平成31年春の情報セキュリティマネジメント試験―公開問題と解説
トップ
各試験用の問題と解説
情報セキュリティマネジメント
平成31年春の情報セキュリティマネジメント試験
平成31年春の情報セキュリティマネジメント試験 午前の過去問と解説を掲載しています。
ご利用について
このページを表示した場合、答えと解説が、表示される設定になっています。 ページ全体の答えと解説の表示、非表示は以下で、個別は各問題のところのリンクで切り替えてください。
目次
このページの目次です。
- 問03 CRYPTRECの役割
- 問04 サポートユーティリティ
- 問05 リスクファイナンシング
- 問06 リスクレベル
- 問07 アカウンタビリティ及び権限をもつ人又は主体
- 問08 情報セキュリティマネジメントシステム―要求事項
- 問09 情報資産管理台帳の記入方法
- 問10 DNSキャッシュポイズニング
- 問11 SPF(Sender Policy Framework)を利用する目的
- 問12 ファイルの属性情報
- 問13 入退室管理
- 問15 IPS
- 問16 ログインを試みる攻撃
- 問17 IPアドレスを隠蔽することが可能なもの
- 問18 ペネトレーションテスト
- 問19 マルウェア
- 問20 無断接続の防止
- 問21 CAPTCHA
- 問22 内臓ストレージ内の情報を盗む攻撃の対策
- 問23 S/MIMEの利用
- 問24 XML署名
- 問26 メッセージ認証符号の利用目的
- 問27 楕円曲線暗号の特徴
- 問28 ハイブリッド暗号方式の特徴
- 問29 公開鍵認証方式でSSH接続
- 問30 侵入者やマルウェアの挙動を調査
- 問31 JIS Q 15001:2017
- 問32 政府機関等の情報セキュリティ対策のための統一基準
- 問33 特定電子メールの送信の適正化等に関する法律
- 問34 特定個人情報の適正な取扱いに関するガイドライン
- 問35 著作者人格権
- 問37 システム監査人の外観上の独立性
- 問38 監査報告書に指摘事項として記載すべきもの
- 問39 システム監査報告書に記載する指摘事項
- 問40 情報セキュリティ対策の適切性
- 問41 インシデント
- 問42 システム運用におけるデータの取扱い
- 問43 プロジェクト
- 問44 クライアントサーバシステムの特徴
- 問47 BPO
- 問49 RFP
- 問50 環境対策の観点から実施するもの
平成31年春 問03 CRYPTRECの役割―情報セキュリティマネジメント試験 午前
CRYPTRECの役割として、適切なものはどれか。
【ア】外国為替及び外国貿易法で規制されている暗号装置の輸出許可申請を審査、承認する。
【イ】政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証する。
【ウ】電子政府での利用を推奨する暗号技術の安全性を評価、監視する。
【エ】民間企業のサーバに対するセキュリティ攻撃を監視、検知する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問3
答えと解説
答え 【ウ】
CRYPTRECの役割
CRYPTRECの役割は、電子政府での利用を推奨する暗号技術の安全性を評価、監視することです。 政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証します。
もっと知識を深めるための参考
-
CRYPTREC
CRYPTRECは、読み方は「くりぷとれっく」、日本の暗号技術評価プロジェクトです。CRYPTRECについてまとめています。
-
情報セキュリティ組織・機関
不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問04 サポートユーティリティ―情報セキュリティマネジメント試験 午前
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示に基づいて、 サポートユーティリティと判断されるものはどれか。
【ア】サーバ室の空調
【イ】サーバの保守契約
【ウ】特権管理プログラム
【エ】ネットワーク管理者
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問4
答えと解説
答え 【ア】
サポートユーティリティ
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の“サポートユーティリティ”に関する例示から、 サーバ室の空調は、サポートユーティリティになります。
もっと知識を深めるための参考
-
情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問05 リスクファイナンシング―情報セキュリティマネジメント試験 午前
リスク対応のうち、リスクファイナンシングに該当するものはどれか。
【ア】システムが被害を受けるリスクを想定して、保険を掛ける。
【イ】システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。
【ウ】リスクが大きいと評価されたシステムを廃止し、新たなセキュアなシステムの構築に資金を投入する。
【エ】リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問5
答えと解説
答え 【ア】
リスクファイナンシング
システムが被害を受けるリスクを想定して、保険を掛けるようなリスク対応のことをリスクファイナンシングといいます。
もっと知識を深めるための参考
平成31年春 問06 リスクレベル―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における“リスクレベル”の定義はどれか。
【ア】脅威によって付け込まれる可能性のある、資産又は管理策の弱点
【イ】結果とその起こりやすさの組合せとして表現される、リスクの大きさ
【ウ】対応すべきリスクに付与する優先順位
【エ】リスクの重大性を評価するために目安とする条件
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問6
答えと解説
答え 【イ】
リスクレベル
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)における“リスクレベル”の定義は 「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」です。
もっと知識を深めるための参考
平成31年春 問07 アカウンタビリティ及び権限をもつ人又は主体―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。
【ア】監査員
【イ】トップマネジメント
【ウ】利害関係者
【エ】リスク所有者
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問7
答えと解説
答え 【エ】
リスク所有者
JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体をリスク所有者と呼んでいます。
もっと知識を深めるための参考
平成31年春 問08 情報セキュリティマネジメントシステム―要求事項―情報セキュリティマネジメント試験 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 “実施事項”、“責任者”、“達成期限”のほかに、決定しなければならない事項として 定められているものはどれか。
