このページの本文へ移動 | メニューへ移動

河合塾グループ河合塾

就職・資格

Work License

平成28年(春) 情報セキュリティマネジメント[午前] 過去問 解答&解説 2016年

皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらtcc-info@kawaijuku.jpまでお寄せください。

平成28年度 春期 情報セキュリティマネジメント[午前]

問1/ウ
CSIRTとは,情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を,技術面から行う。
ア ICANNの説明。
イ IETFの説明。
ウ ○ CSIRTの説明。
エ ハクティビストの説明。
(SC26秋 問6と同じ問題)
問2/ウ
クリアデスクとは,情報機器を施錠収納すること。利用者の帰宅後に,犯人により情報機器を操作される危険を防ぐ。
ア クリアデスクとは,無関係。
イ クリアスクリーンの説明。
ウ ○ クリアデスクの説明。
エ セキュリティワイヤは,情報機器と机を結ぶためのチェーンで,不正な持出しを防ぐ。
問3/イ
ア コントロールセルフアセスメント(CSA)とは,従業者が,自部門の活動の監査を,第三者でなく,みずから行う方式。
イ 情報セキュリティ監査とは,組織の情報セキュリティマネジメント体制を対象にした,第三者の評価。
ウ 情報セキュリティ対策ベンチマークとは,自組織の情報セキュリティ対策状況と企業情報を回答することで,情報セキュリティレベルを確認できる自己診断システム。
エ ディジタルフォレンジックスとは,情報セキュリティにおける犯罪の証拠となるデータを収集・保全すること。
問4/イ
ア,ウ,エ:情報漏えい対策だが,機器の紛失の対策としては,有効ではない。
イ ○ 機器を紛失しても,遠隔操作して機器内の情報を消去できれば,情報漏えいを防げる。
問5/ア
リスク受容とは,リスク対策せずに見送ることを,組織で意思決定すること。
ア ○ リスク受容とは,リスク所有者が承認し,組織で意思決定すること。
イ 受容するリスクは,残留リスクとなり,繰り返しリスクアセスメントの対象になる。
ウ リスク受容は,リスクアセスメント(リスク分析・リスク評価)のあとで,行う。
エ リスク受容は,リスク対策をしないことであり,リスク対応をしないで,リスク受容となることもある。
問6/イ
情報セキュリティ方針(情報セキュリティポリシー)は,基本方針(ポリシー)・対策基準(スタンダード)・実施手順(プロシージャ)で構成される。
ア 基本方針は,組織の基本理念をまとめたものであり,外部からの信頼を得るために,公開する。機密情報ではない。
イ ○ 情報セキュリティ方針の策定後に,周知徹底するために,関係者に通知する。
ウ 基本方針(ポリシー)と対策基準(スタンダード)は,組織の情報セキュリティ委員会が作成する。実施手順(プロシージャ)は情報システムごと・部門ごとに作成する。
エ PDCAサイクルを回し,見直す。
問7/ア
ガイドラインの「(12)ネットワーク利用のための安全管理」に記載がある。組織のネットワークの情報機器から,重要情報が漏えいしない対策を選ぶ。
ア ○ 適切な情報漏えい対策。
イ 外部に重要情報が漏えいしかねない。
ウ ウイルス対策ソフトを無効にすると,感染リスクが高まる。
エ 従業員の判断でインストールすると,情報漏えいしかねない。
問8/ウ
特権とは,システム管理者だけができる特別な操作。利用者IDの登録や削除・アクセス制御などがある。特権をもつユーザを特権ユーザといい,一般ユーザと分けて管理する。
ア,エ 一般ユーザの行為の説明。
イ システム管理者の行為ではない。
ウ ○ システム管理者は特権をもつ。
問9/ア
不正のトライアングルとは,「機会」,「動機・プレッシャー」,「正当化」という3つの要因のことで,すべてそろった場合に,内部不正は,発生するとされている。機会とは不正行為を行える状況,動機・プレッシャーとは処遇面の不満・借金による生活苦,正当化とはみずからを納得させる自分勝手な理由付け。
問10/エ
利用者アクセスログの取扱いは,ガイドラインの(17)に記載がある。
ア ログのサイズは膨らみやすいため,リスクとコストのバランスにより保存期間を決定する。
イ ログを改ざん・消去されるおそれがある。
ウ ログの保存期間を悪用した手口につながるおそれがある。
エ ○ ログを定期的に確認すると,不審な事象を早期発見でき,また,あとで調査できる。
