令和5年度(2023年)春期
令和5年度 情報セキュリティマネジメント
皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらお問い合わせフォームまでお寄せください。
なお、令和5年度 情報セキュリティマネジメント 解答速報については、公開されている一部の問題の解答となりますので、予めご承知おきください。
- 問1
- 解答 イ
-
情報セキュリティ管理基準は”マネジメント基準”,”管理策基準”から構成されている。
「マネジメント基準」では,情報セキュリティマネジメントの計画,実行,点検,処置に必要な実施事項をJIS Q 27001:2014を基にして策定している。
「管理策基準」は,組織における情報セキュリティマネジメントの確立段階において,リスク対応方針に従って管理策を選択する際の選択肢を与えるものとなる。
ア 「"ガバナンス基準","管理策基準"及び"マネジメント基準"の三つの基準で構成されている。」は誤り。情報セキュリティ管理基準は”マネジメント基準”,”管理策基準”から構成されている
イ 〇 「JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)及びJIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)との整合性をとっている。」は正しい記述
ウ 「情報セキュリティ対策は,"管理策基準"に挙げられた管理策の中から選択することとしている。」は誤り。,必ずしもその中から選択しなければならないわけではない
エ 「トップマネジメントは,"マネジメント基準"に挙げられている事項の中から,自組織に合致する事項を選択して実施することとしている。」は誤り。マネジメント基準は原則としてすべて実施しなければならない
- 問2
- 解答 イ
-
共連れを防ぐための対策。共連れとは,侵入者が,正規の利用者と共に不正に入退室することである。背後に潜み,認証時に一緒に入り込み,2人以上が1回の認証で同時に入退室する。
ア 「TPMOR」とは(Two Person Minimum Occupancy Rule),常に2人以上で在室させる(1人だけにさせない)というルール,さらに,そのようなルールを強制させる仕組み。
イ ○ 「アンチパスバック」とは,共連れなどにより入室(または退室)の記録がない場合,認証を拒否して,退室(または入室)できないようにすることである
ウ 「インターロックゲート」とは,共連れを確実に防ぐために,扉を二重に設置することである。入室者は,1つめ(手前)の扉が開いても2つめ(奥)の扉は閉じているため,両扉の間で立ち止まる。すると,1つめの扉が閉じ,ここで入室者が1人だと確認されて初めて,2つめの扉が開き,入室できる
エ 「パニックオープン」とは,非常事態発生時に,ドアを解錠すること
- 問3
- 解答 エ
-
ディジタルフォレンジックスとは,情報セキュリティの犯罪の証拠となるデータを収集・保全すること。例えば,ログや記憶媒体の消去・改ざんを防止するために,書込み禁止にしたり,コピーしたりして,その後の捜査や訴訟に備える。
ア 「サイバー攻撃に関連する脅威情報を標準化された方法で記述し,その脅威情報をセキュリティ対策機器に提供すること」は脅威インテリジェンスの説明
イ 「受信メールに添付された実行ファイルを動作させたときに,不正な振る舞いがないかどうかをメールボックスへの保存前に確認すること」はメールスキャンの説明
ウ 〇 「情報セキュリティインシデント発生時に,法的な証拠となるデータを収集し,保管し,調査分析すること」はデジタルフォレンジックスの説明
エ 「内部ネットワークにおいて,通信データを盗聴されないように暗号化すること」はネットワーク暗号化の説明
- 問4
- 解答 エ
-
共通鍵暗号方式の特徴は暗号化,復号に同じ鍵を利用するため暗号化アルゴリズムが単純で暗号化,復号の時間が短い。一方,公開鍵暗号方式は暗号化,復号と異なる鍵を利用するあるため暗号化アルゴリズムが複雑で暗号化,復号に時間がかかる。
ア 「公開鍵暗号方式,共通鍵暗号方式ともに,大きな合成数の素因数分解が困難であることが安全性の根拠である。」大きな合成数の素因数分解を使っているのは公開鍵暗号方式のRSA
イ 「公開鍵暗号方式では原則としてセッションごとに異なる鍵を利用するが,共通鍵暗号方式では一度生成した鍵を複数のセッションに繰り返し利用する。」共通鍵をセッションごとに利用する
