令和6年度(2024年)春期
令和6年度 情報セキュリティマネジメント
皆さまからのご意見を参考に,この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらお問い合わせフォームまでお寄せください。
なお、令和5年度 情報セキュリティマネジメント 解答速報については、公開されている一部の問題の解答となりますので、予めご承知おきください。
- 問1
- 解答 イ
-
リスクマネジメントは「リスク特定→リスク分析→リスク評価→リスク対応」の順番に行われる。
このうち,「リスク特定→リスク分析→リスク評価」までをリスクアセスメントという。
- 問2
- 解答 エ
- "社外秘情報とは知らなかった"という言い訳をさせないための対策として,資料に「社外秘」というラベルを貼る方法がある。
- 問3
- 解答 エ
-
ビヘイビア法(Behavior method)とは,振る舞い検知法とも呼ばれ,検査対象のプログラムを隔離した環境で実行して,その振る舞いを観察することでウイルスを検出する。
ア 「コンペア法」とは,感染前のファイルと感染後のファイルを比較し,ファイルに変更が加わったかどうかを調べてウイルスを検出する方法
イ 「チェックサム法」とは ファイルのチェックサムと照合して,ウイルスを検出する方法
ウ 「パターンマッチング法」とは,ファイル内容やファイルサイズを比較するのではなく,既知ウイルスのシグネチャコードと比較してウイルスを検出する方法
エ 〇 「ビヘイビア法」は検査対象のプログラムを実行する必要がある
- 問4
- 解答 ウ
-
サイバーキルチェーンは情報システムへの攻撃段階を,偵察,攻撃,目的の実行などの,複数のフェーズに分けてモデル化したもの。
ア 「委託先の情報セキュリティリスクが委託元にも影響するという考え方を基にしたリスク分析のこと」はサプライチェーンリスク分析の説明
イ 「攻撃者がクライアントとサーバとの間の通信を中継し,あたかもクライアントとサーバが直接通信しているかのように装うことによって情報を盗聴するサイバー攻撃手法のこと」は中間者攻撃の説明
ウ 〇 「攻撃者の視点から,攻撃の手口を偵察から目的の実行までの段階に分けたもの」はサイバーキルチェーンの説明
エ 「取引データを複数の取引ごとにまとめ,それらを時系列につなげたチェーンに保存することによって取引データの改ざんを検知可能にしたもの」はブロックチェーンの説明
- 問5
- 解答 イ
-
リスクベース認証とは,通常とは異なる環境から認証要求があった場合に,追加で認証を行うこと。
ア 「機器の画面に表示された点を正しい順序に一筆書きでなぞった場合,認証が成功し,機器のロックが解除される。」は振動を用いた安全なPIN入力システムの説明
イ 〇 「通常とは異なる IP アドレス,Web ブラウザなどから認証要求があった場合に,追加の認証を行う。」はリスクベース認証の説明
ウ 「認証局が,Web サイトへのサーバ証明書発行において,サーバ証明書に記載される組織のドメイン利用権,法的及び物理的実在性を確認する。」は証明書の発行手続きに関する記述
エ 「ゆがんだ文字を含む画像を表示し,その文字が正しく入力された場合に認証が成功する。」はCAPTHAの説明
- 問6
- 解答 ウ
- サーバ証明書とは,Webサーバのなりすましを防ぐために,認証局(CA)が発行するディジタル証明書。サーバ証明書内の認証局の公開鍵により,Webサーバが正規のものかを検証できる。
- 問7
- 解答 ウ
-
ア 社団や個人であっても,個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当するので,「企業が・・・に限られる。」という記述は誤りである。
イ 秘密にしていなくても個人情報に該当するので誤りである。
ウ ○
エ 国籍とは無関係に個人情報に該当するので誤りである。
- 問8
- 解答 ウ
-
内部統制とは,企業が財務会計でミスや不正を行わないように,組織内部のルールや仕事のやり方を整備・実施・証明すること。例えば,担当者任せ・部署任せだと,不正行為が発生しやすくなるため,相互にチェックするルールを整備する。
ア 「経営目的を達成するための経営方針及び経営戦略」は統制環境に該当する
イ 「個人情報保護に関する脅威と脆弱性の分析」はリスクの評価と対応に該当する
ウ 〇 「受注から出荷に至る業務プロセスに組み込まれた処理結果の検証」は統制活動に該当する
エ 「定期的に計画して実施する内部業務監査」はモニタリングに該当する
- 問9
- 解答 エ
-
