモデルを設計し、事例業務に対するデータベースシステムの構築、運用という問題の流れも同じです。難易度も旧試験と同じです。
【対策の指針】
(午前II試験)
データベース分野(レベル4)の対策学習をメインとします。これは、午前II試験の突破だけでなく、午後試験で適用するデータベースの専門知識を確実に習得する狙いがあります。ほかの5分野(レベル3)は、応用情報技術者合格レベルの知識があれば、特別な対策は必要ありません。苦手分野があれば、対策に取り入れればよいでしょう。
(午後?試験・午後II試験)
前回試験では、午後I試験・午後II試験を通して、午後の重要5テーマのすべてが取り上げられていました。
午後I:データベース基礎理論、データベース設計、SQLプログラミング
午後II:データモデリング、DBMSと運用
次回も、これら5分野のうち3つが午後?試験、2つが午後II試験に取り上げられると思われます。問題に取り上げる事例・設問形式からみると、データベースシステムの設計・開発の実務経験があれば取り組みやすいですが、過去の午後問題演習で十分に対応できるでしょう。
プロジェクトマネージャ(PM)
プロジェクトマネージャ試験は、システム開発プロジェクトの責任者としてプロジェクトを管理・運営する技術と能力を評価する試験です。旧試験から内容は変わらずにレベルを下げる(レベル5→レベル4)ことが公表されていました。21年春の合格率を見る限り12.7%と着実に上がっているようですが、果たして出題内容には変化があったのでしょうか。
(午前II試験)
| 出題分野 | 出題比率(%) | 出題数 |
| 開発技術 | 20 | 5 |
| プロジェクトマネジメント | 44 | 11 |
| サービスマネジメント | 12 | 3 |
| システム企画 | 12 | 3 |
| 法務 | 12 | 3 |
| 計 | 100 | 25 |
重点分野であるプロジェクトマネジメントが11問(44%)と最も多く出題されたほか、関連分野は、開発技術5問(20%)、サービスマネジメント・システム企画・法務が各3問(12%)とほぼ均等の出題です(表7)。新規テーマとしては、EMV(期待金額価値)、リスク対策の二軸分析、テストとアクティビティの組み合せ、ITサービスマネジメントの導入手順、共通フレーム2007(要件定義プロセス)などがありました。これらは、知らなければ解けない問題ですが、過去問題の再出題が半数近くあり、全体としては標準的な難易度と見てよいでしょう。
(午後I試験)
出題テーマは、「プロジェクトのリスク管理」「外部委託先の選定評価」「プロジェクト推進方法の見直し」「ソフトウェア開発の品質管理」でした。問題の特徴は、品質面、体制面、費用面、契約面、進捗面でのリスクの想定とそのリスクへの対応といったマネジメントを問う出題です。問題文と図表に解答の根拠となる記述が含まれてはいますが、“プロジェクトマネージャ”としての知識や経験を加味して解答する必要があります。
4問とも基本的な内容であり、技術内容の難易度は旧試験から変化していません。問題文の長さ、解答数などは旧試験と同程度ですが、解答問題数が2問になったことで、1問あたり45分と時間の余裕できたことで、総体的な難易度がやや下がったと見てよいでしょう。
(午後II試験)
出題テーマは、
「システム開発プロジェクトにおけるメンバの動機付け」……メンバに対して行った動機付けの内容と方法、どのように動機付けを維持・強化していったか、行動の結果を論じる。
「設計工程における品質目標達成のための施策と活動」……設計工程において品質を作り込む施策の実施、品質の維持・改善活動を論じる。
「業務パッケージを採用した情報システム開発プロジェクト」……パッケージの標準機能以外のプログラム開発理由、開発を最小限とするための利用部門との合意内容、パッケージ採用の目的と達成のために行った工夫などを論じる。
の3点です。問題文の中で論点が細かく指示されているので、各論点について設問の指示に沿って論述することが求められます。難易度はいずれも標準です。また論述の記述字数が、旧試験で設問イ、ウ合わせて1600〜3200字であったのに対して、新試験では、設問イ(800〜1600字)、設問ウ(600〜1200字)と少なくなりましたので、時間の余裕ができています。
【対策の指針】
(午前II試験)
次回以降も分野ごとの出題比率・難易度に変化はないと思われますので、プロジェクトマネジメント、システム開発技術の2分野を重点的に学習すればよいでしょう。プロジェクト管理技法、共通フレーム、関連法規については、具体的な内容・応用まで知っておくことが望まれます。マネジメント系以外の分野は、おおむね過去問題やその類題が出題されると見込まれますので、該当する分野の過去問題の演習が効果的でしょう。
(午後I試験)
今後も、現実のプロジェクトに起こり得る事例の出題が予想されます。21年春試験で論点となった、外部委託プロジェクトでの留意点、プロジェクト体制の留意点、現行システムにおける課題を解決するための方法、現行システム改修に関するリスク、予算管理のための実績集計の仕組みなど、プロジェクトマネジメントに関わる基本的な知識、ノウハウを押えておきましょう。また新しい技術やビジネスの用語についても、問題事例に使われる可能性がありますので、午前II試験で出題された項目を中心に学習しておくとよいでしょう。
(午後II試験)
新試験では、論点が絞り込まれ、論述方法も具体的に指示されるようです。出題が予想されるテーマは、開発技術マネジメント、タイムマネジメント、コストマネジメント、品質マネジメント、組織マネジメント、リスクマネジメントです。過去にも出題されているテーマですから、過去問題を利用して、自ら経験したプロジェクト事例を、与えられた論点に沿って論述する練習を行うとよいでしょう。
