平成24年春期試験午後問題 問4

問4 システムアーキテクチャ

⇱問題PDF
提案依頼書(RFP)作成に関する次の記述を読んで,設問1~4に答えよ。
 P社は,OAサプライ用品,PC周辺機器,文房具,生活用品など,幅広い分野の商品を,法人から個人まで様々な顧客に販売している。昨年度策定した中期経営計画に基づき,顧客数の増大,受発注業務の効率向上,正確かつ迅速な納品を目的として,受発注システムを再構築することを決定した。優先度の高い目標は次のとおりである。
  • 5年後の法人顧客数を現時点の4倍,受注総件数を現時点の3倍と設定し,それに対応したシステムとする。
  • 電話及びファックスによる注文から,インターネットによる注文へシフトする。
 P社が想定している新受発注システムの構成を,図1に示す。
pm04_1.png
〔RFP作成の背景〕
 P社は,現行システムの構築当時からQ社にシステムの開発・保守を委託していた。Q社はP社の業務内容やシステムの仕様について熟知していたが,開発スケジュールや見積りに関してQ社主導で決められていたことがあり,P社には若干の不満があった。今回,P社として初めてRFPを作成し,複数の会社から提案を受けた上で,新受発注システムの発注先を決定することにした。

〔RFP作成チームの発足とRFP記載内容〕
 RFP作成に当たり,P社内で情報システム部のR課長を責任者とするRFP作成チームが作られ,チームメンバーとして3名が全て情報システム部から選出された。また,RFP作成支援の実績が豊富な外部コンサルティング会社に,RFP作成支援を依頼した。
 R課長は,RFPの業務要求事項について,システムの利用部門から具体的な業務要求を提示してもらう必要があると考えた。これまでシステムの利用部門は,情報システム部に口頭で要望を伝えるだけであった。過去にユーザ受入テスト時点で仕様変更を要請されたことがあったが,いずれも要件定義における認識の相違が原因であった。
 R課長はRFP作成チームメンバーを招集し,システム再構築の背景と目的を共有した上で,RFP作成に着手した。そして,次のとおり"提案依頼事項"の案を作成した。
1. 業務要求
 現行システムと同等の業務機能に加えて,インターネットを用いた商品情報の提供及び効率的な注文処理を実現すること。具体的な機能は次のとおりとする。
  • Webブラウザ上の商品画像を直接クリックすることで"カゴに入れる"を繰り返し,購入商品が確定したら,"レジに行く"で注文を確定できること。
  • 注文履歴表示,注文書控えの作成,注文頻度の高い商品の登録,配送状況表示,環境対応商品や目玉商品の表示などが,必要に応じて随時行えること。
  • 法人顧客向けサービスとして,企業ごとの指定に応じて1回当たりの注文金額を制限する機能などを提供し,企業の管理者の決裁手続を軽減できること。
2. システム要求
  • アプリケーションソフトウェア
    • ユーザインタフェースは,Webブラウザを基本とすること。
    • ASP又はソフトウェアパッケージの活用を提案する場合,優先度の高いP社独自の機能を実現するために,カスタマイズを行うこと。
  • ハードウェア
    • 新システムの性能要求を満たす最適なサーバ構成を提案すること。
    • ディスク容量,バックアップについて,品質条件・性能条件を明確にすること。
    • 顧客数・受注総件数の増大など,P社の業務拡大に計画的に対応できること。
  • ネットワーク(記載省略)
3. 品質要求・性能要求
  • 可用性要求
    • システムの平均故障間隔は10,000時間以上,平均修復時間は1時間以内とすること。
  • パフォーマンス要求
    • オンライン処理:1トランザクション当たりの目標処理時間を表1に示す。表1のうちサーバ内処理時間については,目標時間を達成すること。
    • バッチ処理:日次バッチ処理時間は2時間以内とすること。日次バックアップ処理時間は1時間以内とすること。
    pm04_2.png
  • キャパシティ要求
    • システムライフサイクルは,本番稼働後5年を想定する。
    • 現行システムにおける,現時点の取扱いデータ件数は次のとおりである。
      • 取扱商品数:約50,000点
      • 顧客数(顧客マスタ登録数):法人約10,000社,個人約35,000名
      • 受注総件数(月当たり):平均200,000件,最大280,000件
4. セキュリティ要求
 新システムが安定的な稼働を実現できるよう,次の事項への方策を提案すること。
  • ①なりすまし・データ改ざん・情報漏えいなどが発生するリスクの低減と,発生した場合の検知
  • 顧客が新システムに入力した注文データなどに対する,事後の否認の抑止

