このページの本文へ移動 | メニューへ移動

河合塾グループ河合塾

就職・資格

Work License

平成29年(秋) 情報セキュリティマネジメント[午前] 過去問 解答&解説 2017年

皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらtccn-info@kawaijuku.jpまでお寄せください。

平成29年度 秋期 情報セキュリティマネジメント[午前]

問1/ウ
ア 最高情報セキュリティ責任者(CISO)とは,組織内で情報セキュリティを統括する担当幹部である。経営層の人材が担う。
イ 攻撃情報を外部に公開することで,同様の被害が社会全体に広がることの未然防止につながる。
ウ ○
エ 自社のみならず,ビジネスパートナ等を含めた情報セキュリティ対策が必要である。
問2/イ
ISMSの要求事項とは,情報セキュリティマネジメントシステム(ISMS)を確立・実施・維持・継続的に改善するために求められる内容をまとめた文書であり,管理策とは,情報セキュリティの対策のことである。
要求事項は,ISMSで求められることであるため,全て適用が必要であり,一方で,管理策は,情報セキュリティの対策であるため,状況が異なる場合など妥当な理由があれば,適用除外できる。
問3/ア
CSIRTとは,情報セキュリティのインシデント発生時に対応する組織である。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を,技術面から行う。このうち,コーディネーションセンターのサービス対象は,協力関係にある他のCSIRTとなり,インシデント対応において,CSIRT間の情報連携・調整を行う。
ア ○コーディネーションセンターの組合せである。
イ 国際連携CSIRTの組合せである。
ウ 組織内CSIRTの組合せである。
エ インシデントレスポンスプロバイダの組合せである。
問4/ウ
CRYPTREC(暗号技術調査評価委員会)では,CRYPTREC暗号リストを公開している。CRYPTREC暗号リストとは,総務省と経済産業省が安全性を認めた暗号技術のリストであり,電子政府実現のために,各省庁が調達するシステムで使うべき暗号技術が掲載されている。客観的な検証の結果,危殆化したと認められた暗号技術は,改定時にリストから除外される。
問5/エ
リスク特定とは,リスクを発見する段階である。リスク基準をもとに,機密性・完全性・可用性・脅威・脆弱性の観点から,情報資産を数値化する。リスク特定には,リスク源・事象・それらの原因・起こり得る結果の特定が含まれる。
問6/エ
リスクファイナンシングとは,リスクが顕在化した場合に,その損害から復旧させるために,金銭面の損害額を補う方法である。リスクそのものは低減されない。4種のリスク対応のうち,リスク共有のリスク移転(保険で補う)・リスク保有(自己負担で補う)が該当する。
問7/ウ
リスク評価とは,リスクが許容範囲内かどうかを決めるために,リスク分析の結果をリスク基準と照らし合わせる段階である。リスク基準で設定した受容可能なリスク基準を超えるリスクレベルは,許容範囲を超えるため,優先的にリスク対応を実施する。
問8/エ
リスクについて,アカウンタビリティ(説明責任)や権限をもつ人などをリスク所有者と呼ぶ。なお,イのトップマネジメントとは,経営層であり,組織に対して経営責任をもつ人々。
問9/イ
リスクの大きさを示す値は,「リスクレベル=情報資産の価値×脅威×脆弱性」で求める。つまり,3つは掛け算の関係である。なお,情報資産とは,価値があるデータやシステムのことであり,脅威とは,情報資産を危険にさらす攻撃。脆弱性とは,脅威(攻撃)がつけ込める弱点である。
ア 脅威が高まることで,脆弱性の深刻度が低くなることはない。
イ ○掛け算の関係であるため,脅威が存在しない,つまりゼロであれば,リスクレベルはゼロになる。
ウ 掛け算の関係であるため,脆弱性によってリスクが顕在化するのは,環境的脅威だけでなく,すべての脅威である。
エ 掛け算の関係であるため,脆弱性の有無はリスクレベルに影響する。
問10/ウ
ア 継続的改善とは,繰り返し行われる活動である。
イ 修正とは,不適合を除去すること。再発防止までは行わない。
