平成29年秋の情報セキュリティマネジメント試験―公開問題と解説
トップ
各試験用の問題と解説
情報セキュリティマネジメント
平成29年秋の情報セキュリティマネジメント試験
平成29年秋の情報セキュリティマネジメント試験 午前の過去問と解説を掲載しています。
ご利用について
このページを表示した場合、答えと解説が、表示される設定になっています。 ページ全体の答えと解説の表示、非表示は以下で、個別は各問題のところのリンクで切り替えてください。
目次
このページの目次です。
- 問01 サイバーセキュリティ経営ガイドライン
- 問04 CRYPTRECの役割
- 問05 リスクアセスメントプロセス
- 問06 リスクファイナンシング
- 問07 リスク評価
- 問08 リスクを運用管理することについて
- 問09 脅威と脆弱性
- 問10 原因を除去し、再発を防止するためのもの
- 問11 否認防止の特性
- 問12 サポートユーティリティ
- 問13 情報漏えい対策
- 問14 SIEM(Security Infomation and Event Management)の機能
- 問15 入退室管理
- 問16 シャドーIT
- 問17 ステガノグラフィ
- 問18 パスワードを用いて利用者を認証する方法
- 問19 アクセスポイントへの接続を防止
- 問20 WAFの説明
- 問21 C&Cサーバが果たす役割
- 問22 DNSキャッシュポイズニング
- 問23 公開鍵暗号方式
- 問24 ディジタル署名
- 問26 ルート認証局
- 問27 ワームの特徴
- 問29 HTTP over TLS(HTTPS)
- 問30 ファジング
- 問31 個人情報保護法
- 問32 特定電子メールの送信の適正化等に関する法律
- 問33 著作権法
- 問34 類似したドメイン名を登録するなどの行為
- 問35 使用許諾契約
- 問36 労働者派遣法
- 問37 統制
- 問38 正確性及び網羅性を確保するコントロール
- 問39 システム監査基準
- 問40 監査調書
- 問41 PDCA方法論
- 問44 ガントチャートの特徴
- 問45 システムの信頼性指標
- 問46 ビッグデータ
- 問47 NAT機能
- 問49 企画プロセス
- 問50 CIOが果たすべき主要な役割
平成29年秋 問01 サイバーセキュリティ経営ガイドライン―情報セキュリティマネジメント試験 午前
経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。
【ア】緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために、 経営者レベルの権限をもたない者をCISOに任命する。
【イ】サイバー攻撃が模倣されることを防ぐために、 自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。
【ウ】サイバーセキュリティ人材を確保するために、適切な処遇の維持、 改善や適切な予算の確保を指示する。
【エ】ビジネスパートナとの契約に当たり、ビジネスパートナに対して自社が監査を 実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問1
答えと解説
答え 【ウ】
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインは、経済産業省とIPAが策定したもので、 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、 情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたものです。
サイバーセキュリティ経営ガイドラインに従った経営者の対応
サイバーセキュリティ経営ガイドラインに従った経営者の対応は、 サイバーセキュリティ人材を確保するために、適切な処遇の維持、改善や適切な予算の確保を指示するです。
もっと知識を深めるための参考
-
情報セキュリティに関する基準
情報セキュリティに関する基準、指針についてまとめています。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
ストラテジ系の分野のサイトオリジナル教科書です。ストラテジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成29年秋 問04 CRYPTRECの役割―情報セキュリティマネジメント試験 午前
CRYPTRECの役割として、適切なものはどれか。
【ア】外国為替及び外国貿易法で規制されている暗号装置の輸出許可申請を審査、承認する。
【イ】政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証する。
【ウ】電子政府での利用を推奨する暗号技術の安全性を評価、監視する。
【エ】民間企業のサーバに対するセキュリティ攻撃を監視、検知する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問4
答えと解説
答え 【ウ】
CRYPTRECの役割
CRYPTRECの役割は、電子政府での利用を推奨する暗号技術の安全性を評価、監視することです。
もっと知識を深めるための参考
-
CRYPTREC
CRYPTRECは、読み方は「くりぷとれっく」、日本の暗号技術評価プロジェクトです。CRYPTRECについてまとめています。
-
情報セキュリティ組織・機関
不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問05 リスクアセスメントプロセス―情報セキュリティマネジメント試験 午前
a~dのうち、リスクアセスメントプロセスのリスク特定において特定する対象だけを全てあげたものはどれか。
〔特定する対象〕
a リスク対応に掛かる費用
b リスクによって引き起こされる事象
c リスクによって引き起こされる事象の原因及び起こり得る結果
d リスクを顕在化させる可能性をもつリスク源
【ア】a、b、d
【イ】a、d
【ウ】b、c
【エ】b、c、d
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問5
答えと解説
答え 【エ】
リスク特定
リスクアセスメントプロセスのリスク特定において特定する対象は以下です。
- リスクによって引き起こされる事象
- リスクによって引き起こされる事象の原因及び起こり得る結果
- リスクを顕在化させる可能性をもつリスク源
もっと知識を深めるための参考
平成29年秋 問06 リスクファイナンシング―情報セキュリティマネジメント試験 午前
リスク対応のうち、リスクファイナンシングに該当するものはどれか。
【ア】システム被害につながるリスクの発生を抑える対策に資金を投入する。