ウ 「公開鍵暗号方式は仕様が標準化されているが,共通鍵暗号方式はベンダーによる独自の仕様で実装されることが一般的である。」はいずれの暗号方式も仕様が標準化されている
エ 〇 「大量のデータを短い時間で暗号化する場合には,公開鍵暗号方式よりも共通鍵暗号方式が適している。」
- 問5
- 解答 エ
-
ハッシュ関数とは,改ざんなしを確かめるために使う計算方法。特徴は,次のとおり。
・平文を,ハッシュ関数で計算し,ハッシュ値(メッセージダイジェスト・ダイジェスト)を作る。これをハッシュ化という。
・異なる平文から,同一のハッシュ値になることは,計算上ありえない。
・ハッシュ値により,ファイルの内容をすべて見比べなくても,2つのファイルの内容が同一だと確かめられる。
・ハッシュ値は,平文のファイルサイズにかかわらず,一定のサイズになる。
ア 「ファイルAとファイルBの各内容を変更せずに再度ハッシュ値を算出すると,ファイルAとファイルBのハッシュ値が異なる。」は誤り。内容を変更せずに再度ハッシュ化しても,ファイルAとファイルBのハッシュ値は同じ
イ 「ファイルAとファイルBのハッシュ値nのデータ量は64バイトである。」は誤り。設問のSHA-256とは,平文から256ビットのハッシュ値を作るハッシュ関数。8ビット=1バイトであるため,256ビット=32バイト
ウ 「ファイルAとファイルBを連結させたファイルCのハッシュ値の桁数は16進数で示すと128桁である。」は誤り。ハッシュ値は,平文のファイルサイズにかかわらず,一定のサイズになる。平文のファイルサイズが変わっても,SHA-256のハッシュ値は,256ビットのまま。256ビット=2進数256桁(16進数64桁)=32バイトであるため,ファイルCのハッシュ値が「16進数で示すと128桁である」ということはない
エ 〇 「ファイルAの内容とファイルBの内容は同じである。」は正しい。ハッシュ値が同じであれば,2つのファイルの内容が同一だと確かめられる
- 問6
- 解答 ア
-
SPF(Sender Policy Framework)とは,電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する仕組み。
ア 〇 「送信側ドメインの管理者が,正規の送信側メールサーバのIPアドレスをDNSに登録し,受信側メールサーバでそれを参照して,IPアドレスの判定を行う。」はSPFの仕組み
イ 「送信側メールサーバでメッセージにデジタル署名を施し,受信側メールサーバでそのデジタル署名を検証する。」はDKIM(DomainKeys Identified Mail)の仕組み
ウ 「第三者によって提供されている,スパムメールの送信元IPアドレスのデータベースを参照して,スパムメールの判定を行う。」はブラックリストによる判定の仕組み
エ 「ファイアウォールを通過した要求パケットに対する応答パケットかどうかを判断して,動的に迷惑メールの通信を制御する。」はダイナミックパケットフィルタリングの仕組み
- 問7
- 解答 イ
-
・OSコマンドインジェクション:インジェクションとは注入の意味でOSのコマンドを注入し,不正な操作を行う攻撃。ユーザから受け付けた入力値をOSに対する命令文の一部として使用するシステムに対して,OSへの命令文を含む入力値を与えることで不正なOSコマンドを実行させ,ファイルの不正操作,外部プログラムの実行,パスワードの不正取得などを行う。
・SQLインジェクション:SQLとはデータベースを操作する言語でユーザーのWebページのフォームなどにSQLコマンドを注入し,データベースの内容を読み取ったり,データの削除を行う攻撃。
・クロスサイトスクリプティング:Webページに,ユーザの入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込むことでクッキーなどのデータを盗み出す攻撃。
・セッションハイジャック:サーバとクライアント間のセッションに割り込んで,正規のクライアントに成りすますことで,サーバ内のデータを盗み出す攻撃。
・ディレクトリトラバーサル:攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する攻撃。
