平成28年度(2016年)秋期
平成28年度 秋期 情報セキュリティマネジメント[午前]
皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらお問い合わせフォームまでお寄せください。
- 問1
- 解答 エ
-
PINとは,暗証番号のことで,多要素認証における認証方法の1つとして利用される。ICカード利用時に,利用者がPINを入力することで,正規の利用者であることを認証する。
ア PINは,暗証番号であるため,全利用者で共通にしてはいけない
イ まず紛失したICカードの失効処理を行うべき。新たなICカードを発行している間に,攻撃者により悪用される可能性があるため
ウ PINは,暗証番号であるため,攻撃者により推測される可能性がある番号にしてはいけない
エ ○ 配送の途中で,万一,ICカードの紛失・盗難が発生しても,PINを別経路で利用者に知らせるようにしておけば,攻撃者による悪用を防げる
(FE26春 問38と同じ問題)
- 問2
- 解答 イ
-
リスク対応とは,リスクアセスメントで,リスク分析した結果をリスク評価した上で,対策を打つ段階。4種のリスク対応(リスク回避・リスク低減・リスク共有・リスク保有)から,予算や優先順位などを踏まえて最適な対策を打つ。
ア,エ リスク対応のうちの分類でなく,リスク対応そのものの説明
イ ○ リスク共有(リスクを他者と分割する方法)の説明
ウ リスク回避(リスクを生じさせる原因をなくしたり,別の方法に置き換えたりして,リスクそのものを取り去る方法)の説明
- 問3
- 解答 ウ
-
JPCERT/CCとは,日本を代表するCSIRT。CSIRTとは,情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を,技術面から行う
ア JISC(日本工業標準調査会)の説明
ウ ○ JPCERT/CCの説明
エ 内閣サイバーセキュリティセンター(NISC)の説明。内閣サイバーセキュリティセンターとは,サイバーセキュリティ基本法に基づき設置された機関。サイバーセキュリティ戦略本部の事務処理を担う
(AP27春 問40と同じ問題)
- 問4
- 解答 ウ
-
JVNとは,日本で使用されているソフトウェアの脆弱性情報(セキュリティホール)と,その対策情報を提供するポータルサイト。
ア CVSSの説明。CVSSとは,情報システムの脆弱性に対する公平で汎用的な評価手法。メーカーに依存しない共通の評価方法で,脆弱性の深刻度を同一の基準で定量的に比較できる
イ CVE番号の説明
ウ ○ JVNの説明
エ CSIRTの説明。CSIRTとは,情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を,技術面から行う
- 問5
- 解答 ア
-
可用性とは,必要なときは情報資産にいつでもアクセスでき,アクセス不可能がないこと。管理策とは,情報セキュリティの対策のこと。
ア ○ 可用性を高める。ストレージとは,データを長期間保存するための装置で,ハードディスクやフラッシュメモリなど
イ 真正性(なりすましがなく,確実に本人であることを識別・認証すること)を高める
ウ,エ 機密性(ある情報資産にアクセスする権限をもつ人だけがアクセスでき,それ以外の人には公開されないこと)を高める
- 問6
- 解答 ア
-
ベースラインアプローチとは,ベースライン(自組織の対策基準)を策定し,チェックしていく手法。
ア ○ ベースラインアプローチの特徴
イ 非形式的アプローチの特徴。非形式的アプローチとは,コンサルタントや担当者の経験的な判断によって分析する手法。短期間で実施できますが,コンサルタント・担当者の資質・レベル・判断次第になるおそれがある
ウ 詳細リスク分析の特徴。詳細リスク分析とは,詳細なリスクアセスメントを実施する手法。情報資産に対して,資産価値・脅威・脆弱性・セキュリティ要件を識別し,リスク分析する。厳密なリスク分析ができる一方で,時間・労力・専門知識が必要