【イ】リスクが大きいと評価されたシステムを廃止し、新たなセキュアなシステムの構築に資金を投入する。
【ウ】リスクが顕在化した場合のシステム被害を小さくする設備に資金を投入する。
【エ】リスクによってシステムが被害を受けた場合を想定して保険を掛ける。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問6
答えと解説
答え 【エ】
リスクファイナンシング
リスク対応のうち、 リスクによってシステムが被害を受けた場合を想定して保険を掛けるなどすることをリスクファイナンシングといいます。
もっと知識を深めるための参考
平成29年秋 問07 リスク評価―情報セキュリティマネジメント試験 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)に従ったリスク評価において、 情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するものはどれか。
【ア】組織の情報セキュリティインシデントシナリオ
【イ】組織の情報セキュリティのインシデント対応フロー
【ウ】組織の情報セキュリティのリスク基準
【エ】組織の情報セキュリティリスク対応計画
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問7
答えと解説
答え 【ウ】
リスク評価
JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)に従ったリスク評価において、 リスク分析結果は組織の情報セキュリティのリスク基準と比較して情報セキュリティリスクが受容可能か否かの意思決定を行います。
もっと知識を深めるための参考
平成29年秋 問08 リスクを運用管理することについて―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。
【ア】監査員
【イ】トップマネジメント
【ウ】利害関係者
【エ】リスク所有者
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問8
答えと解説
答え 【エ】
リスク所有者
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体をリスク所有者と呼んでいます。
もっと知識を深めるための参考
平成29年秋 問09 脅威と脆弱性―情報セキュリティマネジメント試験 午前
情報セキュリティマネジメントにおける、脅威と脆弱性に関する記述のうち、 最も適切なものはどれか。
【ア】管理策の欠如によって脅威が高まり、脆弱性の深刻度が低くなる。
【イ】脅威が存在しないと判断できる場合、脆弱性に対処する必要性は低い。
【ウ】脅威のうち、脆弱性によってリスクが顕在化するのは環境的脅威である。
【エ】脆弱性の有無にかかわらず、事故の発生確率は脅威の大きさで決まる。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問9
答えと解説
答え 【イ】
脅威と脆弱性
情報セキュリティマネジメントの考え方として、 脅威が存在しないと判断できる場合、脆弱性に対処する必要性は低いと判断します。
もっと知識を深めるための参考
平成29年秋 問10 原因を除去し、再発を防止するためのもの―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして定義されているものはどれか。
【ア】継続的改善
【イ】修正
【ウ】是正処置
【エ】リスクアセスメント
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問10
答えと解説
答え 【ウ】
是正処置
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において、 不適合が発生した場合にその原因を除去し、再発を防止するためのものとして是正処置が定義されています。
もっと知識を深めるための参考
-
情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問11 否認防止の特性―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)において定義されている 情報セキュリティの特性に関する記述のうち、否認防止の特性に関する記述はどれか。
【ア】ある利用者があるシステムを利用したという事実が証明可能である。
【イ】許可された利用者が要求したときにアクセスが可能である。
【ウ】認可された利用者に対してだけ、情報を使用させる又は開示する。
【エ】利用者の行動と意図した結果とが一貫性をもつ。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問11
答えと解説
答え 【ア】
否認防止(NonRepudiation)
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 ある利用者があるシステムを利用したという事実が証明可能であることを 否認防止の特性と定義しています。
もっと知識を深めるための参考
-
情報セキュリティの目的と考え方
情報セキュリティの目的は、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保、 維持することによりさまざまな脅威から情報システム及び情報を保護し、情報システムの信頼性を高めることです。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問12 サポートユーティリティ―情報セキュリティマネジメント試験 午前
JIS Q 27002:2014(情報セキュリティ管理策の実勢のための規範)の “サポートユーティリティ”に関する例示に基づいて、サポートユーティリティと判断されるものはどれか。
【ア】サーバ室の空調
【イ】サーバの保守契約
【ウ】特権管理プログラム
【エ】ネットワーク管理者
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問12
答えと解説
答え 【ア】
サポートユーティリティ
JIS Q 27002:2014(情報セキュリティ管理策の実勢のための規範)の “サポートユーティリティ”に関する例示に基づいて、たとえばサーバ室の空調はサポートユーティリティと判断されます。
もっと知識を深めるための参考
-
情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問13 情報漏えい対策―情報セキュリティマネジメント試験 午前
情報システムにおいて、秘密情報を判別し、秘密情報の漏えいにつながる操作に対して警告を発令したり、 その操作を自動的に無効化させたりするものはどれか。
