経営情報システム:経営情報管理の学習ノート表紙

             −目 次−  凡例:[page]

1.経営戦略と情報システム………………………………………………………………………………1
(1) 経営戦略と情報化[1]
   経営戦略の明確化、経営戦略の策定、e−ビジネス、情報化社会
(2) 情報システムの種類と内容[4]
   データ支援システム、意思決定支援システム、経営者支援情報システム
   戦略情報システム、情報ネットワークシステム、企業革新と情報システム

2.情報システムの開発……………………………………………………………………………………7
(1) システム化の計画とプロセス[7]
   システム構想策定、システム分析・設計技法、
   システム実行計画の作成、システム設計開発体制の整備
(2) 現行システムの分析[11]
   業務分析・設計、利用者の要求への対応
(3) 全般システム分析・設計[13]
   目標定義、概念モデル、組織上の制約、データ処理組織の定義
   システム設計プロポーザルの作成
(4) システムテスト・導入支援[14]
   システムテスト技法、システム導入支援

3.情報システムの運用管理………………………………………………………………………………16
(1) システム運用[16]
   利用者の参加・教育、情報専門家の育成・配置、システム運用管理体制
   中長期的なシステム改善計画策定、プロジェクト管理
(2) セキュリティとリスク管理[18]
    機密保護・改ざん防止、不正侵入対策・可用性対策、インテグリティ対策、リスク管理

4.情報システムの評価……………………………………………………………………………………23
(1) 品質評価[23]
(2) 価値評価[24]

5.外部情報システム資源の活用…………………………………………………………………………25
(1) アウト/インソーシング[25]

6.情報システムと意思決定………………………………………………………………………………26
(1) 問題分析・意思決定技法[26]
(2) 計量分析技法[26]

7.その他経営情報管理に関する事項……………………………………………………………………27

参考図書

リンクの参考資料 p1〜p3
1.経営戦略と情報システム 2つの側面を持つ「経営戦略と情報システム」 〃弍沈鑪上の重要な情報を収集・処理する情報システム……(情報の資源的視点) ⊂霾鹹命技術を利用して経営戦略を実現する……(機能としての設備的視点) (1) 経営戦略と情報化  −情報化は経営戦略のツール− (イ) 経営戦略の明確化 経営戦略を明確にした上で情報化を進めること。主に、競争戦略と経営資源戦略を対象に考える。 競争戦略の目的ゞチ萢グ未粒容世醗飮:資源としての情報量とその活用、情報の収集・発信の迅速性、競争他社の競争力を弱める:情報通信技術を活用した新たな仕組み(例:仮想店舗街) 競争戦略案顧客とのリレーションの強化、競争優位の獲得(スピード、疎通)、市場の創造、新規ビジネスの創出など 経営資源戦略人・モノ・金・技術・情報などの経営資源を、調達・生産・流通・販売などのオペレーションにどのように活用するか。特に、情報及び情報通信技術を利用し、いかに効率的・効果的に運営するか。また、経営資源をどのように管理していくか。 H26-13:ITの利活用   (ロ) 経営戦略の策定  経営戦略の策定と情報システム戦略の策定との整合性が保たれていること。
 経営戦略に不可欠な情報システム戦略
情報システムの役割 仝楜匸霾鵑鮹濱僂垢 業務プロセス効率化……可視化、一元化して戦略の実効性を高める E切な情報把握による意思決定の迅速化 情報の活用 情報価値の認識と価値の識別、共有 情報利用・情報活用を情報システムで促進する 顧客情報の有効活用……ワンツーワンマーケティングの展開 経営戦略による業務改革の促進 内外共有化企業内の作業効率化、意思決定迅速化、コミュニケーション向上。企業内から企業間へ:QR、CALS、ECR、納期短縮、在庫削減、CRP(連続補充)、SCM 情報集中管理DBMSを導入して分散DBを集中管理する。ERPを導入して業務効率化を図る 経営戦略で活用するモデル DBマーケティング顧客情報(特に行動履歴、購買履歴)を蓄積して、顧客の要望に合った対応をしようとするマーケティング戦略。顧客ストック産業(銀行、通販、カード会社など)と顧客フロー産業(航空会社、小売業など。顧客カードなどによりDB化が可能)で顧客情報を蓄積している。さらに、ディスカウンターもポイントサービスによって単品の特売からDBMへ進む。これらはカスタマー・マーケティングといわれ、個客対応である。  マーケティング&コミュニケーションの手順と展開 /形な行動履歴を持つ顧客DBをつくる、∧析(データマイニング)、最適解の商品・サービスを用意する。 い修両紊妊灰潺絅縫院璽轡腑(レコメンデーション)を実施。シ覯漫⊃靴燭淵如璽織戞璽垢箸靴特濱僂垢襦 ※レコメンデーション…Webサイトを訪れた顧客の購買履歴やアクセス履歴を分析して、新たな購買商品を推薦する。 具体的目的は顧客の固定化、潜在ニーズの発掘(好みや興味がわかるから、他の人も参考)であり、具体的方法は、 ゞ調フィルタリング方式:同じ購買傾向の顧客をグループ化し、まだ買っていない人へ推薦する、 ▲襦璽襯戞璽絞式:ノウハウや履歴を参考に、顧客の行動と推薦商品をルール化する、 チェックボックス方式:事前に興味分野などを聞き、それに応じて推薦する。 例としてアマゾンの、本の検索時に「合わせて買いたい本」「買った人はこんな本も買っている」の閲覧がある。  
-1-
(ハ) e-ビジネス さまざまな企業活動をネット上で展開することをe-ビジネスとよんでいる。その背景は、企業が関係者(ステークホルダー)との間で、ビジネスプロセスにおいて積極的にインターネット技術を利用しており、インターネットはビジネスのプラットフォームとしての役割をなしている。 コンテンツと取引 情報提供・情報収集製品や便益情報を提供したり、消費者の要望・意見を収集する。Webサイト、SNS、ツイッターなどが利用される。 B to Bビジネス対ビジネス。電子商取引の売上割合が増加している。 B to Cビジネス対消費者。ネットショッピングで、商品を販売(法的には通信販売に該当)。「ドロップシッピング」とは自分のサイトでPRし、売れたら専門業者から直送してもらう O to Oオンライン対オンライン。例として、スマホからの位置情報によって特定の消費者に割引クーポンを送るなど。 「モバイル・ビジネス」携帯電話の普及によって増加。チケット予約、店舗紹介・誘導、電子マネー・銀行振り込みも利用可能に。 「IoT」インターネット・オブ・シングス。あらゆるものがインターネットのつながるというIOT。2020年には1兆円近くなるとされている市場規模。   (ニ) 情報化社会  1965年にCPUの原型ができ、1990年代からインターネットの普及でデジタル社会とかネットワーク社会と言われてきた。最近では、従来のコンピュータ中心のITによる情報処理への期待に対して、ネットワーク通信技術の発展と可能性への期待を込めてICT革命という概念も使われるようになった。 二面性……‐霾鵑魍萢僉↓⊂霾鶺ヾ鑠瑤魯灰鵐團紂璽燭魍萢僉CAD、CAMなど) 情報をうまく活用する 業務で活用……業務日報・営業日報を利用したビジネスインテリジェント・システム POSデータを利用して物流・在庫管理を行い、JIT物流やゼロ在庫の実現を目指す。 CRMによって顧客との関係性管理を重点的に行い、顧客サービスの向上や顧客満足を高めて長期的に良好な関係性を持続しようとする。 SCMによって、企業間で顧客データや需要動向を共有しチェーン全体の最適化を図る。 共有化ステップ一元化・標準化→共有化→情報の提供 要点は、‐霾鵑鯡棲里砲垢襦↓確実な登録、常に使えるようにする、ぅ札ュリティの確保 情報化投資の課題「生産性パラドックス」(情報化が進んでも生産性の上昇が統計的に確認されない状況(H18-15)) 社会システムへの活用……ETC、電子通貨への進展 情報化機器導入……小売業のPOS利用、設計・生産の自動化など CAD STEPSTandard for the Exchange of Product model data. 製品データの交換に利用する。「情報表現」と「情報交換」に関する規定で、形状データのみならず構成管理データや運用管理データも交換するためのものである(H21-13)。 情報化への対応例(H19-12) ○ ある従業員は、社内業務処理とともにインターネットで電子メールやブラウザを利用して、業務上の情報収集を通常業務用パソコンから行っていた。しかし、セキュリティなどの問題を考慮して、ネットワーク系統を社内の基幹系と情報系に分割することとした。 ○ 同業他社では、従業員教育にeラーニングシステムを導入して、教育の合理化、効率化を図ろうとしている。当社ではその実績が無いことから試験的な利用を検討したが、基本的な方針としてしばらく他社での実績をみつつ勉強を重ねることとした。 ○ どんな時代であっても最新のITの動向を調査し、その利用可能性を検討しながら、その適用を含めて当社独自のビジネスプロセスを試行錯誤して構築することが重要であるとの認識に至った。  