システム監査技術者(AU)
新試験では、組込みシステムの監査を対象として追加する以外、出題内容、レベルとも大きな変更はないことが公表されていましたが、実際の問題はどうだったでしょう。受験状況をみると、21年春試験の応募者5313名(前年比2000人減)と大きく減少しました。企業の内部統制評価が報告段階を迎えたことで、内部統制業務関わる方々の受験が控えられた影響ではと推測しています。合格率は、13.9%と前年比3.5%増と大きく伸びています。これは、5年前の約2倍となる結果です。
(午前II試験)
| 出題分野 | 出題比率(%) | 出題数 |
| 技術要素 | 20 | 5 |
| システム開発技術 | 8 | 2 |
| システム監査 | 40 | 10 |
| サービスマネジメント | 8 | 2 |
| 経営戦略マネジメント | 8 | 2 |
| 企業と法務 | 16 | 4 |
| 計 | 100 | 25 |
出題比率の高い分野は、サービスマネジメント系12問(40%)(重点分野システム監査10問)、企業と法務4問(13.3%)、技術要素(ネットワーク、データベース、セキュリティ)5問(16.7%)でした(表8)。7割以上が、マネジメント・ストラテジ系からの出題となります。標準的な難易度の問題が多く、何問はほとんどありません。内容の過去問題あるいは過去問の類題が6割程度出題されていることもあり、全体として、難易度は標準といえるでしょう。
(午前II試験)
出題分野の大半を占める、マネジメント・ストラテジ系分野が対策の中心となります。システム監査では、システム監査業務の基本用語の概念、「システム監査基準、システム管理基準、情報セキュリティ監査基準、情報セキュリティ管理基準」など各基準の基本事項、コンピュータ支援システム監査技法、内部統制の評価・監査の基本的事項、システム監査と他の監査との関係を重点とします。これらは、午後試験でも必要とされる事項です。
このほかのストラテジ、テクノロジ分野については、過去頻出テーマを中心に知識の確認と問題演習を行うとよいでしょう。
(午後I試験)
出題テーマは、「セキュリティ監査」「全般統制」「業務処理統制」「システム開発業務の監査」でした。いずれも、これまでシステム監査技術者で扱われることが多い重点テーマです。販売管理・顧客管理など、業務処理統制(アプリケーションコントロール)やセキュリティコントロールの対象としやすいシステムが設定されており、内部統制評価・監査関連のトピックとして、スプレッドシート統制の内容が含まれていたことが注目されます。問2の内部統制評価の問題以外は、全体に、解答の根拠となる記述が問題文に含まれていることが多く、システム監査の基礎を理解していれば、解答を導きやすいと思われます。
(午後I試験)
出題頻度が高いと予想されるテーマは、セキュリティ監査、業務処理統制の監査、システム開発業務・運用業務の監査などです。
業務処理統制の監査については、業務処理システムにおいてデータ不整合が生じるポイント、セキュリティ上の問題が生じるポイントは何かを学習しておきましょう。
IT業務処理統制については、「システム管理基準」の追補版として公表した、「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス)が経済産業省からで公開されていますので参考にしてください(PDFダウンロード可)。全般統制については、「システム管理基準」「COBIT」などのガイドラインが参考になります。
ほかの高度試験も同様ですが、関連する専門分野の知識を正確なものとするために体系的な学習を行い、問題演習の事例を通して知識の適用能力といった学習が求められます。
(午後II試験)
「シンクライアント環境のシステム監査」(シンクライアント導入による想定リスクとその対策)、「システム監査におけるログ活用」(監査証跡・監査証拠に関する監査業務の基本)、「企画・開発段階における情報システムの信頼性確保に関するシステム監査」(リスクとコントロール)と、システム監査の典型的な分野から3問出題されました。問1(シンクライアント環境)以外は、典型的な内容であり、また論述対象のシステムや業務が限定されていないことから、論述の題材には困らなかったでしょう。難易度は標準です。
(午後II試験)
論述の視点には、新しい情報技術やビジネスモデル、法制度などの知識が要求されており、最新動向をおさえておくことが望まれます。今後の出題傾向も、今回と同じく以下のようなテーマが予想されますので、必要な知識を整理しておきましょう。
(1)システム監査業務自体に関する問題
テーマ:監査業務の基本、監査ツール
⇒監査計画・監査実施・監査報告などで行う作業内容、監査体制の整備を理解する
(2)最新トピックを題材とする
テーマ:個人情報保護、日本版SOX法に対応したIT内部統制、情報セキュリティ、事業継続計画(BCP)、Webシステムの監査、コンピュータフォレンジクスなど
(3)オーソドックスなシステム監査あるいは経営戦略的な視点からの監査業務
企画・開発・運用業務に関するシステムライフサイクルの監査、ソフトウェアパッケーとの監査、委託・受託業務の監査、変更管理の監査、ドキュメント管理の監査など
上記テーマについて、「監査対象となるシステムや業務におけるリスクは何か」→「それに対応するコントロールはどのようなものがあるか」→「コントロールの整備状況・運用状況をチェックする監査手続をどうするか」という流れで論述できることを目標に、論述演習を行いましょう。
著者紹介
加藤浩
TAC IT講座企画部所属。大学教員、TAC 情報処理講座専任講師を経て、 現在は情報処理試験対策を中心とした研修・教材の企画開発に従事
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。