ウ ○是正処置では,不適合の原因を除去し,再発防止まで含めて行う。
エ リスクアセスメントとは,リスクの有無・被害の大きさ・発生可能性・許容範囲内かを分析すること。
問11/ア
否認防止とは,責任追跡性でたどった証拠を「知らない」と言い訳されずに,客観的に証明できることであり,責任追跡性とは,いつ誰がアクセスし,何をしたかをあとでたどれることである。
ア ○否認防止の説明である。
イ 可用性の説明である。
ウ 機密性の説明である。
エ 信頼性の説明である。
問12/ア
サポートユーティリティとは,電気・通信サービス・給水・ガス・下水・換気・空調などのことであり,その不具合による停電や故障から,装置を保護することが望ましいとされている。
問13/ア
DLPとは,組織内のデータが外部に情報漏えいすることを防ぐための製品である。
手順は,次のとおり。
① 組織内に存在する機密情報を検索・検出する。
② 機密情報が含まれるファイルの利用状況を監視する。
③ 機密情報のコピー・変更・送信を制限する。
ア ○
イ DMZとは,危険が多いインターネットと,安全な社内ネットワークの境界に位置し,どちらからもアクセス可能だが,そこから社内ネットワーク内へはアクセス禁止であるネットワーク上のエリアである。
ウ IDSとは,ネットワークやホストをリアルタイムで監視し,不正アクセスなどの異常を発見し,管理者に通報する製品である。
エ IPSとは,IDSを拡張し,異常の監視・管理者への通報だけでなく,自動的に攻撃自体を防ぐ製品である。
問14/イ
SIEMとは,サーバ・ネットワーク機器・セキュリティ関連機器・アプリケーションから集めたログを分析し,異常を発見した場合,管理者に通知して対策する仕組みである。
ア サンドボックスを利用した振る舞い解析の説明である。サンドボックスとは,プログラムを,保護された領域でのみ動作させ,それ以外では実行不可にして,コンピュータの不正な動作を防ぐセキュリティモデルである。
イ ○ SIEMの説明である。
ウ SDNの説明である。SDN(Software-Defined Networking)とは,ソフトウェアにより,ネットワークを動的に制御すること。
エ IPSの説明である。IPSとは,IDSを拡張し,異常の監視・管理者への通報だけでなく,自動的に攻撃自体を防ぐ製品である。
問15/イ
共連れを防ぐための対策。共連れとは,侵入者が,正規の利用者と共に不正に入退室することである。背後に潜み,認証時に一緒に入り込み,2人以上が1回の認証で同時に入退室する。
ア TPMORとは,常に2人以上を在室させるために,最初の入室者と最後の退室者は2人同時でないと入室・退室ができないようにすることである。
イ ○アンチパスバックとは,共連れなどにより入室(または退室)の記録がない場合,認証を拒否して,退室(または入室)できないようにすることである。
ウ インターロックゲートとは,共連れを確実に防ぐために,扉を二重に設置することである。入室者は,1つめ(手前)の扉が開いても2つめ(奥)の扉は閉じているため,両扉の間で立ち止まる。すると,1つめの扉が閉じ,ここで入室者が1人だと確認されて初めて,2つめの扉が開き,入室できる。
エ パニックオープンとは,非常事態発生時に,ドアを解錠すること。
問16/イ
シャドーITとは,個人所有(私物)の情報機器を,許可なく業務に利用することである。
ア グリーンICTに該当する。
イ ○ シャドーITに該当する。
ウ ショルダハッキングに該当する。ショルダハッキングとは,ソーシャルエンジニアリングの一種で,肩越しに,パソコン画面や入力作業をのぞき見することである。
エ 不正アクセス・標的型攻撃などの事前調査に該当する。
問17/ア
ステガノグラフィとは,データに情報を埋め込む技術であり,埋め込む情報の存在に気付かれない点が特徴である。
ア ○ ステガノグラフィの説明である。
イ クローキングの説明である。
ウ ファジングの説明である。ファジングとは,組込み機器やソフトウェアから,バグ(欠陥)・未知の脆弱性を検出するためのセキュリティテストである。問題を引き起こしそうな細工を施したデータを検査対象に送り,異常な動作の有無により検査する。
