セキュア・プログラミング講座／セキュア VBScript/ASP プログラミング [The sky is the limit! から]
セッションタイムアウト ASP(Active Server Pages)にはセッション管理機能が備わっている。 ASPはブラウザが初めてアクセスしてきたときに、セッションIDを発行し、クッキーとして保存させる。 以後は、WebブラウザからクッキーのセッションIDを受け取り、セッションを識別する。 ASPのセッション・タイムアウト時間ははデフォルトで20分である。 この間に盗まれたセッションIDでアクセスされると、セッションハイジャックされることになるため、タイムアウト時間はなるべく  続きを読む
Date: 2007-03-10 14:10　ID: 4846810

セキュア・プログラミング講座／セキュア Perl プログラミング [The sky is the limit! から]
ファイルオープン時のパスにご用心 Perlでファイルを読み書きする際に、open文がよく使われる。 open文の引数に親ディレクトリへの相対パスを示す文字列\"../\"が含まれる場合、意図していないディレクトリへのアクセスを許してしまう。この攻撃をディレクトリトラバーサルという。 同様にパイプ文字\"|\"が含まれる場合、パスで示される外部プログラムが実行される。この攻撃をダイレクトOSコマンドインジェクションという。ディレクトリトラバーサルと組み合わせて、任意のコマンドを実行することが可能と  続きを読む
Date: 2007-03-10 10:34　ID: 4845690

【短期合格法】シスアドH17春-77 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問７７＞ 開発されたプログラムの著作権の帰属に関する規定が契約に定められていないとき，著作権の原始的な帰属はどのようになるか。 　 ア 　請負の場合は発注先に，派遣の場合は派遣先に帰属する。 イ 　請負の場合は発注先に，派遣の場合は派遣された社員に帰属する。 ウ 　請負の場合は発注元に，派遣の場合は派遣先に帰属する。 エ 　請負の場合は発注元に，派遣の場合は派遣元に帰属する。 ＜問７７の解説＞ 答えは（ア）です。 請負契約で開発されたプログラムは、原則として発注  続きを読む
Date: 2007-03-10 09:28　ID: 4845301

【短期合格法】シスアドH17春-76 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問７６＞ 企業間ネットワークで利用されているEDIに関する記述のうち，最も適切なものはどれか。 　 ア 　EDIにおける当事者間の取決めには，情報伝達規約，情報表現規約，情報運用規約，情報基本規約の四つがある。 イ 　EDIの一つとして，注文書をファックスで受け付け，OCR変換することによって入力処理を効率化する形態がある。 ウ 　EDIの標準化は，全国銀行協会連合会が中心となって進めており，その他の業界を統合する活動を展開している。 エ 　EDIの利点は，発注済データーの修正が  続きを読む
Date: 2007-03-10 09:27　ID: 4845296

セキュア・プログラミング講座／セキュア Java プログラミング [The sky is the limit! から]
危険なクラスたち JavaのSDKで用意されているクラスの中には、プログラマの故意やミスにより適用方法が適切でないと、アプリケーションのセキュリティレベルを低下させてしまうものがある。 アプリケーション開発の大半を占めるものはビジネスロジックとデータ構造のハンドリング部分であり、それらはjava.lang、java.util、java.mathなど一部のパッケージで記述できる。 アプリケーションプログラムを特権部分（SDKの各種クラスを使って熟練プログラマが注意深くプログラミングすべき部分）、一  続きを読む
Date: 2007-03-09 21:09　ID: 4841653

【短期合格法】シスアドH17春-74 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問７４＞ 〔1〕〜〔3〕の手順に従って処理を行うものはどれか。 　 〔1〕 　今後の一定期間に生産が予定されている製品の種類と数量を基にして，その構成部品についての正味の発注量と発注時期を設定する。この設定に当たって，引当可能な在庫量と部品構成表，製造／調達リードタイムを考慮する。 〔2〕 　次に，設備能力の観点から，これらの製品及びその構成部品の生産が可能であるかどうかを調べる。 〔3〕 　その結果に基づいて生産指示を行う。 　 ア　CIM イ　CRP ウ　JIT エ　  続きを読む
Date: 2007-03-09 09:28　ID: 4837647

【短期合格法】シスアドH17春-70 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問７０＞ 連関図法に関する説明として，適切なものはどれか。 　 ア 　事態の進展とともにいろいろな結果が想定される問題について，望ましい結果に至るプロセスを定める方法である。 イ 　複雑な要因の絡み合う事象について，その事象間の因果関係を明らかにする方法である。 ウ 　ブレーンストーミングを行い，収集した情報で似た内容のものをグループ化し，解決すべき問題点を明確にする方法である。 エ 　目的・目標を達成するための手段・方策を順次展開し，最適手段・方策を追求していく方法である。   続きを読む
Date: 2007-03-09 09:27　ID: 4837639

