このページの本文へ移動 | メニューへ移動

河合塾グループ河合塾

就職・資格

Work License

平成29年(春) 情報セキュリティマネジメント[午前] 過去問 解答&解説 2017年

皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらtccn-info@kawaijuku.jpまでお寄せください。

平成29年度 春期 情報セキュリティマネジメント[午前]

問1/ア
ISMS(情報セキュリティマネジメントシステム)において,経営層が行うべきことは,トップダウンの管理体制を構築すること。つまり,担当者任せでなく,全社で意思統一し実施するために,経営層の積極的な関与が欠かせない。
ア ○経営層の積極的な関与が欠かせない。
イ 組織の他の業務と分けず,ISMSを運営すべき。
ウ 情報セキュリティ方針(情報セキュリティポリシ)に従うことは,経営層だけでなく,全従業員が行うべき。
エ 経営層でなく,組織の情報セキュリティ委員会などが,情報セキュリティリスク対応計画を策定する。
問2/ウ
自社の,外部委託先で情報セキュリティが危険にさらされると,自社にも悪影響が及びかねないため,ビジネスパートナについても,セキュリティ対策が必要。なお,サプライチェーンとは,製造業などにおいて,欠品がなくかつ不要な在庫を抱えないために,原材料の仕入れ・生産管理・物流・販売までの一連の流れを,複数の企業で連携して構築すること。
問3/ア
JPCERT/CCとは,日本を代表するCSIRT。CSIRTとは,情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を,技術面から行う。
ア ○ CSIRTであるJPCERT/CCが作成したもの。
イ ISMS(情報セキュリティマネジメントシステム)に関するガイドラインで,日本情報経済社会推進協会(JIPDEC)が作成したもの。なお,ISMSユーザーズガイドは,問われる用語ではないため,覚える必要はない。
ウ 電磁的証拠の証拠保全の手続きに関するガイドライン。デジタル・フォレンジック研究会(IDF)が作成したもの。なお,証拠保全ガイドラインは,問われる用語ではないため,覚える必要はない。
エ 組織内部で起きる不正行為である内部不正の対策に関するガイドライン。情報処理推進機構(IPA)が作成したもの。
問4/エ
RPO(Recovery Point Objective,目標復旧時点)とは,インシデント発生時に,どの時点までデータを復旧させるかの目標値。正解はエ。なお,イは,RTOの説明。RTO(Recovery Time Objective,目標復旧時間)とは,インデント発生後に,どれほどの時間で業務を復旧させるかの目標値。
問5/イ
リスクマネジメントとは,組織のリスクを分析・評価し,対策を打つ一連の取組み。リスクの対策を決める根拠となるリスクアセスメントを事前に行い,その結果から,客観的で効果的なリスク対応をする。
ア リスクは環境の変化・新たな脅威の出現などにより変化するため,一過性の対策では不十分。
イ ○組織のリスクを分析・評価し,組織に合わせて作られる。
ウ 組織の主要な活動から切り離してはいけない。
エ リスクが顕在化する前から行う取組み。
問6/イ
4つのプロセスの順番は,次のとおり。
・リスクマネジメント
├・リスクアセスメント
│├・リスク分析 ※
││├・リスク特定 ※
││└・リスク算定
│└・リスク評価 ※
├・リスク対応 ※
リスク分析には,リスク特定とリスク算定が含まれる。そのため,リスク特定とリスク算定の終了に伴って,リスク分析が終了することになる。
問7/イ
リスクレベルとは,リスク分析のリスク算定(リスクの結果の大きさと起こりやすさを決める)で求められるリスク値であり,例えば,「リスクレベル=情報資産の価値×脅威×脆弱性」で求められる。
ア 脆弱性の説明。脆弱性とは,脅威(攻撃)がつけ込める弱点。