設問1

RFPの作成について,(1),(2)に答えよ。
  • P社がRFPを作成することで得られるメリットを,解答群の中から二つ選び,記号で答えよ。
  • RFP作成の効果を更に高めるために,RFP作成チームのメンバー構成について改善すべき点を,20字以内で述べよ。
解答群
  • P社と取引実績のない会社を,あらかじめ提案依頼先候補から除外できる。
  • P社の要求に対する合意事項や受注会社側の責任が明確になり,認識の相違による開発手戻りリスクが減る。
  • 発注先の決定における恣意的な要素が排除されるので,適正な価格でシステムを導入できる。
  • 複数会社に対し,異なる条件で提案を依頼できる。

解答例・解答の要点

  • ※順不同
    ※順不同
  • 利用部門からもメンバーを選出する (16文字)

解説

  • RFP(Request for Proposal)は、発注側の企業がシステム要件や調達条件を開発ベンダに示して、具体的なシステムの提案を要請する提案依頼書です。RFPを作成することによるメリットを選択します。
    • 問題文の〔RFP作成の背景〕によると、そもそも今回P社がRFPを作成するのは、これまで取引してきたQ社に不満があり、取引実績のない複数の会社からも提案を受けたいからです。よって、本肢は誤りです。
    • 正しい。RFPにはシステム要件、システム化範囲、契約条件、技術的制約、運用・保守要件などを記述します。RFPの作成により、P社の要求が文書として明示されるため、受注会社側が行う範囲・行わない範囲が明確となります。これにより依頼内容について認識の違いが生じにくくなります。
    • 正しい。P社が作成したRFPをもとに、各会社は開発スケジュールや見積もりの具体的な数値を提案書に明記します。P社は、あらかじめ決めておいた提案書評価基準や要件適合度の重み付けによりそれぞれの提案書を評価するので、各会社を客観的に比較できます。
    • 異なる条件で提案を依頼すると、不公平になり発注先の決定を適正に行うことができません。全ての会社に対して、同じ条件のRFPを提示する必要があります。よって、本肢は誤りです。
    ∴イ、ウ

  • 問題文の〔RFP作成チームの発足とRFP記載内容〕によると、「R課長は,RFPの業務要求事項について,システムの利用部門から具体的な業務要求を提示してもらう必要があると考え」ています。しかし、選出されているRFP作成チームのメンバーは3名とも情報システム部の人員となっています。
    過去にユーザ受入テストにおいて「要件定義における認識の相違」による問題が発生していますから、前例を繰り返さないためには、実際にそのシステムを使っている利用部門からもメンバーを選出することが望ましいでしょう。システム利用部門のメンバーから、具体的な業務要求事項を提示してもらうことができれば上記の問題は起こりにくくなるはずです。

    したがって、「利用部門からもメンバーを選出する」「システム利用部門の人員をメンバーに加える」などの解答が適切となります。

    ∴利用部門からもメンバーを選出する

設問2

RFPの業務要求及びシステム要求について,(1),(2)に答えよ。
  • 提案依頼先に業務要求を正しく伝えるために考慮すべきことを,解答群の中から二つ選び,記号で答えよ。
  • ASP又はソフトウェアパッケージの活用を検討する場合に,業務要求や現行システム機能との差異を調査・分析・評価するための作業の名称を答えよ。
解答群
  • 業務要求の実現要望度合いに関して,優先順位を付ける。
  • 現行業務の保証が必須の機能は,現行のプログラムソースを添付する。
  • 現行業務の保証の範囲は,提案依頼先の考えに基づいて提案してもらう。
  • 現行の業務プロセス一覧,システム機能一覧を添付する。
  • 網羅性よりも詳細を優先して業務要求を記載する。

解答例・解答の要点

  • ※順不同
    ※順不同
  • フィットギャップ分析 又は フィット&ギャップ分析

解説

  • P社の要求として、現行システムと同等の業務機能を実現すること、P社独自の機能を実現するためにカスタマイズを行うことが挙げられています。これらの要求を正しく伝えるために求められることを選択します。
    • 正しい。P社のRFPには多くの要求が記載されていますが、「業務要求の実現要望度合いに関して、優先順位を付ける」ことで、提案依頼先はより正確にP社の要望を把握し、提案書に反映することができます。よって、本肢は正解です。
    • 提案依頼先が、プログラムソースから現行業務の内容を正確に読み取るのは困難です。この方法では業務要求を正しく伝えることはできません。また、他社が開発したプログラムソースを許可なく外部に公開する行為は、法的な問題を引き起こす可能性があります。よって、本肢は誤りです。
    • 現行業務の保証の範囲は、発注元であるP社が決めるべきです。新システムに残す必要がある現行業務の内容を、提案依頼先に正しく伝える必要があります。よって、本肢は誤りです。
    • 正しい。現行の設計書(業務プロセス一覧、システム機能一覧など)は、提案依頼先に現行業務の内容を伝える上で役に立ちます。
    • 業務要求やシステム要求に抜け漏れがあると、提案依頼先はP社の要求を正確に把握できず、必要な機能が抜け落ちたシステムを提案してしまう可能性があります。そのため、業務要求は網羅性を優先して作成すべきです。よって、本肢は誤りです。
    ∴ア、エ