【ア】DLP
【イ】DMZ
【ウ】IDS
【エ】IPS
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問13
答えと解説
答え 【ア】
DLP(Data Loss Prevention)
DLP(Data Loss Prevention)は、情報システムにおいて、秘密情報を判別し、 秘密情報の漏えいにつながる操作に対して警告を発令したり、 その操作を自動的に無効化させたりするものです。
もっと知識を深めるための参考
-
DLP(Data Loss Prevention)
DLP(Data Loss Prevention)は、情報システムにおいて、秘密情報を判別し、秘密情報の漏えいにつながる操作に対して警告を発令したり、その操作を自動的に無効化させたりするものです。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問14 SIEM(Security Infomation and Event Management)の機能―情報セキュリティマネジメント試験 午前
SIEM(Security Infomation and Event Management)の機能どれか。
【ア】隔離された仮想環境でファイルを実行して、C&Cサーバへの通信などの振る舞いを監視する。
【イ】様々な機器から集められたログを総合的に分析し、管理者による分析を支援する。
【ウ】ネットワーク上の様々な通信機器を集中的に制御し、 ネットワーク構成やセキュリティ設定などを動的に変更する。
【エ】パケットのヘッダ情報の検査だけでなく、通信が行われるアプリケーションを識別して、 通信の制御を行う。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問14
答えと解説
答え 【イ】
SIEM(Security Infomation and Event Management)
SIEM(Security Infomation and Event Management)は、 様々な機器から集められたログを総合的に分析し、管理者による分析を支援する機能がある製品です。
もっと知識を深めるための参考
-
SIEM(Security Infomation and Event Management)
SIEM(Security Infomation and Event Management)は、 様々な機器から集められたログを総合的に分析し、管理者による分析を支援する機能がある製品です。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問15 入退室管理―情報セキュリティマネジメント試験 午前
入室時と退室時にIDカードを用いて認証を行い、入退室を管理する。 このとき、入室時の認証に用いられなかったIDカードでの退室を許可しない、 又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みはどれか。
【ア】TRMOR(Two Person Minimum Occupancy Rule)
【イ】アンチパスバック
【ウ】インターロックゲート
【エ】パニックオープン
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問15
答えと解説
答え 【イ】
アンチパスバック
アンチパスバックとは、入室時と退室時にIDカードを用いて認証を行い、入退室を管理するとき、 入室時の認証に用いられなかったIDカードでの退室を許可しない、 又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みのことをいいます。
もっと知識を深めるための参考
-
入退室管理
入退室管理、入退室管理システムについて見ていきます。ISMSやアンチパスバックなどの入退室管理システムの機能についてまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問16 シャドーIT―情報セキュリティマネジメント試験 午前
シャドーITに該当するものはどれか。
【ア】IT製品やITを活用して地球環境への負荷を低減する仕組み
【イ】IT部門の公式な許可を得ずに、従業員又は部門が業務に利用しているデバイスやクラウドサービス
【ウ】攻撃対象者のディスプレイやキータイプを物陰から盗み見て、情報を盗み出すこと
【エ】ネットワーク上のコンピュータに侵入する準備として、 攻撃対象の弱点を探るために個人や組織などの情報を収集すること
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問16
答えと解説
答え 【イ】
シャドーIT
シャドーITは、IT部門の公式な許可を得ずに、従業員又は部門が業務に利用しているデバイスやクラウドサービスのことをいいます。
もっと知識を深めるための参考
平成29年秋 問17 ステガノグラフィ―情報セキュリティマネジメント試験 午前
ステガノグラフィはどれか。
【ア】画像などのデータの中に、秘密にしたい情報を他者に気づかれることなく埋め込む。
【イ】検索エンジンの巡回ロボットにWebページの閲覧者とは異なる内容を送信し、 該当Webページの検索順位が上位に来るように検索エンジンを最適化する。
【ウ】検査対象の製品に、JPEG画像などの問題を引き起こしそうなテストデータを送信し読み込ませて、 製品の応答や挙動から脆弱性を検出する。
【エ】コンピュータに認識できないほどゆがんだ文字が埋め込まれた画像を送信して表示し、 利用者に文字を認識させて入力させることによって、人が介在したことを確認する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問17
答えと解説
答え 【ア】
ステガノグラフィ
ステガノグラフィは画像などのデータの中に、秘密にしたい情報を他者に気づかれることなく埋め込む技術です。 伝えたいメッセージを画像データなどのコンテンツに埋め込み、埋め込んだメッセージの存在を秘匿します。
もっと知識を深めるための参考
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問18 パスワードを用いて利用者を認証する方法―情報セキュリティマネジメント試験 午前
パスワードを用いて利用者を認証する方法のうち、適切なものはどれか。
【ア】パスワードに対応する利用者IDのハッシュ値を登録しておき、 認証時に入力されたパスワードをハッシュ関数で変換して比較する。
【イ】パスワードに対応する利用者IDのハッシュ値を登録しておき、 認証時に入力された利用者IDをハッシュ関数で変換して比較する。
【ウ】パスワードをハッシュ値に変換して登録しておき、 認証時に入力されたパスワードをハッシュ関数で変換して比較する。
