ST 令和5年度春期午後Ⅱ 問2

個別システム化計画におけるシステムリスク対応方針の立案について

　顧客の生活や企業の事業活動の基盤として利用され，継続して安定したサービスの提供を求められるシステムの個別システム化計画では，システムリスク対応方針の立案が重要である。システムリスク対応方針の立案とは，企業の情報システム戦略やセキュリティポリシーなどに基づき，故障によるシステム停止，人為的ミスやサイバー攻撃による情報漏えいなどのインシデントに備える施策の検討である。
　ITストラテジストは，個別システム化計画におけるシステムリスク対応方針の立案に当たっては，事業や顧客，提供するサービスの特性を十分に考慮し，社外の事例も参考にした上で，インシデントが社会や自社の経営に与えるインパクトを想定する。
　次に，想定したインパクトに応じて，予防策と発生時対策から成るシステムリスク対応方針を関連部門とともに立案する。予防策とは，インシデントの発生を最小限に抑える施策で，許容される停止時間に応じた冗長性確保，情報漏えいを防止する認証・認可の厳格化などがある。また発生時対策とは，インシデント発生後のインパクトを最小限に抑える施策で，迅速な情報共有のための顧客と社内への緊急連絡システムの構築，迅速な復旧を実現するための定期的なリカバリ訓練の実施などがある。
　これらの検討を基にITストラテジストは，施策の準備，実行及び維持や，組織の体制強化などに要する費用を明らかにするとともに，システムリスク対応方針の効果を検討し，事業部門と経営層に提案して承認を得ることが重要である。
　あなたの経験と考えに基づいて，設問ア〜設問ウに従って論述せよ。

設問ア　あなたが携わった個別システム化計画におけるシステムリスク対応方針の立案において，対象としたサービスと個別システムの概要を，事業特性とともに800字以内で述べよ。

設問イ　設問アで述べた個別システムにおいて，あなたはどのようなシステムリスク対応方針を立案したか。想定したインシデントとインパクトを明らかにし，立案に当たり工夫した点とともに，800字以上1,600字以内で具体的に述べよ。

設問ウ　設問イで述べたシステムリスク対応方針について，あなたは事業部門と経営層にどのような提案を行い，承認を得たか。事業部門と経営層から指摘を受けて改善したこととともに，600字以上1,200字以内で具体的に述べよ。

IPA公開情報

出題趣旨

　顧客の生活や企業の事業活動の基盤として利用され，継続して安定したサービスの提供を求められるシステムの個別システム化計画では，システムリスク対応方針の立案が重要である。
　本問は，個別システム化計画において，対象システムに想定されるインシデント，そのインシデントが社会や自社の経営に与えるインパクト，及びそのインパクトに応じて立案する，予防策と発生時対策から成るシステムリスク対応方針について，具体的な論述を求めている。論述を通じて，IT ストラテジストに必要な，システムリスク対応方針の立案における構想力，分析力，洞察力などを評価する。

採点講評

　全問に共通して，“論述の対象とする構想，計画策定，システム開発などの概要”又は“論述の対象とする製品又はシステムの概要”が適切に記述されていないものが散見された。これらは，評価の対象となるので，矛盾が生じないように適切な記述を心掛けてほしい。また，字数が少なくて経験や考えを十分に表現できていない論述も目立った。
　午後Ⅱ試験では，IT ストラテジスト自身の経験と考えに基づいて，設問の趣旨を踏まえて論述することが重要である。問題文及び設問の趣旨から外れた論述や具体性に乏しい論述は，評価が低くなってしまうので，注意してほしい。

　問 2 では，インシデントに備える施策の検討として，予防策と発生時対策から成るシステムリスク対応方針が具体的に示された論述が多く見受けられ，経験のある受験者には論述しやすかったと思われる。一方で，インシデントが社会や自社の経営に与えるインパクトについて，具体的な内容が示されていない論述も散見された。IT ストラテジストは，システムリスク対応方針の効果を十分に検討し，事業部門と経営層に提案して承認を得られる分析能力や評価能力を養ってほしい。