セキュア・プログラミング講座／セキュアデータベースプログラミング [The sky is the limit! から]
SQL組み立て時の引数チェック SQL文UPDATE USER_ACL SET PASSWORD=\'$newpwd\' WHERE USER=\'$user\' and PASSWORD=\'$curpwd\'を発行するアプリケーションにおいて、$newpwd=\"hell\"、$user=\"\"、$curpwd=\"\' or user=\'admin\'\"を代入することによって、ユーザadminのパスワードをhellに変更できる。 上記の例で、$curpwd=\"\' or \'1\'=  続きを読む
Date: 2007-03-08 21:03　ID: 4833793

【短期合格法】シスアドH17春-68 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問６８＞ ある販売会社では，顧客からのクレームをクレーム台帳に記載している。クレームの発生件数を減らすために，最初に作成する分析資料として，適切なものはどれか。 　 ア 　クレームの分類項目を作成し，分類項目別にクレーム件数を数える。分類項目とクレーム件数を軸とするパレート図を作成する。 イ 　クレームを受け付けた曜日別にクレーム件数を数え，曜日とクレーム件数を軸とする散布図を作成する。 ウ 　顧客の地域分類を作成し，地域分類別にクレーム件数を数える。地域分類とクレーム件数を軸とするヒ  続きを読む
Date: 2007-03-08 08:06　ID: 4828437

【短期合格法】シスアドH17春-67 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問６７＞ 損益分析において，固定費として扱われるものはどれか。 　 ア 　商品の配送費用 イ 　直接作業員の時間外手当 ウ 　販売数に応じた販売店へのリベート エ 　マスコミ媒体広告費 ＜問６７の解説＞ 答えは（エ）の「広告費」です。 固定費とは、操業度の増減に関わらず一定の額が発生する費用のことです。広告費は商品の数量などには関係ないので、固定費に含まれます。 （ア）の「商品の配送費用」は、配送費用は商品の数量に応じて増減するので、変動費です。 （イ）  続きを読む
Date: 2007-03-08 08:04　ID: 4828424

【短期合格法】シスアドH17春-63 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問６７＞ 損益分析において，固定費として扱われるものはどれか。 　 ア 　商品の配送費用 イ 　直接作業員の時間外手当 ウ 　販売数に応じた販売店へのリベート エ 　マスコミ媒体広告費 ＜問６７の解説＞ 答えは（エ）の「広告費」です。 固定費とは、操業度の増減に関わらず一定の額が発生する費用のことです。広告費は商品の数量などには関係ないので、固定費に含まれます。 （ア）の「商品の配送費用」は、配送費用は商品の数量に応じて増減するので、変動費です。 （イ）  続きを読む
Date: 2007-03-08 08:04　ID: 4828419

セキュア・プログラミング講座／セキュア Web プログラミング [The sky is the limit! から]
クライアント側入力チェックは安全でない JavaScript等を利用した入力チェックは反応速度が速いなどユーザの利便性を向上させることができる しかし、JavaScriptの実行はクライアント側で制御できる 入力値のチェックは必ずサーバ側で（も）行う クロスサイトスクリプティング サニタイジング（エスケープ処理）はHTML精製時に行う HTMLの文脈にあわせて適切なエスケープ処理が必要だから データの入力はWEBからだけとは限らな  続きを読む
Date: 2007-03-07 22:21　ID: 4825771

【短期合格法】シスアドH17春-63 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問６３＞ 社内情報システム運営に関して，サービスレベルアグリーメント（SLA）という考え方がある。SLAに関する記述のうち，適切なものはどれか。 　 ア 　外部協力会社との新しい運用サービスの契約形態であり，機密情報漏えいに関する規定など，詳細な項目を契約に盛り込むことによって，企業機密を保護するためのものである。 イ 　経営から見た情報システム部門の評価指標であり，年度計画における情報システム部門の目標達成数値である。例えば，開発予算，開発生産性，トラブル件数などが盛り込まれる。 ウ  続きを読む
Date: 2007-03-07 17:41　ID: 4823729