-2-
様々な情報システム(H22-15) SOAService Oriented Architecture. XML形式標準プロトコルでメッセージ送受信を行うインターネット技術を組み合わせて、アプリケーションサービスを提供する。 クラウドコンピューティング仮想化技術を活用して、インターネット経由でユーザが必要とするサービスを柔軟に提供する。 グリッドコンピューティング多数の小型コンピュータをネットワーク経由で協調処理させる形態で、主な狙いは処理性能とスケーラビリティにある。 ユーティリティコンピューティングコンピュータのハードウェアやソフトウェアの利用を、買い取りやリースではなく、利用量による従量制で支払う考え方。 「Web2.0企業コアコンピタンス」単一デバイスの枠を超えたソフトウェアを提供する(H19-13)。   H25-15:経営戦略と情報化(ビッグデータ) H25-16:経営戦略と情報化(クラウドサービス) H25-17:経営戦略と情報化(IT経営ロードマップ:経産省) H26-14:電子証明書 H27-13:経営戦略と情報化(情報システム用語) H27-14:経営戦略と情報化(電子帳簿保存) H28-14:[情報化社会]「つながる」仕組み H29-14:経営戦略と情報化(情報化社会:デジタルデータ) H29-15:経営戦略と情報化(情報化社会:デジタルデータ) H29-16:経営戦略と情報化(情報化社会:データウエアハウス)   ネットワークの図  
-3-
(2) 情報システムの種類と内容 データ処理から顧客満足を高める戦略を支援する方向へ展開してきた。  EDPS → MIS → DSS → ESS → SIS →へと進んできた。 (イ) データ支援システム 概要業務の自動化を目的に、データの自動化、統合化のシステム 指向性自動データ処理や統合データ処理のシステムで、これらは電子データ処理システム:EDPS(Electronic Data Processing System)と呼ばれた。 詳細自動データ処理は、一定期間または一定量のデータをまとめて処理するバッチ方式から、業務別にトランザクション(取引)処理を行うようになった。さらに、その領域を拡げてデータを統合するようになり、リモートバッチ処理による取引データを中央のコンピュータで集中処理またはファイル化することができた。 MISの登場(MIS:Management Information System) 管理活動の自動化・統合化を目指すMIS概念が提唱され、管理業務に必要な情報を管理階層に提供することができた。これはオンラインリアルタイム処理と全社的データベース管理機能で実現した。   (ロ) 意思決定支援システム(DSS:Decision Support System) 概要経営の情報を蓄積し、検索・加工して経営計画策定などの意思決定に役立てるシステム。各種の情報を非定型で分析できる。 指向性モデルやデータを利用するが、一般的にはモデル指向タイプといわれる。 対象業務的意思決定を支援するもので、対象の階層はオペレーションレベル。マネジメントコントロールや戦略的計画に絞られる。 詳細支援は対話機能を使ってデータマイニングなどを行う。意思決定の有効性の向上を目指して、DDMパラダイムといわれるソフトウェア(DGMS)、データベース(DBMS)およびモデルベース(MBMS)が構成される。さらに、OLAPやグループウェアが加わる。 課題意思決定者の能力に依存する部分が大きく、適切性は確保しにくい。 ※データマイニング……蓄積されたデータ(情報)から規則性を見つけ出すこと。「紙おむつを買う客の多くはビールを買うので、隣接して陳列する」等の例。 科学的アプローチの例 〆澹北簑蝓帖ABC分析や発注方式に利用される 待ち行列……システム系に使用、ポアソン分布と指数分布でシュミレーションを実現 線形計画法……制約内での最適計画(LP)。製品ミックス−グラフ法、シンプレックス法 ず了酸計算……投資採算など ゥ好吋献紂璽螢鵐亜帖PERT Δ修梁ゲーム理論、シュミレーション、動的計画法、巡回セールスマン問題、多変量解析(需要予測、重回帰分析、判別分析・因子分析、主成分分析、数量化理論)、クラスタ分析、ニューラルネットワーク、遺伝的アルゴリズム(GA)、その他分析:What-if分析(条件の変化で結果の違いを分析,例:税率変更→財務見直し)、感度分析(変数が1単位変化したときの目標値の変化量)、ゴールシーキング(目標に対する結果を得るための入力値を促す分析)    
-4-
(ハ) 経営者支援情報システム(ESS:Excutive Support System) 概要「経営者が使う(使える)情報システム」的な役割を持つ、トップマネジメントの意思決定支援システム。 指向性データ(検索)指向 詳細戦略レベルの問題発見などで経営者を支援するため、複数のアプリケーションで業績監視からデータ分析、そして意思伝達などの機能を備える。検索や分析にOA機能、秘書業務処理及びMISの検索・報告機能が加えられた。 ※(ESS又はEISは)データドリルダウン機能を充実させ、経営者による問題発見を実現(H15-9)。 ※経営者情報システム(EIS:Excutive Information System)も同様(H15-9)。   (ニ) 戦略情報システム(SIS:Strategic Information System) 概要「競争優位の確立を目的に戦略的に活用される情報システム」(Wiseman)のこと。 指向性※戦略指向? 詳細(戦略的な案件ともいえる)企業の競争力の強化や新規事業の開拓に情報システムを活用しようとしたもの。 ※日本では1980年代後半に当たり、情報システムの捉え方に変化が見られた。但し、一時的には競争に有利になったとしても、持続的な競争の源泉にはなりにくいとされ、その後1990年代は、(バブルの崩壊とともに)ビジネス・プロセス・リエンジニアリングが展開された。   (ホ) 情報ネットワークシステム 組織運営による企業活動を支えるのはコミュニケーション・ネットワークである。地理的に分散している事業所間、企業間においては即時性の高いコミュニケーションの実現が可能になる。 イントラネット インターネット技術を用いて構築された企業内ネットワーク。具体的には、企業内の各拠点をインターネットを介して結ぶネットワーク。インターネットとイントラネットの結節点にファイアウォールを配置して外部からのアクセスをコントロールしている。クローズドシステムである。 エクストラネット 外部の特定の主体にアクセス権を認めたイントラネット。特定の主体とは特定の顧客や協力会社あるいは取引先などである。利用方法はEDI、企業間取引(B to B)など。 オープンネットワーク エクストラネットにおいて、標準プロトコルを使用し、データ・フォーマットを統一して相互接続性を高めることでより広くアクセス権を認めたもの。範囲を拡大したEDIやCALSあるいはB to Bである。 インターネット インターネット技術を利用して広範囲にオープンな情報ネットワークを行う方法で、世界に広がる。狙いは潜在顧客を求めてより多くの参加を期待する場合と、安価な高速通信技術を活用する場合がある。前者はホームページやサイトで不特定多数の閲覧・参加を求めるものだが、後者はインターネットを利用してイントラネットやエクストラネットを行うもので、従来の専用回線をインタ−ネット上に仮想敷設したようなもの。 Web2.0…….蹈鵐哀董璽襪鮗茲蟾み(利用者も参加) ▲如璽織宗璽垢鬟灰鵐肇蹇璽襦文鎚魅愁侫箱ネット上のソフトへ) サービスである。(以上H19-13)   ビッグデータの扱い 公正取引委員会はデータの取り扱いについて、共同収集したり共同利用する際は、競合他社製品などの価格や数量を推測させる共同収集は注意を要す、とする。 一方的にデータ提供を求めるなどは問題があるようだ。  