可用性を向上させるには稼働率を向上させる。稼働率は次の式で求められる
MTBF÷(MTBF+MTTR))
※MTBF(平均故障間隔)・・・動いている時間の平均
※MTTR(平均修復時間)・・・停止している時間の平均
ア MTBFとMTTRをともに2倍にしても稼働率は変わらない
イ MTTRを2倍にすると分母が大きくなるため稼働率は低下する
ウ 〇 MTBFを2倍にし,MTTRを半分にすると分子が大きくなるため稼働率は向上する
エ MTBFを半分にしてMTTRを2倍にすると分母が分母が大きくなるため稼働率は低下する
- 問10
- 解答 エ
-
社内ネットワークからインターネットへのアクセスを中継し,コンテンツをキャッシュすることでアクセスを高速にする仕組みをもつものはプロキシサーバ。
ア DMZ(DeMilitarized Zone):ネットワーク間に設置される隔離されたネットワーク領域
イ IPマスカレード:ローカルアドレスとグローバルアドレスを透過的に相互変換する仕組み
ウ ファイアウォール:外部から内部ネットワークへの侵入をフィルタリングにより防御する仕組み
エ 〇
- 問11
- 解答 ア
-
ア 〇「各業務部門が連携して,RPAの対象業務に対して業務プロセス全体の可視化と業務プロセスの見直しを行った上で,RPAの導入を行う。」は全社的な推進体制でRPAを導入するための留意点となる
イ 業務フローが固定的で画面の変更が少ない業務の方がRPAに向いている
ウ 全社的な推進体制でRPAを導入する場合には,情報システム部門や他部門との連携をとるべき
エ 例外処理が多い業務や条件が複雑な業務よりも,ルール化された処理や繰返し処理が多い業務の方がRPAに向いている。
- 問12
- 解答 ア
-
ア 〇「原因と結果の関連を魚の骨のような形態に整理して体系的にまとめ,結果に対してどのような原因が関連しているかを明確にする。」は特性要因図の説明
イ 「時系列的に発生するデータのばらつきを折れ線グラフで表し,管理限界線を利用して客観的に管理する。」は管理図の説明
ウ 「収集したデータを幾つかの区間に分類し,各区間に属するデータの個数を棒グラフとして描き,品質のばらつきを捉える。」はヒストグラムの説明
エ 「データを幾つかの項目に分類し,出現頻度の大きさの順に棒グラフとして並べ,累積和を折れ線グラフで描き,問題点を絞り込む。」パレート図の説明
- 問13
- 解答 ア
-
社外からXサービスの利用するための設定と利用者認証の強化に関する問題。
社外からもXサービスを利用できるようにするためには現在有効となっている「機能1 指定した IP アドレスからアクセスした場合だけ,ログインできるよう制限する。」設定を無効にする
利用者認証を強化するためには現在無効になっている「機能4 ワンタイムパスワードによって認証する」を有効にする
「機能5 ログイン画面にCAPTHAを表示し,解答させる」はロボットを使った認証対策としては有効だが,利用者認証の強化にはつながらない。
- 問14
- 解答 エ
-
データベースのバックアップに関する問題。
データベースの論理破損かつ,バックアップテープの物理的破損がおきても復旧できる施策を選択する。
ア 「DBMS を IaaS 上に構築したサーバで稼働させ,データベースも IaaS 上に格納する。」IaaS上においてもデータベースは論理破損する可能性がある。またバックアップテープの物理的破損に対応していない
イ 「データベースのレプリケーションを行って,データベースのコピーを確保する。」バックアップテープの物理的破損に対応していない
ウ 「データベースを格納しているディスクを RAID5 構成にする。」バックアップテープの物理的破損に対応していない
エ 〇「テープメディアに加え,NAS にもバックアップを 1 週間分保存する。」バックアップテープの物理的破損がおきてもNASにバックアップがあるため復旧できる
オ 「毎日 1 回システムを停止させ,フルバックアップを取得する。」バックアップテープの物理的破損に対応していない
- 問15
- 解答 イ
-
偽警告画面(サポート詐欺)に関する問題。
インターネット閲覧中に突然表示される偽の警告メッセージで,ユーザーの不安を煽って個人情報や金銭をだまし取る詐欺の手口。
偽の警告画面の指示にしたがってツールのインストールをしてはいけない。またそこに表示されている電話番号やチャットを行わないこと。
よって全従業員に周知すべきことは
イ 「警告画面に表示された指示には従わずに,直ちに Web ブラウザを終了すること及びその具体的方法」が正解
