情報処理のWeb教科書―IPA情報処理試験対策のお供に!

平成31年春の情報セキュリティマネジメント試験―公開問題と解説

トップ 各試験用の問題と解説 情報セキュリティマネジメント 平成31年春の情報セキュリティマネジメント試験

平成31年春の情報セキュリティマネジメント試験 午前の過去問と解説を掲載しています。

ご利用について

このページを表示した場合、答えと解説が、表示される設定になっています。 ページ全体の答えと解説の表示、非表示は以下で、個別は各問題のところのリンクで切り替えてください。

目次

このページの目次です。

平成31年春 問03 CRYPTRECの役割―情報セキュリティマネジメント試験 午前

CRYPTRECの役割として、適切なものはどれか。

【ア】外国為替及び外国貿易法で規制されている暗号装置の輸出許可申請を審査、承認する。

【イ】政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証する。

【ウ】電子政府での利用を推奨する暗号技術の安全性を評価、監視する。

【エ】民間企業のサーバに対するセキュリティ攻撃を監視、検知する。

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問3

答えと解説

答え 【ウ】

CRYPTRECの役割

CRYPTRECの役割は、電子政府での利用を推奨する暗号技術の安全性を評価、監視することです。 政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証します。

もっと知識を深めるための参考

  • 情報セキュリティ組織・機関

    不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問04 サポートユーティリティ―情報セキュリティマネジメント試験 午前

JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示に基づいて、 サポートユーティリティと判断されるものはどれか。

【ア】サーバ室の空調

【イ】サーバの保守契約

【ウ】特権管理プログラム

【エ】ネットワーク管理者

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問4

答えと解説

答え 【ア】

サポートユーティリティ

JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示から、 サーバ室の空調は、サポートユーティリティになります。

もっと知識を深めるための参考

  • 情報セキュリティマネジメントシステム(ISMS)

    ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問05 リスクファイナンシング―情報セキュリティマネジメント試験 午前

リスク対応のうち、リスクファイナンシングに該当するものはどれか。

【ア】システムが被害を受けるリスクを想定して、保険を掛ける。

【イ】システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。

【ウ】リスクが大きいと評価されたシステムを廃止し、新たなセキュアなシステムの構築に資金を投入する。

【エ】リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問5

答えと解説

答え 【ア】

リスクファイナンシング

システムが被害を受けるリスクを想定して、保険を掛けるようなリスク対応のことをリスクファイナンシングといいます。

もっと知識を深めるための参考

  • リスク分析と評価

    情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問06 リスクレベル―情報セキュリティマネジメント試験 午前

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における“リスクレベル”の定義はどれか。

【ア】脅威によって付け込まれる可能性のある、資産又は管理策の弱点

【イ】結果とその起こりやすさの組合せとして表現される、リスクの大きさ

【ウ】対応すべきリスクに付与する優先順位

【エ】リスクの重大性を評価するために目安とする条件

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問6

答えと解説

答え 【イ】

リスクレベル

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における“リスクレベル”の定義は 「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」です。

もっと知識を深めるための参考

  • リスク分析と評価

    情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問07 アカウンタビリティ及び権限をもつ人又は主体―情報セキュリティマネジメント試験 午前

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。

【ア】監査員

【イ】トップマネジメント

【ウ】利害関係者

【エ】リスク所有者

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問7

答えと解説

答え 【エ】

リスク所有者

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体をリスク所有者と呼んでいます。

もっと知識を深めるための参考

  • リスク分析と評価

    情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問08 情報セキュリティマネジメントシステム―要求事項―情報セキュリティマネジメント試験 午前

JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 “実施事項”、“責任者”、“達成期限”のほかに、決定しなければならない事項として 定められているものはどれか。

【ア】“必要な資源”及び“結果の評価方法”

【イ】“必要な資源”及び“適用する管理策”

【ウ】“必要なプロセス”及び“結果の評価方法”

【エ】“必要なプロセス”及び“適用する管理策”

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問8

答えと解説

答え 【エ】

情報セキュリティ目的をどのように達成するかについて計画するとき

JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。

もっと知識を深めるための参考

  • 情報セキュリティマネジメントシステム(ISMS)

    ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問09 情報資産管理台帳の記入方法―情報セキュリティマネジメント試験 午前

組織での情報資産管理台帳の記入方法のうち、 IPA“中小企業の情報セキュリティ対策ガイドライン(第2.1版)”に照らして、適切なものはどれか。

【ア】様々な情報が混在し、重要度を一律に評価できないドキュメントファイルは、 企業の存続を左右しかねない情報や個人情報を含む場合だけ台帳に記入する。

【イ】時間経過に伴い重要度が変化する情報資産は、重要度が確定してから、 又は組織で定めた未記入措置期間が経過してから、台帳に記入する。

【ウ】情報資産を紙媒体と電子データの両方で保存している場合は、 いずれか片方だけを台帳に記入する。

【エ】利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する。

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問9

答えと解説

答え 【エ】

情報資産管理台帳の記入方法

IPA“中小企業の情報セキュリティ対策ガイドライン(第2.1版)”を参考に組織での情報資産管理台帳の記入する場合、 利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入するのが適切です。