-5-
(へ) 企業革新と情報システム 企業革新といえばビジネスプロセス・リエンジニアリング(BPR)とされるほど集中と選択が問われている。企業全体だけでなく事業や部門のビジネスプロセスにもリエンジニアリングが要求されている。 ビジネスプロセス・リエンジニアリング(BPR) コスト、品質、サービス、業務スピードを劇的に改善するために、取引の発生から完了までの一連の業務の流れであるビジネスプロセスを再構築すること。情報技術を最大限に活用することが不可欠とされている。 BPRと情報業務の統合や管理活動の自動化など情報技術を駆使して業務プロセスを改革するので、経営情報の一つといえる。 BPRの発展川上から川下まで広がったSCM、ワンツーワン・マーケティングのCRM。 経営情報システムの使命(抜粋) 経営効率の向上より少ない経営資源で顧客に製品・サービスを提供すること 有効性の向上同じ経営資源でより大きな価値を顧客に提供して、顧客満足度向上、競争優位の獲得、売上の拡大などを図る。 革新への活用 グループウエアなどの活用コミュニケーション&効率 DBの活用仮説検証→代替案の選別(ヒューリスティックモデル:発見的方法) ネットワークの活用収集・伝達・発信  ※組織のフラット化と分散している情報システムを統合する方向へ ビジネス・インテリジェンスビジネスに関する情報をデータ・ウエアハウスに蓄積し、データ・マイニングやオンライン分析処理(OLAP)、統計解析などを用いて効率よく経営に役立てる。 ビジネスインテリジェンスシステム……業務システムに蓄積されたデータを分析・加工して、企業の意思決定に活用する(H22-20)。 革新へのツール ビジネス・プロセス・モデリング厳密に定義したモデル化によって、業務プロセスの効率やコストの分析・シュミレーションを行うこと。UMLを使用してモデルを構築する。業務プロセスをアクティビティ図で示し、文書や物およびリソースをオブジェクト図で示す。Eriksson-Penkerなど。<移動UML クラウドコンピューティング情報システムを保有せずに、インターネット経由で情報処理サービスを利用できる。Saas、IaaS、HaaS、PaaSなどがある。   H27-15:情報システムの種類と内容(仮想化技術)  
-6-
2.情報システムの開発 上流工程(最初の構想段階)に時間をかけ、しっかりと計画することが必要。 (1) システム化の計画とプロセス 情報システム開発の基本フェーズ(H22-14) F:フェーズ F1:要件定義、F2:外部設計、F3:内部設計、F4:プログラム開発、F5:各種テスト、F6:稼働 (イ) システム構想策定  情報システムは経営目的を達成する手段である。事業の目的や目標を達成するために必要な情報システムの要求事項を、ひとまとまりの計画として構想する。具体的には、対象業務を分析(問題点や課題の解決策を見つける)し、解決策を実行するシステムの概要と、概算コストおよび効果、開発スケジュール、開発体制などを明らかにする。※要求事項と分析が前後する場合もある。 情報システム開発のプロセス 要求事項をもとに要件を定義する。その後、基本設計(あるいは外部設計)、詳細設計(あるいは内部設計)を行い仕様を確定する。仕様に基づくプログラミングとそのテストを経て、導入・運用される。 システム構想の要点・要素 目的の明確化、目標の数値化、リスクの認識と回避、5W2Hの計画、体制整備 コストの把握 システム設計の見積……ファンクションポイント法、プログラムステップ法、COCOMO法など。<詳細 ユースケース図 業務の把握:モデル化 データの流れや関係……DFD、E-R図 統一された表記:UML……ユースケース図(右の図)、クラス図 システムインテグレータシステムの企画、開発、保守、運用を一括して請け負う業者(H19-15) 情報システム開発の上流工程の原理原則数値化していない要件は、それを満たしているか否かの判定基準が人によって異なるので、数値化すべきである(H22-18)。   H25-18:システム投資とシステム開発 H27-16:システムの設計(図) H28-15:[システム構想策定]失敗事例を避ける H28-16:[システム構想策定]見積もり方法:CoBRA法 H29-18:システム化の計画とプロセス(ソフトウェア開発の見積)  
-7-
(ロ) システム分析・設計技法 システム分析 プログラム開発に必要な条件はハード、ソフト、操作の3つである。ハードウェア条件はハードウェアの能力や容量など、ソフトウェア条件は入出力やファイルなど、操作条件は画面・帳票・操作手順などである。そのためにモデル化する。 モデル化 ビジネスシステムのプロセスと構造を対象にモデルを作成することをビジネスシステムモデリングという。表記の統一を図ることで分析や設計に使われる。以下はモデル化の例。 UMLUnited Modeling Language. 統一モデリング言語。システムの概念整理から外部設計・内部設計、実装までをカバーする記述方法を提供する言語。オブジェクト指向のソフトウェア開発で使われ、プログラム設計図の統一表記を行う。クラス図、ユースケース図などが用いられる。<補足 UMLはオブジェクト指向によるシステム分析・設計で用いられる(H19-18)。 UMLとは、オブジェクト指向開発において利用される統一表記法である(H22-15)。 ※モデル図式法:シーケンス図、クラス図、ステートチャート図(H17-13)。 ユースケース図とは、システムにはどのような利用者がいるのか、その利用者がどのような操作をするのかを記述する、UMLのダイヤグラムの1つである(H22-15)。 設計技法……ウォータフォール  プロトタイプ  スパイラル  ◆ウォータフォールモデル SDLC手法(System Development Life Cicle:システム開発ライフサイクル手法) 前工程が完了してから着手する「ステップ・バイ・ステップ」に基づくので水の流れに例えられる。ステップ(作業工程)は、要求−分析−設計−製造−テスト−保守であり、システムのサイクル順に次のサイクルへ進み、後戻りしない。ツールとして機能情報関連図、状態遷移図、データフロー・ダイヤグラム等を利用する。ボトムアップ設計の一つ。 特徴は、定型的・反復的で大規模な基幹業務の情報化に適すが、システム開発の長期化、ユーザーの理解程度および柔軟性の欠如などの課題もある。また、現状から導く情報要求なので機能増幅などは困難。 「各工程を後戻りなく行う方法であり、最も基本的な方法とされている。」(H19-15)   ◆プロトタイプ・モデル(試作品モデル) 「利用しながら評価・改善して完成レベルに近づく」手法で、進化的アプローチや増分的アプローチともいう。事前に情報・機能要件を明確にするのは困難で、要件は時間の経過とともに変化するものと考える。最初にコアの機能要件を確定して試作品を用意し、利用・評価によって改善・機能増幅を行う。 特徴として、非定型的特性の小規模の情報システムの開発に適す。 「試作品をユーザに見せて確認しながら行う方法であるが、比較的小規模なシステムの開発に限定されるなどの課題がある。」(H19-15) ※ウオーターフォールモデルよりプロトタイプモデルが多く、ユーザーに確認しつつ開発する。   ◆スパイラルモデル ウォーターフォールモデルで試用、(反映では)プロトタイプモデルも使う方法。システムを複数のサブシステムに分け、基本となるサブシステムをまずウォータフォールモデルの方法で開発してユーザに試用してもらい、その結果を反映させて次のサブシステムを開発する方法である(H19-15)。(H18-17も) 独立性の高いサブシステムから開発し、順次サブシステムを構築して完成していく(H21-16)。   他には構造化プログラミングによる段階的詳細化法、構造化設計手法、複合設計法、トップダウン法があるが利用は減少している。  
-8-
