情報システムに係るガイドラインについてですが、これってただの暗記みたいなものでしかもガイドラインってころころ変わるイメージがあるから学習しづらいです。しかもかなり事務的。散文的。では始めましょうか。

まずは情報セキュリティ関連。

１．コンピュータウィルス対策基準
　コンピュータに対する予防、発見、駆除、復旧について実効性の高い対策を取りまとめている。
①システムユーザ基準
②システム管理者基準
③ソフトウエア供給者基準
④ネットワーク事業者基準
⑤システムサービス事業者基準
具体的な対策について、システム構築および運用に関わる５つの対象者に分類してその基準を定めている。

２．ISMS（Information Security Management System）適合性評価制度
　情報セキュリティマネジメントシステムとは、企業や組織が自己の情報セキュリティを確保・維持するために、セキュリティポリシーに基づいたセキュリティレベルの設定やリスク評価の実施などを継続的に運用する仕組み。この制度は、財団法人日本情報経済社会推進協会（JIPDEC)の情報マネジメント推進センターがJIS Q 27001に基づき組織のISMSについて認定を行うもの。ISMSは標準として定められたセキュリティレベルに沿うのではなく、組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分してシステムを運用することが望ましいとされている。

　●ISMS　→　JIS Q 27001

１）ISMSの運用体制
　ISMS適合性評価制度は、「認証機関」「要員認証機関」「認定機関」からなる仕組み。組織が構築したISMSがJIS Q 27001に適合しているかどうかを審査し登録するのが「認証機関」。審査員の資格を付与する「要員認証機関」。各機関がその業務を行う能力を備えているかどうかを認定するのが「認定機関」である。
２）ISMSの主要なコンセプト
　組織が保護すべき情報資産について、機密性、完全性、可用性（３つあわせて情報セキュリティの３要素とよぶ）をバランスよく維持し改善することがコンセプトになっている。
３）ISMSの実施ステップ
①ISMSの適用範囲を定義
②情報セキュリティポリシーを策定
③リスクアセスメントの体系的な取り組み方法を策定
④保護すべき情報資産に対するリスクを識別
⑤リスクアセスメントを実施
⑥リスクアセスメントの結果、リスクの受容が出来ない場合にはリスク対応の選択肢を明確にし評価
⑦リスク対応に基づき、実施すべき管理策を選択
⑧詳細管理策を適用宣言書で明確に公表

次にITサービスマネジメント関連。

３．ITIL（IT Infrastructure Library）
　ITサービスマネジメントのベストプラクティスを集めたもの。ITに関する社内規則や手順などの設定・見直しを行う際のガイドラインとして活用されるべきである。

　●ITIL　→　ITサービスマネジメントのベストプラクティス集

４．ITSMS(IT Service Management System)適合性評価制度
　ITサービスのマネジメントを効果的・効率的に運営管理するための仕組み。この制度は、財団法人日本情報経済社会推進協会（JIPDEC)の情報マネジメント推進センターがJIS Q 20000-1に基づきITサービス事業者が提供するITサービスについて認定を行うものである。ITSMSで最も重要なことは、健全なITサービスマネジメントの実現と定着のため、経営陣による関与（コミットメント）と継続的な改善の仕組みを構築することである。

　●ITSMS　→　JIS Q 20000-1

５．情報システムに係る政府調達へのSLA導入ガイドライン
　電子政府の取り組みの１つとして、情報システムにおける政府調達の手続の合理化や透明性の向上、調達費用の低減を目的に策定された。つまり政府が発注する情報システムについて、調達に伴う手続きの合理化、透明性の向上、調達費用の低減、ベンチャー企業からの調達の一層の促進などを目指した調達制度の改革を促進することとし、政府行政部門は、住民や企業に対するサービスを低下させることなくＩＴ導入を推進し、業務効率化と住民や企業に対するサービス改善を両立することが求められている。
１）SLA（Service Level Agreement）
　ITサービス提供者と委託者との間で、ITサービスの契約を締結する際に、サービス品質に対する要求水準を規定するとともに、双方の合意の結果として、提供されるサービス品質の水準を明確にし、契約文書の一部もしくは独立した文書として締結するもの。