エ 組合せアプローチの特徴。組合せアプローチとは,複数のアプローチを併用する手法。例えば,重要な資産には,詳細リスク分析を使い,それ以外の資産には,ベースラインアプローチを使う。これにより,詳細リスク分析の欠点(時間・労力・専門知識が必要)を補いつつ,利点(厳密なリスク分析ができる)を得られる
- 問7
- 解答 ウ
- 所属者の名簿だけでは,それと結びつく利用者IDは分からない。そのため,「所属者の名簿 ←→ 利用者IDが発行されている者の一覧 ←→ 利用者ID」の関係で結びつける必要がある。また,エの退職に伴う利用者IDでは,利用者IDが発行されている者と結びつけられない。利用者IDが発行されている者は,退職していない,現職の所属者であるため。
- 問8
- 解答 イ
-
リスク評価とは,リスクが許容範囲内かどうかを決めるために,リスク分析の結果をリスク基準と照らし合わせる段階。
ア リスク対応の説明。リスク対応とは,リスクに対し,対策を打つ段階
イ ○ リスク評価の説明
ウ リスク分析の説明。リスク分析とは,リスクを特定し,リスクの大きさを決める段階
エ リスク特定の説明。リスク特定とは,リスクを発見する段階
- 問9
- 解答 エ
-
残留リスクとは,リスク対応のあとで,リスク保有などによって残ったリスク。
ア 統制リスクの定義
イ 固有リスクの定義
ウ 投機的リスクの定義
エ ○ 残留リスクの定義
(AP27春 問41と同じ問題)
- 問10
- 解答 エ
-
情報セキュリティ教育とは,情報セキュリティのルールや手順を,組織の全従業者に周知徹底するために行う教育。受講の対象者は全従業者。派遣社員・アルバイトも対象。
ア,イ,ウ 適切な状況
エ 教育の対象者は全従業者であり,派遣従業員も対象者であるため,対象から除いてはいけない
- 問11
- 解答 エ
-
ガイドラインの「(6)システム管理者の権限管理」に記載がある。システム管理者が内部不正を犯さないための対策を選ぶ。例えば,システム管理者IDごとに権限範囲を割り当て,相互に監視するようにする。
ア 相互に監視するために,会話・情報交換を制限する必要はない
イ 相互に監視するために,操作履歴を本人以外が閲覧することを制限してはいけない
ウ 内部不正防止とは,無関係
エ ○ 相互に監視するために,単独作業を制限することは,適切
- 問12
- 解答 エ
-
ボットとは,感染したコンピュータを,インターネット経由で外部から操ることを目的とした不正プログラム。ボットに感染すると,指令者であるボットハーダーが遠隔操作し,様々な攻撃を行う。ボットネットとは,ボットに感染した,複数のコンピュータで構成されたネットワーク。C&Cサーバとは,ボットハーダーが,ボットに命令を送り,遠隔操作するためのサーバ。
ア プロキシサーバの説明。プロキシサーバとは,社内ネットワークとインターネットの境界に配置し,インターネットからの接続を代理する機器
イ,ウ RAS(Remote Access Service)サーバの説明
エ ○ C&Cサーバの説明
- 問13
- 解答 エ
-
ア BYODとは,個人所有(私物)の情報機器を業務で利用すること
イ ECMとは,企業にある,文書などのコンテンツを1つのパッケージに取り込み,一元的に蓄積・管理するための仕組み
ウ LTEとは,携帯電話の高速通信規格
エ ○ MDMとは,企業が自社の従業員に貸し出すスマートフォンの利用状況を遠隔地から一元管理する仕組み
(FE26春 問40と同じ問題)
- 問14
- 解答 イ
-
ルートキット(rootkit)とは,システムに不正に侵入したあとで,管理者権限(root)を奪ったり,抜け道を仕掛けたり,侵入痕跡を削除したりするためのプログラム集(kit)。
ア RFIDとは,電波を使って,RFタグの情報を読み書きするシステム。バーコードでは,1つずつ読み取らなければならないのに対し,RFIDでは,複数のRFタグを一気に読み取りできる
イ ○ rootkitの説明
ウ TKIPとは,無線LANの暗号技術であるWPAで採用された暗号アルゴリズム