【エ】パスワードをハッシュ値に変換して登録しておき、 認証時に入力された利用者IDをハッシュ関数で変換して比較する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問18
答えと解説
答え 【ウ】
パスワードを用いて利用者を認証する方法
パスワードを用いて利用者を認証する場合は、 パスワードをハッシュ値に変換して登録しておき、 認証時に入力されたパスワードをハッシュ関数で変換して比較するのが適切です。
もっと知識を深めるための参考
平成29年秋 問19 アクセスポイントへの接続を防止―情報セキュリティマネジメント試験 午前
参加者が毎回変わる100名程度の公開セミナにおいて、参加者に対して無線LAN接続環境を提供する。 参加者の端末以外からのアクセスポイントへの接続を防止するために効果がある情報セキュリティ対策はどれか。
【ア】アクセスポイントがもつDHCPサーバ機能において、 参加者の端末に対して動的に割り当てるIPアドレスの範囲をセミナごとに変更する。
【イ】アクセスポイントがもつURLフィルタリング機能において、 参加者の端末に対する条件をセミナごとに変更する。
【ウ】アクセスポイントがもつ認証機能において、 参加者の端末とアクセスポイントとの間で事前に共有する鍵をセミナごとに変更する。
【エ】アクセスポイントがもつプライバシセパレータ機能において、 参加者の端末へのアクセス制限をセミナごとに変更する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問19
答えと解説
答え 【ウ】
無線LAN接続環境を提供する場合のセキュリティ対策の例
たとえば、参加者が毎回変わる100名程度の公開セミナにおいて、参加者に対して無線LAN接続環境を提供する場合、 参加者の端末以外からのアクセスポイントへの接続を防止するために効果がある情報セキュリティ対策は、 アクセスポイントがもつ認証機能において、 参加者の端末とアクセスポイントとの間で事前に共有する鍵をセミナごとに変更するのが有効です。
もっと知識を深めるための参考
-
無線LAN
無線LANとはどのようなものか、無線LANの認定規格の1つのWI-FI(無線LANのアダプタのブランド名)中心に11ad、11axなどのIEEEの規格、セキュリティについてまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問20 WAFの説明―情報セキュリティマネジメント試験 午前
WAFの説明として、適切なものはどれか。
【ア】DMZに設置されているWebサーバへの外部から実際に試みる。
【イ】TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行うことによって、 WebサーバのCPU負荷を軽減するために導入する。
【ウ】システム管理者が質問に答える形式で、自組織の情報セキュリティ対策のレベルを診断する。
【エ】特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、 不正な通信を遮断する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問20
答えと解説
答え 【エ】
WAF
WAFは、特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、 不正な通信を遮断します。
もっと知識を深めるための参考
-
WAF
WAFとは、読み方は「ワフ」、Web Application Firewallの略で、 Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに該当アクセスを遮断する製品です。 FWとの違い、防げない攻撃などまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問21 C&Cサーバが果たす役割―情報セキュリティマネジメント試験 午前
ボットネットにおいてC&Cサーバが果たす役割はどれか。
【ア】遠隔操作が可能なマルウェアに、情報収集及び攻撃活動を指示する。
【イ】電子商取引事業者などに、偽のディジタル証明書の発行を命令する。
【ウ】不正なWebコンテンツのテキスト、画像及びレイアウト情報を一元的に管理する。
【エ】踏み台となる複数のサーバからの通信を制御し遮断する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問21
答えと解説
答え 【ア】
C&Cサーバが果たす役割
ボットネットにおいてC&Cサーバが果たす役割は遠隔操作が可能なマルウェアに、情報収集及び攻撃活動を指示することです。
もっと知識を深めるための参考
-
ボット
ボットの意味やボットによる買い占め、ボットネットでのC&Cサーバの役割などボットとは何か解説しています。
-
マルウェア・不正プログラム
マルウェア・不正プログラムとはどのようなものかをテーマに、マルウェアの挙動やランサムウェア、ボット、mirai、pentyaなどの種類についてまとめています。
-
脅威
情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。 脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問22 DNSキャッシュポイズニング―情報セキュリティマネジメント試験 午前
DNSキャッシュポイズニングに分類される攻撃内容はどれか。
【ア】DNSサーバのソフトウェアのバージョン情報を入手して、DNSサーバのセキュリティホールを特定する。
【イ】PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する。
【ウ】攻撃対象のサービスを妨害するために、攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
【エ】内部情報を入手するために、DNSサーバが保存するゾーン情報をまとめて転送させる。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問22
答えと解説
答え 【イ】
DNSキャッシュポイズニング
DNSキャッシュポイズニングは、 PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する攻撃です。
もっと知識を深めるための参考
-
DNSスプーフィング攻撃
DNSスプーフィング攻撃は、DNSへのURLの問い合わせに対し、偽の情報を答えさせる一連の攻撃手法の総称です。 代表的なDNSスプーフィングであるDNSキャッシュポイズニング攻撃の対策など、DNSスプーフィングについてまとめています。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問23 公開鍵暗号方式―情報セキュリティマネジメント試験 午前