【ア】“必要な資源”及び“結果の評価方法”
【イ】“必要な資源”及び“適用する管理策”
【ウ】“必要なプロセス”及び“結果の評価方法”
【エ】“必要なプロセス”及び“適用する管理策”
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問8
答えと解説
答え 【エ】
情報セキュリティ目的をどのように達成するかについて計画するとき
JIS Q 27000:2014(情報セキュリティマネジメントシステム―要求事項)において、 情報セキュリティ目的をどのように達成するかについて計画するとき、 決定しなければならない事項として “実施事項”、“責任者”、“達成期限”、“必要な資源”及び“結果の評価方法”を定められています。
もっと知識を深めるための参考
-
情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問09 情報資産管理台帳の記入方法―情報セキュリティマネジメント試験 午前
組織での情報資産管理台帳の記入方法のうち、 IPA“中小企業の情報セキュリティ対策ガイドライン(第2.1版)”に照らして、適切なものはどれか。
【ア】様々な情報が混在し、重要度を一律に評価できないドキュメントファイルは、 企業の存続を左右しかねない情報や個人情報を含む場合だけ台帳に記入する。
【イ】時間経過に伴い重要度が変化する情報資産は、重要度が確定してから、 又は組織で定めた未記入措置期間が経過してから、台帳に記入する。
【ウ】情報資産を紙媒体と電子データの両方で保存している場合は、 いずれか片方だけを台帳に記入する。
【エ】利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問9
答えと解説
答え 【エ】
情報資産管理台帳の記入方法
IPA“中小企業の情報セキュリティ対策ガイドライン(第2.1版)”を参考に組織での情報資産管理台帳の記入する場合、 利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入するのが適切です。
もっと知識を深めるための参考
平成31年春 問10 DNSキャッシュポイズニング―情報セキュリティマネジメント試験 午前
DNSキャッシュポイズニングに該当するものはどれか。
【ア】HTMLメールの本文にリンクを設置し、表示文字列は、有名企業のDNSサーバに登録されている ドメイン名を含むものにして、実際のリンク先は攻撃者のWebサイトに設定した上で、 攻撃対象に送り、リンク先を開かせる。
【イ】PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、 偽のドメイン情報を注入する。
【ウ】Unicodeを使って偽装したドメイン名をDNSサーバに登録しておき、 さらに、そのドメインを含む情報をインターネット検索結果の上位に表示させる。
【エ】WHOISデータベースサービスを提供するサーバをDoS攻撃して、 WHOISデータベースにあるドメインのDNS情報を参照できないようにする。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問10
答えと解説
答え 【イ】
DNSキャッシュポイズニング
DNSキャッシュポイズニングは、PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、 偽のドメイン情報を注入する攻撃です。
もっと知識を深めるための参考
-
DNSスプーフィング攻撃
DNSスプーフィング攻撃は、DNSへのURLの問い合わせに対し、偽の情報を答えさせる一連の攻撃手法の総称です。 代表的なDNSスプーフィングであるDNSキャッシュポイズニング攻撃の対策など、DNSスプーフィングについてまとめています。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問11 SPF(Sender Policy Framework)を利用する目的―情報セキュリティマネジメント試験 午前
SPF(Sender Policy Framework)を利用する目的はどれか。
【ア】HTTP通信の経路上での中間者攻撃を検知する。
【イ】LANへのPCの不正接続を検知する。
【ウ】内部ネットワークへの侵入を検知する。
【エ】メール送信者のドメインのなりすましを検知する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問11
答えと解説
答え 【エ】
SPFを利用する目的
SPFを利用する目的は、メール送信者のドメインのなりすましを検知することです。
もっと知識を深めるための参考
平成31年春 問12 ファイルの属性情報―情報セキュリティマネジメント試験 午前
ファイルの属性情報として、ファイルに対する読取り、書込み、実行の権限を独立に設定できるOSがある。 この3種類の権限は、それぞれに1ビットを使って許可、不許可を設定する。 この3ビットを8進数表現0~7の数字で設定するとき、次の試行結果から考えて、適切なものはどれか。
①0を設定したら、読取り、書込み、実行ができなくなってしまった。
②3を設定したら、読取りと書込みはできたが、実行ができなかった。
③7を設定したら、読取り、書込み、実行ができるようになった。
【ア】2を設定すると、読取りと実行ができる。
【イ】4を設定すると、実行だけができる。
【ウ】5を設定すると、書込みだけができる。
【エ】6を設定すると、読取りと書込みができる。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問12
答えと解説
答え 【イ】
ファイルアクセス権
ファイルの属性情報として、ファイルに対する読取り、書込み、実行の権限を独立に設定できるOSで、 この3種類の権限を1ビットを使って許可、不許可を3ビットを8進数表現0~7の数字で設定するとき、 次の試行結果になります。
- 000:0を設定したら、読取り、書込み、実行ができない。
- 001:1を設定したら、読取りだけができる。
- 010:2を設定したら、書込みだけができる。
- 011:3を設定したら、読取りと書込みはできるが、実行ができない。
- 100:4を設定すると、実行だけができる。
- 101:5を設定すると、読取りと実行はできるが、書込みはできない。
- 110:6を設定すると、書込みと実行はできるが、読取りはできない。
- 111:7を設定したら、読取り、書込み、実行ができるようになった。
もっと知識を深めるための参考
-
オペレーティングシステム
オペレーティングシステムとは、OSのことですが、種類と特徴、機能、タスク管理などOSとはどのようなものかついてまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問13 入退室管理―情報セキュリティマネジメント試験 午前
入室時と退室時にIDカードを用いて認証を行い、入退室を管理する。 このとき、入室時の認証に用いられなかったIDカードでの退室を許可しない、 又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みはどれか。
【ア】TPMOR(Two Person Minimum Occupancy Rule)
【イ】アンチパスバック
【ウ】インターロックゲート
【エ】パニックオープン
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問13