エ CAPTCHAの説明。CAPTCHAとは,プログラムは読み取れないが,人間なら読み取れる形状の文字のことである。
問18/ウ
ハッシュ関数は,パスワード管理にも使われるものである。パスワードをコンピュータ内にそのまま保存すると,不正アクセスにより盗聴されるおそれがある。そのため,パスワードは保存せず,パスワード(平文)をハッシュ化してできたハッシュ値(ダイジェスト)を,コンピュータに保存する。
パスワードが正しいかどうかは,入力されたパスワードをハッシュ化してできたハッシュ値と,コンピュータに保存してあるハッシュ値とを比較すれば分かる。パスワード自体はどこにも保存しない。また,ハッシュ関数は一方向性のため,ダイジェストからパスワードを復元できず,盗聴できない。
問19/ウ
ア DHCPサーバとは,情報機器の起動時などに,IPアドレスを自動で割り当てるためのサーバである。アクセスポイントのDHCPサーバ機能だけでは,どの端末に対してどの範囲を割り当てるかを設定できない。
イ URLフィルタリングとは,閲覧できるWebサイトを制限するために,指定したURLを許可・拒否する機能である。
ウ ○
エ プライバシセパレータ機能とは,同じ無線LANのアクセスポイントに接続している情報機器同士の直接通信を禁止する機能である。アクセスポイントアイソレーションともいう。
問20/エ
WAFとは,Webアプリケーションを攻撃から守ることに特化した製品である。
ア ペネトレーションテストの説明である。ペネトレーションテストとは,脆弱性検査のひとつで,情報機器に対し擬似的な攻撃を試みる。脆弱性検査とは,情報システムにある脆弱性を発見するための検査である。
イ SSLアクセラレータの説明である。SSLアクセラレータとは,WebサーバのCPU負荷を軽減するために,SSL(TLS)による暗号化と復号の処理を,Webサーバでなく,それ専門で行うための製品である。
ウ 情報セキュリティ対策ベンチマークの説明である。情報セキュリティ対策ベンチマークとは,自組織の情報セキュリティ対策状況と企業情報を回答することで,情報セキュリティレベルを確認できる自己診断システムである。
エ ○WAFの説明である。
問21/ア
ボットとは,感染したコンピュータを,インターネット経由で外部から操あやつることを目的とした不正プログラムである。ボットに感染すると,指令者であるボットハーダーが遠隔操作し,様々な攻撃を行う。ボットネットとは,ボットに感染した,複数のコンピュータで構成されたネットワークである。C&Cサーバとは,ボットハーダーが,ボットに命令を送り,遠隔操作するためのサーバである。
問22/イ
DNSキャッシュポイズニングとは,攻撃者がDNSサーバに偽の情報を覚え込ませて,利用者がWebサイトを開く際,偽のWebサイトに接続させることで,利用者をだます攻撃である。
ア フットプリンティングの説明である。フットプリンティングとは,攻撃者がサイバー攻撃の前に行う情報収集・下調べのことである。
イ ○DNSキャッシュポイズニングの説明である。
ウ DNSサーバを踏み台にしたDDoS攻撃の説明である。
エ ゾーン転送による情報収集の説明である。なお,ゾーン転送とは,DNSサーバが保存するゾーン情報を別のコンピュータに一括して転送することである。
問23/エ
ア AESとは,共通鍵暗号方式の代表格の暗号技術である。
イ DH(Diffie-Hellman)とは,共通鍵を安全に交換するためのアルゴリズムである。
ウ DSA(Digital Signature Algorithm)とは,公開鍵暗号方式を使って,ディジタル署名を作成・検証するためのアルゴリズムである。
エ ○RSAとは,公開鍵暗号方式の代表格の暗号技術である。非常に大きな数の素因数分解が困難なことを利用している。
問24/ウ
ディジタル署名とは,署名の電子版。公開鍵暗号方式の暗号化と逆の手順を踏むことで,なりすましなしと改ざんなしを確かめられる。
ア ディジタル署名は,暗号文を復号することを目的とするものではない。
イ ディジタル署名により,改ざんの有無は判別できるが,その部位までは判別できない。
ウ ○ディジタル署名により,なりすましなしを確かめられる。
エ ディジタル署名は,盗聴なしを目的とするものではない。
問25/イ