(FE25秋 問40・FE28春 問42と同じ問題)
問11/エ
BYODとは,個人所有(私物)の情報機器を業務で利用すること。
ア,イ:個人所有の情報機器でなく,会社所有の情報機器であるため,BYODではない。
ウ 業務に利用するという記載がない。
エ ○ BYODの説明。
(FE25秋 問40・H28春 問42と同じ問題)
問12/ウ
IDSとは,ネットワークやホストをリアルタイムで監視し,不正アクセスなどの異常を発見し,管理者に通報する製品。
ア JVNが提供しているMyJVNバージョンチェッカの説明。
イ ファジングの説明。
ウ ○ IDSの説明。
エ 情報セキュリティ対策ベンチマークの説明。
問13/イ
ア SSL-VPNとは,VPNの方式の1つで,SSL暗号通信により,構築するVPN。
イ ○ WAFとは,Webアプリケーションを攻撃から守ることに特化した製品。SQLインジェクションなどのスクリプト攻撃を防ぐ。
ウ クラスタ構成は,複数のコンピュータが連結され,あたかも1台であるかのように振る舞うこと。これにより,1台が稼動不可になっても,残りで稼動し続け,システム全体の停止を防げる。
エ ロードバランシング機能とは,並列で稼動している機器の間で,処理の負荷を均等になるように分散させる機能。
(FE25秋 問41・H28春 問43と同じ問題)
問14/イ
ア 定義ファイルを最新化した日時より前に作成したファイルが,ウイルス感染している可能性があり,不適切。
イ ○ マルウェア対策として,修正パッチ(セキュリティパッチ)を適用する必要がある。
ウ 使用しないTCPポートをふさぐと,ポートスキャン対策にはなるが,マルウェア対策にはならない。
エ 動的グローバルIPアドレスをPCに付与すると,固定のIPアドレスを狙った攻撃は防げるが,マルウェア対策にはならない。
(FE25秋 問42と同じ問題)
問15/ウ
システム管理者などの特権ユーザに対しては,必要最小限の権限(need-to-know)のみ与える。必要以上の権限を与えると,特権ユーザが不正アクセスを犯す危険性があるからである。
ア 1つの情報システムでは,1人に対して1つの利用者IDのみ登録する。不正アクセスを防ぐため。
イ システム管理者には,必要最小限の権限(need-to-know)のみ与えるべきで,特権を必要としない作業を,管理者IDで行うべきではない。
ウ ○ システム管理者の不正を発見したり,未然に防いだりするために監視すべき。
エ 操作ログを改ざん・消去されるおそれがある。操作ログのアクセス権は,本人に与えてはいけない。
問16/ウ
ディジタルフォレンジックスとは,情報セキュリティにおける犯罪の証拠となるデータを収集・保全すること。ハッシュ値(メッセージダイジェスト)とは,ハッシュ関数により計算された値。異なる平文(元のデータ)から,同一のハッシュ値になることは,計算上ありえないため,2つの平文から作ったハッシュ値が同一であれば,改ざんなしを確かめられる。
ア,エ ディジタルフォレンジックスとは,無関係。
イ ハッシュ関数は,一方向性のため,ハッシュ値を使っても復元できない。
ウ ○ ハッシュ値を使って,原本と複製の同一性(改ざんなし)を証明できる。
(AP25秋 問43・FE28春 問44と同じ問題)
問17/ウ
ア 圧縮しても解凍できれば,機密ファイルの情報漏えいの危険性があり,不適切。
イ マスターブートレコードとは,どこからOSを起動するかが記録されている領域。これを消去しても,機密ファイル自体は残るため,不適切。
ウ ○ 機密ファイルを含め,全領域を上書きすれば,情報漏えい対策になる。
エ ファイル名を変更しても,機密ファイルのデータ自体は残るため,不適切。
(FE25春 問41・FE28春 問45と同じ問題)
問18/ア
2要素認証とは,なりすましを防ぐために,認証方法(知識認証・所有物認証・生体認証)のうち,2つの認証方法を組み合わせること。
ア ○ ICカード認証(所有物認証)と指紋認証(生体認証)を組み合わせている。
イ 両方とも所有物認証で,認証方法を組み合わせていない。
ウ 両方とも生体認証。
エ 両方とも知識認証。
問19/ウ
APTとは,標的となる組織の脆弱性を突くために,事前に調査した上で,複数の攻撃手法を組み合わせて作られたマルウェアで行う攻撃。既存の攻撃手法の中から,システムへの侵入を目的とする共通攻撃部と,システム侵入後に特定のシステムを標的とする個別攻撃部を組み合わせて,マルウェアを作る。
ア サービス停止を起こす攻撃ではない。
イ 場当たり的でなく,事前に調査した上で攻撃する。