その他の技法 ◆データ中心アプローチ データの流れからシステム設計するデータ中心アプローチ(DOA) 処理されるデータそのものを中心にして設計する手法で、最初にユーザーの要求する情報を生み出すすべてのデータを洗い出して構造化する。 特徴は、組織環境の変化や経営活動によるデータの属性は変化せず、内容が変わるだけである。標準化を進めやすい。標準化を進める手法は、データフロー方式(DFDモデル)、データモデル方式(E/Rモデルなど)である。ただ、経営活動とデータの関係性定義やグループ化、全体の見通しなどは経験や時間を要する。 ◆オブジェクト指向アプローチ データとプロセスをカプセル化し、オブジェクトとして開発(非定型にも対応可)する手法。オブジェクト指向開発の表記の標準化(UML)が備わる。<オブジェクト指向> 特徴は、カプセル化したデータをブラックボックスとして扱うため、システム設計者やプログラマーは進めやすい。オブジェクト指向の言語であるC++ やJavaなど広く使われる。 開発環境 ◆エクストリームプログラミング(XP):開発モデルのひとつ 開発対象を多数の小さな機能に分割し、反復(イテレーション)で1つの機能をなす。 変化するビジネス環境に対応してソフトウェアを開発する手法の1つであり、4つの価値と12ないしそれ以上の実践項目(プラクティス)の下で迅速なシステム開発を目指すものである(H21-16)。 ※4価値……コミュニケーション、フィードバック、シンプル、勇気 ※プラクティス……計画ゲーム、短期リリース、メタファ、シンプル設計、ベアプログラミング、テスト他計12による迅速な開発 改善点が見つかったらいつでもプログラムコードを見なおす(H16-10) システム開発を迅速かつ確実に進める方法で、仕様書をほとんど作成せず、ストーリーカードと受け入れテストを中心に開発を進める方法論である(H22-14)。 開発の生産性を問うツール……各種コンパイラ(開発工程の下流をサポート)、4GLやデバッガ、バージョン管理(共同作業で) RAD(高速アプリケーション開発(短期システム開発)) 開発ツール CASE(Computer Aided Software Engineering):コンピュータ支援ソフトウエア工学 CASEツール(software)で開発効率の向上と人間能力依存防止。独自の開発方法論収納 上流CASEツール:システムの工程計画、分析から設計までカバー 下流CASEツール:製造からテスト、保守までをカバー 統合CASEツール:上流から下流まで 動向……外部開発の進展とパッケージの利用が進む 「最高の開発方法論の選択プロセスから、最高のパッケージの選択保証のプロセスへ」進んでいる。 外部設計・内部設計 外部設計要求定義に基づき、利用者の立場から見た論理的な設計をすること。必要画面や情報項目、画面レイアウトなど。 内部設計外部設計書に基づき、開発者の立場から物理的な設計をすること。入力のチェック方法、メッセージ内容など。 ※アクセサビリティ(誰もが利用できる)とユーザビリティ(使いやすさ:GUI設計)に留意 コード設計>  <モジュール分割 アジャイル開発手法……素早く無駄がないようにソフトウェア開発することを目的とした手法をいう。 H26-15:開発の設計技法 H27-18:アジャイルシステム開発 H29-17:システム化の計画とプロセス(システム分析・設計技法:ウォータフォール)    
-9-
(ハ) システム実行計画の作成 5W2Hで明確な計画 What:何をするのか、Why:なぜそれをしなければいけないのか、Where:どこで、どの対象範囲をするのか、 When:いつまでに、どのようなスケジュールでやるのか、Who:誰がやるのか、How:どんな方法でするのか、How much:費用はいくらかかるか(認識) レビューデザインレビューなどで、開発の各工程ごとに設計品質の評価や終了確認を行うこと。ラウンドロビン(持回り検討会)やウオークスルー(机上シュミレーションでレビュー)などがある。 ラウンドロビンは参加者全員が持ち回りでレビュー責任者を務める。 ウォークスルーは作成者が入力データを仮定してステップ実行しながら説明する。 インスペクションは第三者が議長として検証する。(事前に参加者に役割を与えモデレータ(議長)を固定しておこなう。) スケジュールの作成アローダイヤグラム(PERT図)でプロジェクトの所要日数を把握するのに使う。作業の順序関係を表すために、所要日数がゼロの作業をダミー作業という。ここで、下図から、このプロジェクトが終了するまでに必要な最短日数は何日か。<正解 PERT図 (ニ) システム設計開発体制の整備 ソフトウェアの品質や生産性は、それを展開する組織の成熟度に依存すると考える。よって、開発組織の能力の成熟度を評価し、能力向上へ向けて取り組む。 CMM……Capability Maturity Model for software. 能力成熟度モデル。ソフトウエア開発のチームとプロセスを5段階で評価(プロセス=レベル) ※段階的モデルといわれる ―藉段階(Initial)場当たり的な開発・保守のレベル、特定個人の能力に依存している。 ∈童讐椎柔段階(Repeatable)基本的プロジェクト管理レベルを確立、経験から成功事例を再現できる。「基本管理の確立(管理された状態)」 D蟲礎奮(Defined)生産と管理プロセスが組織の標準プロセスとして定義されている。「開発プロセスの文書化・標準化(定義された状態)」 ご浜段階(Managed)プロセスと成果物の定量的な測定基準があり、測定、コントロールされている。「開発プロセスと製品品質が定量化されている」 ズ播化段階(Optimizing)革新的アイデアや技術の定量的な測定を還元してプロセス改善が継続的である。「測定結果のフィードバック(最適な状態)」 <リンク:CMMの応用   H26-16:開発管理  
-10-
  (2) 現行システムの分析 (イ) 業務分析・設計 SWOT分析、価値連鎖分析、重要成功要因(CSF)分析、競合要因分析などによって経営戦略や情報戦略が策定され、その戦略に適合する情報システムはどのようなものか。経営環境の変化に応じて柔軟に対応できる情報システムはどうするのか。このように戦略的視点で業務分析を行う。 既存システムについて、保守状況分析、再構築要件(設計書、要件定義書の存在)、利用プロセスはどうなっているかを行う。 業務分析では、対象業務の様々な問題点を洗い出し、原因や解決策、業務プロセスの把握・分析を行う。可視化のためのモデリングがそろう。 DFDデータフローダイヤグラム。データに注目したモデル化手法で、現行システムや新システムのデータフローを描く手法。プロセスが変化してもデータは大きく変化しないのでとらえやすい。DFD=業務間のデータの流れとか、業務の流れとデータの意味。 DFD:Data Flow Diagram. DFD図 図の表示
□:データの発生源、受取先で「顧客」など。
○:処理、「商品検索」など。
→:データの流れ(データ名付)、「顧客情報」など。
=:データやファイル名、「顧客台帳」など。(H19-16)、DFD図表(H15-14)
E-R図業務の流れについて、エンティティ(E)とその関係(R)を図式で表現したもので、データ中心設計法で用いられる表記法。ERD=データ構造、データ同士の関係を示す。ERD:Entity and Relation Diagram. 「ER図とは、データ中心設計法で用いられる表記法で、データ間の関連を描画する」(H22-15) ※モデリング……ビジネスシステムのモデルを作成すること。対象はビジネスシステムのプロセスと構造(資源と仕組み)になる。 H26-17:利用される図表  
-11-
(ロ) 利用者の要求への対応 最近の情報システムは、システム自体の多様化、利用局面の複雑化、あるいは利用者の事業・業務と情報システムの関係の密接化などによって、要件定義自体が難しくなってきている。目的達成のためにも要求事項を系統的に整理し、正確に開発に反映させる必要がある。 要求工学……情報システム・サービスに対する利用者の要求を扱う技術・技法の集大成(SWEBOKガイドより)が進む。 構造化分析(顧客要求をどのようなソフトウエアにするかを示す) 方法 図示……DFD ▲如璽織妊クショナリー ミニ仕様書:ER図 構造化技法……フローチャート、HIPOダイヤグラム、擬似コードなど 利用者ビューガイドラインなどの準備 レガシー・マイグレーションレガシーシステム(キャラクター中心で、COBOLなどで記述の古いもの)を、オープン系(UNIXやWin)に移植すること。ここでは、キャラクター中心を操作性中心へ移植する。 高度化する見えない要求 ビジネスニーズに迅速に対応するために、当事者が共通認識を持つための手段が求められる。 情報システムのリスクがビジネスリスクに直結しやすいため、要求事項だけにとどまらず、情報セキュリティ、事業継続性、統制(非機能要求)などへの対応が必要になる。   H27-17:現行システムの分析(非機能要求) H27-20:現行システムの分析(業務フローのモデル化) H28-17:[利用者の要求への対応]システム開発の段階別のギャップ  