非常に大きな数の素因数分解が困難なことを利用した公開鍵暗号方式はどれか。
【ア】AES
【イ】DH
【ウ】DSA
【エ】RSA
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問23
答えと解説
答え 【エ】
RSA
RSAとは、Rivest Shamir Adlemanの略で公開鍵暗号方式の標準として広く普及しています。 桁数の大きな整数を素因数分解するのが困難であるということを安全性の根拠にしています。
もっと知識を深めるための参考
-
公開鍵暗号方式
公開鍵暗号方式とは、英語でPublic Key Cryptography。 公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化/復号化を行う暗号方式です。 秘密鍵やRSAなどの代表的な暗号の例についてまとめています。
-
暗号技術
脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問24 ディジタル署名―情報セキュリティマネジメント試験 午前
ディジタル署名における署名鍵の使い方と、ディジタル署名を行う目的のうち、適切なものはどれか。
【ア】受信者が署名鍵を使って、暗号文を元のメッセージに戻すことができるようにする。
【イ】送信者が固定文字列を付加したメッセージを署名鍵を使って暗号化することによって、 送信者がメッセージの改ざん部位を特定できるようにする。
【ウ】送信者が署名鍵を使って署名を作成し、その署名をメッセージに付加することによって、 受信者が送信者を確認できるようにする。
【エ】送信者が署名鍵を使ってメッセージを暗号化することによって、 メッセージの内容を関係者以外にわからないようにする。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問24
答えと解説
答え 【ウ】
署名鍵の使い方とディジタル署名を行う目的
ディジタル署名における署名鍵の使い方と、ディジタル署名を行う目的は、 送信者が署名鍵を使って署名を作成し、その署名をメッセージに付加することによって、 受信者が送信者を確認できるようにすることです。
もっと知識を深めるための参考
平成29年秋 問26 ルート認証局―情報セキュリティマネジメント試験 午前
ルート認証局についての記述はどれか。
【ア】UNIX系のOSにおいて、rootアカウントの権限レベルでプログラムを実行するために利用者が使用する。
【イ】上位の認証局が発行した証明書によって、自らの認証局としての正当性を示す。
【ウ】信頼された第三者機関として、認証局運用規程を公開している。
【エ】ハッカーが侵入の痕跡を隠蔽して、コンピュータやネットワークに対する管理者レベルの アクセス権限を得るために使用される。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問26
答えと解説
答え 【ウ】
ルート認証局
ルート認証局は、信頼された第三者機関として、認証局運用規程を公開しています。
もっと知識を深めるための参考
平成29年秋 問27 ワームの特徴―情報セキュリティマネジメント試験 午前
マルウェアについて、トロイの木馬とワームを比較したとき、ワームの特徴はどれか。
【ア】勝手にファイルを暗号化して正常に読めなくする。
【イ】単独のプログラムとして不正な動作を行う。
【ウ】特定の条件になるまで活動をせずに待機する。
【エ】ネットワークやリムーバブルメディアを媒介として自ら感染を広げる。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問27
答えと解説
答え 【エ】
ワームの特徴
ワームは、トロイの木馬とワームを比較したとき、 ネットワークやリムーバブルメディアを媒介として自ら感染を広げるという特徴があります。
もっと知識を深めるための参考
-
マルウェア・不正プログラム
マルウェア・不正プログラムとはどのようなものかをテーマに、マルウェアの挙動やランサムウェア、ボット、mirai、pentyaなどの種類についてまとめています。
-
脅威
情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。 脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成29年秋 問29 HTTP over TLS(HTTPS)―情報セキュリティマネジメント試験 午前
HTTP over TLS(HTTPS)を用いて実現できるものはどれか。
【ア】Webサーバ上のファイルの改ざん検知
【イ】Webブラウザが動作するPC上のマルウェア検査
【ウ】Webブラウザが動作するPCに対する侵入検知
【エ】ディジタル証明書によるサーバ認証
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問29
答えと解説
答え 【エ】
HTTP over TLS(HTTPS)
HTTP over TLS(HTTPS)を用いてエディジタル証明書によるサーバ認証が実現できます。
もっと知識を深めるための参考
平成29年秋 問30 ファジング―情報セキュリティマネジメント試験 午前
ファジングの説明はどれか。
【ア】社内ネットワークへの接続を要求するPCに対して、マルウェア感染の有無を検査し、 セキュリティ要件を満たすPCだけに接続を許可する。
【イ】ソースコードの構文を機械的にチェックし、特定のパターンとマッチングさせることによって、 ソフトウェアの脆弱性を自動的に検出する。
【ウ】ソースコードを閲読しながら、チェックリストに従いソフトウェアの脆弱性を検出する。
【エ】問題を引き起こしそうな多様なデータを自動生成し、 ソフトウェアに入力したときのソフトウェアの応答や挙動から脆弱性を検出する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問30
答えと解説
答え 【エ】
ファジング
ファジングは、問題を引き起こしそうな多様なデータを自動生成し、 ソフトウェアに入力したときのソフトウェアの応答や挙動から脆弱性を検出することをいいます。
もっと知識を深めるための参考
平成29年秋 問31 個人情報保護法―情報セキュリティマネジメント試験 午前
個人情報保護法が保護の対象としている個人情報に関する記述のうち、適切なものはどれか。
【ア】企業が管理している顧客に関する情報に限られる。
【イ】個人が秘密にしているプライバシに関する情報に限られる。
【ウ】生存している個人に関する情報に限られる。
【エ】日本国籍を有する個人に関する情報に限られる。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問31