　●SLA導入ガイドライン
　　→　政府が発注する場合
　　→　手続の合理化、透明性の向上、調達費用の低減
　　→　行政サービス低下を避ける
　　→　政府とITサービス事業者間でサービス要求のすり合わせ

SLAは、一般的に、前提条件、委託業務の範囲、役割と責任の分担、サービスレベル、結果対応、運営ルールの項目から構成される。
また、SLAに記載するサービスレベルは、以下の２つの種類がある。
①目標保証型（取り決めたサービスレベルを保証する義務を負う）
②努力目標型（取り決めたサービスレベルが努力目標にとどまる）
サービスレベルの項目ごとに、目標保証型であるか努力目標型であるかが決められる｡したがって、ＳＬＡに記載されるサービスレベルの項目は、全てが目標保証型もしくは努力目標型である場合、目標保証型と努力目標型の両方が含まれる場合がある。
また、政府調達については、仕様書に記載される事項は遵守されることが前提である。そのため、サービスレベルの項目を仕様書に記載する場合は、目標保証型であることが望ましい。
２）SLM(Service Level Management)
　SLAを締結し、その合意内容をが適正に実現され、状況の変化に応じて柔軟に運用されるように、委託者と提供者の間で取り決められた運営の仕組みを構築、運用すること。
SLMの目的は、委託者と提供者が協力しながら業務に必要とされるサービスレベルを達成することが重要であり、必ずしもペナルティを課すことが優先されるべきではない。

６．SaaS向けSLA導入ガイドライン
　SaaSはインターネット等を経由するサービスであり、また、自社の財務データや顧客データなどをサービス提供者に預けることとなるため、企業が安心して利用するためには、利用者とサービス提供者間で、サービスレベルに関する取り決めが重要である。
経済産業省が示したガイドラインでは、SaaS 型取引に係る紛争を未然に防止するために、実際のSaaS サービスにおけるサービスレベル設定事例を元に、利用者とサービス提供者間が事前に合意すべき事項や望ましいサービスレベルに関する指針が示されている。

１）SaaSはマルチテナント
　SaaS提供者は一つのシステムで複数利用者組織の情報やアプリケーションを管理するマルチテナントと呼ばれる技術を応用している。このマルチテナント技術の応用により、SaaS提供者はシステムの利用効率を最大限にすることができ、管理および運用コストを最小限に抑えることが可能となった。その結果としてSaaSの利用料金を下げることに成功したといえる。ただし、マルチテナントは、１つのシステムを複数の利用者で共有するため、サービス提供時間など利用者個別のSLAを設定できない項目もある。
２）ASPはシングルテナント
　従来のASPと呼ばれる方式は、アプリケーションのサービス提供形態をインターネット経由にすることで従来のパッケージ導入や自社開発と一線を画したが、データ管理はシングルテナントと呼ばれる利用企業ごとにシステム一式を個別に用意する方式であった。そのため、ハードウェア購入費用や管理および運用コストを追加負担する必要があり、結果的に安価なアプリケーション利用料金を実現することが困難であった。
３）SLA導入の進め方
SLAはサービス利用契約書の附属資料として添付されることが一般的である。この場合、契約書（本文）に、件名、金額、期間、契約条項などの基本的な契約内容が盛り込まれる。詳細な契約内容を記述した附属資料の中に、SLAが併せて記述されることが多い。SLAは一般的に以下の要素から構成される。
【SLA構成要素】　　　　　 構成要素の概要
前提条件 　　　　　　　サービスレベルに影響を及ぼす業務上／システム上の前提条件
委託範囲 　　　　　　　合意された委託内容がカバーする範囲
役割と責任 　　　　　　利用者とSaaS提供者の役割と責任を明確化した分担表
サービスレベル項目　　管理対象となるサービス別に設定される評価項目及び要求水準
結果対応 　　　　　　　サービスレベルが達成されなかった場合の対応方法（補償）
運営ルール　　　　　　利用者とSaaS 提供者間のコミュニケーションのルール／体制
なお、前提条件、委託範囲、役割と責任については、通常、契約書に記述されるが、その内容を補完する事項がある場合のみ、SLAにも補足事項が記載される。