答えと解説
答え 【イ】
アンチパスバック
入室時と退室時にIDカードを用いて認証を行い、入退室を管理するとき、 入室時の認証に用いられなかったIDカードでの退室を許可しない、 又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みをアンチパスバックといいます。
もっと知識を深めるための参考
-
入退室管理
入退室管理、入退室管理システムについて見ていきます。ISMSやアンチパスバックなどの入退室管理システムの機能についてまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問15 IPS―情報セキュリティマネジメント試験 午前
IPSの説明はどれか。
【ア】Webサーバなどの負荷を軽減するために、暗号化や復号の処理を高速に行う専用ハードウェア
【イ】サーバやネットワークへの侵入を防ぐために、不正な通信を検知して遮断する装置
【ウ】システムの脆弱性を見つけるために、疑似的に攻撃を行い侵入を試みるツール
【エ】許可されていない者による入室を防ぐために、指紋、虹彩などの生体情報を用いて本人認証を行うシステム
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問15
答えと解説
答え 【イ】
IPS
IPSは、サーバやネットワークへの侵入を防ぐために、不正な通信を検知して遮断する装置です。
もっと知識を深めるための参考
-
IDS/IPS
IDSとは、Intrusion Detection Systemの略で侵入検知、IDSとはサーバやネットワークへの侵入を防ぐために、不正な通信を検知して遮断する製品です。 IDS/IPSとは何かをテーマにWAFとの違い、機能、製品情報などまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問16 ログインを試みる攻撃―情報セキュリティマネジメント試験 午前
特定のサービスやシステムから流出した認証情報を攻撃者が用いて、 認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを 試みる攻撃はどれか。
【ア】パスワードリスト攻撃
【イ】ブルートフォース攻撃
【ウ】リバースブルートフォース攻撃
【エ】レインボー攻撃
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問16
答えと解説
答え 【ア】
パスワードリスト攻撃
特定のサービスやシステムから流出した認証情報を攻撃者が用いて、 認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを 試みる攻撃をパスワードリスト攻撃といいます。
もっと知識を深めるための参考
-
パスワードリスト攻撃
特定のサービスやシステムから流出した認証情報を攻撃者が用いて、認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻撃をパスワードリスト攻撃といいます。
-
攻撃手法
情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問17 IPアドレスを隠蔽することが可能なもの―情報セキュリティマネジメント試験 午前
社内PCからインターネットに通信するとき、パケット中にある社内PCのプライベートIPアドレスとポート番号の組合せを、 ファイアウォールのインターネット側のIPアドレスとポート番号の組合せに変換することによって、 インターネットからはわからないように社内PCのプライベートIPアドレスを隠蔽することが可能なものはどれか。
【ア】BGP
【イ】IPマスカレード
【ウ】OSPF
【エ】フラグメンテーション
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問17
答えと解説
答え 【イ】
IPマスカレード
IPマスカレードは、社内PCからインターネットに通信するとき、 パケット中にある社内PCのプライベートIPアドレスとポート番号の組合せを、 ファイアウォールのインターネット側のIPアドレスとポート番号の組合せに変換する機能です。
IPマスカレードにより、インターネットからはわからないように社内PCのプライベートIPアドレスを隠蔽することが可能です。
もっと知識を深めるための参考
平成31年春 問18 ペネトレーションテスト―情報セキュリティマネジメント試験 午前
ペネトレーションテストに該当するものはどれか。
【ア】検査対象の実行プログラムの設計書、ソースコードに着目し、 開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
【イ】公開Webサーバの各コンテンツファイルのハッシュ値を管理し、 定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
【ウ】公開Webサーバや組織のネットワークの脆弱性を探索し、 サーバに実際に侵入できるかどうかを確認する。
【エ】内部ネットワークのサーバやネットワーク機器のIPFIX情報から、 各PCの通信に異常な振る舞いがないかどうかを確認する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問18
答えと解説
答え 【ウ】
ペネトレーションテスト
ペネトレーションテストは、公開Webサーバや組織のネットワークの脆弱性を探索し、 サーバに実際に侵入できるかどうかを確認します。
もっと知識を深めるための参考
平成31年春 問19 マルウェア―情報セキュリティマネジメント試験 午前
PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に、 宛先ポートとして使用されるTCPポート番号80に関する記述のうち、適切なものはどれか。
【ア】DNSのゾーン転送に使用されることから、通信がファイアウォールで許可されている可能性が高い。
【イ】WebサイトのHTTPS通信での閲覧に使用されることから、 マルウェアと指令サーバとの間の通信が侵入検知システムで検知される可能性が高い。
【ウ】Webサイトの閲覧に使用されることから、通信がファイアウォールで許可されている可能性が高い。
【エ】ドメイン名の名前解決に使用されることから、マルウェアと指令サーバとの間の通信が 侵入検知システムで検知される可能性が低い。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問19
答えと解説
答え 【ウ】
マルウェアの挙動
PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に、 宛先ポートとして使用されるTCPポート番号80は、 Webサイトの閲覧に使用されることから、通信がファイアウォールで許可されている可能性が高いので注意が必要です。
もっと知識を深めるための参考
-
マルウェア・不正プログラム
マルウェア・不正プログラムとはどのようなものかをテーマに、マルウェアの挙動やランサムウェア、ボット、mirai、pentyaなどの種類についてまとめています。
-
脅威
情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問20 無断接続の防止―情報セキュリティマネジメント試験 午前
無線LANを利用できるものを限定したいとき、 アクセスポイントへの第三者による無断接続の防止に最も効果があるものはどれか。