答えと解説
答え 【ウ】
個人情報保護法が保護の対象としている個人情報
個人情報保護法が保護の対象としている個人情報は、生存している個人に関する情報に限られます。
もっと知識を深めるための参考
-
個人情報保護法、マイナンバー法
個人情報保護法とは、正式名は「個人情報の保護に関する法律」で個人情報の取り扱いに関する法律です。個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)や個人情報保護法、マイナンバー法との違い、などを解説していきます。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにストラテジ系の知識をまとめています。
平成29年秋 問32 特定電子メールの送信の適正化等に関する法律―情報セキュリティマネジメント試験 午前
企業が、“特定電子メールの送信の適正化等に関する法律”における特定電子メールに 該当する広告宣伝メールを送信する場合についての記述のうち、適切なものはどれか。
【ア】SMSで送信する場合はオプトアウト方式を利用する。
【イ】オプトイン方式、オプトアウト方式のいずれかを選択する。
【ウ】原則としてオプトアウト方式を利用する。
【エ】原則としてオプトイン方式を利用する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問32
答えと解説
答え 【エ】
特定電子メール法
営業活動を目的とするメールを特定電子メールと呼び、 このメールを送信する際の禁止事項などを規定した法律が「特定電子メールの送信の適正化等に関する法律」です。
企業が、“特定電子メールの送信の適正化等に関する法律”における特定電子メールに 該当する広告宣伝メールを送信する場合は原則としてオプトイン方式を利用します。
もっと知識を深めるための参考
平成29年秋 問33 著作権法―情報セキュリティマネジメント試験 午前
著作権法において、保護の対象となり得ないものはどれか。
【ア】インターネットで公開されたフリーソフトウェア
【イ】ソフトウェアの操作マニュアル
【ウ】データベース
【エ】プログラム言語や規約
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問33
答えと解説
答え 【エ】
著作権法の保護の対象について
プログラム言語や規約は、著作権法の保護の対象となりません。
もっと知識を深めるための参考
平成29年秋 問34 類似したドメイン名を登録するなどの行為―情報セキュリティマネジメント試験 午前
不正の利益を得る目的で、他社の商標名と類似したドメイン名を登録するなどの行為を規制する法律はどれか。
【ア】独占禁止法
【イ】特定商取引法
【ウ】不正アクセス禁止法
【エ】不正競争防止法
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問34
答えと解説
答え 【エ】
不正競争防止法
不正の利益を得る目的で、他社の商標名と類似したドメイン名を登録するなどの行為は不正競争防止法で規制されます。
もっと知識を深めるための参考
平成29年秋 問35 使用許諾契約―情報セキュリティマネジメント試験 午前
インストール台数を条件とするソフトウェアライセンスに基づき、 法人でPC100台分のソフトウェアXのライセンスを購入し、ライセンス分のインストールを実施した。 その後の対応で使用許諾契約を遵守しているものはどれか。
【ア】PC10台を他部署へ移動させたが、ディスク内のソフトウェアXは消去せず、移動先でそのまま使用した。
【イ】新規にPC10台を購入し、ソフトウェアXをインストールしたが、ライセンスの追加購入はしなかった。
【ウ】ソフトウェアXが販売停止となったので、ライセンス使用状況の管理を中止し、 次週にインストールできるようにした。
【エ】ソフトウェアXを、PC100台を超えてインストールしたが、同時に利用しているPCを100台以下にした。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問35
答えと解説
答え 【ア】
使用許諾契約の遵守/違反の例
インストール台数を条件とするソフトウェアライセンスに基づき、 法人でPC100台分のソフトウェアXのライセンスを購入し、ライセンス分のインストールを実施した場合の 遵守の例、違反の例を見ていきます。
遵守している例
法人で契約しているので内部での移動は違反になりません。 たとえば、PC10台を他部署へ移動させたが、ディスク内のソフトウェアXは消去せず、移動先でそのまま使用した場合は 遵守の範囲です。
違反している例
新しいPCを追加する場合はライセンス購入が必要です。 たとえば、新規にPC10台を購入し、ソフトウェアXをインストールしたが、ライセンスの追加購入はしなかった場合は違反になります。
また、ソフトウェアXが販売停止となった場合でも自由にインストールできるようにするのは違反になります。
その他に、ソフトウェアXを、PC100台を超えてインストールする時点でライセンス購入が必要です。 同時に利用しているPCを100台以下にしても違反になります。
もっと知識を深めるための参考
-
企業間の取引にかかわる契約
使用許諾契約、請負契約や双務契約など 企業間の取引にかかわる契約についてまとめています。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
ストラテジ系の分野のサイトオリジナル教科書です。ストラテジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成29年秋 問36 労働者派遣法―情報セキュリティマネジメント試験 午前
大規模なシステム開発を受注したA社では、不足する開発要員を派遣事業者であるB社からの労働者派遣によって補うことにした。 A社の行為のうち、労働者派遣法に照らして適切なものはどれか。
【ア】システム開発が長期間となることが予想されるので、開発要員の派遣期間を3年とする契約を結ぶ。
【イ】派遣候補者の履歴書及び業務経歴書の提出をB社に求め、書類選考を行い、面接対象者を絞り込む。
【ウ】派遣された要員が大きな作業負担を負うことが見込まれるので、B社に20代男性の派遣を依頼する。
【エ】派遣労働者がA車の指揮命令に対して申し立てた苦情に自社で対応せず、その処理をB社に任せる。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問36
答えと解説
答え 【ア】
労働者派遣法に照らして不適切な行為の例
たとえば、大規模なシステム開発を受注したA社が不足する開発要員を派遣事業者であるB社からの労働者派遣によって補うことにした場合、 以下のA社の行為は不適切です。