-12-
(3) 全般システム分析・設計 (イ) 目標定義 目標は数値化するなどして明確にし、共有する。 新しく構築する業務があればその概要を可視化し、現行業務を変更する場合は変更内容を対比させて明確にする。 ベンチマーク 先進企業やトップ企業と比較して、製品やサービスおよびオペレーションを定量的に把握し、目標点とする。 H28-21:[目標定義]品質の基準や仕組み   (ロ) 概念モデル あるべき姿の目標設定 モデル化……あるべき姿を明確にするために対象業務のモデル化を行い、可視化することで共通認識もできる。 現状とあるべき姿As-lsモデルで現状と問題点を分析し、問題解決や目標の実現方法を検討したTo-Beモデルを作成することになる。 As-lsモデル:現在のビジネスシステムを表現したモデル。 To-Beモデル:あるべきビジネスシステムを表現したモデル   (ハ) 組織上の制約 利用部門と情報部門 利用部門によるシステム分析・設計は、業務内容が容易に明らかになる反面、情報処理技術的には困難。そこで、情報部門が利用部門を支援する形態が望ましい。   (ニ) データ処理組織の定義   (ホ) システム設計プロポーサルの作成 システム計画情報システム化すべき問題・状況の妥当性を調査(実行可能性研究)して、システム計画とプロジェクト計画を作成する。 システム分析計画案に対して、現実的に詳細に実行可能性を確認し、情報要求を明確に定義してシステムの機能・性能、運用等を明らかにした要求定義書を作成する。 システム設計 システムを利用する視点でどのように情報要求に応えるかという論理的設計(外部設計)を仕様書にする。ここではアプリケーションの入力、出力、プロセス、データ・モデル等を明確に規定する。他方、論理的設計を実際のハードウェアやソフトウェアによってどのように実現するかを明確に規定する物理的設計(内部設計)の仕様書も作成する。両方の仕様書でシステム仕様書の骨格ができる。 システム導入・運用プログラミング、テスト稼動、新しいハードウェアおよびソフトウェアの購入、ユーザー教育訓練、監査・コントロール手続き、運用記録管理等を含む。プログラム設計仕様書、テスト計画書・報告書、移行計画書・報告書などが作成される。 システムの保守・管理所定の効果や品質が維持されているか、経営環境の変化による情報要求への不適合の改善や修正を行う。 H26-18:橋渡しの開発委託  
-13-
(4) システムテスト・導入支援 (イ) システムテスト技法 コーディングしたプログラムには誤りや欠陥(これらをバグという)が潜みエラーが生じるが、テストを繰り返してバグを取り除く。事前にテストケースの設定やテストデータの準備を行うこと。システムは複数のプログラムで構成するので、開発の各段階で実施される。 開発段階ごとに、単体テスト→機能テスト→性能テスト。 単体テストモジュール単位でのテストで、ブラックボックステスト(仕様書通りの機能か)とホワイトボックステスト(内部仕様書でのテストで開発者が行う、モジュールの内部構造に注目)がある。 3種の結合テスト…トップダウンテスト、ボトムアップテスト、ビッグバンテスト トップダウンテスト上位のモジュールから下位のモジュールへと順次結合させて検証する。未完成の下位モジュールがあればスタブ(ダミー)が必要。 ボトムアップテスト下位のモジュールから上位のモジュールへと順次結合させて検証する。未完成の上位モジュールがあればドライバ(ダミー)が必要。 ビッグバンテスト…関係するモジュールを一度に結合させて検証する。 システムテストシステム全体の動作を、実際データを使って検証する。モジュールを結合した状態で機能、性能、例外処理、負荷、操作性の各テストを行う。 リグレッションテストテストによって不具合を見つけ、修正した内容が今まで正確に動作していたほかの機能に影響しないか検証する。各段階で実施。 テストの手順:システムテスト → 運用テスト ※メンバーは別のメンバーで(H15-16)。 ベータテスト……ベータ版を提供して事前にテストする。パッケージソフトウエアに多い。 システムテストの進め方(3つの作業要素) .謄好塙猝椶僕ダ菘戮判斗彭戮鯢佞院⊆損椶垢戮テスト項目を絞り込む。 ▲謄好塙猝椶魍稜Г垢觴蟒腓肇謄好肇如璽燭魴萃蠅垢襦 テスト項目とテストケースの関連を明確にする。 ソフトウェアテスト‖仂櫃諒解・構造化、▲謄好塙猝椶寮瀋蠅般槁乎諭↓順序と項目の絞込み、ぜ蟒腓箙猝椶侶萃蝓↓ス猝椶肇院璽垢隆慙付け(H21-18)。   H25-19:システムテスト技法(ソフトウェアのテスト)  
-14-
(ロ) システム導入支援 ERP導入ステップ(H14-11) ‐霾鵐轡好謄犂靄槓針の決定  機能、価格、運用面などからERPの候補選定 ERPの想定業務プロセスと自社の業務との詳細な比較分析 ぅスタマイズ項目の決定……プロトタイプ化、パラメータ設定、アドオン、モデファイ(改善) ゥ轡好謄牾発予算の見積 IT構築導入ステップ 〃弍沈鑪を明確にする IT戦略の方針立案(IT導入で解決する範囲を明らかに) ベンダーの選定 ぅ轡好謄狷各(念入りな受入テスト) ゥ轡好謄牘人僉閉蟯的チェックと継続的改善) IT導入成功ポイント.肇奪廚離蝓璽澄璽轡奪廖兵らが学ぶ姿勢) ∩桓劼廼δ未別榲意識(何のためのIT化か)、7実なIT投資(規模にあった投資)、そ抄醗のリテラシー向上(教育訓練でレベルアップ)、コ杏活用 リテラシーの向上……情報活用能力を養成。プレゼンテーション、文書、活用の各能力の向上。 IT運用のベストプラクティスの集合で導入を支援  情報システムの導入:ITIL(H21-19) ITILInformation Technology Infrastructure Library. 実在企業のベストプラクティスが紹介されている。IT運用の知識・ノウハウ(ITサービスマネジメント)のベストプラクティスの集合 サービスサポートプロセスの規定インシデント管理(解決すべき案件や課題を最小限に抑えて速やかに回復する)、問題管理(インシデントの根本原因究明と抜本対策)、構成管理(構成を掌握して最新情報を保つ)、変更管理(ITサービスの変更を管理する)、リリース管理(変更を本番環境へ実装する)。機能としてのサービスデスクも定義する。 サービスデリバリサービスレベル管理(利用者との合意のサービスレベルを管理)、キャパシティ管理(システムの容量、能力)、可用性管理(いつでも利用できる)、ITサービス継続性管理(中断時の復旧対応)、ITサービス財務管理(コスト計算や課金管理) 運用テスト……利用する部門が実際の運用を想定して、同じ条件で不都合がないか検証する。   H27-19:システムテスト・導入支援 H29-19:システムテスト・導入支援 H29-20:システムテスト・導入支援  
-15-
3.情報システムの運用管理 (1) システム運用 (イ) 利用者の参加・教育 求められる運用 適切な利用と情報セキュリティの利用上の注意事項遵守 情報機器やアプリケーションを操作する、データを分析・加工して扱う、得られたデータ・情報を企業活動に生かす。 教育方法 OJT……経験の浅い者を参加させて実務経験を積ませる。 エンドユーザーに対する教育として、入社時や異動時の教育と、既存のユーザー教育 集合教育から個別教育へ コンピュータ援用教育 Computer Assisted Instruction:CAI  CDなどで教育 Web教育 Web Based Training:WBT WBT受講者のパソコンからインターネットを経由して教育カリキュラムのサーバーへアクセスし、受講者の時間に合わせて学習できるシステム、e-ラーニングなど。 FAQFrequent Asked Questions. 質問回答データベースともいわれ、ヘルプデスクなどに寄せられた質問とそれに対する回答をデータベースにし、利用者がする質問の回答によって問題解決できるようにする。   H26-19:BYOD H28-18:[利用者の参加・教育]IT人材   (ロ) 情報専門家の育成・配置 新技術や技術力向上のための教育、情報システムのリスクに対する教育 技術者のキャリアパスの設計 IT資格の取得を奨励したり、社内認定制度などを設けてインセンティブを組み込む。 ITサービス・プロフェッショナルに求められるもの=ITSS ITスキル標準(ITSS)11分類で36専門分野を用意、社内の技術者育成・確保のために参考になる(H19-20)   H25-20:情報専門家の育成・配置(共通キャリア・スキルフレームワーク:IPA)  