利用者権限の管理では,必要最小限の権限(need-to-know)のみ与える。必要以上の権限を与えると,利用者が不正を行う危険性があるから。
データ構造の定義用アカウントには,「テーブルの作成・削除権限」のみ与える。また,データの入力・更新用アカウントには,「レコードの更新権限」のみ与える。それ以外の権限は与えない。
問26/ウ
ルート認証局とは,最上位に位置する認証局である。1つの認証局が,すべてのディジタル証明書を発行することは困難なため,認証局は多数必要となる。一方で,その数が多すぎると,煩雑になるため,認証局を階層構造にし,上位の認証局が下位の認証局を認証するようにする。ルート認証局の特徴は,次のとおり。
・送信者から受け取ったディジタル証明書が,信頼の置けるルート認証局により認証された下位の認証局が発行したものであれば,そのディジタル証明書のなりすましなしを確かめられる。
・ルート認証局は,認証局運用規程(CPS)を公開し,厳正な監査基準を満たす必要がある。
ア sudoコマンドの説明である。
イ 中間認証局の説明である。
ウ ○ ルート認証局の説明である。
エ バックドアの説明。バックドアとは,一度,不正アクセスできたコンピュータに対し,再び侵入するために,仕掛ける裏口のことである。
問27/エ
ワームとは,自己増殖するマルウェアのことである。ウイルスと違い,ワーム自身が独立して実行可能なプログラムのため,別のプログラムを使わず自身を増殖させられる。一方で,トロイの木馬とは,一見有益に見せかけて,不正動作するプログラムである。ただし,ウイルスとは異なり,他へ伝染しない。
問28/ウ
公開鍵暗号方式による暗号化の手順は,次のとおり。
① 送信者が[受信者の公開鍵]で,平文を暗号化し,暗号文を受信者に送る。
② 受信者は[受信者の秘密鍵]で,暗号文を復号し,平文を取り出す。
[受信者の公開鍵]で暗号化すれば,復号できるのは,[受信者の秘密鍵]をもつ受信者だけ。万一,送信途中の暗号文を攻撃者が盗み見しても,[受信者の秘密鍵]が分からないため,解読できず盗聴できない。なぜなら復号に使う[受信者の秘密鍵]は,受信者が誰にも渡さず,自分しか使わないから。
問29/エ
HTTP over TLS(HTTPS)とは,TLSにより暗号化したHTTP通信である。TLSとは,OSI基本参照モデルのトランスポート層で暗号化などを行うセキュアプロトコルである。ネットワーク通信について記述されたものは,エだけ。
問30/エ
ファジングとは,組込み機器やソフトウェアから,バグ(欠陥)・未知の脆弱性を検出するためのセキュリティテストである。問題を引き起こしそうな細工を施したデータを検査対象に送り,異常な動作の有無により検査する。
ア 検疫ネットワークの説明。検疫ネットワークとは,マルウェアが社内ネットワークに侵入することを防ぐために,パソコンを接続する前に,マルウェアに感染されていないかを検査する仕組みである。
イ ソースコード検査の説明である。
ウ ソースコードレビューの説明である。
エ ○ファジングの説明である。
問31/ウ
ア 社団や個人であっても,個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当するので,「企業が・・・に限られる。」という記述は誤りである。
イ 秘密にしていなくても個人情報に該当するので誤りである。
ウ ○
エ 国籍とは無関係に個人情報に該当するので誤りである。
問32/エ
特定電子メールとは「営利を目的とする団体及び営業を営む場合における個人が,自己又は他人の営業につき広告又は宣伝を行うための手段として送信をする電子メール」のことである。
2008年の特定電子メール法の改正により,特定電子メールの送信はオプトイン方式のみ許可されることになった。オプトインとは(opt-in),既定の状態では相手からの意思決定(optional)を得ていないものとして扱い,明示的に同意を得る(in)ことができた相手だけに,広告宣伝メールの送付や個人情報の取得をおこなう契約である。
問33/エ
著作権法において,ソフトウェア(有償無償を問わず)・操作マニュアル・データベースなど「表現された物」は保護の対象となる。プログラム言語や規約は保護の対象外である。
(FE 28春 問79 と類似問題)
問34/エ