７．ITサービス継続ガイドライン
　ガイドラインでは、ITサービス継続を次のように定義している。
「ITサービス継続とは、事業継続の一部であり、災害、事故等の発生に際し、ITサービスの中断・停止による事業継続に与える影響を、求められるサービスレベルと対策に必要なコストとの関係の中で最適化するための取り組み」だとしている。本ガイドラインは、組織におけるITサービスの企画、開発、調達、導入、運用、保守などに携わる部門や担当者が、事業継続マネジメント（BCM）に必要なIT サービス継続を確実にするための枠組みと具体的な実施策を示し、取り組みの実効性の向上を支援することを目的とする。

思ったより長くなりそうだ。

次は、IT経営関連。

８．IT経営の定義
　経済産業省の「ITポータル」によると、IT経営の定義を次のように定めている。
「経営・業務・ITの融合による企業価値の最大化を目指すこと」

９．IT経営憲章
　平成20年6月、IT経営協議会が、経営者がIT経営を実践するために取りくむ10の原則をさだめ、IT経営憲章として採択した。
1. 【経営とＩＴの融合】
経営者は、自らの経営判断に基づき、企業改革や業務改革の道具として常にＩＴを戦略的に活用する可能性を探求する。
2. 【改革のリード】
経営者は、企業改革にＩＴにおける技術革新の成果を生かし、日々の細かな改善を含め、中長期にわたり、取組みをリードする。
3. 【優先順位の明確化】
経営者は、取り組むべき企業改革や業務改革の内容を明らかにして、その実現に向けたＩＴ投資の優先順位を常に明確に現場に示す。
4. 【見える化】
経営者は、ＩＴを活用し、競争優位の獲得に必要な情報や業務を可視化し、かつステークホルダーへの情報開示や透明性の確保に取り組む。
5. 【共有化】
経営者は、「見える化」した情報や業務を「共有化」し、企業内での部門を超えた業務間連携、業種・業態・規模を超えた企業間連携を促す情報基盤構築やバリューチェーンの最適化に取り組む。
6. 【柔軟化】
経営者は、ＩＴを活用し、個々の企業の枠にとらわれず、業務やシステムの組み替えや、必要な情報を迅速かつ最適に活用できる事業構造への転換に取り組み、経営環境の急速な変化に柔軟に対応する。
7. 【ＣＩＯと高度人材の育成】
経営者は、最適なＩＴ投資・ＩＴ活用を実現するために、ＣＩＯを任命し、ともに企業改革や業務改革に取り組む。また、産学官、ユーザー・ベンダの垣根を越えて、ＩＴを駆使した企業改革を推進できる高度人材の育成・交流を推進する。
8. 【リスク管理】
経営者は、ＩＴ活用がもたらすリスクと、問題が発生した際のステークホルダーや社会に及ぼす影響を正しく認識し、その管理を徹底する。
9. 【環境への配慮】
経営者は、環境に対する企業責任を認識し、ＩＴ活用によるエネルギー効率向上や省資源化に取り組む。
10. 【国内企業全体の底上げ】
経営者は、ＩＴ投資から最大限の効果を引き出すためにも、中小企業等企業規模や業種の如何を問わず、企業の枠を超えて我が国企業全体のＩＴ経営の改善・普及に取り組む。