エ Webビーコン(web beacon)とは,Webサイトに埋め込んだ小さな画像を使って,Web閲覧者の情報を収集する仕組み
(AP27春 問43と同じ問題)
- 問15
- 解答 イ
-
SIEMとは,サーバ・ネットワーク機器・セキュリティ関連機器・アプリケーションから集めたログを分析し,異常を発見した場合,管理者に通知して対策する仕組み。巧妙化するサイバー攻撃に対抗するため,事前の予兆から異常を発見する機能や,リスクが顕在化したあとで原因を追跡するための機能が備わっている。
ア DLPの機能。DLPとは,組織内のデータが外部に情報漏えいすることを防ぐための製品
イ ○ SIEMの機能
ウ 運用支援ツールの機能
エ IDSの機能。IDSとは,ネットワークやホストをリアルタイムで監視し,不正アクセスなどの異常を発見し,管理者に通報する製品
- 問16
- 解答 エ
-
SPFとは,メールを受信する前に,受信側のメールサーバが送信側のサーバに対し,送信元メールアドレスが実在するかを問い合わせて,信頼できるかどうかを確認するための仕組み。
(AP27春 問44と同じ問題)
- 問17
- 解答 イ
- 「Webブラウザ → Webメールのサーバ → 宛先ドメインのメールサーバ」の通信のうち,「Webブラウザ → Webメールのサーバ」の通信は,HTTPSで暗号化されている。一方で,「Webメールのサーバ → 宛先ドメインのメールサーバ」の通信は,SMTPとPOP3プロトコルのため,暗号化されていない。なお,Base64とは,データを電子メールでやり取りするために,データを半角文字に変換するための方式。暗号技術ではないため,盗聴できる。
- 問18
- 解答 エ
-
ビヘイビア法では,ファイルが行う危険な行動(振る舞い)を検出した時点で,ウイルス対策ソフトは,ウイルスに感染したと判断する。
ア コンペア法の説明
イ チェックサム法,または,インテグリティチェック法の説明
ウ ヒューリスティック法の説明
エ ビヘイビア法の説明
(AP25秋 問41と同じ問題)
- 問19
- 解答 イ
-
ア FTPとは,ファイルを転送するためのプロトコル
イ ○ NTPとは,正確な現在時刻を取得するためのプロトコル
ウ SMTPとは,メール送信用のプロトコル
エ SNMPとは,ネットワーク機器を遠隔から監視・制御するためのプロトコル
- 問20
- 解答 ア
-
CAPTCHAとは,プログラムは読み取れないが,人間なら読み取れる形状の文字のこと。例えば,Webサイトの利用者登録ページで,人間でなくプログラムが自動で文字を入力し,勝手に登録する手口がある。その対策として,Webサイト上でCAPTCHAを表示し,それを読み取った文字を利用者に入力させる形式にする。
プログラムはCAPTCHAの文字を読み取れないので,入力された文字が正しければ,確実に人間が操作したものだと判別でき,プログラムによる自動登録の手口を防げる。プログラムは,ゆがんでいたり,多くの色が組み合わさったりした文字の解析が苦手である特性を活用している。
(AP26春 問36と同じ問題)
- 問21
- 解答 ア
-
情報セキュリティの3大要素 CIA※ のうち,完全性を脅かす攻撃はどれかを答える。
※機密性(Confidentiality),完全性(Integrity),可用性(Availavility)
ア ○ 情報が正確かつ完全な状態でなくなるので,完全性が脅かされる
イ アクセス許可を与えた者以外が情報を利用してしまうので,機密性が脅かされる
ウ 利用したいときに情報を利用できなくなるので,可用性が脅かされる
エ アクセス許可を与えた者以外が情報を利用してしまうので,機密性が脅かされる
(FE26春 問39と同じ問題)
- 問22
- 解答 ア
-
ア ○ クロスサイトスクリプティング(XSS)の説明文
イ クラッキング(cracking)の説明文
ウ DoS攻撃(サービス妨害:Denial of Service)の説明文
エ ディレクトリトラバーサルの説明文(横断する:traverse)
(AP25秋 問42と同じ問題)
- 問23
- 解答 ア