イ ○リスクレベルの説明。
ウ 該当する定義はない。
エ リスク基準の説明。リスク基準とは,リスクアセスメントの事前準備として,リスクの評価基準と対応する値を決めておくこと。
問8/ウ
ア,イ,エ それらをB社の裁量に任せるべきではない。なお,SLAとは,ITILで締結を推奨している,サービスの提供者と利用者の間で結ばれるサービスのレベル(定義・範囲・品質)を明示した合意文書。ITILとは,システムを,安定的かつ効率的に運用するための手本集。
ウ ○情報セキュリティインシデントの発生を,B社から迅速に連絡すべき。
問9/イ
危殆化とは,コンピュータの性能向上に伴って,高速に短時間で解読作業ができるようになったために,暗号の安全性が低下すること。暗号技術の賞味期限切れのようなもの。開発当時は安全と思われた暗号技術であっても,高性能コンピュータによって解読までの時間が次第に短縮している。危殆化した暗号技術は,最新の暗号技術へ置き換える必要がある。
問10/ウ
タイムスタンプとは,ファイルの時刻の改ざんなしを確かめる目的で,第三者機関である時刻認証局により発行される時刻情報。身近な例では,郵便の消印がある。タイムスタンプにより,確かめられるものは,次のとおり。
・いつからファイルが存在するか(存在時刻)。
・現在までファイルが書き換えられていない(改ざんなし)。
問11/ウ
ISMS(情報セキュリティマネジメントシステム)に基づき,組織全体で情報セキュリティに取り組むために,情報セキュリティポリシをはじめとしたルールを策定し,教育や訓練で周知徹底する組織運営が求められる。逆にいえば,組織の管理下で働く人々は,情報セキュリティポリシ(情報セキュリティ方針)について,認識をもたなければならない。なお,情報セキュリティポリシとは,ISMSに基づいて,情報セキュリティに関する組織内の取組みを規定した文書。
問12/ウ
JVNとは,日本で使用されているソフトウェアの脆弱性情報(セキュリティホール)と,その対策情報を提供するポータルサイト。
ア 製品評価技術基盤機構(NITE)が提供する情報。
イ 内閣サイバーセキュリティセンター(NISC)が提供する情報。
ウ ○ JVNが提供する情報。
エ 「情報セキュリティ安心相談窓口」を運営する,IPAが提供する情報。
問13/ア
NIDS(ネットワーク型IDS)とは,ネットワークをリアルタイムで監視し,不正アクセスなどの異常を発見し,管理者に通報する製品。通報を受けた管理者が,攻撃開始や攻撃の前兆だと判断すると,ファイアウォールのフィルタリングルールを変更するなどして,それ以降の発生を防ぐ。
ア ○ NIDSの説明。
イ ペネトレーションテストの説明。ペネトレーションテストとは,脆弱性検査のひとつで,情報機器に対し擬似的な攻撃を試みる。脆弱性検査とは,情報システムにある脆弱性を発見する作業。
ウ リスクアセスメントの説明。リスクアセスメントとは,リスクの対策を打つリスク対応の前に,リスクの有無・被害の大きさ・発生可能性・許容範囲内かどうかを分析する段階。
エ HIDS(ホスト型IDS)の説明。HIDSとは,IDSの一種で,Webサーバなど,ホストにインストールし,そのホストへのすべての通信を監視する。
問14/ア
ア ○情報機器の稼働状態・障害や異常の発生状況を記録するログ(通信履歴)を管理する。ログを定期的に確認すると,不審な事象を早期発見でき,また,あとで調査できる。
イ ウイルス対策ソフトは,マルウェアを検知・削除できるが,データの漏えいを発見できるわけではない。
ウ バックアップは,データの破壊・紛失の対策になるが,データの漏えいを発見できるわけではない。
エ HDD全体を暗号化すれば,復号のための鍵が分からない場合,データを読み取れませんが,データの漏えいを発見できるわけではない。
問15/エ
ディジタルフォレンジックスとは,情報セキュリティの犯罪の証拠となるデータを収集・保全すること。例えば,ログや記憶媒体の消去・改ざんを防止するために,書込み禁止にしたり,コピーしたりして,その後の捜査や訴訟に備える。
