このページの本文へ移動 | メニューへ移動

河合塾グループ河合塾

就職・資格

Work License

平成30年(春) 情報セキュリティマネジメント[午前] 過去問 解答&解説 2018年

皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらtccn-info@kawaijuku.jpまでお寄せください。

平成30年度 春期 情報セキュリティマネジメント[午前]

問1/エ
サイバーレスキュー隊とは,標的型攻撃の被害拡大を防止するための組織。相談を受けた組織の被害を低減させたり,攻撃の連鎖を食い止めたりする活動を担う。
ア 内閣サイバーセキュリティセンター(NISC)の説明。内閣サイバーセキュリティセンターとは,サイバーセキュリティ基本法に基づき設置された機関。サイバーセキュリティ戦略本部の事務処理を担う。
イ 組織内CSIRTの説明。CSIRTとは,情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を,技術面から行う。組織内CSIRTとは,組織を対象にしたCSIRTで,企業や役所などで,自組織で起きたインシデントに対応する。
ウ 情報マネジメントシステム認定センター(ISMS-AC)の説明。
エ 〇 サイバーレスキュー隊の説明。
問2/ウ
リスク対応とは,リスクに対し,対策を打つ段階。4種のリスク対応(リスク回避・リスク低減・リスク共有・リスク保有)から,予算や優先順位などを踏まえて最適な対策を打つ。
ア リスク低減の説明。リスク低減とは,リスクの発生率を低下させたり,リスクが顕在化した場合の被害の影響度を低下させたりする方法。
イ リスク移転の説明。リスク移転とは,リスクを他者と分割する方法。リスク共有には,リスク移転(外部委託によりリスク自体を他者に移すことや,保険によりリスクの損害額を補うこと)とリスク分散(災害に備えてデータを遠隔地に分散して保管することなど)が含まれる。イは,4種のリスク対応のうちのリスク共有,なかでもリスク移転に該当する。
ウ 〇 リスク回避の説明。リスク回避とは,リスクを生じさせる原因をなくしたり,別の方法に置き換えたりして,リスクそのものを取り去る方法。
エ リスク保有の説明。リスク保有とは,リスクに対策を打たず,許容範囲内として,残したままにする方法。
問3/イ
リスク評価とは,リスクが許容範囲内かどうかを決めるために,リスク分析の結果をリスク基準と照らし合わせる段階。リスク基準で設定した受容可能なリスク基準を超えるリスクレベルは,許容範囲を超えるため,優先的にリスク対応を実施する。
ア リスク対応の説明。リスト対応とは,リスクに対し,対策を打つ段階。リスクアセスメントで,リスク分析した結果をリスク評価した上で,対策を打つ段階。
イ 〇 リスク評価の説明。
ウ リスク分析の説明。リスク分析とは,リスクを特定し,リスクの大きさを決める段階。
エ リスク特定の説明。リスク特定とは,リスクを発見する段階。
問4/エ
ア 秘密保持の対象を明示しないと,重要情報を特定できず,誤って漏えいしかねないため,不適切。
イ 職業選択の自由は,日本国憲法第22条によるもの。そのため,それを行使しないことを明記しても,契約では,制限の期間・場所や職種の範囲・代償の有無などを制限しないと,契約しても無効になる場合があるため,不適切。
ウ 元従業員から重要情報が漏えいすることを防ぐため,従業員の雇用終了後,速やかに,従業員の利用者IDや権限を削除する必要がある。
エ 〇 退職する従業員による不正を防ぐための対策として,適切。
問5/ウ
インシデント管理の関連用語とその関係は,次のとおり。
一番外側に,情報セキュリティ事象(必ずしも被害が出るわけではない)があり,その中に,情報セキュリティインシデント(被害が出そう)があり,さらにその中に情報セキュリティアクシデント(被害が出る)がある。
ア 両者は,同じものではない。
イ 両者は,無関係ではない。
ウ 〇 情報セキュリティ事象のうち,一部は,情報セキュリティインシデントに分類される場合がある。