-
サイバーセキュリティ基本法 第12条 第1項の規定に基づいて日本政府が定めたサイバーセキュリティ戦略の5つの基本原則は次のとおり。
(1)情報の自由な流通の確保:サイバー空間発展の基盤として情報の自由な流通が保証された空間を維持
(2)法の支配:実空間と同様にサイバー空間に対しても「ルールや規範」の適用を徹底
(3)開放性:常に参加を求める者に開かれ新たな価値を生み出す空間として保持
(4)自律性:各者の主体的な行動により悪意ある行動を抑止する自律的メカニズムを推進
(5)多様な主体の連携:様々な主体の適切な連携関係構築とダイナミックな対処策実現
ア ○
イ 各者の主体的な行動による自律性,多様な主体の連携を尊重する
ウ 発信された情報を全て検閲することなど決しておこなわない
エ サイバー空間においても法令を含むルールや規範を適用する
- 問24
- 解答 イ
-
ア ショルダーハック(肩越しの盗み見)の説明文
イ ○ スクリプトキディ(幼稚なスクリプト小僧)の説明文
ウ ソーシャルエンジニアリング攻撃(人間の社会的行動学)の説明文
エ SPAMメールの説明文
- 問25
- 解答 ア
-
ソーシャルエンジニアリング攻撃(人間の社会的行動学)の説明文。
(FE26春 問41と同じ問題)
- 問26
- 解答 ウ
-
ア 辞書攻撃の説明文
イ レインボーテーブルの説明文
ウ ○ パスワードリスト攻撃の説明文
エ ピクチャパスワードとは,タッチパネルの普及によって登場した新しいパスワードのこと。表示された画像に対して,利用者がタッチパネルに指で触れておこなったジェスチャの軌跡がパスワードとなる
(AP27春 問39と同じ問題)
- 問27
- 解答 エ
- ランサムウェアとは,引換えとして身代金(ransom)を要求するマルウェアのこと。
- 問28
- 解答 ウ
- 電子メール本文にテキスト形式で書かれた連絡先や,送信元メールアドレスは,偽装が可能である。それに対し,PKI(公開鍵基盤:Public Key Infrastructure)およびディジタル証明書の発行元が正しく運用されている限り,ディジタル署名の偽装はきわめて不可能である。
- 問29
- 解答 ウ
-
ア 共通鍵を生成するのは,利用者自身である
イ 公開鍵を利用してデータを暗号化するのは,利用者自身である
ウ ○ CRL(証明書失効リスト:Certificate Revocation List)を発行するのは,認証局である
エ データが改ざんされていないことを検証するのは,利用者自身である
(FE26春 問37と同じ問題)
- 問30
- 解答 ウ
- 広く情報セキュティ全般ではなく,情報技術セキュリティ(コンピュータセキュリティ)に関する国際評価基準が ISO/IEC 15408 であり,その正式名称から コモンクライテリア(一般基準:Common Criteria)と呼ばれる。日本工業規格では JIS X 5070 となる。
- 問31
- 解答 エ
- プロバイダ責任制限法(※)第3条では,(a)権利を侵害した者に対する送信防止措置が技術的に可能であり,(b)他人の権利が侵害されていることをプロバイダが知っていたときは賠償責任が生じるが,これに該当しなければ賠償の責めに任じない,と定められている。(※正式名称は,特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律)
- 問32
- 解答 ウ
-
ア 無限連鎖講の防止に関する法律(ねずみ講防止法)違反に該当する
イ 不当景品類及び不当表示防止法(景品表示法)違反に該当する
ウ ○ 電子計算機使用詐欺罪に該当する
エ 電子計算機損壊等業務妨害罪に該当する
- 問33
- 解答 ウ
-
特定個人情報とは「個人番号(マイナンバー)を内容に含む個人情報」のこと。
個人情報保護委員会は,内閣総理大臣の所轄に属する行政委員会であり,「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」と「同ガイドライン(行政機関等・地方公共団体等編)」を公開している。