ア 電子メールのフィルタリングの説明。
イ ファイアウォールなどの情報セキュリティ製品の説明。
ウ データを完全消去するための方法の説明。
エ ○ディジタルフォレンジックスの説明。
問16/ア
辞書攻撃の対策は,人名など意味のある単語を使わず,「推測されにくいパスワードを設定する」。スニッフィングは,ネットワークを流れる通信データを監視・記録する盗聴行為のため,その対策は,「パスワードを暗号化して送信する」。ブルートフォース攻撃は,総当たり攻撃のため,その対策は,「ログインの試行回数に制限を設ける」。
問17/ウ
DMZとは,危険が多いインターネットと,安全なイントラネットの境界に位置し,どちらからもアクセス可能だが,そこからイントラネット内へはアクセス禁止であるネットワーク上のエリア。ファイアウォールを2台設置し,その2台の間に位置する。
Webサーバは,インターネットからの直接アクセスが必要なため,DMZに設置する。その一方で,データベースサーバは,インターネットからの直接アクセスは不要なため,内部セグメント(イントラネット)に設置する。
問18/ウ
2要素認証とは,なりすましを防ぐために,認証方法(知識認証・所有物認証・生体認証)のうち,2つの認証方法を組み合わせること。
ア 両方とも所有物認証。
イ 両方とも生体認証。
ウ ○パスワード認証(知識認証)と静脈認証(生体認証)を組み合わせている。
エ 両方とも知識認証。
問19/ウ
ディジタル署名は文字どおり,署名の電子版。実社会でも,なりすましがなく,確実に本人が承諾したと認めるために,署名(サイン)したり,印鑑を捺印したりする。その機能をITで行うためのものである。
ア ディジタル署名は,商品名の明記を確認するものではない。
イ ディジタル署名は,盗聴を検知するものではない。
ウ ○ディジタル署名の説明。
エ ディジタル署名は,盗聴を防止するものではない。
問20/ウ
ア ハッシュ関数は一方向性であるため,平文(メッセージ)からメッセージダイジェストは作れるが,逆にメッセージダイジェストから平文は作れない。
イ 平文(メッセージ)が少しでも異なれば,異なるメッセージダイジェストになる。
ウ ○ハッシュ関数は一方向性であるため,平文(メッセージ)からメッセージダイジェストは作れるが,逆にメッセージダイジェストから平文は作れない。
エ メッセージダイジェストは,平文(メッセージ)のファイルサイズにかかわらず,一定のサイズになる。
問21/ア
ソーシャルエンジニアリングとは,技術を使わずに,人の心理的な隙や行動のミスにつけ込んで,秘密情報を盗み出す方法。
ア ○ソーシャルエンジニアリングの一種である,スキャベンジングの説明。スキャベンジングとは,ゴミ箱をあさり,パスワードのメモ書きや秘密情報が印刷された廃棄書類を盗み出す方法。
イ 悪質なキーロガーの説明。キーロガーとは,スパイウェアの一種で,コンピュータへのキー入力を監視し記録するソフトウェア。有益な場合もあるが,利用者の入力情報を盗むものもある。
ウ 辞書攻撃の説明。辞書攻撃とは,パスワードに単語を使う人が多いことを悪用し,辞書の単語を利用してパスワードを推察する方法。
エ ブルートフォース攻撃の説明。ブルートフォース攻撃とは,パスワードの可能な組合せをしらみつぶしにすべて試す手法。総当たり攻撃ともいう。
問22/エ
ディジタル署名では,送信者が[送信者の秘密鍵]で暗号化した暗号文を,受信者が[送信者の公開鍵]で復号できた場合,なりすましなしを確かめられる。なぜなら暗号化するときに使う[送信者の秘密鍵]は送信者以外は知りえないため,確実に送信者が暗号化したといえるからである。
問23/イ
ディレクトリトラバーサル攻撃とは,攻撃者が相対パス記法を悪用して,Webサイト内にある,インターネット上では非公開のファイルを閲覧・削除・改ざんする攻撃。
ア SQLインジェクションの説明。