-16-
(ハ) システム運用管理体制 最高情報統括役員(CIO)を設けて情報戦略の策定と実行管理を行い、情報システムの戦略的価値を高める。あわせて情報システム部門組織を設け、情報システムの管理・運営を行う。 組織の職務は情報戦略策定、システム開発、システムの運用・改善およびユーザー教育など多岐にわたる。 システムの外部委託やアウトソーシングの進展によって「情報支援センター」機能のみのケースも増えている。 システムの管理項目 ハードウェア面チャネル、入出力装置などの属性、名前 ソフトウェア面ファイル管理。アプリケーション面:インストールと実行の情報 OS面機能の選択。システム面:開始と終了、故障、運転情報。利用面:ユーザーの設定と管理 システムダウンと対策 要因ハードウェアの故障、ソフトウェアのバグ、通信回線の故障、電源の切断 対策ハードウェアの二重化、誤りの訂正(ハードウェア・ソフトウェア両面)、再実行、縮退(故障部位の切り離し) この対策を強化したものを「フォールト・トレランス・コンピュータ(FTC:fault tolerance computer)」といい、24時間連続稼動に用いる。フォールトトレランス バックアップ(定期的に全体をバックアップする場合) 差分バックアップ履歴を含む変動部分だけをバックアップ。物理バックアップ(コピー)。前回バックアップと比べて今回変更したものだけをバックアップ。アーカイブ・ビットをクリアしない。 増分バックアップ履歴でなく直前の一つしか残さない。論理バックアップ。アーカイブ・ビットをクリアする。作業は速い(差分だと変更分が蓄積される)。 ※iDC(internet Data Center)  Webサーバーの運用管理を受託する会社 ※工事進行基準の適用義務化  プロジェクト計画に原価比例法などを。 外部委託管理 → CMMIを活用 段階的モデル、連続的モデル   (ニ) 中長期的なシステム改善計画策定 情報化コストTCO:ハード・ソフトウェア導入から運用管理までの総コスト(Total Cost of Ownership) IT投資コスト 2割 →標準化 技術サポートコスト 2割 →ヘルプデスク設置 4浜コスト(情報部門人件費)1.3割   →↑簡素化 ぅ┘鵐疋罅璽供璽灰好函淵札襯侫汽檗璽箸癲4.5割 →↑アウトソース 情報システムの拡張データセンターサービスの利用、システムインテグレーション 情報システムの調達方法.▲Ε肇宗璽轡鵐亜糞蚕僂龍洞化懸念)、▲僖奪院璽犬瞭各(カスタマイズとアドオン必要)、F睇開発(OSSの利用) 情報システムの投資価値(H22-19) 価値指向マネジメントフレームワーク(IT-VDM/VOM;IT Value Domain Model, Value Oriented Management)……独立行政法人情報処理推進機構(IPA)2009年発表 IT-VDMの価値プロセスは、P(計画)→D(実施)→C(点検)→A(改善)サイクルのP(計画)局面で遂行する。 H25-21:中長期的なシステム改善計画策定(集中処理から分散処理へ)  
-17-
(ホ) プロジェクト管理 情報システム開発をプロジェクトとして管理する。 スコーププロジェクト・スコープ・マネジメント:WBSで、プロジェクト作業を体系化して細かく管理しやすくしている。 タイムプロジェクト・タイム・マネジメント:所定の期間内に完了させるための進捗管理。日程管理はアローダイヤグラムやガントチャートを用いる。 コストプロジェクトコスト・マネジメント:決められた予算内で完了すること。情報システムの見積もり法 マイルストーン……プロジェクト期間で、複数工程の節目となる時点、到達点。 ※WBS……Work Breakdown Structure. 成果物を得るのに必要な工程や作業について記述する(H22-22)。 PMBOK……Project Manegement Body of Knowledge. 米国プロジェクトマネジメント協会の管理体系 プロジェクト管理のための標準的知識体系で、スコープ、時間、コスト、品質、組織、コミュニケーション、リスク、調達、統合の知識エリアでプロジェクト遂行を図る。※「CSTリスク」「WOSは見える目標」「WBSは作業計画」など。 それぞれのエリアの管理と知識項目はISO10006のベースに。 品質、費用、効率(iciency)のバランスを重視(H16-11) H26-20:BABOK H29-21:システム運用(開発プロジェクト管理)   (2) セキュリティとリスク管理 不正侵入や情報漏えいなどによる損害や悪影響をもたらすことを脅威として対応するより、それらの損害や悪影響が具体的に発生する可能性がある危険(リスク)として対応する。つまり、リスクを未然に防ぎ、仮に発生した場合はその影響を最小にするようにコントロールする。これは「情報セキュリティ・マネジメント」(ISMS)といわれる。 セキュリティポリシーに基づく対策 情報セキュリティの3要素:CIAConfidentiality:機密性、Integrity:完全性、Availability:可用性 機密性漏れない。許可された者だけに情報を知らせる:アクセス制限、暗号化 完全性・一貫性データが壊れない。情報の正確性、安全性を保障:デジタル署名 可用性いつでも使える。必要なときに利用できるシステム。:二重化、バックアップ セキュリティの機能……抑制、防止、検知、回復の4機能 抑制機能人に働きかけて犯罪や事故・トラブルが生じさせないようにすること。情報倫理やセキュリティ教育など。 防止機能損害が生じる可能性ある行動や機会を事前に封じ込めること。システムの二重化、不正侵入防御(室やシステムそのもの)、電子認証による本人確認など 検知機能リスクや損害の発生を速やかに検出し、回復の対策のための情報を提供すること。不正アクセス時のアラーム、ログ記録 回復機能損害や悪影響を最小に抑えて本来の機能に回復させる。バックアップなど SLAService Level Agreement. サービスの品質に関する利用者と提供者間の合意。契約事項になる。 SLM……ITサービスの維持・向上を図るマネジメント活動。サービスレベルマネジメント 情報システムに係る政府調達へのSLA導入ガイドライン(H19-22) 政府調達の落札方式には、総合評価落札方式と最低価格落札方式がある。このうち最低価格落札方式では、SLAを仕様書に記載することが必須である。 H25-23:セキュリティとリスク管理(情報セキュリティマネジメントシステム適合性評価制度)  
-18-
(イ) 機密保護・改ざん防止 機密保護 許可された人しかアクセスできないようにする。本人であることを確認する。データに応じてアクセスのレベルを階層化する。 本人確認……IDやパスワードの利用、電子認証(バイオメトレックスなど) 人間に対する入退室・データの移動等の扱い……持出し制限、データの制限、履歴の保存 改ざん防止 通信内容の暗号化(暗号化は盗聴を防ぐことも可能) 共通鍵暗号方式送受信とも同じ鍵で暗号化/復号化、人数分の鍵が必要、DES方式、換字式など。利用者数限定型 公開鍵暗号方式公開鍵と秘密鍵一対を持ち受け手の公開鍵で暗号化→受け手は秘密鍵で復号化、「一方向性関数」を使用。広く一般に利用。 RSA方式作成時相手の公開鍵で暗号化し、受信時秘密鍵で復号する、一方向性関数の代表的な方式。 公開鍵基盤公開鍵暗号方式を基盤に電子署名と認証方法,認証局の仕組。相手の公開鍵で作成して送信。PKI(Public Key Infrastructure)という。 PKC(Public Key Cryptography) ※一方向性関数ある値から計算結果を求められるが、結果からその値を求めることはとても困難な関数で、ハッシュ関数も含まれる。 ※ハッシュ法複雑データを高速に検索するアルゴリズムの一つ。データ項目に数値を対応させる関数を定め、この数値を基に配列を作成してデータ項目を格納する。この関数をハッシュ関数、数値をハッシュ値、ハッシュ値とデータ項目を対応する配列をハッシュ表という。
