はじめに。

*こちらは問題回答編となります。(題意考察編はリンク参照下さい)

このブログは決して読んで合格するような大それた内容ではございません。

ただ僕の勉強をここで日々ブログにしたらいいかなという他者に申し訳ない

緩い考えのブログですが、内容はちょっと(かなり?)コアですが、同じく

高度情報処理を勉強しようと思う方であればきっと中には楽しんでくれるかも。

少なくてもお堅いイメージの内容を面白おかしく印象的な解き方を手法とでき

ないかの研究も交えてなので、僕的には結構楽しんでます♪

注: 問題文を見ないと、何のことかわからないと思うのが欠点ブログとなっています(苦笑)。

なので、お手数ですが以下のサイトで対象年度の問題・解答などをダウンロードして頂ければと

思います。

過去問題(問題冊子・配点割合・解答例・採点講評) など

↑ ITSMは秋期試験です。



僕の高度情報処理試験・勉強日誌~ITSM編!! 第38回 H22/問4・設問3(2)

3.H22(2010)・午後1・問4

さぁ(2)です。

◆問題読むです。キーワードピックです。

①アカウントの管理の運用改善策

②定期的な点検で実施すべき事項

と、これだけでした。

 

定期的に何を点検するのか?なぜそうすべきかわかっておく必要がありそうです

関連チャプタといえば、〔セキュリティ監査〕の最初の指摘部分のアカウント付与以外の1番目、

”退職者のアカウント削除が円滑でなくセキュリティ要件の規定順守に問題”

とあり、これの改善策という事のようです。

 

では、なぜ定期的な点検をすると、改善策と言えるのか?ですが、

前回、付け足しのように書かれていると感じた記述箇所の②

アカウントの削除は承認はされていてもサーバ削除処理2週間ごとの定期メンテナンス作業の中でしか行われない

といった内容があり、今回、不正利用というけれど、恐らく利用していた派遣社員は言われるままにそのIDを使えるという理由で、悪いと知りながら利用していたとは思えない点が逆に問題かもしれません。

たぶん、その派遣社員は言うでしょう

「え?僕は悪気はなかったし知らなかったです」と。

 

まぁその言い分も今回の規約・運用上はいわゆる”穴”だったという事で露見したと思われます。

で、定期的な点検で何をするかという問われている点でもある、この改善点は、例えば、定期的なメンテナンスによるキーワード=アカウントの削除ではないかと思われます。

しかし、解答は、アカウントの削除をする。とだけではきっと不足しすぎでしょう。

つまり、点検でどういう状況でどうなったからアカウントの削除をする。というところが明確でないとだめなような気がします。

 

そうすると、アカウントの削除って、2週間の定期メンテナンス作業の中で実施と書かれてましたが、その削除する詳細は恐らくアカウント削除依頼書に基づいて実施されるものと推定されます。しかもその作業がサーバ管理者と思われますが、メンテナンスでなく、点検と書かれている表現が気になりましたが関係するのでしょうか?

 

また改善策は、サーバ管理者がサーバに登録されているアカウントを点検

とあり、今までサーバ管理者はやってなかったという事です。

では、アカウントの何を点検するというのでしょうか?

管理者による不正防止っていう不正って何なのでしょうか?

 

そう考えると、解答は、

不要アカウントを定期点検で見つけた場合サーバからのアカウント削除を実施する

37文字/40

 

ところが、模範解答は以下のようで全然違ってました!!!!

登録されているアカウント一覧サーバごとに作成し承認者に確認依頼をする。

との内容で、見当違いも甚だしい、まぁ不正解でした。

 

で、この解答から設問で問われている内容は何かという事になります。

まぁ題意の読み違えと言ったらそれまでなんですけどねぇ。

 

つまり、僕が解釈した題意は、定期的な点検での結果、点検後に実施すべき事

でしたが、本来は、点検するため、というか点検そのもので実施すべき事でした。

 

じゃあそう書けよ!!って、ちょっと出題者にキレました。(・・・反省)

もう少し丁寧に設問を書き直したとしたら、

定期的な点検で実施すべき事項とは、つまり・・・

=定期的点検をするために実施すべき作業(事項)

もしくは

=定期的な点検とは、一体どういう内容か?

とストレートに書かれていれば、少なくても・・・・って、まぁ言い訳ですね。

ここで学ぶことは書いている設問の意味をしっかりと読み違えない事です。

 

あ、あと、メンテナンスと点検は別モノなんですね。どっちも定期的と書いてたので、なんか紛らわしいなと思ったのはきっと僕だけですね。。。はぁああ

 

で、解答を更に見ます。

点検するのは、サーバごとのアカウントの利用状況の確認を承認者にお願いする事が目的で、その確認で不要となったのは手で管理者がサーバから削除するのか、そういった仕掛けを作って削除するか、とにかくそういう事ですが、解答とは削除する事は関係ないわけでした。

 

で、それって、もうシステム自動化でなく、泥臭いやり方で、

『今回定期的に××サーバのアカウント一覧造りましたけど、不要なアカウントってあったら教えていただけませんか? 』

ってこの忙しいのに、承認者、つまり購買部長とかにお願いしてるという事になりますが、なんかそれっていきなり個人的に苦し紛れの仕方なしの改善策で、そのうちに今度は、購買部長から、こんないちいち確認するの大変ですよとクレーム来そうじゃないのかって思ったりしましたし、確認ミスや削除ミスとかしたら今度は利用できないというユーザが出てきたりとこれもまた色々と面倒だなと思ったりしましたが、、、こういうのは題意編で書きます(苦笑)

 

とまぁ、今回は何を言ってもいいわけです(苦笑)

さて、久しぶりに、心得です。

『解答の前に正しい題意かどうか確かめなはれ』

ですね(苦笑)。

 

そういう事で、ラストの(3)ですね。