イ ○ディレクトリトラバーサル攻撃の説明。
ウ クロスサイトスクリプティングの説明。
エ セッションハイジャックの説明。
問24/イ
aは,信頼性の定義。信頼性とは,システムにバグ(欠陥)がなく,正常動作すること。
bは,真正性の定義。真正性とは,なりすましがなく,確実に本人であることを識別・認証すること。
cは,可用性の定義。可用性とは,必要なときは情報資産にいつでもアクセスでき,アクセス不可能がないこと。
dは,機密性の定義。機密性とは,ある情報資産にアクセスする権限をもつ人だけがアクセスでき,それ以外の人には公開されないこと。
よって,正解はイ(真正性がb,信頼性がa)。
問25/エ
ア CA(Certificate Authority)とは,認証局ともいい,PKI(公開鍵基盤)で,ディジタル証明書を発行する機関。第三者機関である認証局が,公開鍵が入ったディジタル署名にお墨付きを与え,ディジタル証明書を発行する。
イ CP(Certificate Policy)とは,ディジタル証明書の用途を定めた規定。なお,CPは,問われる用語ではないため,覚える必要はない。
ウ CPS(Certificate Practice Statement)とは,CAの認証実施規定。なお,CPSは,問われる用語ではないため,覚える必要はない。
エ ○ CRL(Certificate Revocation List,証明書失効リスト)とは,ディジタル証明書には,有効期限があるが,例えば,秘密鍵を紛失した場合に,その旨申請すれば,CRLに掲載され,そのディジタル証明書は失効する。CRLは身近な例では,ブラックリストに似ている。
問26/イ
ア ISMS適合性評価制度とは,ISMSを適切に導入している組織を,第三者が認定するISMS認証を与えるための制度。
イ ○ PCI DSS(PCIデータセキュリティスタンダード)とは,クレジットカード情報を保護するための,クレジット業界のセキュリティ基準。カード会員情報を,格納・処理・伝送するすべての機関・加盟店に対して適用する。
ウ 特定個人情報保護評価とは,いわゆるマイナンバーを含んだ個人情報を保有する前に,情報漏えいを防ぐための対策を検討するための制度。
エ プライバシーマーク制度とは,個人情報を安全に取り扱う体制を整備した組織を認定する制度。
問27/ア
不正のトライアングルとは,「機会」,「動機」,「正当化」という3つの要因のことで,すべてそろった場合に,内部不正は発生するとされている。機会とは不正行為を行える状況,動機とは処遇面の不満・借金による生活苦,正当化とはみずからを納得させる自分勝手な理由付け。
ア ○機会とは不正行為を行える状況。
イ 内部統制の要素の1つの説明。
ウ 「正当化」でなく,「動機」の説明。
エ 「動機」でなく,「正当化」の説明。
問28/ア
OSI基本参照モデルのネットワーク層で暗号化などを行うのは,IPsecだけ。
ア IPsecとは,IPプロトコルを拡張し,OSI基本参照モデルのネットワーク層で暗号化などを行うセキュアプロトコル。
イ S/MIMEとは,ハイブリッド暗号を使って,メールを暗号化したり,ディジタル署名によるなりすましなし・改ざんなしを確かめたりするための規格。
ウ SSHとは,遠隔地のコンピュータを安全に遠隔操作するためのセキュアプロトコル。
エ XML暗号とは,XML文書を暗号化するための規格。
問29/イ
WAFとは,Webアプリケーションを攻撃から守ることに特化した製品。ファイアウォール・IDS・IPSでは防げないスクリプト攻撃についても,WAFでは防げる。また,フィルタリングのルール設定には,ブラックリストとホワイトリストという2つの方式がある。
・ブラックリストは,通過を禁止する対象をまとめた一覧で,それ以外の通過を許可する方式。
・ホワイトリストは,通過を許可する対象をまとめた一覧で,それ以外の通過を禁止する方式。