【ア】MACアドレスフィルタリングを設定する。
【イ】SSIDには英数字を含む8字以上の文字列を設定する。
【ウ】セキュリティ方式にWEPを使用し、十分に長い事前共有鍵を設定する。
【エ】セキュリティ方式にWPA2-PSKを使用し、十分に長い事前共有鍵を設定する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問20
答えと解説
答え 【エ】
第三者による無断接続の防止
無線LANを利用できるものを限定したいとき、 アクセスポイントへの第三者による無断接続の防止には、 MACアドレスフィルタリング設定やSSID強度よりも、 セキュリティ方式にWPA2-PSKを使用し、十分に長い事前共有鍵を設定する方が効果があります。
もっと知識を深めるための参考
-
無線LAN
無線LANとはどのようなものか、無線LANの認定規格の1つのWI-FI(無線LANのアダプタのブランド名)中心に11ad、11axなどのIEEEの規格、セキュリティについてまとめています。
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問21 CAPTCHA―情報セキュリティマネジメント試験 午前
Webサイトで利用されるCAPTCHAに該当するものはどれか。
【ア】人からのアクセスであることを確認できるよう、アクセスした者に応答を求め、その応答を分析する仕組み
【イ】不正なSQL文をデータベースに送信しないよう、 Webサーバに入力された文字列をプレースホルダに割り当ててSQL文を組み立てる仕組み
【ウ】利用者が本人であることを確認できるよう、Webサイトから一定時間ごとに異なるパスワードを要求する仕組み
【エ】利用者が本人であることを確認できるよう、乱数をWebサイト側で生成して利用者に送り、 利用者側でその乱数を鍵としてパスワードを暗号化し、Webサイトに送り返す仕組み
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問21
答えと解説
答え 【ア】
CAPTCHA
CAPTCHAはWebサイトで利用され、人からのアクセスであることを確認できるよう、 アクセスした者に応答を求め、その応答を分析する仕組みです。
もっと知識を深めるための参考
平成31年春 問22 内臓ストレージ内の情報を盗む攻撃の対策―情報セキュリティマネジメント試験 午前
利用者PCの内臓ストレージが暗号化されていないとき、攻撃者が利用者PCから内臓ストレージを抜き取り、 攻撃者が用意したPCに接続して内臓ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。
【ア】内臓ストレージにインストールしたOSの利用者アカウントに対して、ログインパスワードを設定する。
【イ】内臓ストレージに保存したファイルを読取り権限を、ファイルの所有者だけに付与する。
【ウ】利用者PC上でHDDパスワードを設定する。
【エ】利用者PCにBIOSパスワードを設定する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問22
答えと解説
答え 【ウ】
HDDパスワード
利用者PC上でHDDパスワードを設定することで、 利用者PCの内臓ストレージが暗号化されていないとき、攻撃者が利用者PCから内臓ストレージを抜き取り、 攻撃者が用意したPCに接続して内臓ストレージ内の情報を盗む攻撃の対策が行えます。
もっと知識を深めるための参考
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問23 S/MIMEの利用―情報セキュリティマネジメント試験 午前
A氏からB氏に電子メールを送る際のS/MIMEの利用に関する記述のうち、適切なものはどれか。
【ア】A氏はB氏の公開鍵を用いることなく、B氏だけが閲覧可能な暗号化電子メールを送ることができる。
【イ】B氏は受信した電子メールに記載されている内容が事実であることを、公的機関に問い合わせることによって確認できる。
【ウ】B氏は受信した電子メールに記載されている内容はA氏が署名したものであり、第三者による改ざんはないことを確認できる。
【エ】万一、マルウェアに感染したファイルを添付して送信した場合にB氏が添付ファイルを開いても、 B氏のPCがマルウェアに感染することを防ぐことができる。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問23
答えと解説
答え 【ウ】
S/MIME
A氏からB氏に電子メールを送る際のS/MIMEの利用することで、 B氏は受信した電子メールに記載されている内容はA氏が署名したものであり、第三者による改ざんはないことを確認できます。
もっと知識を深めるための参考
-
S/MIME
S/MIMEとは電子証明書を使用して、メールソフト間で電子メールを安全に送受信するための規格です。読み方や意味、暗号方式などS/MIMEについて説明しています。
-
セキュアプロトコル
IPSec、SSL/TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルについてまとめています。 IPSecのトンネルモードやTLSハンドシェイクなどの情報も補足しています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問24 XML署名―情報セキュリティマネジメント試験 午前
XML署名を利用することによってできることはどれか。
【ア】TLSにおいて、HTTP通信の暗号化及び署名の付与に利用することによって、通信経路上でのXMLファイルの盗聴を防止する。
【イ】XMLとJavaScriptがもつ非同期のHTTP通信機能を使い、 Webページの内容を動的に書き換えた上で署名を付与することによって、対話型のWebページを作成する。
【ウ】XML文書全体に対する単一の署名だけではなく、文書の一部に対して署名を付与する部分署名や多重署名などの複雑な条件に対応する。
【エ】隠したい署名データを画像データの中に埋め込むことによって、署名の存在自体を外から判別できなくする。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問24
答えと解説
答え 【ウ】
XML署名
XML署名を利用することによって、XML文書全体に対する単一の署名だけではなく、 文書の一部に対して署名を付与する部分署名や多重署名などの複雑な条件に対応できます。
もっと知識を深めるための参考
平成31年春 問26 メッセージ認証符号の利用目的―情報セキュリティマネジメント試験 午前
メッセージ認証符号の利用目的に該当するものはどれか。
【ア】メッセージが改ざんされていないことを確認する。
【イ】メッセージの暗号化方式を確認する。
【ウ】メッセージの概要を確認する。
【エ】メッセージの秘匿性を確保する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問26
答えと解説
答え 【ア】
メッセージ認証符号の利用目的
メッセージ認証符号の利用目的は、メッセージが改ざんされていないか確認することです。
もっと知識を深めるための参考
平成31年春 問27 楕円曲線暗号の特徴―情報セキュリティマネジメント試験 午前
楕円曲線暗号の特徴はどれか。
【ア】RSA暗号と比べて、短い鍵長で同レベルの安全性が実現できる。
【イ】共通鍵暗号方式であり、暗号化や復号の処理を高速に行うことができる。
【ウ】総当たりによる解読が不可能なことが、数学的に証明されている。