- 派遣候補者の履歴書及び業務経歴書の提出をB社に求め、書類選考を行い、面接対象者を絞り込む。
- 派遣された要員が大きな作業負担を負うことが見込まれるので、B社に20代男性の派遣を依頼する。
- 派遣労働者がA車の指揮命令に対して申し立てた苦情に自社で対応せず、その処理をB社に任せる。
もっと知識を深めるための参考
平成29年秋 問37 統制―情報セキュリティマネジメント試験 午前
利用部門がスプレッドシートを利用した際に、財務データの正確性を損なう誤謬が発生した場合において、 当該部門がこれを発見するために有効な統制はどれか。
【ア】更新する必要のないスプレッドシートは、閲覧用としてロックを掛ける手続
【イ】スプレッドシートに入力したデータと入力原票の照合作業を行う手続
【ウ】スプレッドシートの変更申請書に対して、申請者の上長が事前にに承認する手続
【エ】スプレッドシートを定期的にバックアップする手続
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問37
答えと解説
答え 【イ】
財務報告に係るIT統制の例
たとえば、利用部門がスプレッドシートを利用した際に、 財務データの正確性を損なう誤謬が発生した場合において、当該部門がこれを発見するために有効な統制は スプレッドシートに入力したデータと入力原票の照合作業を行う手続になります。
もっと知識を深めるための参考
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成29年秋 問38 正確性及び網羅性を確保するコントロール―情報セキュリティマネジメント試験 午前
入出金管理システムから出力された入金データファイルを、売掛金管理システムが読み込んでマスタファイルを更新する。 入出金管理システムから売掛金管理システムへ受け渡されたデータの正確性及び網羅性を確保するコントロールはどれか。
【ア】売掛金管理システムにおける入力データと出力結果とのランツーランコントロール
【イ】売掛金管理システムのマスタファイル更新におけるタイムスタンプ機能
【ウ】入金額及び入金データ件数のコントロールトータルのチェック
【エ】入出金管理システムへの入力のエディットバリデーションチェック
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問38
答えと解説
答え 【ウ】
コントロールトータルのチェック
入出金管理システムから出力された入金データファイルを、売掛金管理システムが読み込んでマスタファイルを更新する場合、 入出金管理システムから売掛金管理システムへ受け渡されたデータの正確性及び網羅性を確保するコントロールは、 入金額及び入金データ件数のコントロールトータルのチェックです。
もっと知識を深めるための参考
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成29年秋 問39 システム監査基準―情報セキュリティマネジメント試験 午前
システム監査基準(平成16年)における、組織体がシステム監査を実施する目的はどれか。
【ア】自社の強み・弱み、自社を取り巻く機会・脅威を整理し、新たな経営戦略・事業分野を設定する。
【イ】システム運用部門によるテストによって、社内ネットワーク環境の脆弱性を知り、ネットワーク環境を整備する。
【ウ】情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、 改善につなげることによって、ITガバナンスの実現に寄与する。
【エ】ソフトウェア開発の生産性のレベルを客観的に知り、開発組織の能力を向上させるために、 より高い生産性レベルを目指して取り組む。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問39
答えと解説
答え 【ウ】
組織体がシステム監査を実施する目的
システム監査基準(平成16年)における、組織体がシステム監査を実施する目的は 情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、 改善につなげることによって、ITガバナンスの実現に寄与することです。
もっと知識を深めるための参考
-
システム監査
システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、システム監査計画、システム監査の実施、報告、品質評価の考え方、システムに関係する監査で参照する代表的な基準、法規をまとめていきます。 IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
マネジメント系の分野のサイトオリジナル教科書です。
平成29年秋 問40 監査調書―情報セキュリティマネジメント試験 午前
監査調書の説明はどれか。
【ア】監査人が行った監査手続の実施記録であり、監査意見の根拠となる。
【イ】監査人が監査の実施に当たり被監査部門に対して提出する、 情報セキュリティに関する誓約書をまとめたものである。
【ウ】監査人が監査の実施に利用した基準書、ガイドラインをまとめたものである。
【エ】監査人が正当な注意義務を払ったことを証明するために、 監査報告書とともに公表するよう義務付けられたものである。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問40
答えと解説
答え 【ア】
監査調書
監査調書は、監査人が行った監査手続の実施記録であり、監査意見の根拠となる資料です。
もっと知識を深めるための参考
-
システム監査
システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、システム監査計画、システム監査の実施、報告、品質評価の考え方、システムに関係する監査で参照する代表的な基準、法規をまとめていきます。 IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
マネジメント系の分野のサイトオリジナル教科書です。
平成29年秋 問41 PDCA方法論―情報セキュリティマネジメント試験 午前
サービスマネジメントシステムにPDCA方法論を適用するとき、Actに該当するものはどれか。
【ア】サービスの設計、移行、提供及び改善のためにサービスマネジメントシステムを導入し、運用する。
【イ】サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
【ウ】サービスマネジメントシステムを確立し、文書化し、合意する。
【エ】方針、目的、計画及びサービスの要求事項について、 サービスマネジメントシステム及びサービスを監視、測定及びレビューし、それらの結果を報告する。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問41