ア,ウ,エ WAFは,通信データパターンを対象とするため,不適切。なお,FQDN(Fully Qualified Domain Name,完全修飾ドメイン名)とは,ドメイン名(例 www.kantei.go.jp)のこと。
イ ○ WAFにおけるブラックリストの説明。
問30/ア
ポートスキャンを行うためのツールをポートスキャナという。ポートスキャンとは,不正アクセスを行う前に,接続先のポート番号に抜け穴がないかを調べる行為。身近な例では,泥棒が侵入する前に,無施錠の住居を探す行為と似ている。サイバー攻撃の手法としてポートスキャンを行うだけでなく,システム管理者が自衛のために,自分のネットワークの脆弱性を調べる目的でも行う。
問31/イ
ア 電子署名には,電磁的記録以外でコンピュータ処理の対象とならないものは含まれない
イ ○
ウ 認証業務は,政府が運営する認証局に限られない。
エ 共通鍵暗号方式よりも,公開鍵暗号方式のほうが用いられている。
(AP 27春 問80 と類似問題)
問32/ウ
民法526条に「契約は承諾の通知を発した時に成立する」と規定されている。これは事業者からの承諾の通知が消費者に到達した時点で成立するということ。よって正解はウ。
問33/エ
ア 特許法で保護される
イ 頒布(広く行きわたらせる)されたものは秘密とみなすことができないので,不正競争防止法の保護対象にはならない。
ウ 秘密として管理していないものは,不正競争防止法の保護対象にはならない。
エ ○
問34/ア
著作権の保護の対象となる著作物とは,思想または感情を創作的に表現したものである。プログラムの場合の保護の対象はプログラムの表現(ソースコード)であり,アイデア・アルゴリズム・プロトコルなどは保護の対象ではない。
問35/エ
労働基準法第32条に,使用者は労働者に対して1日につき8時間を超える労働や,1週間につき40時間を超える労働をさせてはならないと定められている。しかし, 労働基準法第36条に基づく労使協定(36協定:さぶろくきょうてい)を締結すれば時間外や休日の労働させることができる。もしこの労使協定を締結せずに法定労働時間外の労働をさせた場合は、労働基準法違反となる。
問36/ア
ア ○特権IDの管理簿から使用者を,利用ログから不正使用を発見することができる。
イ 通常操作では行わない特権IDでのみ可能となる操作を防止できる。
ウ 特権IDの使用者を特定することができる。
エ 権限外の操作を防止できる。
(AP H25春 問60と類似問題)
問37/エ
ア テスト計画は開発及びテストの責任者に承認されていること。
イ テストはテスト用の環境で実施されていること。
ウ 開発者が中心となって行われていること。
エ ○
(AP H24春 問58と類似問題)
問38/ウ
監査人が被監査人と意見交換をする目的は,システム監査人が監査報告書に記載する指摘事項及び改善勧告に関して,事実誤認がないことを確認するためである。
問39/ウ
監査報告書で報告すべき指摘事項は,改善が必要な事項である。
ア 正しい管理方法である。
イ 正しい管理方法である。
ウ ○障害の影響度合いによって異なる連絡・報告ルートを定める必要がある。
エ 正しい管理方法である。
問40/イ
ア 運用者が確認すべき事項である。
イ ○
ウ 開発者が確認すべき事項である。
エ 開発者が確認すべき事項である。
(FE H27春 問55と類似問題)
問41/ウ
ア 外部委託契約(UC Underpinning Contract)の説明である。
イ サービス品質保証(SLA Service Level Agreement)の説明である。
ウ 〇運用レベル合意書(OLA Operational Level Agreement)の説明である。
エ サービスカタログ(Service Catalog)の説明である。
問42/イ
ア サービスレベル管理プロセスの目的である。
イ 〇問題管理プロセスの目的である。
ウ 継続性およびサービスの可用性管理プロセスの目的である。
エ 変更管理プロセスの目的である。
問43/ウ