検索時は、検索したいデータのハッシュ値をハッシュ関数から求め、ハッシュ表と照合する。よって、データ量に関係なく一定速度で検索できる。 異なるデータに同じハッシュ値が生成する場合もあるが、このシノニムの発生回避が求められる。
デジタル署名は電子捺印、電子署名に相当。 送信者の秘密鍵で暗号化し、受信者は送信者の公開鍵で復号化する(公開鍵暗号方式と反対)。送信文のメッセージダイジェスト(ハッシュ関数で暗号化)を作成し自分の秘密鍵で暗号化して電子署名して本文に添付する。 デジタル証明書は認証局(Certificate Autherity:CA)が発行する。 電子署名(文書の確実性)……自分の秘密鍵で作成、公開鍵で復号 盗聴防止 SSLSecure Socket Layer. インターネットでの暗号通信。ホームページなどへ個人情報を送るとき、通信内容を暗号化して送信する。電子メールの暗号化も含む(H21-20)。 EV SSLExtended Validation SSL. EV 証明書ガイドラインに基づくEV SSL証明書による認証方式のSSL。 サイトの主体者の実態性を高めた認証を採用して、中間者(man-in-the-middle)攻撃を防ぐ(H21-20) データの保護フォールトトレランス(障害に強い)のハード、二重化、バックアップ、ロック付記憶装置 メール暗号化手順(H17-16) )槓犬離瀬ぅ献Д好斑佑魑瓩瓩襦↓▲瀬ぅ献Д好斑佑鯀信者の私有鍵で暗号化、K槓犬肇瀬ぅ献Д好斑佑鯣詭鍵で暗号化、と詭鍵を受信者の公開鍵で暗号化、ニ槓検▲瀬ぅ献Д好斑諭覆匹舛蕕皸店羃修気譴討い襦砲犯詭鍵を送信。  
-19-
暗号技術 慣用暗号方式……暗号化と複合化に同じ鍵を使う。DESやDEAIなど。文字の順序の変更(転字)と文字の変換(換字)で構成。 ※公開鍵による暗号はその秘密鍵でしか解けない、秘密鍵での暗号はその公開鍵でしか解けない。 DESからAES……DES(Data encryption standard)は当初のデータ暗号規格。後にAES(Advanced encryption standard:秘密鍵暗号方式)になる。 シーザー暗号……「TOKYO」を、シーザー暗号を用いて暗号化した場合、その1つは「WRNBR」である(H22-16)。 新しい暗号方式……楕円暗号等 シンクライアント……記憶装置を持たない端末コンピュータ(データは特定のサーバーに保管)。 LAN内のアドレス セキュリティルータのLAN側IPアドレスとして、ISP(Internet Service Provider)によって割り当てられたIPアドレスと異なるアドレスを設定した(H19-14)。 H26-21:暗号化 (ロ) 不正侵入対策 コンピュータシステムへの不正侵入対策には、ファイアウォールやウィルス対策、中継化、IDやパスワードの利用、電子認証、セキュリティソフトウェア導入、アップデートなどが用いられる。 ファイアウォールパケットフィルター機能を使用した外部からの侵入への対策 ウィルスワクチンパターンファイル(定義ファイル)の最新化、ソフトウエアの更新。メジャー製品を使用しないことも。 プロキシー(proxy)代理。社内ネットワークの外側にあり、通信を中継代行する機能 メリットは、ヽ杏通信専用で対策を集中できる、▲ャッシュ機能で高速化、ログを記録できる DMZ(DeMilitariヘd Zone)非武装地帯、外部のネットワークからアクセスを許可する接続口をファイアウォールの外に置く。 侵入検知システム(Intrusion Detection System:IDS)不正なアクセスを検知・通報する仕組み 併用.曠好肇灰鵐團紂璽燭PC本体に、▲優奪肇錙璽ではファイアウォールの外、DMZ上に(H19-21)。 内容プロトコル異常、アプリケーションエラー、バッファオーバーフローを引き起こすパケットを監視し、パタンマッチングやしきい値との比較でアラームする。 「フォールス・ポジティブ」「フォールス・ネガティブ」の問題(品質管理の「α危険」「β危険」に相当)。 「侵入防御システム(IPS:Intrusion Prevevtion System)」として検知と防御に進展。 他に、「Webフィルタリング」や「ハニーポット」(おとり捜査)などを利用。 ホスト型IDSには、VPNパケットについても分析処理が可能なものがある。(H19-21) ペネトレーションテスト侵入検査を実施して脆弱性を検査する。ネットワーク診断ともいわれる。リモート(外部)検査とオンサイト(内部)検査があり、外部検査はサーバー、ファイアウォール、ルーターを対象に、内部検査はファイアウォールの内側から行う。 ※直接操作する場合と通信によって操作する場合の両方で対策する。 設備への防災・防犯……部屋に施錠、堅牢な建物、厳重な場所への設置 ウイルス作成罪………無断で他人のコンピューターにおいて実行させる目的でウイルスを作成・提供したら刑事罰。2011年7月施行。 H27-21:秘密保護・改ざん防止(OpenSSL) H29-22:セキュリティとリスク管理(生体認証)  
-20-
(ハ) 可用性対策 必要時に利用できるようにするために、停止させないこと。二重化やバックアップを行い、回復を速やかにする。 停電対策……無停電電源 災害対策……バックアップシステム(二重化、多重化)、遠隔地にバックアップする。 可用性は計画停止時間数を除いて測定する(H22-23)。   (ニ) インテグリティ対策 ※完全性・保全性(無傷、完全な) 自然災害や人的災害から物理的に対策する 建物・設備等の設置部分の防犯・防火・防水・耐震対策、入退出監視装置、無停電電源の設置など(自然災害への対策も必要) 事業継続計画(BCP)……Availability:可用性に絡んで情報セキュリティガバナンスの一環。被災したとき事業の継続に影響を及ぼさない計画。 ユーザーへの信頼性確保(H21-21) データロスをなくす……複数のハードディスクに書き込み完了を確認し合う形態によって書き込みを完全二重化する。   H26-22:事業継続  
-21-
(ホ) リスク管理 管理的対策 運用管理規定、操作マニュアル、バックアップ体制などの整備、内部統制手続き・組織の整備 セキュリティポリシー……運用規則のルール化、パスワード規則、ユーザー教育 ログの記録 DBMSのリスク管理……ログ(ジャーナル)、バックアップ、チェックポイントが一般的。 人的対策……セキュリティ教育訓練、情報倫理教育、カウンセリング、医療衛生管理など システム化   外部資源の活用 iDC(internet Data Center):ハウジング(間貸し)とホスティング(サーバー貸し) ASP(Application Service Provider):アプリケーションも貸す ネットワークのセキュリティ(H22-17) パケットフィルタリングとは、ルータにおいて、通信データに含まれる情報を判読し、フィルタリング設定にそぐわないパケットを通過させない方式である。 セキュリティ・マネジメント システムに損害や悪影響を及ぼす可能性があることを認識し、未然に防ぎ、仮に発生した場合は最小の影響で済むように統制する ISMS(Information Security Manegement System:情報セキュリティマネジメントシステム) (財)日本情報処理開発協会(JIPDEC)がISMS適合性評価制度を運用。 ステップ(H16-13)……‥用範囲を定義、▲札ュリティポリシーの策定、リスクアセスメントの実施、ぅ螢好対応策と評価、ゴ浜案の選択、宣言、公表 個人情報保護に関する規格 JIS Q 15001 「個人情報保護に関するコンプライアンス・プログラムの要求事項」 方針、計画、運用および従業員教育や監査等。 「プライバシーマーク」の認定基準。 責任者の設置……個人情報管理責任者:代表者による指名、コンプライアンス・プログラムの実施・運用責任者。個人情報保護監査責任者:代表者による指名、被監査部門からの独立性確保など。 事業継続計画(BCP) 企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことである。 緊急事態は突然発生する。有効な手を打つことができなければ、廃業に追い込まれる恐れも考えられる。   H27-22:セキュリティとリスク管理(ISMS) H28-19:[セキュリティとリスク管理]ユーザー認証 H28-20:[セキュリティとリスク管理]クリックジャッキング攻撃  