【エ】データを秘匿する目的で用いる場合、復号鍵を秘密にしておく必要がない。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問27
答えと解説
答え 【ア】
楕円曲線暗号の特徴
楕円曲線暗号の特徴はは、RSA暗号と比べて、短い鍵長で同レベルの安全性が実現できる点です。
もっと知識を深めるための参考
-
公開鍵暗号方式
公開鍵暗号方式とは、英語でPublic Key Cryptography。 公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化/復号化を行う暗号方式です。 秘密鍵やRSAなどの代表的な暗号の例についてまとめています。
-
暗号技術
脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問28 ハイブリッド暗号方式の特徴―情報セキュリティマネジメント試験 午前
OpenPGPやS/MIMEにおいて用いられるハイブリッド暗号方式の特徴はどれか。
【ア】暗号通信方式としてIPsecとTLSを選択可能にすることによって利用者の利便性を高める。
【イ】公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る。
【ウ】複数の異なる共通鍵暗号方式を組み合わせることによって処理性能を高める。
【エ】複数の異なる公開鍵暗号方式を組み合わせることによって安全性を高める。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問28
答えと解説
答え 【イ】
ハイブリッド暗号方式
ハイブリッド暗号方式とは、共通鍵暗号方式と公開鍵暗号方式を組み合わせた方式で、OpenPGPやS/MIMEなどで用いられる暗号方式です。
ハイブリッド暗号方式の特徴
ハイブリッド暗号方式の特徴は、公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る点です。
もっと知識を深めるための参考
平成31年春 問29 公開鍵認証方式でSSH接続―情報セキュリティマネジメント試験 午前
利用者PC上のSSHクライアントからサーバに公開鍵認証方式でSSH接続するとき、 利用者のログイン認証時にサーバが使用する鍵とSSHクライアントが使用する鍵の組みはどれか。
【ア】サーバに登録されたSSHクライアントの公開鍵と、利用者PC上のSSHクライアントの公開鍵
【イ】サーバに登録されたSSHクライアントの公開鍵と、利用者PC上のSSHクライアントの秘密鍵
【ウ】サーバに登録されたSSHクライアントの秘密鍵と、利用者PC上のSSHクライアントの公開鍵
【エ】サーバに登録されたSSHクライアントの秘密鍵と、利用者PC上のSSHクライアントの秘密鍵
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問29
答えと解説
答え 【イ】
公開鍵認証方式の例
利用者PC上のSSHクライアントからサーバに公開鍵認証方式でSSH接続するとき、 利用者のログイン認証時にサーバが使用する鍵とSSHクライアントが使用する鍵の組みは、 サーバに登録されたSSHクライアントの公開鍵と、利用者PC上のSSHクライアントの秘密鍵になります。
もっと知識を深めるための参考
-
公開鍵暗号方式
公開鍵暗号方式とは、英語でPublic Key Cryptography。 公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化/復号化を行う暗号方式です。 秘密鍵やRSAなどの代表的な暗号の例についてまとめています。
-
暗号技術
脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問30 侵入者やマルウェアの挙動を調査―情報セキュリティマネジメント試験 午前
侵入者やマルウェアの挙動を調査するために、意図的に脆弱性をもたせたシステム又はネットワークはどれか。
【ア】DMZ
【イ】SIME
【ウ】ハニーポット
【エ】ボットネット
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問30
答えと解説
答え 【ウ】
ハニーポット
侵入者やマルウェアの挙動を調査するために、意図的に脆弱性をもたせたシステム又はネットワークのことをハニーポットといいます。
もっと知識を深めるための参考
-
情報セキュリティ対策
情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。
-
情報セキュリティ
情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。 またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
平成31年春 問31 JIS Q 15001:2017―情報セキュリティマネジメント試験 午前
JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)に関する記述のうち、適切なものはどれか。
【ア】開示対象個人情報は、保有個人データとは別に定義されており、保有期間によらず全ての個人情報が該当すると定められている。
【イ】規格文書の構成は、JIS Q 27001:2014と異なり、マネジメントシステム規格に共通的に用いられる章立てが採用されていない。
【ウ】特定の機微な個人情報が定義されており、労働組合への加盟といった情報が例として挙げられている。
【エ】本人から書面に記載された個人情報を直接取得する場合には、 利用目的などをあらかじめ書面によって本人に明示し、同意を得なければならないと定められている。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問31
答えと解説
答え 【エ】
個人情報の取得について
JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)では、 本人から書面に記載された個人情報を直接取得する場合には、 利用目的などをあらかじめ書面によって本人に明示し、同意を得なければならないと定められています。
もっと知識を深めるための参考
-
個人情報保護法、マイナンバー法
個人情報保護法とは、正式名は「個人情報の保護に関する法律」で個人情報の取り扱いに関する法律です。個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)や個人情報保護法、マイナンバー法との違い、などを解説していきます。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにストラテジ系の知識をまとめています。
平成31年春 問32 政府機関等の情報セキュリティ対策のための統一基準―情報セキュリティマネジメント試験 午前
“政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)”に関する説明として、 適切なものはどれか。
【ア】機密性、完全性及び可用性それぞれの観点による情報の格付の区分を定義している。
【イ】個人情報保護法に基づいて制定されたものである。
【ウ】適用範囲は、全ての政府機関及び全ての民間企業としている。
【エ】不正アクセス禁止法に基づいて制定されたものである。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問32