各作業の最早結合点時刻を求めることで,プロジェクトの最短所要日数を計算することができる。
作業Aの所要日数は30日なので,作業B,作業C,作業Dを開始する結合点での最早結合点時刻は30日である。
作業Bの所要日数は5日なので,作業Eを開始する結合点での最早結合点時刻は35日である。
作業Fを開始するには作業Cと作業Bの完了を待たねばならない。
作業Cの所要日数は30日なので作業C完了は60日,作業B完了は35日なので,作業Fを開始する結合点での最早結合点時刻は60日である。
作業Gを開始するには作業Dと作業Cの完了を待たねばならない。
作業Cの所要日数は30日なので作業C完了は60日,作業D完了は50日なので,作業Gを開始する結合点での最早結合点時刻は60日である。
作業Hを開始するには作業Eと作業Fと作業Gの完了を待たねばならない。
作業Eの所要日数は40日なので作業E完了は35+40=75日
作業Fの所要日数は25日なので作業F完了は60+25=85日
作業Gの所要日数は30日なので作業G完了は60+30=90日
よって,作業Hを開始する結合点での最早結合点時刻は90日である。
作業Hの所要日数は30日なので作業H完了は90+30=120日となる。
問44/イ
ア ウォームスタンバイの説明である。
イ 〇ホットスタンバイの説明である。
ウ 多重化システムの説明である。
エ コールドスタンバイの説明である。
問45/ウ
ア データウェアハウスとは,時系列に蓄積された大量の業務データ,またはその管理システムのことである。
イ データディクショナリとは,データベースに保存するデータの属性について管理しているものである。
ウ ○データマイニングとは,大量のデータに隠れている規則性・因果関係を見つけ出す(mine:採掘する)技術である。
エ メタデータとは,データそのものではなくデータに関する事柄を記したデータのことである。
(FE H20秋 問37と類似問題)
問46/ア
ア 〇
イ Webサーバに接続できない状態なので,HTTPレスポンスはない。
ウ ステータスコード408"Request Timeout"の説明である。
エ ステータスコード401"Unauthorized"の説明である。
問47/エ
経営戦略はすべての戦略の中で最上位に位置し情報戦略はその下位に位置づけられる。
経営計画は経営戦略を基に作成されるものであり,情報戦略は経営計画と整合性を取る必要がある。
(FE H24春 問62と同じ問題)
問48/ア
業務プロセスを抜本的に再設計することを,BPR(Business Process Reengineering)と言う。
BPRを行う際には,組織,業務フロー,規定など根本的に見直し,将来的に必要となる機能や組織として目指すべき形を検討する必要がある。
ア ○
イ ビジネスモデルの将来像も重視して再設計を行う
ウ 非定型業務も対象とすべきである。
エ 抜本的に再設計するには,現行の組織,業務手続に基づくのではなく,将来的に必要となる最上位の機能と業務モデルを再設計すべきである。
(FE H27秋 問62と同じ問題)
問49/イ
システムの要件には,実装すべき機能に関する機能要件とシステムの性能,信頼性,拡張性など関する非機能要件がある。
ア 機能要件である。
イ ○非機能要件である。
ウ 機能要件である。
エ 機能要件である。
(AP H26秋 問64と類似問題)
問50 /ウ
 BCP(Business continuity planning 事業継続計画)とは,企業が災害などの緊急事態が発生した場合に,損害を最小限にとどめるとともに,事業の継続あるいは早期復旧を可能とするために,事前に取り決めておく行動計画のことである。
ア 企業の社会的責任(CSR:corporate social responsibility)の説明である。
イ ナレッジマネジメントの説明である。
ウ ○
エ リスクマネジメントの説明である。
(AP H21春 問75と同じ問題)