ア 個人番号関係事務を行う必要がなくなり,かつ,法令による保存期間を経過した場合は,個人番号(マイナンバー)をできるだけ速やかに廃棄または削除しなければならない
イ 特定個人情報は,誰でも容易に参照できるよう「提供」してはならない
ウ ○ 業務委託先の税理士は「個人番号関係事務実施者」に該当するので,必要な範囲で特定個人情報ファイルを作成できる
エ 従業員の個人番号(マイナンバー)を利用して営業成績を管理してはならない
- 問34
- 解答 ウ
-
特定電子メールとは「営利を目的とする団体及び営業を営む場合における個人が,自己又は他人の営業につき広告又は宣伝を行うための手段として送信をする電子メール」のこと。
ア 2008年の特定電子メール法の改正により,特定電子メールの送信はオプトイン方式のみ許可されることになった
イ 2008年の特定電子メール法の改正により,メールの表題に「未承諾広告※」と表示したオプトアウト方式の特定電子メールは禁止となった
ウ ○ 取引関係にあるなどの一定の場合を除き,あらかじめ送信に同意した者だけに対して送信するオプトイン方式をとる
エ 架空電子メールアドレス(メールアドレスを自動的に生成するプログラムを用いて作成された多数のメールアドレス)を宛先とするメール送信は禁止されている
- 問35
- 解答 エ
-
不正アクセス禁止法では,(1)電気通信回線を通じたアクセス,(2)他人の識別符号あるいは識別符号以外の情報や指令の入力,(3)アクセス制御により本来制限されている機能の利用,という条件を満たす行為を不正アクセスと定義している。
ア 推測が容易なパスワードの実例を公開する行為は不正アクセスには該当しない。これが「具体的なあるサーバにログイン可能な他人の利用者IDとパスワード」を公開したのであれば,不正アクセス禁止法 第5条「不正アクセス行為を助長する行為の禁止」に該当する
イ 不正アクセスの目的で入手したのではない。選択肢エの解説を参照
ウ 不正アクセス禁止法の適用範囲に該当しない
エ ○ 不正アクセス禁止法 第4条「何人も,不正アクセス行為の用に供する目的で,アクセス制御機能に係る他人の識別符号を取得してはならない」に該当する
- 問36
- 解答 ウ
-
準委任契約は,仕事の完成を契約の目的とする請負契約と異なり,依頼された仕事の実施自体を目的とする契約形態で成果物の完成義務を負わない。
(FE26秋 問80と同じ問題)
- 問37
- 解答 エ
-
JIS Q 27001の内部監査については,以下のような記述がある。
組織は,次に示す事項を行わなければならない。
頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
- 問38
- 解答 ウ
-
インシデントの調査やシステム監査にも利用できる,証拠を収集し保全する技法をディジタルフォレンジックスと呼ぶ
ア コンティンジェンシープランとは大災害がおこった場合でも,事業が継続できるような計画のこと
イ サンプリングとは対象全体の中から何らかの基準や規則に基いて一部を取り出すこと
ウ ○ ディジタルフォレンジックスとは犯罪捜査などで,コンピュータなどの電子機器に残る記録を収集・分析し,その証拠性を明らかにする手段や技術の総称として使われている
エ ベンチマーキングとは他社の優れた事例を参考にすること
- 問39
- 解答 ア
-
ア ○ 大災害がおきた場合に,緊急連絡先リストは情報伝達手段として非常に重要になる
イ 大災害おきた場合に,すぐに書類が参照できるように1か所ではなく複数個所にまとめておくべき
ウ BCPの策定は優先順位をつけて行うべき
エ 平時でもBCPは従業員に公開する必要がある
(AP27春 問60と同じ問題)
- 問40
- 解答 ウ
-
情報セキュリティ監査基準とは,情報セキュリティ監査業務の品質を確保し,有効かつ. 効率的に監査を実施することを目的とした監査人の行為規範である。前文に「情報セキュリティ監査は,本監査基準の姉妹編である情報セキュリティ管理基準を監査上の判断の尺度として用い,監査対象が情報セキュリティ管理基準に準拠しているかどうかという視点で行われることを原則とする。」という記述がある。