  • 既存ソフトウェアパッケージの導入を検討する際に、業務要求や現行システム機能との差異を調査・分析・評価するための作業のことを、「フィット&ギャップ分析(フィットギャップ分析)」と言います。導入を検討しているソフトウェアパッケージと自社の業務プロセスが、どのくらい適合(フィット)しているか、あるいは乖離(ギャップ)しているかを分析する作業です。これによりカスタマイズしなくてはならない機能が明らかになります。

    ∴フィットギャップ分析 又は フィット&ギャップ分析

設問3

RFPの品質要求・性能要求について,(1),(2)に答えよ。
  • 表1において,画面レスポンス時間とサーバ内処理時間に分けて目標時間を設定した。本文中のパフォーマンス要求の項において,サーバ内処理時間に関しては目標時間を達成することを条件として課したが,画面レスポンス時間に関しては努力目標とした理由を,40字以内で述べよ。
  • キャパシティ要求の項において,取扱いデータ件数に関して追記すべき事項を,20字以内で述べよ。

解答例・解答の要点

  • 画面レスポンス時間は,利用者環境やネットワーク環境に依存するから (32文字)
  • 5年後の取扱いデータ件数 (12文字)

解説

  • 問題文の〔RFP作成チームの発足とRFP記載内容〕の表1によると、画面レスポンス時間は「顧客がシステムに指示してから、顧客側の画面に結果が表示されるまでの時間」と定義されています。今回のシステムは問題文冒頭の図1にある通り、顧客が所有するPCやスマートフォンのWebブラウザから、インターネットを通じてP社のサーバにアクセスする構成になっています。インターネットは公衆回線ですから回線速度の保証がありません。
    このため、顧客が使用する端末の性能やネットワーク環境によって応答時間は大きく変化します。使用環境が悪ければ目標処理時間を超過する可能性があります。顧客やネットワーク環境の問題はシステム側でどうすることもできないため、画面レスポンス時間は努力目標となっています。

    ∴画面レスポンス時間は,利用者環境やネットワーク環境に依存するから

  • 問題文の冒頭で、優先度の高い目標として「5年後の法人顧客数を現時点の4倍,受注総件数を現時点の3倍と設定し,それに対応したシステムとする」と記載があります。しかし、(3)キャパシティ要求には現時点での取扱いデータ件数しか記載されていませんから、このままだと受注会社から5年後の取扱件数を考慮しないシステムの提案が上がってくることになります。したがって、RFPのキャパシティ要求に「5年後の取扱いデータ件数」や「5年後の法人顧客数及び受注総件数」を明記し、このデータ量を処理できるシステムを提案してもらう必要があります。

    ∴5年後の取扱いデータ件数

設問4

提案依頼先からの提案内容を評価する際に,本文中の下線①のなりすましに対する直接的な対策として適切な事項を,解答群の中から二つ選び,記号で答えよ。
解答群
  • USBメモリなど外部媒体への機密データのコピーの禁止
  • Webアプリケーションの脆弱性を悪用した不正アクセスの防止
  • ウイルス対策ソフトの導入
  • 機密データの暗号化
  • パスワード照合に規定回数失敗したユーザアカウントのロック

解答例・解答の要点

※順不同
※順不同

解説

  • 機密データのコピーを防止する規定は情報漏えい対策にはなりますが、なりすまし対策にはなりません。
  • 正しい。Webアプリケーションに脆弱性があると、SQLインジェクションでパスワードを盗まれたり、セッションハイジャックでログイン中のセッションを奪取されたり、通信経路上で秘密情報を窃取されたりすることにより、不正ログインが成立してしまうことがあります。これらを防ぐため、Webアプリケーションの脆弱性をなくすことは重要です。
  • ウイルス対策ソフトの導入は、なりすまし対策にはなりません。システムにマルウェアが侵入した場合に、システム上のデータが破壊されたり改ざんされたりするのを防ぐことができるので、完全性を高める対策と言えます。
  • 機密データの暗号化は情報漏えい対策にはなりますが、なりすまし対策にはなりません。
  • 正しい。ログインに一定回数失敗した場合にアカウントへのアクセスを禁止する措置を「ロックアウト」と言います。この仕組みを設けていないとブルートフォール攻撃(総当たり攻撃)により不正ログインが成立してしまうことがあります。よって、ロックアウト機構を設けることは、なりすまし対策として有効です。
∴イ、オ
模範解答

Pagetop