答えと解説
答え 【イ】
処置(Act)
サービスマネジメントシステムにPDCA方法論を適用するとき、Actでは サービスマネジメントシステム及びサービスのパフォーマンスを継続的に改善するための処置を実施します。
もっと知識を深めるための参考
-
サービスマネジメント
サービスマネジメントをテーマに、入門知識をまとめています。 サービスマネジメントの目的と考え方、サービスマネジメントシステムの確立及び改善、ITIL、 代表的なSLA項目やサービスカタログなどITサービスマネジメントについてまとめています。 サービスマネジメント関連の参考書積、情報処理試験の過去問もまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成29年秋 問44 ガントチャートの特徴―情報セキュリティマネジメント試験 午前
工程管理図表に関する記述のうち、ガントチャートの特徴はどれか。
【ア】工程管理上の重要ポイントを期日として示しておき、意思決定しなければならない期日が管理できる。
【イ】個々の作業の順序関係、所要日数、余裕日数などが把握できる。
【ウ】作業開始と作業終了の予定と実績や、仕掛かり中の作業などが把握できる。
【エ】作業の出来高の磁気的な推移を表現するのに適しており、費用管理と進捗管理が同時に行える。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問44
答えと解説
答え 【ウ】
ガントチャート
工程管理図表に関する記述のうち、ガントチャートの特徴は 作業開始と作業終了の予定と実績や、仕掛かり中の作業などが把握できることです。
もっと知識を深めるための参考
-
プロジェクトタイムマネジメント
PERT図からのクリティカルパスの求め方などプロジェクトタイムマネジメントについてまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成29年秋 問45 システムの信頼性指標―情報セキュリティマネジメント試験 午前
システムの信頼性指標に関する記述として、適切なものはどれか。
【ア】MTBFは、システムの稼働率を示している。
【イ】MTBFをMTTRで割ると、システムの稼働時間の平均値を示している。
【ウ】MTTRの逆数は、システムの故障発生率を示している。
【エ】MTTRは、システムの修復に費やす平均時間を示している。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問45
答えと解説
答え 【エ】
MTTR
MTTRは、システムの修復に費やす平均時間を示しています。
もっと知識を深めるための参考
平成29年秋 問46 ビッグデータ―情報セキュリティマネジメント試験 午前
コンピュータの能力の向上によって、限られたデータ量を分析する時代から、 Volume(量)、Variety(多様性)、Velocity(速度)の三つのVの特徴をもつビッグデータを分析する時代となった。 この時代の変化によって生じたデータ処理の変化について記述しているものはどれか。
【ア】コストとスピードを犠牲にしても、原因と結果の関係に力を注ぐようになった。
【イ】ビッグデータ中から対象データを無作為抽出することによって予測精度を高めるようになった。
【ウ】分析対象のデータの精度を高めるクレンジングに力を注ぐようになった。
【エ】膨大なデータを処理することで、パターンを発見することに力を注ぐようになった。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問46
答えと解説
答え 【エ】
三つのVの特徴をもつビッグデータを分析する時代
近年、コンピュータの能力の向上によって、限られたデータ量を分析する時代から、 Volume(量)、Variety(多様性)、Velocity(速度)の三つのVの特徴をもつビッグデータを分析する時代となり、 この時代の変化によって膨大なデータを処理することで、パターンを発見することに力を注ぐようになりました。
もっと知識を深めるための参考
平成29年秋 問47 NAT機能―情報セキュリティマネジメント試験 午前
IPv4において、インターネット接続用ルータのNAT機能の説明として、適切なものはどれか。
【ア】インターネットへのアクセスをキャッシュしておくことによって、 その後に同じIPアドレスのWebサイトへアクセスする場合、表示を高速化できる機能である。
【イ】通信中のIPパケットを検査して、インターネットからの攻撃や侵入を検知する機能である。
【ウ】特定の端末宛てのIPパケットだけを通過させる機能である。
【エ】プライベートIPアドレスとグローバルIPアドレスを相互に変換する機能である。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問47
答えと解説
答え 【エ】
NAT機能
IPv4において、インターネット接続用ルータのNAT機能は、 プライベートIPアドレスとグローバルIPアドレスを相互に変換する機能です。
もっと知識を深めるための参考
平成29年秋 問49 企画プロセス―情報セキュリティマネジメント試験 午前
共通フレーム2013によれば、企画プロセスで実施することはどれか。
【ア】運用テスト
【イ】システム化計画の立案
【ウ】システム要件の定義
【エ】利害関係者の識別
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問49
答えと解説
答え 【イ】
企画プロセス
共通フレーム2013によれば、企画プロセスで実施することはシステム化計画の立案です。
もっと知識を深めるための参考
平成29年秋 問50 CIOが果たすべき主要な役割―情報セキュリティマネジメント試験 午前
CIOが果たすべき主要な役割はどれか。
【ア】情報化戦略を立案するに当たって、経営戦略を支援するために、 企業全体の情報資源への投資効果を最適化するプランを策定する。
【イ】情報システム開発・運用に関する状況を把握して、 全社情報システムが最適に機能するように具体的に改善点を指示する。
【ウ】情報システムが企業活動に対して健全に機能しているかどうかを監査することによって、 情報システム部門にアドバイスを与える。
【エ】全社情報システムの最適な運営が行えるように、 情報システムに関する問合せやトラブルに関する報告を受け、担当部門に具体的指示を与える。
出典:平成29年度 秋期 情報セキュリティマネジメント試験 午前 問題 問50
答えと解説
答え 【ア】
CIOが果たすべき主要な役割
CIOが果たすべき主要な役割は、情報化戦略を立案するに当たって、経営戦略を支援するために、 企業全体の情報資源への投資効果を最適化するプランを策定することです。
もっと知識を深めるための参考
更新履歴
- 2019/3/19 ページを作成しました。