ア 独占禁止法とは,他の事業者の事業活動を排除したり支配する行為や,他の事業者に対して不当な取引制限を強いる行為など,自由競争を阻害する過度の経済集中の排除を目的とした法律である。
イ 特定商取引法とは,訪問販売・通信販売・エスティックサロンや語学教室など,消費者との間でトラブルが生じやすい取引において,取引の公正性と消費者の保護を図る法律である。
ウ 不正アクセス禁止法とは,電気通信回路(インターネットなど)を通じて行われる電子計算機(コンピュータなど)への不正アクセス行為を禁止するための法律である。
エ 〇不正競争防止法とは,事業者間の公正な競争や国際約束の的確な実施を確保するため,不正競争の防止を目的として設けられた法律である。
問35/ア
ア ○
イ 新たに10台分のソフトウェアXのライセンスが必要である。
ウ ソフトウェアXが販売停止になっても,使用許諾契約が無効になったわけではない。
エ 同時使用ライセンスであれば問題ないが,「インストール台数を条件とするソフトウェアライセンス」という題意より,PC1台につき1ライセンスが必要と考えられる。
(AD 21春 問79 と類似問題)
問36/ア
ア ○派遣期間は原則最長3年である。したがって,派遣期間を3年とする契約は適切である。
イ 派遣先が労働者派遣に先立って面接を実施したり派遣元に履歴書の提出を求めることはできない。
ウ 派遣先が派遣労働者の性別や年齢を指定することはできない。
エ 派遣先は派遣労働者から苦情を受けたら,派遣元に通知するとともに派遣元と連携し苦情の処理を行わなければならない。
問37/イ
誤謬とは,会計データの記帳事務的な誤り,財務データについての偶然的な誤りのことである。
これを発見するためには,入力されたデータと入力元となった入力原票との照合作業を行う必要がある。
問38/ウ
ア ランツーランコントロールとは,処理ごとに出力結果を検査し入力情報の正確性を検証するものである。
イ タイムスタンプ機能とは,ファイルの作成や更新された時刻を記録するものである。
ウ ○コントロールトータルチェックとは,処理過程において受入情報の数値項目などの合計やレコード件数を,出力情報と照合するチェック方法である。あるシステムから別のシステムに情報を受け渡すような場合に,システム間の接続での情報の重複や漏れを防止するために利用される。
エ エディットバリデーションチェックとは,入力された情報が,その項目において許されるものかを検査することである。
問39/ウ
システム監査基準には,
「システム監査の目的は,組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを,独立かつ専門的な立場のシステム監査人が検証又は評価することによって,保証を与えあるいは助言を行い,もって IT ガバナンスの実現に寄与することにある。」
とある。
問40/ア
監査調書とは,監査人が実施した監査手続きの結果と,それを裏付けるための資料をまとめたものである。
ア ○監査調書の説明である。
イ 監査人の誓約書の説明である。
ウ 監査基準の説明である。
エ 監査証拠の説明である。
問41/イ
サービスマネジメントシステムとは,サービス提供者が,提供するサービスのマネジメントを効率的,効果的に運営管理するための仕組みである。
PDCAとは,管理業務を効率よく行えるように,Plan(計画)→Do(実行)→Check(評価)→Act(改善)を繰り返すものである。
ア Doに該当する。
イ ○Actに該当する。
ウ Planに該当する。
エ Checkに該当する。
問42/ウ
稼働率とは,ある期間のシステムの全運転時間に対する稼働時間の割合である。
稼働時間=全運転時間-故障時間
とすると,
稼働率=稼働時間÷全運転時間
となる。
また,平均故障間隔(MTBF)と平均修理時間(MTTR)を用いると,
稼働率=平均故障間隔÷(平均故障間隔+平均修理時間)
となる。
サービスの条件より,サービス提供時間(全運転時間)は1日10時間×5日=50時間,
サービス停止許容限度の合計時間(故障時間)は1時間以内なので,
稼働時間は50-1=49時間以上となる。
よって,稼働率は49÷50=0.98以上となる。
問43/ウ