答えと解説
答え 【ア】
政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)
“政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)”では、 機密性、完全性及び可用性それぞれの観点による情報の格付の区分を定義しています。
もっと知識を深めるための参考
-
情報セキュリティに関する基準
情報セキュリティに関する基準、指針についてまとめています。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
ストラテジ系の分野のサイトオリジナル教科書です。ストラテジ系の各分野の解説と情報処理の過去問をマッピングしています。
平成31年春 問33 特定電子メールの送信の適正化等に関する法律―情報セキュリティマネジメント試験 午前
企業が、“特定電子メールの送信の適正化等に関する法律” における特定電子メールに該当する広告宣伝メールを送信する場合に関する記述のうち、 適切なものはどれか。
【ア】SMSで送信する場合はオプトアウト方式を利用する。
【イ】オプトイン方式、オプトアウト方式のいずれかを選択する。
【ウ】原則としてオプトアウト方式を利用する。
【エ】原則としてオプトイン方式を利用する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問33
答えと解説
答え 【エ】
特定電子メールの送信の適正化等に関する法律
企業が、“特定電子メールの送信の適正化等に関する法律” における特定電子メールに該当する広告宣伝メールを送信する場合に原則としてオプトイン方式を利用します。
もっと知識を深めるための参考
平成31年春 問34 特定個人情報の適正な取扱いに関するガイドライン―情報セキュリティマネジメント試験 午前
個人情報保護委員会“特定個人情報の適正な取扱いに関するガイドライン(事業者編)平成30年9月28日最終改正” 及びその“Q&A”によれば、事業者によるファイル作成が禁止されている場合はどれか。 なお、“Q&A”とは“「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A平成30年9月28日” のことである。
【ア】システム障害に備えた特定個人情報ファイルのバックアップファイルを作成する場合
【イ】従業員の個人番号を利用して業務成績を管理するファイルを作成する場合
【ウ】税務署に提出する資料間の整合性を確認するために個人番号を記載した明細表などチェック用ファイルを作成する場合
【エ】保険契約者の死亡保険金支払いに伴う支払調書ファイルを作成する場合
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問34
答えと解説
答え 【イ】
特定個人情報の適正な取扱いに関するガイドライン
従業員の個人番号を利用して業務成績を管理するファイルを作成する場合、事業者によるファイル作成が禁止されています。
参考)「特定個人情報の適正な取扱いに関するガイドライン(事業者編)平成30年9月28日最終改正」 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A平成30年9月28日
もっと知識を深めるための参考
-
個人情報保護法、マイナンバー法
個人情報保護法とは、正式名は「個人情報の保護に関する法律」で個人情報の取り扱いに関する法律です。個人情報保護委員会“個人情報の保護に関する法律についてのガイドライン(通則編)や個人情報保護法、マイナンバー法との違い、などを解説していきます。
-
法務
ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。
-
ストラテジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにストラテジ系の知識をまとめています。
平成31年春 問35 著作者人格権―情報セキュリティマネジメント試験 午前
著作者人格権に該当するものはどれか。
【ア】印刷、撮影、複写などの方法によって著作物を複製する権利
【イ】公衆からの要求に応じて自動的にサーバから情報を送信する権利
【ウ】著作物の複製物を公衆に貸し出す権利
【エ】自らの意思に反して著作物を変更、切除されない権利
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問35
答えと解説
答え 【エ】
著作者人格権
著作者人格権は、自らの意思に反して著作物を変更、切除されない権利です。
もっと知識を深めるための参考
平成31年春 問37 システム監査人の外観上の独立性―情報セキュリティマネジメント試験 午前
経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置として、最も適切なものはどれか。
【ア】システム監査人にITに関する継続的学習を義務付ける。
【イ】システム監査人に必要な知識や経験を定めて公表する。
【ウ】システム監査人の監査技法研修制度を設ける。
【エ】システム監査人の所属部署を内部監査部門とする。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問37
答えと解説
答え 【エ】
システム監査人の外観上の独立性を担保するために講じる措置
経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置として、 システム監査人の所属部署を内部監査部門とすることがあげられます。
もっと知識を深めるための参考
-
システム監査
システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、 システム監査計画、システム監査の実施、報告、品質評価の考え方、 システムに関係する監査で参照する代表的な基準、法規をまとめていきます。 IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問38 監査報告書に指摘事項として記載すべきもの―情報セキュリティマネジメント試験 午前
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について、 JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)の附属書Aの管理策に照らして監査を行った。 判明した状況のうち、監査人が監査報告書に指摘事項として記載すべきものはどれか。
【ア】ソフトウェア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施している。
【イ】ソフトウェア開発は、セキュリティ確保に配慮した開発環境において行っている。
【ウ】ソフトウェア開発を外部委託している場合、外部委託先による開発活動の監督・監査において、 セキュリティ確保の観点を考慮している。
【エ】パッケージソフトウェアを活用した開発において、セキュリティ確保の観点から、 パッケージソフトウェアの変更は必要な変更に限定している。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問38
答えと解説
答え 【ア】
監査人が監査報告書に指摘事項として記載すべきもの例
ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について、 JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)の附属書Aの管理策に照らして監査を行い判明した状況で、 監査人が監査報告書に指摘事項として記載すべきもの例は以下です。