ア 「OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDに推測困難な乱数を使用する。」はセッションハイジャック対策
イ 〇 「SQLインジェクションを防ぐために,Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。」プレースホルダを使うことでSQLの命令が無効化され不正な実行がおこらない
ウ 「クロスサイトスクリプティングを防ぐために,Webサーバ内のファイルを外部から直接参照できないようにする。」はディレクトリトラバーサル対策
エ 「セッションハイジャックを防ぐために,Webアプリケーションからシェルを起動できないようにする。」はOSコマンドインジェクション対策
- 問8
- 解答 イ
-
電子署名法は2001年4月1日より施行された法律で,正式名称は「電子署名及び認証業務に関する法律」
ア 「電子署名には,電磁的記録ではなく,かつ,コンピュータで処理できないものも含まれる。」は誤り。電子署名は,電磁的記録でなくてはならない
イ 〇 「電子署名には,民事訴訟法における押印と同様の効力が認められる。」は正しい記述
ウ 「電子署名の認証業務を行うことができるのは,政府が運営する認証局に限られる。」は誤り。民間事業者も電子署名の認証業務を行うことができる
エ 「電子署名は共通鍵暗号技術によるものに限られる。」は誤り。電子署名は公開鍵暗号技術によるものに限られる
- 問9
- 解答 ウ
-
監査報告書で報告すべき指摘事項は,改善が必要な事項である。
ア 「インシデント対応手順が作成され,関係者への周知が図られている。」は正しい管理方法である。
イ 「インシデントによってデータベースが被害を受けた場合の影響を最小にするために,規程に従ってデータのバックアップをとっている。」は正しい管理方法である。
ウ ○ 「インシデントの種類や発生箇所,影響度合いに関係なく,連絡・報告ルートが共通になっている。」は指摘事項となる。障害の影響度合いによって異なる連絡・報告ルートを定める必要がある
エ 「全てのインシデントについて,インシデント記録を残し,責任者の承認を得ることが定められている。」は正しい管理方法である
- 問10
- 解答 エ
-
Cookieとは,Webサーバからの情報をユーザーのPCに一時的に保存する仕組み。ユーザーIDなどのユーザーの情報をユーザーのPCに保存し,次回クライアントがWebサーバーに接続したときに,WebブラウザがそのCookieをWebサーバーに送信し前回使用した情報をWebサーバーに送信する。
ア 〇 「cookieに含まれる情報はHTTPヘッダの一部として送信される。」は正しい記述
イ 「cookieに含まれる情報はWebサーバだけに保存される。」は誤り。情報はクライアントPCに保存される
ウ 「cookieに含まれる情報はWebブラウザが全て暗号化して送信する。」は誤り。Webサーバー側で暗号化通信が行われる場合もある
エ 「クライアントがcookieに含まれる情報の有効期限を設定する。」は誤り。有効期限の設定はWebサーバー側で行う
- 問11
- 解答 イ
-
ビジネスプロセス管理(BPM)とは,企業の業務プロセスの継続的な改善活動のこと(Business Process Management)。
ビジネス・プロセス・リエンジニアリング(BPR)という用語が,業務プロセスの再構築をおこなう意味合いを強く持つのに対して,BPMの場合は,PDCAサイクル(Plan-Do-Check-Act)の繰り返しによって改善活動を継続させていく意味合いを持っている。
ア 「企業活動の主となる生産,物流,販売,財務,人事などの業務の情報を一元管理することによって,経営資源の全体最適を実現する。」はERPの説明
イ ○ 「業務プロセスに分析,設計,実行,改善のマネジメントサイクルを取り入れ,業務プロセスの改善見直しや最適なプロセスへの統合を継続的に実施する。」はBPMの説明
ウ 「顧客データベースを基に,商品の販売から保守サービス,問合せやクレームへの対応など顧客に関する業務プロセスを一貫して管理する。」はCRMの説明
エ 「部品の供給から製品の販売までの一連の業務プロセスの情報をリアルタイムで交換することによって,在庫の削減とリードタイムの短縮を実現する。」はSCMの説明
- 問12
- 解答 イ
-
結果と原因との関連の整理で利用される図は「特性(結果)要因(原因)図」。