エ 情報セキュリティ事象であっても,情報セキュリティインシデントには分類されない場合もありえる。
問6/エ
関連する用語は,次のとおり。
・機密性とは,ある情報資産にアクセスする権限をもつ人だけがアクセスでき,それ以外の人には公開されないこと。
・完全性とは,情報資産の正確さを維持し,改ざんさせないこと。
・可用性とは,必要なときは情報資産にいつでもアクセスでき,アクセス不可能がないこと。
ア 可用性に関する内容であり,無関係。DDoS攻撃とは,複数台の情報機器から何度も連続してサーバに通信を行い,サーバをパンク状態にしてサービスを停止させる攻撃。
イ 機密性に関する内容ですが,自社ECサイトの商品情報であり,漏えいしても大きな影響があるわけではないので,評価値は2ではない。なお,ディレクトリリスティングとは,Webサーバのファイル一覧やディレクトリ(フォルダ)一覧が表示されること。
ウ 完全性に関する内容であり,無関係。
エ 〇 完全性に関する内容であり,かつ,「競争優位性が失われ」という記述があるため,評価値は2。
問7/ウ
特権とは,システム管理者だけができる特別な操作。利用者IDの登録や削除・アクセス制御などがある。特権をもつユーザを特権ユーザといい,一般ユーザと分けて管理する。
ア,エ 一般ユーザの行為の説明。
イ システム管理者の行為ではない。
ウ 〇 システム管理者は特権をもつ。
問8/ア
機密性・完全性・可用性だけでなく,情報セキュリティの定義に,次の4特性を含めることもあるとされている。
・真正性とは,なりすましがなく,確実に本人であることを識別・認証すること。
・信頼性とは,システムにバグ(欠陥)がなく,正常動作すること。
・責任追跡性とは,いつ誰がアクセスし,何をしたかをあとでたどれること。
・否認防止とは,責任追跡性でたどった証拠を「知らない」と言い訳されずに,客観的に証明できること。
「それが主張するとおりのものであるという特性」は,真正性に該当する。
問9/イ
LANアナライザとは,ネットワーク上を通過する通信データを監視・記録するための機器,またはソフトウェア。ミラーポートとは,ネットワーク機器のポート(差込口)で送受信するデータと同じデータを,別のポートから同時に送出する機能。LANアナライザと組み合わせて使うことで,通信データを監視・記録できる。
ア LANアナライザは,パケットを破棄するわけではない。また,測定対象外のコンピュータの利用を制限する必要はない。
イ 〇 通信データの盗聴に悪用できうるため,注意する必要がある。
ウ LANアナライザにより,監視・記録される事態を防ぐため,LANアナライザの保管場所・使用方法を周知してはいけない。
エ LANケーブルを抜く必要はない。LANアナライザで通信データを受信するために,LANケーブルはミラーポートに差す必要がある。
問10/イ
SPFとは,メールを受信する前に,受信側のメールサーバが送信側のサーバに対し,送信元メールアドレスが実在するかを問い合わせて,信頼できるかどうかを確認するための仕組み。
ア SPFは,ディジタル署名を使うわけではない。
イ 〇 SPFの説明。
ウ メールの誤送信を防ぐための仕組みの説明。
エ メールのバックアップを取るための仕組みの説明。
問11/ウ
UPS(無停電電源装置)とは,停電時に情報機器に電力を供給するためのバッテリー装置。これにより,可用性(必要なときは情報資産にいつでもアクセスでき,アクセス不可能がないこと)を維持できる。
ア,イ,エ UPSは,マルウェア感染・情報漏えい・改ざんとは無関係。
ウ 〇 UPSによる効果。
問12/ア
WAFとは,Webアプリケーションを攻撃から守ることに特化した製品。ファイアウォール・IDS・IPSでは防げないスクリプト攻撃についても,WAFでは防げる。
ア 〇 WAFの説明。
イ WPA2の説明。WPA2とは,WPAをさらにバージョンアップし,より強力なアルゴリズムであるAESを採用した暗号技術。
ウ SIEMの説明。SIEMとは,サーバ・ネットワーク機器・セキュリティ関連機器・アプリケーションから集めたログを分析し,異常を発見した場合,管理者に通知して対策する仕組み。