- ソフトウェア開発におけるセキュリティ機能の試験は、開発期間が終了した後に実施している。
もっと知識を深めるための参考
-
システム監査
システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、 システム監査計画、システム監査の実施、報告、品質評価の考え方、 システムに関係する監査で参照する代表的な基準、法規をまとめていきます。 IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問39 システム監査報告書に記載する指摘事項―情報セキュリティマネジメント試験 午前
システム監査報告書に記載する指摘事項に関する説明のうち、適切なものはどれか。
【ア】監査証拠による裏付けの有無にかかわらず、 監査人が指摘事項とする必要があると判断した事項を記載する。
【イ】監査人が指摘事項とする必要があると判断した事項のうち、 監査対象部門の責任者が承認した事項を記載する。
【ウ】調査結果に事実誤認がないことを監査対象部門に家訓した上で、 監査人が指摘事項とする必要があると判断した事項を記載する。
【エ】不備の内容や重要性は考慮せず、全てを漏れなく指摘事項として記載する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問39
答えと解説
答え 【ウ】
システム監査報告書に記載する指摘事項
システム監査報告書に記載する指摘事項は、調査結果に事実誤認がないことを監査対象部門に家訓した上で、 監査人が指摘事項とする必要があると判断した事項を記載します。
もっと知識を深めるための参考
-
システム監査
システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、 システム監査計画、システム監査の実施、報告、品質評価の考え方、 システムに関係する監査で参照する代表的な基準、法規をまとめていきます。 IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問40 情報セキュリティ対策の適切性―情報セキュリティマネジメント試験 午前
経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)”における、 情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする 監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を大なうことを目的とする 監査(助言型の監査)の実施に関する記述のうち、適切なものはどれか。
【ア】同じ監査対象に対して情報セキュリティ監査を実施する場合、保証型の監査から手掛け、 保証が得られた後に助言型の監査に切り替えなければならない。
【イ】情報セキュリティ監査において、保証型の監査と助言型の監査は排他的であり、 監査人はどちらで監査を実施するかを決定しなければならない。
【ウ】情報セキュリティ監査を保証型で実施するか助言型で実施するかは、 監査要請者のニーズによって決定するのではなく、監査人の責任において決定する。
【エ】不特定多数の利害関係者の情報を取り扱う情報システムに対しては、 保証型の監査を定期的に実施し、その結果を開示することが有用である。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問40
答えと解説
答え 【エ】
保証型の監査
経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)”における、 情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査を保証型の監査といいます。
不特定多数の利害関係者の情報を取り扱う情報システムに対しては、 保証型の監査を定期的に実施し、その結果を開示することが有用です。
もっと知識を深めるための参考
-
システム監査
システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、 システム監査計画、システム監査の実施、報告、品質評価の考え方、 システムに関係する監査で参照する代表的な基準、法規をまとめていきます。 IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。
-
システム監査・内部統制
監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問41 インシデント―情報セキュリティマネジメント試験 午前
あるデータセンタでは、受発注管理システムの運用サービスを提供している。 次の受発注管理システムの運用中の事象において、インシデントに該当するものはどれか。
〔受発注管理システムの運用中の事象〕
夜間バッチ処理において、注文トランザクションデータから注文書を出力するプログラムが異常終了した。
異常終了を検知した運用担当者から連絡を受けた保守担当者は、緊急出社してサービスを回復し、
後日、異常終了の原因となったプログラムの誤りを修正した。
【ア】異常終了の検知
【イ】プログラムの誤り
【ウ】プログラムの異常終了
【エ】保守担当者の緊急出社
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問41
答えと解説
答え 【ウ】
インシデントの例
受発注管理システムの運用サービスを提供しているデータセンタでの次の受発注管理システムの運用中の事象がある場合、 「プログラムの異常終了」がインシデントに該当します。
〔受発注管理システムの運用中の事象〕
夜間バッチ処理において、注文トランザクションデータから注文書を出力するプログラムが異常終了した。
異常終了を検知した運用担当者から連絡を受けた保守担当者は、緊急出社してサービスを回復し、
後日、異常終了の原因となったプログラムの誤りを修正した。
もっと知識を深めるための参考
-
サービスマネジメントプロセス
SLM、SLA、SLOの違いやサービスマネジメントの各プロセスについてまとめていきます。
-
サービスマネジメント
サービスマネジメントをテーマに、入門知識をまとめています。 サービスマネジメントの目的と考え方、サービスマネジメントシステムの確立及び改善、 ITIL、代表的なSLA項目やサービスカタログなどITサービスマネジメントについてまとめています。 サービスマネジメント関連の参考書積、情報処理試験の過去問もまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問42 システム運用におけるデータの取扱い―情報セキュリティマネジメント試験 午前
システム運用におけるデータの取扱いに関する記述のうち、最も適切なものはどれか。
【ア】エラーデータの修正は、データの発生元で行うものと、 システムの運用者が所属する運用部門で行うものに分けて実施する。
【イ】原子データの信ぴょう性のチェック及び原子データの受渡しの管理は、 システムの運用者が所属する運用部門が担当するのが良い。
【ウ】データの発生元でエラーデータを修正すると時間がかかるので、 エラーデータの修正はできるだけシステムの運用者が所属する運用部門に任せる方が良い。
