ITストラテジスト試験午後Ⅱ(論文)対策です。前回から2023年(令和5)開催の試験問題を題材にしています。今回は問2。「個別システム化計画におけるシステムリスク対応方針の立案」の問題です。
こんにちは!セイジュン@エンジニア応援隊(@39Seijun)です。
午後2対策の「論文の骨組み、プロット作り」、今回は2023年(令和5)のの問2をやってみます。テーマは「個別システム化計画におけるシステムリスク対応方針の立案について」の問題です。
論文の解法については、こちら午後Ⅱ対策でまとめました。過去問:令和5年春試験:ITストラテジスト区分の午後Ⅱ問題、こちらIPAサイトから引用しております。原典も是非ご参照下さい。
令和5年春試験:ITストラテジスト区分の午後Ⅱ問題(問2)
さて、問2。タイトルは「個別システム化計画におけるシステムリスク対応方針の立案について」です。今回も「対応方針の立案」ですね。
前回の問1が「改修要望の対応方針」だったのに対し、本問は「システムリスクの対応方針」です。 2問を見ただけですが、IPAが考えるITストラテジストの主なお仕事(の一つ)は、「対応方針の立案」であって、成果物は「対応方針書がその一部となる、馴染む言い方をすれば計画書」となる訳ですね。
いつも通り、本文の読み解きは後ほどとして、まずは設問ア~ウから論文のプロットを組み立ててみましょう。
まずは、設問ア~ウを以下、抜粋します。
設問イ 設問アで述べた個別システムにおいて、あなたはどのようなシステムリスク対応方針を立案したか。想定したシンシデントとインパクトを明らかにし、立案にあたり工夫したこととともに、800字以上1,600字以内で具体的に述べよ。
設問ウ 設問イで述べたシステムリスク対応方針について、あなたは事業部門と経営層にどのような提案を行い、承認を得たか。事業部門と経営層から指摘を受けて改善したこととともに、600字以上1,200字以内で具体的に述べよ。
さて、今回も、本文を読む前に、論文の骨組み(プロット)は、設問ア~ウで導いてみましょう。設問での文字数指示から凡その文字数も補記してみます。
以下、です。
1.私が携わった個別システム化計画におけるシステムリスク対応方針の立案・・・設問ア(800字以内の指示に対して、750字を想定)
1.1.事業特性(250字)
1.2.対象としたサービスの概要(250字)
1.3.個別システムの概要(250字)
2.システムリスク対応方針の立案・・・設問イ(800字以上1,600字以内の指示に対して、1,200字を想定)
2.1.想定したインシデントとインパクト(400字)
2.2.システムリスク対応方針の立案の概要(400字)
2.3.立案にあたっての工夫点(400字)
3.システムリスク対応方針立案字の関係部門への提案・承認・・・設問ウ(600字以上1,200字以内の指示に対して、800字)
3.1.事業部門と経営層への提案と承認の概要(400字)
3.2.事業部門と経営層からの指摘に基づく改善点(400字)
どうでしょう。おおよそのバランス、こんな感じではないでしょうか。
さて。もう一度、タイトルの一文に戻りましょう。「個別システム化計画におけるシステムリスク対応方針の立案について」を読んで、システムリスク対応方針書の目次がざーっと浮かぶなら、この問2を選択するのが良いですね。
ちなみに、ChatGTPに「新規システム構築にあたって、システムリスク対応方針書を作成しないといけないのですが、ざっと目次を作ってください。」と書いたら、あっという間に次のような回答がきました。
1.序文
1.1 目的1.2 適用範囲1.3 関連法規・ガイドライン
2.システムリスクの定義と分類
2.1 システムリスクの概要2.2 リスク分類(例:情報セキュリティ、運用リスク、災害リスク、コンプライアンスリスク)
3.リスク評価と管理体制
3.1 リスク評価のフレームワーク3.2 リスクマネジメントプロセス3.3 責任者と関係者の役割
4.予防措置とリスク低減策
4.1 セキュリティ対策(アクセス管理、暗号化、認証強化 など)4.2 データ保護とバックアップ4.3 システム冗長化と障害対策
5.インシデント対応計画
5.1 インシデントの定義と分類5.2 インシデント発生時の対応フロー5.3 報告・連絡体制