エ UTMの説明。UTMとは,様々なセキュリティ製品をまとめた,中小企業向けの製品を使って対策を行うこと。ウイルス対策ソフト・ファイアウォール・IDS・IPS・WAFなど,対策に必要なセキュリティ製品の機能を一通り備えた製品を使う。
問13/イ
ア フィンガプリントとは,ファイルの同一性を確認するための値で,その実体は,メッセージダイジェスト。メッセージダイジェスト(ダイジェスト)とは,平文(ファイル)を,ハッシュ関数で計算してできたハッシュ値。ハッシュ関数は,異なる平文から同一のダイジェストになることは,計算上ありえないため,ファイルを置いた送信者とファイルをダウンロードした受信者で,ダイジェストが同一の場合,確実に同じ平文であり,改ざんなしといえる。
イ 〇 不要なサービス(アプリケーション)が使用するポートを勝手に開くため。その結果,ポートスキャンが行われる危険性が高まる。
ウ,エ サーバへの侵入自体を防止できる対策ではない。
問14/エ
セキュリティバイデザインとは,情報システムの企画・設計段階から,情報セキュリティを確保するための方策。後付けでなく,設計段階から情報セキュリティ対策に取り組むことにより,安全で,手戻り(やり直し)が少なく,コストがかからない情報システムを構築できる。
問15/ア
ア 〇 各従業員により指紋認証で保護されているため,パスワードをほかの従業員に見られる危険性は低い。
イ どのクラウドサービスでも,一つのパスワードを使いまわすと,ほかの従業員によるパスワードリスト攻撃の被害に遭う危険性がある。
ウ 次回以降,自動入力されたパスワードをほかの従業員に使われる危険性がある。
エ パスワードを平文のテキストファイル形式で記録すると,そのパスワードをほかの従業員から見られる危険性がある。
問16/ア
ハッシュ関数は,異なる平文(ファイル)から同一のハッシュ値になることは,計算上ありえないため,既知のワーム検体と検索対象のファイルで,ハッシュ値が同一の場合,確実に同じワームだと分かる。
なお,SHA-256とは,平文から256ビットのダイジェストを作るハッシュ関数。MD5やSHA-1よりも安全とされている。
ア 〇 ハッシュ値が同じであれば,ワーム検体と同一のワームだと判断できる。
イ 特徴あるコード列が同じでも,ファイル自体は異なるため,ワーム検体とは別のハッシュ値となり,検知できない。
ウ ファイルサイズが同じでも,ファイル自体は異なるため,ワーム検体とは別のハッシュ値となり,検知できない。
エ 亜種だと,ファイル自体は異なるため,ファイル自体は異なるため,ワーム検体とは別のハッシュ値となり,検知できない。
問17/エ
ア JVN iPediaとは,日本で使用されているソフトウェアの脆弱性情報(セキュリティホール)のデータベース。脆弱性の情報だけでは,どの情報機器にセキュリティパッチを適用すべきかは不明。
イ CVSSとは,情報システムの脆弱性に対する公平で汎用的な評価手法。メーカーに依存しない共通の評価方法で,脆弱性の深刻度を同一の基準で定量的に比較できる。脆弱性の深刻度だけでは,どの情報機器にセキュリティパッチを適用すべきかは不明。
ウ 脆弱性やセキュリティパッチの適用とは,無関係。
エ 〇 これにより,どの情報機器にセキュリティパッチを適用すべきかが分かり,適用漏れを防げる。
問18/ウ
ポート番号とは,TCP/IPプロトコルで,どのような種類の通信かを識別するための番号。0から65535まである。SMTPとは,メール送信用のプロトコルで,ポート番号は25番。PCからSMTPサーバに送信する場合,宛先ポート番号は25番である必要がある。
問19/ア
ア 〇 サイバー空間が一部の者に乗っ取られてはいけない。
イ サイバー空間における秩序維持を国家が全て代替することは不可能,かつ不適切。
ウ サイバー空間においては,発信した情報が途中で不当に検閲されてはいけない。
エ サイバー空間においても,法令を含むルールや規範が適用されている。
問20/エ