ア 「管理図」は中央線と上下一対の限界線を引いて,製品などの特性値をプロットし,品質不良や製造工程の異常を検出して不良原因の除去や再発防止に役立てるための図
イ 〇
ウ 「パレート図」は値の大きい順に並べた棒グラフと,累積構成比を表す折れ線グラフを組み合わせた複合グラフ。パレート図はABC分析で利用され,A群・B群・C群の3種類に区分して重点管理すべき項目を見つけるための図
エ 「ヒストグラム」はデータを幾つかの区間に分類し,各区間に属する測定値の度数を棒グラフにしたものでデータの分布・ばらつきを視覚的にとらえるために使用するための図
- 問13
- 解答 エ
-
・情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。
・情報資産ごとに,様々な脅威に対するリスク値を算出し,その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。ここで,情報資産の脅威ごとのリスク値は,次の式によって算出する。
リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値
・情報資産のリスク値のしきい値を 5 とする。
・情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。
・情報資産ごとのリスク値がしきい値を超えた場合は,保有以外のリスク対応を行う。
上記の内容を表1にあてはめ,(一)~(四)のリスク値を求める。
(一)情報資産の重要度 2 × 驚異の評価値 2 × 脆弱性の評価値 2 = 8
(二)情報資産の重要度 2 × 驚異の評価値 1 × 脆弱性の評価値 1 = 2
(三)情報資産の重要度 2 × 驚異の評価値 2 × 脆弱性の評価値 2 = 8
(四)情報資産の重要度 2 × 驚異の評価値 2 × 脆弱性の評価値 1 = 4
しきい値が5を超えているのは(一),(三)
- 問14
- 解答 オ
-
「バックアップ対象とするフォルダの設定ミスによって,データが復旧できなくなる。」このリスクを低減するための対策として効果が期待できるもの
(一)週 1 回バックアップを取得する代わりに,毎日 1 回バックアップを取得して 7 世代分保存する。 → 頻度を多くすることでデータ消失のリスク対策につながるがフォルダの設定ミスを防ぐことにならない
(二)バックアップ後に,磁気テープ中のファイルのリストと,ファイルサーバのバックアップ対象ファイルのリストとを比較し,合致しているかを確認する。 → フォルダの設定ミスを防ぐリスクは低減する
(三)バックアップ対象とするフォルダの設定を,必ず 2 名で行うようにする。 → 2名で行うことによりダブルチェックになりリスクは低減する
(四)バックアップ用の媒体を磁気テープから外付けハードディスクに変更する。 → 媒体を変更してもフォルダの設定ミスは防げない
(五)バックアップを二組み取得し,うち一組みを遠隔地に保管する。 → 大災害への対策になるがフォルダの設定ミスは防げない
よってフォルダの設定ミスのリスクを低減できるのは,(二),(三)となる
- 問15
- 解答 ウ
-
添付ファイルを開いたことによるマルウェア感染に対する再発防止として適切なもの
ア 「PC が起動したらすぐに自動的に VPN 接続するように,PC を構成する。」社外から社内ネットワークへのVPN接続を行うことはマルウェア感染防止にはならない
イ 「これまでメールをやり取りしたことがない差出人からメールを受信した場合は,添付されているファイルを開かず,すぐに削除するよう社内ルールに定める。」今後新規に取引が行われる場合もあるため,すぐに削除することは不適切
ウ 〇 「マルウェア定義ファイルは,10 分ごとに更新されるように,マルウェア対策ソフトの設定を変更する。」今回のマルウェア感染も10分ごとに定義ファイルを更新していれば防げた可能性が高い
エ 「マルウェア定義ファイルは,8 時にも更新されるように,マルウェア対策ソフトの設定を変更する。」今回のマルウェア感染は9時半に届いたメールの添付ファイルを開いたことでおきているため,今回のようなマルウェア感染はこれでは防げない
オ 「メールに添付されたファイルを開く場合は,一旦 PC に保存し,マルウェア対策ソフトでスキャンを実行してから開くよう社内ルールに定める。」定義ファイルが最新でなければ意味がない