ウ ○ APTの説明。
エ APTの攻撃対象は,不特定多数でなく,標的となる特定の組織。
(SC25春 問1と同じ問題)
問20/ウ
ア,イ HDDを攻撃者のPCに接続し,専用のソフトウェアで操作すれば,ファイルを盗まれる。
ウ ○ HDDパスワードとは,HDDに設定し,HDDをPCに接続した際に入力を求められるパスワード。攻撃者のPCに接続した場合にもHDDパスワードの入力を求められるため,情報漏えい対策になる。
エ BIOSパスワードとは,PCのハードウェアに設定し,PCの起動時に入力を求められるパスワード。別のハードウェアでは,BIOSパスワードが機能しないため,HDDを抜き取り,攻撃者のPCに接続すれば,HDDの内容は読み取られる。
問21/エ
ア SQLインジェクションの説明文。
イ DoS攻撃(サービス拒否攻撃:Denial of Service攻撃)の説明文。
ウ メモリリークの説明文。
エ ○ クロスサイトスクリプティングの説明文。
問22/イ
ア HTTPレスポンス分割の説明文。
イ ○ クリックジャッキング攻撃とは,WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置するなどの手法を用いて,無害なWebサイトA上の操作に見せかけて有害な標的サイトB上で操作させる攻撃である。
ウ タブナビング(Tabnabbing)の説明文。
エ ブラウザハイジャックの説明文。
(SC24春 問1と同じ問題)
問23/ウ
ア 改ざんは検知できるが,その部分は判別できない(改ざん箇所の特定はできない)。また改ざんの検知は,ディジタル署名と署名検証鍵Xを比較することでおこなうのではない。
イ 認証局に問い合わせてもウイルス感染の有無は確認できない。
ウ ○ 文書ファイルが改ざんされていないこと,及びディジタル署名が署名生成鍵Yによって生成されたことを確認できる。
エ 改ざんは検知できるが,文書ファイルとディジタル署名のどちらが改ざんされたかは判別できない。
(AP21春 問39・FE28春 問39と同じ問題)
問24/イ
ア 取引当事者間で共有する秘密鍵を管理するのは,取引当事者たちである。
イ ○ 取引当事者の公開鍵に対するディジタル証明書を発行するのは,認証局(CA)である。
ウ 取引当事者のディジタル署名を管理するのは,取引当事者自身である。
エ 取引当事者のパスワードを管理するのは,取引当事者自身である。
問25/ウ
ア AutoRunウイルスの説明文。
イ ランサムウェア(身代金要求プログラム)の説明文。
ウ ○ ドライブバイダウンロード攻撃とは,Webサイトを閲覧したとき,利用者が気付かないうちに,利用者の意図にかかわらず,利用者のPCに不正プログラムが転送される攻撃である。
エ ウォードライビング(wardriving)の説明文。
問26/エ
ア 辞書攻撃の説明文。
イ 攻撃対象の利用者IDを定めてパスワードを総当たり試行する。
ウ 総当たり攻撃(ブルートフォースアタック)の説明文。
エ ○ パスワードリスト攻撃の説明文。
問27/イ
バックドアとは(裏口),正規の手続きを踏まずに部外者がシステムを使用できてしまう侵入口のこと。
問28/イ
ア AESは共通鍵暗号方式の代表例(Advanced Encryption Standard)。DESより高度な(advanced)共通鍵暗号方式である。
問29/ア
TCP/IPによってアクセス可能なプログラムは,TCPポート番号によって識別される。ポートスキャンとは,アクセス可能なプログラムがサーバ上で稼働しているかどうかを,TCPポート番号への接続の可否を順に走査(scan)していくことで調査する攻撃である。
問30/エ
Bさんの公開鍵で暗号化した電文は,その鍵とペアになっている,Bさんの秘密鍵でのみ復号できる。
問31/エ
OECDプライバシーガイドラインの8原則に関する出題。
ア 収集制限の原則,の説明文。
イ 公開の原則,の説明文。
ウ 目的明確化の原則,の説明文。
エ ○ データ内容の原則,の説明文。
問32/ア
ア ○ 特定の個人を識別できるメールアドレスは個人情報である。
イ 特定の個人を識別できる情報が含まれていれば個人情報である。
ウ 新聞やインターネットなどで既に公表されていても,生存している特定の個人を識別できれば個人情報である。
エ 法人に関する情報は個人情報ではない。
(FE25秋 問80と同じ問題)
問33/ア
ア ○ 企業が運営するWebページの改ざんは,電子計算機損壊等業務妨害に関わる。