ドメイン名ハイジャックとは,攻撃者が,上位に位置するDNSサーバ(権威DNSサーバ)を改ざんし,偽の権威DNSサーバを参照させ,利用者がWebサイトを開く際,偽のWebサイトに接続させることで,利用者をだます攻撃。特徴は,次のとおり。
・パスワードを盗んだり,システムの脆弱性を突いたりして,管理者になりすましして改ざんする。
・アクセス数が多い著名なドメイン名が狙われる。
ア 中間者攻撃の説明。中間者攻撃とは,通信を行う二者の間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,誰にも気付かれることなく盗聴すること。
イ DoS攻撃の説明。DoS攻撃とは,何度も連続してサーバに通信を行い,サーバをパンク状態にしてサービスを停止させる攻撃。
ウ ディレクトリトラバーサルの説明。ディレクトリトラバーサルとは,攻撃者が相対パス記法を悪用して,Webサイト内にある,インターネット上では非公開のファイルを閲覧・削除・改ざんする攻撃。
エ 〇 ドメイン名ハイジャックの説明。
問21/エ
ドライブバイダウンロードとは,Webサイトを閲覧しただけで,マルウェアをWeb閲覧者のコンピュータにダウンロードさせる攻撃。
問22/ウ
バイオメトリクス認証(生体認証)では,センサの設定値をどんなにうまく調整しても,誤って他人を受け入れる可能性(他人受入率,FAR)をゼロにはできない。その一方で,誤って本人を拒否する可能性(本人拒否率,FRR)もゼロにはできない。一般に,他人受入率を低くすれば,本人拒否率は高くなる。一方で,本人拒否率を低くすれば,他人受入率は高くなる。
問23/イ
動的解析は,ファイルが行う危険な行動(振る舞い)を検出した時点で,ウイルス対策ソフトは,ウイルスに感染したと判断する。サンドボックスとは,プログラムを,保護された領域でのみ動作させ,それ以外では実行不可にして,コンピュータの不正な動作を防ぐセキュリティモデル。
問24/ウ
メッセージ認証符号(MAC)とは,通信データの改ざんなしを確かめるために作る暗号データ。共通鍵暗号方式,または,ハッシュ関数を使う。なお,ブロック暗号とは,共通鍵暗号方式の種類の一つで,平文を一定サイズ(ブロック)に分割し,そのブロックごとに暗号処理を行う方法。
ア PKIとは,なりすましなしで,確実に本人の公開鍵であると認証する仕組み。
イ パリティビットとは,通信データからエラーを検出する手法であるパリティチェックを行うために,元データに付加されるデータ。
ウ 〇 メッセージ認証符号は,メッセージの改ざんを確認するためのもの。
エ ルート証明書とは,最上位に位置する認証局が発行するディジタル証明書。
問25/ウ
リスクベース認証とは,不正アクセスを防ぐ目的で,普段とは異なる利用環境から認証を行った場合に,追加の認証を行うための仕組み。例えば,認証時の,IPアドレス・OS・Webブラウザなどが,普段と異なる場合に,攻撃者からのなりすましでないことを確認するため,合言葉による追加の認証を行うこと。
問26/ウ
危殆化とは,コンピュータの性能向上に伴って,高速に短時間で解読作業ができるようになったために,暗号の安全性が低下すること。暗号技術の賞味期限切れのようなもの。開発当時は安全と思われた暗号技術であっても,高性能コンピュータによって解読までの時間が次第に短縮している。危殆化した暗号技術は,最新の暗号技術へ置き換える必要がある。
問27/ア
ブルートフォース攻撃とは,パスワードの可能な組合せをしらみつぶしにすべて試す方法。総当たり攻撃ともいう。
ア 〇 ブルートフォース攻撃の説明。
イ 線形解読法の説明。
ウ サイドチャネル攻撃の説明。サイドチャネル攻撃とは,暗号装置が発する電磁波・熱・消費電力・処理時間などを外部から観測し,暗号解読の手がかりにする。
エ 差分解読法の説明。
問28/エ
S/MIMEとは,ハイブリッド暗号を使って,メールを暗号化したり,ディジタル署名によるなりすましなし・改ざんなしを確かめたりするための規格。
問29/エ
ディジタル署名とは,なりすましなしと改ざんなしを確かめられる。送信者が[送信者の秘密鍵]で暗号化した暗号文を,受信者が[送信者の公開鍵]で復号できた場合,なりすましなしを確かめられる。なぜなら暗号化するときに使う[送信者の秘密鍵]は送信者以外知りえないため,確実に送信者が暗号化したといえるから。