【エ】入力データのエラー検出は、データを処理する段階で行うよりも、 入力段階で行った方が検出及び修正の作業効率が良い。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問42
答えと解説
答え 【エ】
システム運用におけるデータの取扱い
システム運用におけるデータの取扱いは、入力データのエラー検出は、データを処理する段階で行うよりも、 入力段階で行った方が検出及び修正の作業効率が良いと言われています。
もっと知識を広げるための参考
-
サービスの運用
サービスの運用をテーマに、運用計画や資源管理といったシステム運用管理、システムの操作やスケジューリングといった運用オペレーション、サービスデスク、の役割や機能についてまとめていきます。
-
サービスマネジメント
サービスマネジメントをテーマに、入門知識をまとめています。サービスマネジメントの目的と考え方、サービスマネジメントシステムの確立及び改善、ITIL、代表的なSLA項目やサービスカタログなどITサービスマネジメントについてまとめています。 サービスマネジメント関連の参考書積、情報処理試験の過去問もまとめています。
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問43 プロジェクト―情報セキュリティマネジメント試験 午前
組織が実施する作業を、プロジェクトと定常業務の二つに類別するとき、 プロジェクトに該当するものはどれか。
【ア】企業の経理部門が行っている、月次・半期・年次の決算処理
【イ】金融機関の各支店が行っている、個人顧客向けの住宅ローンの貸付け
【ウ】精密機器の製造販売企業が行っている、製品の取扱方法に関する問合せへの対応
【エ】地方公共団体が行っている、庁舎の建替え
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問43
答えと解説
答え 【エ】
プロジェクトと定常業務の例
組織が実施する作業を、プロジェクトと定常業務の二つに類別するたとえば以下のようになります。
プロジェクトの例
- 地方公共団体が行っている、庁舎の建替え
定常業務の例
- 企業の経理部門が行っている、月次・半期・年次の決算処理
- 金融機関の各支店が行っている、個人顧客向けの住宅ローンの貸付け
- 精密機器の製造販売企業が行っている、製品の取扱方法に関する問合せへの対応
もっと知識を広げるための参考
-
マネジメント系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問44 クライアントサーバシステムの特徴―情報セキュリティマネジメント試験 午前
クライアントサーバシステムの特徴として、適切なものはどれか。
【ア】クライアントとサーバが協調して、目的の処理を遂行する分散処理形態であり、 サービスという概念で機能を分割し、サーバがサービスを提供する。
【イ】クライアントとサーバが協調しながら共通のデータ資源にアクセスするために、 システム構成として密結合システムを採用している。
【ウ】クライアントは、多くのサーバからの要求にたいして、互いに協調しながら同時にサービスを提供し、 サーバからのクライアント資源へのアクセスを制御する。
【エ】サービスを提供するクライアント内に設置するデータベースも、 規模に対応して柔軟に拡大することができる。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問44
答えと解説
答え 【ア】
クライアントサーバシステムの特徴
クライアントサーバシステムは、クライアントとサーバが協調して、 目的の処理を遂行する分散処理形態であり、サービスという概念で機能を分割し、 サーバがサービスを提供するという特徴があります。
もっと知識を広げるための参考
-
クライアントサーバシステム
クライアントサーバシステムには、2層クライアントサーバシステム、3層クライアントサーバシステムなどがあります。 RPCやストアドプロシージャなどの関連技術が使われています。クライアントサーバシステムをテーマに特徴から3層モデルについてまとめています。
-
システムの構成
3層クライアントサーバシステム、RAID5のパリティの説明などシステム構成についてまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにマネジメント系の知識をまとめています。
平成31年春 問47 BPO―情報セキュリティマネジメント試験 午前
BPOの説明はどれか。
【ア】災害や事故で被害を受けても、重要事業を中断させない、 又は可能な限り中断期間を短くする仕組みを構築すること
【イ】社内業務のうちコアビジネスでない事業に関わる業務の一部又は全部を、 外部の専門的な企業に委託すること
【ウ】製品の基準生産計画、部品表及び在庫情報を基に、資材の所有量と必要な時期を求め、 これを基準に資材の手配、納入の管理を支援する生産管理手法のこと
【エ】プロジェクトを、戦略との適合性や費用対効果、リスクといった観点から評価を行い、 情報化投資のバランスを管理し、最適化を図ること
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問47
答えと解説
答え 【イ】
BPO
BPOは、社内業務のうちコアビジネスでない事業に関わる業務の一部又は全部を、 外部の専門的な企業に委託することをいいます。
もっと知識を深めるための参考
平成31年春 問49 RFP―情報セキュリティマネジメント試験 午前
RFIに回答した各ベンダに対してRFPを提示した。 今後のベンダ選定に当たって、公正に手続きを進めるためにあらかじめ実施しておくことはどれか。
【ア】RFIの回答内容の評価が高いベンダに対して、選定から外れたときに備えて、 再提案できる救済措置を講じておく。
【イ】現行のシステムを熟知したベンダに対して、 RFPの要求事項とは別に、そのベンダを選定しやすいように評価を高くしておく。
【ウ】提案の評価基準や要求事項の適合度への重み付けをするルールを設けるなど、 選定の基準や手順を確立しておく。
【エ】ベンダ選定から契約締結までの期間を短縮するために、 RFPを提示した全ベンダに内示書を発行して、契約書や作業範囲記述書の作成を依頼しておく。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問49
答えと解説
答え 【ウ】
RFIに回答した各ベンダに対してRFPを提示
RFIに回答した各ベンダに対してRFPを提示する場合、 今後のベンダ選定に当たって、公正に手続きを進めるために 提案の評価基準や要求事項の適合度への重み付けをするルールを設けるなど、 選定の基準や手順を確立しておくことが重要です。
もっと知識を深めるための参考
平成31年春 問50 環境対策の観点から実施するもの―情報セキュリティマネジメント試験 午前
企業が社会的責任を果たすために実施すべき施策のうち、環境対策の観点から実施するものはどれか。
【ア】株主に対し、企業の経営状況の透明化を図る。
【イ】グリーン購入に向けて社内体制を整備する。
【ウ】災害時における従業員のボランティア活動を支援する制度を構築する。
【エ】社内に倫理ヘルプラインを設置する。
出典:平成31年度 春期 情報セキュリティマネジメント試験 午前 問題 問50
答えと解説
答え 【イ】
グリーン購入に向けて社内体制を整備する
グリーン購入に向けて社内体制を整備することは、環境対策の観点から実施する企業が社会的責任を果たすために実施すべき施策になります。
もっと知識を深めるための参考
更新履歴
- 2019/8/19 ページを作成しました。