　●IT経営憲章　→　見える化⇒共有化⇒柔軟化

１０．IT経営ロードマップ
　「ＩＴ経営憲章」に基づき、企業がＩＴ経営を実際に推進するにあたっての取り組みを、ＩＴ経営における先進企業の事例をふまえ整理したもの。

１１．共通フレーム2007
　作業工程、開発モデル、開発技法などに依存しないガイドラインであり、システム開発作業全般にわたって、システム発注側（ユーザ側）と受注側（ベンダ側）に共通のものさしや共通語を提供するもの。
共通フレームに含まれている主な考え方を以下に列挙する。
（１）「利害関係者の役割と責任分担の明確化」を提唱
（２）「多段階の見積り方式」を提唱
（３）「Ｖ字モデルの採用」を提唱
（４）「超上流における準委任契約の採用」を提唱
（５）「要件の合意及び変更ルールの事前確立」を提唱
（６）「非機能要件の重要性を認識すること」を提唱
（７）「運用・保守を含めたSLCPを考えること」を提唱

次は情報セキュリティ関連の法制について。

１２．不正アクセス禁止法
　不正アクセス行為などの禁止・処罰という行為者に対する規則と、不正アクセス行為を受ける立場にあるアクセス管理者に防御措置を求め、アクセス管理者がその防御措置を的確に講じられるよう行政が援助する防御側の対策という２つの側面から、不正アクセス行為の防止を図ろうとするもの。

不正アクセスとは、ネットワーク経由で行われる次のような行為である。
①不正アクセス行為
・他人のID・パスワードなどを無断で使用する行為
・セキュリティホールを攻撃してコンピュータに侵入する行為
②不正アクセスを助長する行為
・本人に無断で第三者にID・パスワードなどを提供する行為

不正アクセス禁止法には、次のような刑法とは異なる３つのポイントがある。
①被害の有無を問わない
②アクセス制御機能の設定が前提
③不正アクセスを助長する行為も処罰の対象

①は不正アクセスを行ったという事実証明だけで処罰の対象になるところが重要なポイント。②は不正アクセス行為は、アクセス制御機能といった利用制限を不正に解除する行為としているため、アクセス制御機能が設定されていないコンピュータでは、法律的に不正アクセス行為という概念が存在しないことになる。またネットワークに接続していない場合も除外される。③は他人のパスワードを勝手に公開したり、販売したりするなど不正アクセス行為を助長する行為も処罰の対象となっている。

ここまで情報技術関連が終了した。
残すは統計解析だけだが、これはレビューしたところで、それこそ制御不能だ。だって、分からんもん。

ここのところ、経営情報システムの難易度がかなり上がったというのは診断士試験界では有名な話だ。SEさんはともかく、著者のような素人には６割取るのが精一杯なんだと思う。あとはヤマ勘が炸裂すれば７割。どう頑張ってもそれ以上は不可能ではないかと思えるような難易度になった。
情報システムは日進月歩の世界だから、次から次へと新しい技術が誕生する。そういう世界で働いているわけではないからトレンドには敏感じゃないし、古典的な問題をこなすのがやっとのことなのだ。
それにSEさんだって知らない内容が登場すると評判の試験だからなかなかどうして素人には太刀打ち出来ない・・・。

何はともあれ、あと２マークで本試験で敗退したわけだが、実はあれが精一杯だったのではないか？
それが実力だったのではないか？
運も実力とか言うけれど、実力のない者が運を頼るようではダメだね。
少なくとも失点してはいけない問題での取りこぼしは絶対に不可だ、というスタンスで問題にあたらないと合格は覚束ないだろう。診断士試験は科目ごとに難易度のブレが相当大きい試験で有名だから、急激に難しくなったり、易しくなったりするかもしれない。でも、それも運。
情報については、これ以上新たなインプットをするつもりはないから過去問を中心とした理解で本試験を迎えることになると思う。