問30/ウ
PKIの認証局が果たす役割は,次のとおり。
・第三者機関である認証局が,公開鍵が入ったディジタル署名にお墨付きを与え,ディジタル証明書を発行する。
・有効期限内にもかかわらず失効したディジタル証明書は,CRL(証明書失効リスト)に掲載される。ブラックリストに似ている。
ア 共通鍵を生成しない。
イ 認証局がデータの暗号化を行うわけではない。
ウ 〇 失効したディジタル証明書は,CRL(証明書失効リスト)に掲載される。
エ 認証局はデータの改ざんを検証しない。
問31/ア
サイバーセキュリティ基本法案 第九条では,「国民は,基本理念にのっとり,サイバーセキュリティの重要性に関する関心と理解を深め,サイバーセキュリティの確保に必要な注意を払うよう努めるものとする。」と定めている。
ア 〇
イ 地方公共団体や教育研究機関についても言及されている
ウ 民間事業者が努力すべき事項についても言及されている
エ 第4条で「国は,前条の基本理念(以下「基本理念」という。)にのっとり,サイバーセキュリティに関する総合的な施策を策定し,及び実施する責務を有する。」とあり,地方公共団体ではなく,国がサイバーセキュリティ関連施策の立案・実施に責任を負うこととなっている
(FE 27秋 問79 と類似問題)
問32/ア
業務で使用するコンピュータやデータを破壊するなどのコンピュータや電磁的記録を破壊して業務を妨害する行為は,刑法234条の2「電子計算機損壊等業務妨害罪」による処罰の対象となる。
(FE 28秋 問80 と類似問題)
問33/ア
ア 〇
イ 人種は,要配慮個人情報には含まれるが,単純な国籍や外国人という情報は法的地位であり,それだけでは人種には含まない。
ウ 情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は,要配慮個人情報には含まない。
エ 本人を被疑者又は被告人として刑事事件に関する手続が行われたという事実は要配慮個人情報に該当するが,他人を被疑者とする犯罪捜査のために取調べを受けた事実や,証人として尋問を受けた事実に関する情報は,本人を被疑者又は被告人としていないことから,要配慮個人情報には含まない。
問34/ウ
ア 著作物を作成すれば作成した時点で著作権は発生する。A社公表後1年未満にB社がプログラムを公表しても,著作権侵害になる。
イ 著作権法第32条(引用)では,「自分の著作物に引用の目的上正当な範囲内で他人の著作物を引用して利用することができる。」と定められているが,プログラム名称を別名称にしただけでは「引用」には該当しないので,著作権侵害になる。
ウ 〇
エ 著作権では,ソースコードを保護の対象としている。同じ機能を実現していてもソースコードが異なっていれば著作権侵害とはならない。
問35/エ
広く知られた他人の商品の表示に,自社の商品の表示を類似させ,他人の商品と誤認させて商品を販売する行為は,不正競争防止法2条1項1号で禁止されています。
問36/イ
ア 派遣先は,業務の遂行に必要な教育訓練を,正社員だけでなく派遣社員に対しても実施しなければならない。
イ 〇
ウ 派遣先は,同一の部署に3年を超える期間,継続して労働者派遣を受け入れてはならない。
エ すべての業務において,3年という派遣期間の制限がある。
問37/ウ
ア アクセスコントロールとは,ユーザこどに適切なアクセス権を設定しシステムの利用を管理することである。
イ エディットバリデーションチェックとは,入力データが入力条件を満たしているかをチェックすることである。
ウ 〇
エ チェックデジットとは,数字データの入出力エラーを検出するためにデータに付加される数字である。
問38/エ
ア 監査員は,監査プロセスの客観性及び公平性を確保できる者であればよい。
イ 代表取締役が任命する必要はない。
ウ 監査範囲は,組織自体が規定した要求事項とJIS Q 27001に規定された要求事項である。
エ 〇
問39/エ
監査証拠とは,監査において得られた情報であり,監査報告の証拠となるものである。