逓減課金方式とは,使用量が増えるほど単価が下がっていく課金方式のことである。
横軸を使用量,縦軸を利用料金として表示したとき,使用量が多くなると利用料金の単価が安くなるので,グラフの傾きが少しずつ緩やかになる。縦軸はある使用量のときの「代金の総額」であり単位使用量あたりの「安くなった金額」ではない点に注意。
問44/ウ
ガントチャートとは,作業の日程計画やその管理に使われるグラフで,作業日程計画と進捗状態を棒グラフで視覚的に表したものである。
ア マイルストーンの説明である。
イ アローダイアグラムの説明である。
ウ ○ガントチャートの説明である。
エ トレンドチャートの説明である。
問45/エ
MTBF(Mean Time Between Failures : 平均故障間隔)とは,稼働を開始(あるいは修理後に再開)してから次に故障するまでの平均稼働時間のことである。
MTTR(Mean Time To Repair : 平均復旧時間)とは,故障が起きたシステムの修復に要する平均時間のことである。
ア MTBFは,故障と故障の間の時間を示す。稼働率は,MTBF÷(MTBF+MTTR)で算出できる。
イ システムの稼働時間の平均値はMTBFである。
ウ MTTRの逆数は,単位時間当たりの修復回数(修復率)である。ちなみに,MTBFの逆数は,単位時間に故障する確率(故障率)である。
エ ○MTTRは,システムの修復に要する平均時間である。
問46/エ
ビッグデータの特徴は,膨大なデータ量(Volume)だけでなく,データの速度(Velocity)とデータの多様性(Variety)をあわせ持つことである。
様々なデータを組み合わせて処理することで,データ間の相関を解析し動向の異変や予測を行うことができるようになった。
問47/エ
NAT(Network Address Translation)とは,プライベートIPアドレスとグローバルIPアドレスを相互に変換するための技術のことである。
ア ブラウザのキャッシュ機能の説明である。
イ IDS(Intrusion Detection System : 不正侵入検知システム)の説明である。
ウ ルータのIPパケットフィルタリング機能の説明である。
エ ○ルータのNAT機能の説明である。
問48/ウ
ア CSF(Critical Success Factor : 主要成功要因)とは,目標達成のために決定的な影響を与える要因のことである。
イ KGI(Key Goal Indicator : 重要目標達成指標)とは,最終的な目標を定量的に示したものである。
ウ KPI(Key Performance Indicator : 重要業績評価指標)とは,プロセスの実施状況を計測するための中間目標を定量的に示したものである。
エ MBO(Management By Objectives : 目標管理)とは,担当者に自らの業務目標を設定,申告させ,その進捗や実行を担当者自身が主体的に管理する手法のことである。
aでの目標設定例が「10%の物流コストの削減」となっており,これは業務の最終目標である。したがって,ここは「KGIの設定」である。
bでの目標設定例が「在庫の削減」「誤出荷の削減」となっており,これは物流コスト削減のために必要となるものである。したがって,ここは「CSFの抽出」である。
cでの目標設定例が「在庫日数7日以内」「誤出荷率3%以内」となっており,bを実行するときの目標値となるものである。したがって,ここは「KPIの設定」である。
問49/イ
共通フレームは,ソフトウェアライフサイクルにおける用語や作業項目などを包括的に規定したガイドラインである。情報処理推進機構が発行しており,現時点での最新版は「共通フレーム2013」である。
共通フレーム2013によると,企画プロセスではシステム化構想の立案とシステム化計画の立案を実施することになっている。
ア 運用プロセスで実施することである。
イ ○企画プロセスで実施することである。
ウ 開発プロセスで実施することである。
エ 要件定義プロセスで実施することである。
問50/ア
CIO(Chief Information Officer : 最高情報責任者)とは,企業内で経営理念に沿った情報戦略やIT投資計画の策定などに責任を持つ最高責任者のことである。