6.事業継続計画(BCP)と災害復旧(DR)
6.1 BCPの基本方針6.2 DR対策(データセンターの冗長性、クラウド活用 など)6.3 復旧手順と優先度
7.監査と継続的改善
7.1 内部監査・外部監査の実施7.2 定期的なリスク評価と見直し7.3 教育・訓練の実施
これが、まあフルスペックですね。かなり大規模システム開発をイメージしているかな。
まだ問いの本文を読む前なのですが、この目次のコアの部分「リスクの定義と分類、評価と管理、予防と低減策」といったあたりの文言や具体例がまったく浮かばない場合は、①問1に戻ってそちらを頑張る②組込み系技術者なので問3を見てみるという段取りだと思います。
まあ、問い本文の中に色々ヒントがあるはずなので、読み進めてみましょう。
冒頭一文は枕詞。「システムリスク対応方針は重要」。正味はその次から。「システムリスク対応方針の立案とは企業の情報システム戦略やセキュリティポリシー等に基づき、故障によるシステム停止、人為的ミスやサイバー攻撃による情報漏洩等のインシデントに備える施策の検討である。」と続きます。
インシデントの具体例が出てきました。設問イに対応する2.1.の「インシデント」が①故障によるシステム停止、②人的ミスやサイバー攻撃による情報漏洩を書いて欲しがっていることと理解できます。
続いて、2つの段落で論旨が展開します。まずはひとつめ。「(もろもろ前略)インシデントが社会に与えるインパクトを想定」。先程の2.1.の「インパクト」ですね。
次の段落が「インパクトに応じて、予防策と発生時対策から成るシステムリスク対応方針を立案する」と来ます。その後、「予防策とは」と「発生時対策とは」と双方の具体的な説明がなされ、ここがそのまま2.2.システムリスク対応方針の立案に繋がると考えていいでしょう。
「問い本文の中に色々ヒントがあるはずなので」と前述しましたが、以上のように沢山のヒントがありました。多分、「システムリスク対応方針」というテーマ設定がちょっと難易度高いと出題者側も思ったのではないでしょうか。
とはいえ、「2.3.立案にあたっての工夫点(400字)」とあるので、やはりこの分野の経験値、ないしは試験前に考えてきたご自身の【担当プロジェクトの概要】がかなりドンピシャでないと、ちょっと選択しない問題かな~と思います。
問い本文の結びまで確認しておきましょう。最後の段落は「ITストラテジストは、(略)費用を明らかにし、システムリスク対応方針の効果を検討し、事業部門と経営層に提案して承認を得る」と結びます。費用対効果と承認のプロセスですね。設問ウ、つまり論文中の3.の部分に「費用対効果」の軸から書くと分かりやすいですよという出題者の意図ですね。
では、今回は、一旦、ここまで。続いて、問3の組込み系の問題を考察してみて、余力があれば、実際に「私が携わった」部分を、1.~3.にあてはめる更新をしてみます。皆さんも考えてみてください。
それにしても、問1,2を見てくると、設問のテーマが難しくなってきた分、「私が携わったプロジェクトの概要」は大規模システムの新規構築といったものではなく、中堅中小企業・ベンチャー企業が自社の業務改善やバックオフィス系で利用するシステム(昔でいうEUCのもうちょい大きいイメージ)をイメージしたものを想定しないと厳しいですね。
メガバンクの預金システムの全面更改
航空会社・鉄道会社の座席予約システムの再構築
【向いてる】
WebAPIを活用した中小企業の勤怠管理システム
スマホ・タブレットを活用した介護事業の顧客訪問マップシステム
こうなると、【向いてる】系のシステム構築について、企画段階から携わっている経験が必要になってくるのですが、従来のいわゆるJTC(ジャパン・トラディショナル・カンパニー)のSierだと、かえって【向いてる】系の経験がなくて、【不向き】系にずっぽり20年といったかたが多くなってきますね。経験がない場合は、事例に触れておこうということで、
>>日経コンピュータ:定期購読
日経コンピュータの効用について、こちらにまとめました。
この【向き】【不向き】はあくまでITストラテジストの午後Ⅱ(論文)の題材として、ですからね。システムそのものが良し悪しではないので、念のため。
ではでは。試験対策、がんばりましょう!次回は問3、扱います。