ア~ウ システム監査チームが作成したものであり,監査証拠とはならない。
エ 監査において得られた情報であり,監査証拠となるものである。
問40/イ
ア 存在しないものは,存在しないことを報告する。
イ 〇
ウ チェックリストは監査部門が作成する。
エ 監査テーマは監査部門が設定する。
問41/ア
事業継続計画(Business continuity planning BCP)とは,災害や事故で被害を受けても,被害を最小限に抑え事業の早期再開を実現するための計画である。
ア 〇
イ 重要書類は複製し,同時に被災しない場所に保管する。
ウ 重要な業務を優先して実施していくことが必要である。
エ BCPを公開し,平時から全従業員が事業継続の重要性を認識することが重要である。
問42/イ
ア 中央サービスデスクの説明である。
イ 〇ローカルサービスデスクの説明である。
ウ バーチャルサービスデスクの説明である。
エ フォロー・ザ・サンの説明である。
問43/エ
現在,全体の期間は9日となる。
ア 作業A,C,Eを1日ずつ短縮した場合,プロジェクト全体の期間は8日となり1日短縮できる。
イ 作業A,Dを1日ずつ短縮した場合,プロジェクト全体の期間は8日となり1日短縮できる。
ウ 作業B,C,Eを1日ずつ短縮した場合,プロジェクト全体の期間は8日となり1日短縮できる。
エ 〇作業B,Dを1日ずつ短縮した場合,プロジェクト全体の期間は7日となり2日短縮できる。
問44/ア
RAID5では最低3台の磁気ディスクを用意し,データを各磁気ディスクに分散して保存するとともに,誤り訂正用のパリティをデータとともに分散して保存する。これにより,いずれか1台の磁気ディスクが故障しても残りの磁気ディスクに保存されたデータとパリティから全データを復旧することができる。
ア 〇RAID5の説明である。
イ RAID6の説明である。
ウ RAID1(ミラーリング)の説明である。
エ RAID0(ストライピング)の説明である。
問45/イ
PaaS(Platform as a Service)とは,システム開発環境やプログラム実行環境などがインターネットを介してサービスとして提供されるものである。
ア IaaS(Infrastructure as a Service)の説明である。
イ 〇PaaSの説明である。
ウ SaaS(Software as a Service)の説明である。
エ DaaS(Desktop as a Service)の説明である。
問46/エ
ア 再編成とは,データの追加,削除を繰り返すことで生じる無駄な領域を整理すること。
イ 正規化とは,データの矛盾や重複などを無くし,データを効率的に利用できるようにすることである。
ウ 整合性制約とは,データの整合性を保つための規則のことである。
エ 〇
問47/ア
ア 〇Bccとは,ブラインドカーボンコピーとして指定した宛先のアドレスを示すフィールドである。
イ Dateとは,メールを送信した日時の情報を示すフィールドである。
ウ Receivedとは,メールを中継したサーバの情報を示すフィールドである。
エ X-Mailerとは,メール送信に使用したアプリケーションの種類を示すフィールドである。
問48/ウ
ア 準備工程で行うことである。
イ 準備工程で行うことである。
ウ 〇活用工程で行うことである。
エ 計画工程で行うことである。
問49/ウ
CSR調達とは,自然環境や人権などへの配慮といった社会的責任の観点から調達基準を設定するとともに,調達先に対し社会的責任を果たすように求めるものである。
問50/ア
製造原価明細書
 当期総製造費用=材料費+労務費+経費
 当期製品製造原価=当期総製造費用+期首仕掛品棚卸高-期末仕掛品棚卸高
損益計算書
 売上原価=期首製品棚卸高+当期製品製造原価-期末製品棚卸高
 売上総利益=売上高-売上原価
以上より
 当期総製造費用=400+300+200=900
 当期製品製造原価=900+150-250=800
 売上原価=120+800-70=850
 売上総利益=1,000-850=150