イ 他社の商標に酷似したドメイン名の使用は,商標法に関わる。
ウ 他人のWebサイトの無断複製は,著作権法に関わる。
エ 他人のキャッシュカードとパスワードによるATMの操作は,犯罪収益移転防止法(旧・本人確認法)に関わる。
問34/エ
特定電子メール送信適正化法では,広告メールを送信することについて承諾を得ていない者に対しては広告メールを送信してはならない,と定めている。
問35/ウ
不正競争防止法によって保護される営業秘密とは,秘密として管理されていること(秘密管理性),事業活動に有用な技術上または営業上の情報であること(有用性),公然と知られていないこと(非公知性)の3つの条件を満たすものである。
(FE25春 問78と同じ問題)
問36/イ
請負契約の下では雇用関係,仕事の指揮命令はともに請負先の雇用主となる。問題文のように契約先の事業所で働く場合も雇用主が自ら指揮命令のもとに労働者を業務に従事させる。
(AP21春 問79と同じ問題)
問37/イ
スプレッドシートとは表計算のためのシートのこと。ユーザーが利用するスプレッドシート統制の重要性は,経済産業省が定めた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」において指摘されている。
ア 「スプレッドシート等に完全性,正確性,正当性を検証できる仕組(検算できる等)が組み込まれているか,もしくは手計算で検算すること。」とという規定があるので,指摘事項には該当しない。
イ ○ 「利用者が,スプレッドシートの数式やマクロ等を変更できないようにしていること。」と明記されているため,ロジックを随時変更し上書き保存することは不適切で指摘事項に該当する。
ウ 「スプレッドシートやデータ等は,アクセス制御により,不正アクセスによる改ざんや許可のない利用から保護されている。」という規定があるので,指摘事項には該当しない。
エ 「作成したスプレッドシートとデータのバックアップを行い,安全に保管すること。」という規定があるので,指摘事項には該当しない。
問38/ア
情報セキュリティ管理基準は,情報セキュリティに関するコントロールの目的,コントロールの項目を規定したもの。
この中で雇用に関する事項は「4.人的資源のセキュリティ」に規定されている。
ア ○ 「雇用終了後も,定められた期間は雇用条件に含まれる責任を継続する」と規定されているため,守秘義務は解消されないため,指摘事項に該当する。
イ 「雇用条件には,組織の構外及び通常の勤務時間外に及ぶ責任(例えば,在宅勤務における責任)を含める」という規定があるので,指摘事項には該当しない。
ウ 「雇用条件には,従業員,契約相手及び第三者の利用者が組織のセキュリティ要求事項に従わない場合に取る処置を含める」いう規定があるので,指摘事項には該当しない。
エ 「雇用条件には,取扱いに慎重を要する情報へのアクセスが与えられる,すべての従業員,契約相手及び第三者の利用者による,情報処理施設へのアクセスが与えられる前の,秘密保持契約書又は守秘義務契約書への署名を含める」いう規定があるので,指摘事項には該当しない。
(AP25春 問58と同じ問題)
問39/ア
情報セキュリティはマネジメントシステムとして,全社的に継続的に行うべきもの。監査対象は情報資産全般に対するセキュリティのため,ハードウェアとしてのコンピュータを導入していない部署でも,情報資産が情報セキュリティ監査の対象になる。
問40/ア
SLA(サービスレベル契約:Service Level Agreement)は,サービス提供者(プロバイダ)とサービス委託者(顧客)との間で交わされる,提供するサービスの内容と範囲,品質に対する要求(達成)水準に関する契約。
(AP26秋 問55と同じ問題)
問41/エ
災害時を考慮したバックアップシステム選択の重要な指標として,RPO(Recovery Point Objective)とRTO(Recovery Time Objective)がある。RPOは,過去のどの時点までのデータを保障して復旧させるかという目標値。RTOは,被災時点からどれだけの時間で業務を復旧させるかという目標値。
問42/ア
種類別件数と総件数の推移を合わせて表示するには,層グラフ(折れ線層グラフ)か積上げ棒グラフが適している。
ア ○
イ 円グラフは構成比をみるのに適している。
ウ ポートフォリオ図はさまざまな要因を組み合わせて分析するための図。
エ レーダチャートは複数項目のバランスをみるのに適している。
問43/エ