【短期合格法】シスアドH17春-61 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問６１＞ コアコンピタンスの説明として，適切なものはどれか。 　 ア 　経営活動における基本精神や行動指針 イ 　事業戦略の遂行によって達成すべき到達目標 ウ 　自社を取り巻く環境に関するビジネス上の機会と脅威 エ 　他社との差別化の源泉となる経営資源 ＜問６１の解説＞ 答えは（エ）の「他社との差別化の源泉となる経営資源」です。 「コアコンピタンス」とは、企業がサービスや製品などを提供する際に、他社との差別化を可能にするための自社資源、独自の技術、特徴などのこと  続きを読む
Date: 2007-03-07 17:40　ID: 4823726

【短期合格法】シスアドH17春-60 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問６０＞ ISOで規格化されたディジタル動画データーの音声部分の圧縮規格の一つであり，インターネット上での音楽データー配信やポータブルプレイヤーでも利用されているものはどれか。 　 ア　ATRAC3 イ　MIDI ウ　MP3 エ　SDMI ＜問６０の解説＞ 答えは（ウ）の「MP3」です。 MP3は「エムペグ１オーディオ・レイヤー３」の略で、音声部分を圧縮した形式の一つです。音質をほとんど劣化させずに、元データーを10分の１程度に圧縮することができます。インターネットでの音楽  続きを読む
Date: 2007-03-06 09:28　ID: 4812236

【短期合格法】シスアドH17春-59 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問５９＞ PDF（Portable Document Format）の特徴として，適切なものはどれか。 　 ア 　印刷イメージを正しく表現できる“ページ記述言語”であるが，ファイルを圧縮して保存することができない。 イ 　使用ソフトウェアに関係なく文書を流通させることができるが，書式を受け渡すことができない。 ウ 　タグを含んだテキストファイルで，タグを用いた検索が効果的に行える。 エ 　ワープロソフトなどで作成した文書の体裁を保持でき，異なるプラットフォームでも表示ができる。   続きを読む
Date: 2007-03-06 09:27　ID: 4812225

【短期合格法】シスアドH17春-57 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問５７＞ 文字コードに関する記述のうち，適切なものはどれか。 ア 　EBCDICは，汎用コンピューターに利用されている2バイトコードである。 イ 　EUCは，サーバーの多言語対応をサポートするコードであり，日本語環境では4バイトからなるコード表現を採用している。 ウ 　Unicodeは米国のベンダー主導で制定され，ISOで規格化された文字コードである。 エ 　シフトJISコードは，8ビットの文字コードと16ビットの文字コードを、制御符号を用いて混在させている。 ＜問５  続きを読む
Date: 2007-03-05 09:50　ID: 4803364

【短期合格法】シスアドH17春-56 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問５６＞ オブジェクト指向技術の標準化団体「OMG」が制定した，オブジェクト指向による分散処理環境を実現するためのオブジェクト管理プラットフォームの参照モデルはどれか。 　 ア　COM イ　CORBA ウ　DCOM エ　OLE ＜問５６の解説＞ 答えは（イ）の「CORBA」です。 「OMG」とはオブジェクト・マネジメント・グループのことで、この団体は、コンピューターの動作環境をオブジェクト指向技術の利用により統一する、という目的を持ちます。 答えの「CORBA」はC、  続きを読む
Date: 2007-03-05 09:49　ID: 4803362

【短期合格法】シスアドH17春-55 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問５５＞ ISO9001:2000の認定に関する記述のうち，適切なものはどれか。 　 ア 　1回認定されると，資格は半永久的に有効である。 イ 　サービス産業を含まず，製造業を対象に認定する。 ウ 　認定をする審査登録機関は，1国につき1機関である。 エ 　“品質マネジメントシステムの国際規格要求事項を満たす組織”を認定する。 ＜問５５の解説＞ 答えは（エ）です。 ISO9000シリーズとは、ISOである「国際標準化機構」が定める、品質管理と国際規格のことです。  続きを読む
Date: 2007-03-04 11:50　ID: 4796101

【短期合格法】シスアドH17春-53 [情報処理技術者試験　短期合格のための超勉強法 から]
＜問５３＞ 情報セキュリティーポリシーに関する記述のうち，適切なものはどれか。 　 ア 　企業のセキュリティーポリシーは，各セキュリティーシステムに設定すべき内容の定義を目的としているので，導入するセキュリティー関連製品によってその内容が異なる。 イ 　企業のセキュリティーポリシーは，遵守すべき行為及び判断の基準となるもので，セキュリティーの取り組みに対する姿勢や方向性は含まれない。 ウ 　企業のトップが，セキュリティーポリシー策定の要因となっている情報システムのぜい弱性を対外的に公表す  続きを読む
Date: 2007-03-04 11:49　ID: 4796096