もっと知識を深めるための参考

  • リスク分析と評価

    情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問10 DNSキャッシュポイズニング―情報セキュリティマネジメント試験 午前

DNSキャッシュポイズニングに該当するものはどれか。

【ア】HTMLメールの本文にリンクを設置し、表示文字列は、有名企業のDNSサーバに登録されている ドメイン名を含むものにして、実際のリンク先は攻撃者のWebサイトに設定した上で、 攻撃対象に送り、リンク先を開かせる。

【イ】PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、 偽のドメイン情報を注入する。

【ウ】Unicodeを使って偽装したドメイン名をDNSサーバに登録しておき、 さらに、そのドメインを含む情報をインターネット検索結果の上位に表示させる。

【エ】WHOISデータベースサービスを提供するサーバをDoS攻撃して、 WHOISデータベースにあるドメインのDNS情報を参照できないようにする。

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問10

答えと解説

答え 【イ】

DNSキャッシュポイズニング

DNSキャッシュポイズニングは、PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、 偽のドメイン情報を注入する攻撃です。

もっと知識を深めるための参考

  • DNSスプーフィング攻撃

    DNSスプーフィング攻撃は、DNSへのURLの問い合わせに対し、偽の情報を答えさせる一連の攻撃手法の総称です。 代表的なDNSスプーフィングであるDNSキャッシュポイズニング攻撃の対策など、DNSスプーフィングについてまとめています。

  • 攻撃手法

    情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問11 SPF(Sender Policy Framework)を利用する目的―情報セキュリティマネジメント試験 午前

SPF(Sender Policy Framework)を利用する目的はどれか。

【ア】HTTP通信の経路上での中間者攻撃を検知する。

【イ】LANへのPCの不正接続を検知する。

【ウ】内部ネットワークへの侵入を検知する。

【エ】メール送信者のドメインのなりすましを検知する。

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問11

答えと解説

答え 【エ】

SPFを利用する目的

SPFを利用する目的は、メール送信者のドメインのなりすましを検知することです。

もっと知識を深めるための参考

  • 認証プロトコル

    dnssecとは?SMTP-AUTH認証とは?など、なりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルについてまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問12 ファイルの属性情報―情報セキュリティマネジメント試験 午前

ファイルの属性情報として、ファイルに対する読取り、書込み、実行の権限を独立に設定できるOSがある。 この3種類の権限は、それぞれに1ビットを使って許可、不許可を設定する。 この3ビットを8進数表現0~7の数字で設定するとき、次の試行結果から考えて、適切なものはどれか。

①0を設定したら、読取り、書込み、実行ができなくなってしまった。

②3を設定したら、読取りと書込みはできたが、実行ができなかった。

③7を設定したら、読取り、書込み、実行ができるようになった。

【ア】2を設定すると、読取りと実行ができる。

【イ】4を設定すると、実行だけができる。

【ウ】5を設定すると、書込みだけができる。

【エ】6を設定すると、読取りと書込みができる。

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問12

答えと解説

答え 【イ】

ファイルアクセス権

ファイルの属性情報として、ファイルに対する読取り、書込み、実行の権限を独立に設定できるOSで、 この3種類の権限を1ビットを使って許可、不許可を3ビットを8進数表現0~7の数字で設定するとき、 次の試行結果になります。

  • 000:0を設定したら、読取り、書込み、実行ができない。
  • 001:1を設定したら、読取りだけができる。
  • 010:2を設定したら、書込みだけができる。
  • 011:3を設定したら、読取りと書込みはできるが、実行ができない。
  • 100:4を設定すると、実行だけができる。
  • 101:5を設定すると、読取りと実行はできるが、書込みはできない。
  • 110:6を設定すると、書込みと実行はできるが、読取りはできない。
  • 111:7を設定したら、読取り、書込み、実行ができるようになった。

もっと知識を深めるための参考

  • オペレーティングシステム

    オペレーティングシステムとは、OSのことですが、種類と特徴、機能、タスク管理などOSとはどのようなものかついてまとめています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

平成31年春 問13 入退室管理―情報セキュリティマネジメント試験 午前

入室時と退室時にIDカードを用いて認証を行い、入退室を管理する。 このとき、入室時の認証に用いられなかったIDカードでの退室を許可しない、 又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みはどれか。

【ア】TPMOR(Two Person Minimum Occupancy Rule)

【イ】アンチパスバック

【ウ】インターロックゲート

【エ】パニックオープン

出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問13

答えと解説

答え 【イ】

アンチパスバック

入室時と退室時にIDカードを用いて認証を行い、入退室を管理するとき、 入室時の認証に用いられなかったIDカードでの退室を許可しない、 又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みをアンチパスバックといいます。

もっと知識を深めるための参考

  • 情報セキュリティ対策

    情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。

  • 情報セキュリティ

    情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

  • テクノロジ系

    情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

プログラミング

各試験の問題と解説

ランダム出題・採点アプリ

スポンサーリンク