問合せの終わり又は要求の終わりを指示してから,利用者端末に最初の処理結果のメッセージが出始めるまでの経過時間をレスポンスタイムという。
ア アクセスタイムとは磁気ディスクの計算問題で良く使われる用語で,アクセスタイム=平均サーチ時間+平均シーク時間+データ転送時間で求められる。
イ サイクルタイムとは一つの製品を何分何秒で作れるかの作業サイクルの時間のこと。
ウ ターンアラウンドタイムとは,プログラムやデータがコンピュータに入力されてから完全な処理結果を出力するまでの時間のこと。
エ ○
問44/イ
ア データアドミニストレーションとは,データを管理すること。データアドミニストレータならば「データ管理者」を指す。
イ ○ データウェアハウスとは,大量のデータを整理・統合して蓄積したデータベースで意思決定支援などに利用するもの。
ウ データディクショナリとは,DBで取り扱うデータの属性やデータ項目等を定義したもの。
エ データマッピングとは,変換元データ項目と変換先データ項目との関連付けをするもの。
(FE22春 問33と同じ問題)
問45/ア
ア ○ ルータとはLAN同士やLANとWANを接続して,ネットワーク層での中継処理を行う装置。
イ データ伝送媒体上の信号を物理層で増幅して中継する装置はリピータ。
ウ データリンク層でのネットワーク同士を接続する装置はブリッジ。
エ 二つ以上のLANを接続し,LAN上のMACアドレスを参照して,その参照結果を基にデータフレームを他のセグメントに流すかどうかの判断を行う装置はレイヤ2 スイッチ。
(AP22春 問37・FE16秋 問66と同じ問題)
問46/エ
ア DMZ(DeMilitarized Zone):ネットワーク間に設置される隔離されたネットワーク領域。
イ IPマスカレード:ローカルアドレスとグローバルアドレスを透過的に相互変換する仕組み。
ウ ファイアウォール:外部から内部ネットワークへの侵入をフィルタリングにより防御する仕組み。
エ 〇 プロキシ:社内ネットワークからインターネットへのアクセスを中継し,Webコンテンツをキャッシュすることによってアクセスを高速にする仕組みで,セキュリティの確保にも利用される。
(AP22春 問39・FE19秋 問37と同じ問題)
問47/イ
ア ERPとは(企業資源計画:Enterprise Resource Planning),企業の経営資源を有効活用して事業の効率化を図るための考え方。
イ ○ SaaSとは(Software as a Service),主にインターネットを介して,必要な機能を必要な分だけ利用できるようにしたソフトウェアサービス。
ウ SCMとは(供給連鎖管理:Supply Chain Management),主に物流システムにおいて原材料や部品の調達から製造・流通・販売に至る過程を複数の企業間で連携して経営的な効果を挙げる管理手法。
エ XBRLとは(eXtensible Business Reporting Language),企業の財務諸表などを記述するためのXMLベースのマークアップ言語。
(FE25秋 問64と同じ問題)
問48/イ
aア RFIの発行 →bイ RFPの発行 →cウ 供給者(ベンダー)の選定 →dエ 契約の締結。
RFIとは(情報依頼書:Request For Information),提案評価基準や調達条件などを決定するために必要な情報の提供を広く依頼する文書。
RFPとは(提案依頼書:Request For Proposal),システム開発やハードウェア購入のための具体的なシステム提案や見積もりなどを発注先候補の業者に依頼する文書。
(FE24春 問66と同じ問題)
問49/イ
全てのリスクに対して対策を行うことは現実的ではない。通常リスクに優先順位をつけて対応を行う。
ア リスクがゼロになるような策定は不可能。
イ ○ 許容できる損失を超えるものを優先的に対処すべき。
ウ すべてのリスクへの対応は不可能。
エ 損害額と,そのリスクが発生する確率を勘案して優先順位をつけて対応すべき。
問50/ウ
企業は誰のために経営を行っているか,トップマネジメントの構造はどうなっているか,組織内部に自浄能力をもっているかなどの視点で,企業活動を監督・監視する仕組みをコーポレートガバナンスという。
ア コアコンピタンスとは,他社がまねのできない優れた能力のこと。
イ コーポレートアイデンティティとは企業の 個性・特徴を明確に提示し,イメージの統一を図るための戦略のこと。
ウ ○
エ ステークホルダとは株主や従業員などの利害関係者のこと。
(AP26秋 問74・FE28春 問75と同じ問題)