-22-
4.情報システムの評価 ITガバナンス「企業が競争優位性を構築するために、IT戦略の策定・実行をガイドし、あるべき方向へ導く組織能力」経産省 (1) 品質評価 安定性(RAS)…… 信頼性と可用性および保守性をまとめてRASという(コンピュータシステム上)。 信頼性 Reliability故障が少なく安定している(連続稼動の平均時間、性能の時間的安定性)。
平均故障間隔:MTBF=(稼働時間1+稼働時間2)/2
可用性 Availability使用可能性。修理する時間にあたる。
平均修理時間:MTTR=(修理時間1+修理時間2)/2
 稼働率 =MTBF/(MTBF+MTTR)
※MTBF:平均故障間隔、MTTR:平均修復時間 保守性 Serviceability保守点検のしやすさ。 RASIS……RAS+保全性+機密性 保全性 Integrityデータの統一性、安全性……データの誤り訂正、機器の劣化検出 機密性 Security災害・障害に対する安全性から機密保護までを含む。
  峙〔性」とする場合(機密の保持)、◆岼汰汗」とする場合(事業継続など)
  項目の評価 データ ……安全性、正確性、的確性 出力 ……理解容易性、適時性、目的適合性、意思決定の有意性 他 ……操作の親和性、エラーの排除性、利用権限、システムと操作の保護 Eコマースにおけるデータの保証 ハードディスクの二重化(ミラーリングを含む)……RAID1(2つのディスクに同じデータを同時に書き込む)、書き込みの一致が必要 データのバックアップ(レプリケーションを含む) ロスのゼロ化 スコアリングモデル 定性的な評価項目を定量化して評価を明らかにする方法。事前に評価基準を決めて基準ごとにスコアをつけ、導入による価値を判定する。 システム監査>  <内部統制   H27-23:品質評価(ソフトの品質) H28-22:[品質評価]クラウドサービス  
-23-
(2) 価値評価 各種評価価値 利用者の満足度 ……操作性、応答時間、ヘルプ機能等 外注・アウトソーシング……貨幣価値換算 スループット……仕事量÷時間 ターンアラウンド……開始〜結果出力 レスポンスタイム……要求〜最初の応答 パッケージ・ソフトウエアの追加……導入目的、業務への適合性、操作性のほか拡張性、サポート体制、投資対効果なども評価 システムの投資効果 一般的に、収益性や生産性の指標と情報システムコストを比較して投資効果を評価している。情報システムコストは導入コスト、設計開発コスト、運用コストを含めたもので、一人当たりコストなどの形で示される。但し、‥蟷饂点と効果が現われるにはタイムラグがある、⊂霾鶺蚕儖奮阿箸料蠑荼果も含まれる、4崟榲・波及的効果が見えづらい、ぜ益性と情報化投資は無相関であること、などの課題がある。また、システムダウンによる機会損失を含めてTCOを考慮したい。したがって、投資効果は付加価値の創出を中心に測定したい。 システムの開発投資の評価方法(H21-22) 目的(業務処理にかかわるコスト削減、売り上げの増大を目指すシステム)によって異なるが、売り上げの増大を目指すシステム には、システムが持っている機能が何個あるかを評価するファンクションポイント法、システムの導入によって得られる価値を点数化するスコアリングモデル、バランストスコアカード法などがある。 情報生産性指標(IPI)=(税引後事業利益−株主持分×資本コスト)÷販管費 ※分子はIT投資による付加価値であり「EVA」に相当。 ※販管費は販売費及び一般管理費(研究開発費を加える場合もある) ※IPI:Information Productivity Index.   H25-22:価値評価(IT投資価値評価ガイドライン:経産省) H26-23:ITSMS H28-23:[価値評価]環境問題への対応  
-24-
5.外部情報システム資源の活用 (1) アウト/インソーシング 委託する業務の種類を明らかにする企画支援業務、基本設計業務、ソフトウェア作成業務、移行運用準備支援業務、保証期間後の保守など 具体的内容 委託料と支払方法、期間又は納期、秘密情報の取り扱い、知的財産権の取り扱い、納入物の著作権、契約の解約条件、損害賠償請求関係など 業務個々には検収方法、保証と責任、中間成果物の認識・明確化、 必要なのは、マニュアル類の入手、システム仕様書、トラブル対応マニュアルなど 各種サービス 情報設備の新設や移設と設定などを行うサービスをキッティングサービスという(H22-21)。   H29-23:アウト/インソーシング(クラウド・コンピューティング)  
-25-
6.情報システムと意思決定 (1) 問題分析・意思決定技法   (2) 計量分析技法 データを読むとは、データを統計的に分析すること。その方法には、相関係数による2変量の関係性の分析、傾向を示す回帰直線、正規分布による検定および主成分分析など多くの手法がある。 相関係数相関係数は1から−1の範囲で示され、絶対値が1に近いほど関係が強く、0に近いほど関係がない。 回帰直線ある傾きの直線に沿ってデータが点在すると、その傾向にあるといえる。 正規検定正規分布による仮説検定をいう。データが少ないときは二項分布を用いる。 主成分分析現象をいくつかの変数してとらえ、大まかにとらえられるようにする。 今までの出題を整理(※平成15・16年の出題は答練コーナーにあります) 平成17年4品目の店別売上の検定(第20問)、品質検査:不良率(第21問) 平成18年売上高の傾向:指数平滑法(第24問)、株式投資の判断:景況別の株価収益(第25問) 平成19年新聞の地域ごとの普及度:χ2乗検定(第23問)、アンケート調査の分析:因子分析(第24問) 平成20年2店舗の売上の関係の分析(第23問)、売上データの分析(第24問) 平成21年不動産価格をその床面積で説明する単回帰モデル(第24問)、建設業工事受注の県別・工事別の独立性検定(第25問) 平成22年分布の仮説検定(第24問)、抜き取り品質検査(第25問) 平成23年銅線の品質検査(強度の分布、第24問)、分布の把握:確率分布(第25問) 平成24年売上高による分布する販売店舗の重要度説明:重回帰モデル(第24問)、商品の新しい陳列方法の検証:二項分布(第25問) 平成25年製品の不良率:ポアソン分析(第24問)、検定の特徴:z検定・t検定・F検定(第25問)、 平成26年自社製品のシェア調査での標本数を問う(第24問)、日次売上高の変動:確率分布(χ2乗検定、第25問) 平成27年分析技法の特徴:分散分析・A/Bテスト・判別分析(第24問)、日次売上高の仮説検定:z検定(第25問)   H25-24:品質検査(不良品が含まれない確率) H25-25:検定の特徴(z検定・t検定・F検定) H26-24:標本数を問う(製品シェア調査) H26-25:確率分布(日次売上高の変動) H27-24:分析技法の特徴(分散分析・A/Bテスト・判別分析) H27-25:仮説検定(日次売上高) H28-24:[計量分析技法]需要予測の時系列的モデル H28-25:[計量分析技法]仕入先で異なるか平均重量 H29-24:計量分析技法(販売促進費と売上高) H29-25:計量分析技法(アンケート調査)  
-26-
7.その他経営情報管理に関する事項 ITと環境問題(H21-23) グリーンITの取り組みには、ITを利用することで産業構造を変革し、資源エネルギーを効率よく活用する仕組みを作るアプローチだけでなく、IT機器そのものの消費電力を削減するアプローチも含まれる。 グリーンIT(H21-23) 法人によるコンピュータの廃棄は、コンピュータメーカーに回収してもらう(資源有効利用促進法)  
-27-
  参考図書 経営学大辞典 神戸大学大学院経営学研究室編 1999 経営情報論 遠山暁、村田潔、岸眞理子著 有斐閣 2003 経営情報システム教科書 武藤明則著 同文館 2010 EDIの知識 流通システム開発センター編 日本経済新聞出版社 2008 定量分析実践講座 福澤英弘 ファーストプレス 2007 中小企業診断士試験問題 平成13年〜29年 中小企業診断協会  他 学習ノート