ア 情報セキュリティマネジメントシステムの国際規格と同一の内容ではない
イ 他の専門家の支援も受けるべき
ウ ○
エ 監査人には独立性が求められる
- 問41
- 解答 ア
-
移行テストを実施する主要な目的は既存システムから新システムへの切替え手順や切替えに伴う問題点を確認することである。
ア ○ 移行テスト
イ 性能テスト
ウ 結合テスト
エ 機能テスト
- 問42
- 解答 ウ
-
インシデント=トラブルのこと。プログラムの異常終了が今回のトラブル。
ア インシデントの発見
イ インシデントの原因
ウ ○
エ インシデントに対する対応
- 問43
- 解答 ア
-
ア ○ 2週間ごとのフルバックアップに加え,毎日差分バックアップを行うことで,前日の状態までには復旧できる
イ 障害時に消失するメールデータの範囲を分散しただけで,現状のまま,2週間以内の電子メールが回復できない
ウ ミラーリングを構成する2台のハードディスクで同時に障害が起きた場合は,現状のまま,2週間以内の電子メールが回復できない
エ ハードディスク障害が起きたら,元データとバックアップを両方とも失うことになる
(AD20秋 問39と同じ問題)
- 問44
- 解答 イ
-
ステークホルダ(Stakeholder)は企業を取り巻く利害関係者。具体的には顧客,従業員,株主,債権者,仕入先・得意先,地域社会などがあげられる。
ア 組織の外部にもいる
イ ○ プロジェクトの成果が利益になるものと不利益になるものがいる
ウ 間接的に関与する
エ 個人として特定する必要はない
(FE27春 問52と同じ問題)
- 問45
- 解答 ア
-
クライアントPC側にWebブラウザさえあればよく,クライアントソフトのバージョン管理や再インストールはWebサーバからの自動ダウンロードによって手間が軽減できるため。
(AD19秋 問11と同じ問題)
- 問46
- 解答 イ
-
E-R図とは(Entity Relationship Diagram),データを実体(Entity)とその関連(Relatiopnship)でモデル化して図で表したもの。
ア E-R図は主にデータベース設計時に利用されるが,それだけを前提に作成するものではない
イ ○
ウ E-R図は静的な関係を表現したもの。データの生成から消滅といった時系列によるデータの状態の変化を表すものではない
エ リレーションシップは,業務上の手順の表現ではない
- 問47
- 解答 ウ
-
ア DHCPによるIPアドレスの自動設定はIPアドレスだけではなく,サブネットマスク,デフォルトゲートウェイ,DNSサーバーアドレスも自動設定が可能である
イ サーバーなどはIPアドレスを固定し,そのアドレスを自動設定から除外することができる
ウ ○ クライアントマシンは,「DHCP発見パケット」をブロードキャストしてDHCPサーバーを探すため,DHCPサーバーのアドレスをあらかじめ設定する必要はない
エ DHCPによって割り当てられるIPアドレスは毎回ランダムに変わり,前回と同じとは限らない
- 問48
- 解答 イ
-
BPO(Business Process Outsourcing)は,業務プロセスをウトソーシング(外部委託)すること。本来の仕事を効率的に行うこと,業務コストの削減が目的。
ア BCPの説明
イ ○
ウ MRPの説明
エ BSCの説明
(AP24秋 問62と同じ問題)
- 問49
- 解答 ウ
-
共通フレーム2007:共通フレーム98(SLCP-JCF98)の改訂版である。
ア 要件定義プロセスで実施
イ 要件定義プロセスで実施
ウ ○ 企画プロセスで実施
エ 開発プロセスで実施
(FE27春 問66と同じ問題)
- 問50
- 解答 イ
-
ア 事業部制組織の説明
イ ○ マトリックス組織は職能部門と特定の事業を遂行する部門の両方に所属する
ウ 職能別組織の説明
エ プロジェクト組織の説明
(FE28秋 問76と同じ問題)