令和7年度 情報セキュリティマネジメント

令和7年度(2025年)春期
令和7年度 情報セキュリティマネジメント

皆さまからのご意見を参考に，この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらお問い合わせフォームまでお寄せください。

なお、令和7年度 情報セキュリティマネジメント 解答速報については、公開されている一部の問題の解答となりますので、予めご承知おきください。

問1

解答　エ

リスクマネジメントは「リスク特定→リスク分析→リスク評価→リスク対応」の順番に行われる。
リスク特定の意義：組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し，認識し，記述すること（選択肢ウ）
リスク分析の意義：必要に応じてリスクレベルを含め，リスクの性質及び特徴を理解すること（選択肢エ）
リスク評価の意義：プロセスの設計，実施及び結末の質及び効果を保証し，改善すること（選択肢ア）
リスク対策の意義：リスクに対処するための選択肢を選定し，実施すること（選択肢イ）

問2

解答　ア

SIEMとは，サーバ・ネットワーク機器・セキュリティ関連機器・アプリケーションから集めたログを分析し，異常を発見した場合，管理者に通知して対策する仕組み。巧妙化するサイバー攻撃に対抗するため，事前の予兆から異常を発見する機能や，リスクが顕在化したあとで原因を追跡するための機能が備わっている。

問3

解答　イ

ゼロトラストとは，「すべてを信用できない」ものとみなし，検証を進める考え方。
ア　「機器やソフトウェアの脆弱性のうち，開発元から対策法，修正プログラムなどが提供されていない脆弱性が残っている状態のこと」はゼロデイ脆弱性の説明
イ　〇　「内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考えのこと」はゼロトラストの説明
ウ　「秘密情報そのものは明かさずに，自分が秘密情報を知っていることを相手に知らせる方法のこと」はゼロトラストとは関係がない
エ　「マルウェア定義ファイルを用いず，PCの振る舞いからマルウェア感染を検知する方法のこと」は振る舞い検知法の説明

問4

解答　ア

不正のトライアングルとは，「機会」，「動機」，「正当化」という３つの要因のことで，すべてそろった場合に，内部不正は発生するとされている。機会とは不正行為を行える状況，動機とは処遇面の不満・借金による生活苦，正当化とはみずからを納得させる自分勝手な理由付け。
ア　○　「"機会"とは，情報システムなどの技術や物理的な環境，組織のルールなど，内部者による不正行為の実行を可能又は容易にする環境の存在である。」
イ　「"情報と伝達"とは，必要な情報が識別，把握及び処理され，組織内外及び関係者相互に正しく伝えられるようにすることである。」内部統制の要素の１つの説明
ウ　「"正当化"とは，ノルマによるプレッシャなどのことである。」正当化ではなく動機の説明
エ　「"動機"とは，良のかしゃくを乗り越える都合の良い解釈や他への責任転嫁など，内部者が不正為をら納得させるための分勝な理由付けである。」は動機ではなく正当化の説明

問5

解答　イ

DNSとは，ドメイン名からIPアドレスへの名前解決を行うためのサーバ。
DNSキャッシュポイズニング攻撃とは，DNSキャッシュサーバに偽の情報を記憶させ，利用者を別のサイトへ誘導する攻撃のこと。
DNSサーバには，権威DNSサーバとDNSキャッシュサーバがあり，権威DNSサーバはドメイン名とIPアドレスの対応表を「ゾーン」という単位で管理する。一方，DNSキャッシュサーバはゾーンという対応表はもたず，クライアントから問い合わせを他のDNSサーバーに問い合わせ，その結果をキャッシュする。このクライアントからDNSキャッシュサーバへの問い合わせを再帰的問い合わせといい，回答を得るまで他のサーバに問い合わせを続ける。権威DNSサーバへの問い合わせは非再帰的問い合わせといい，ゾーンに登録されている情報を答え，他に問い合わせを行うことはない。よって，DNSキャッシュサーバが誤った情報を記憶しないためには，外部からの再帰問い合わせを受け付けない設定が有効となる。
ア　「DNSサービスの待ち受けポートを53番に固定する。」DNSサービスの待ち受けポートはUDP53番が使われており，このポートを固定しても，誤った情報を記憶する対策にはならない。
イ　〇　「外部のDNSクライアントからの再帰的問い合わせを受け付けない設定にする。」
ウ　「権威DNSサーバへの問い合わせに使用するトランザクションIDを固定する。」トランザクションIDとは，クライアントがDNSサーバーにドメイン名解決を要求する際，その各問い合わせに付与される16ビットのユニークな識別子。固定してしまうと要求した問い合わせの識別ができなくなるため不正解
エ　「権威DNSサーバへの非再帰的問い合わせを行う設定にする。」もともと権威DNSサーバへの問い合わせは非再帰的問い合わせのため不正解

問6

解答　ア

CVSS(Common Vulnerability Scoring System)は，共通脆弱性評価システムのことで基本評価基準，現状評価基準，環境評価基準の３つの基準がある。
(1) 基本評価基準
脆弱性そのものの特性を評価する基準。「機密性」，「完全性」，「可用性」に対する影響を，ネットワークから攻撃可能かどうかといった基準で評価し，CVSS基本値を算出する。この基準による評価結果は固定で，時間の経過や利用環境の異なりによって変化しない。
(2) 現状評価基準
脆弱性の現在の深刻度を評価する基準。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し，CVSS現状値を算出する。この基準による評価結果は，脆弱性への対応状況に応じ，時間が経過すると変化する。
(3) 環境評価基準
製品利用者の利用環境も含め，最終的な脆弱性の深刻度を評価する基準。攻撃を受けた場合の二次的な被害の大きさや，組織での対象製品の使用状況といった基準で評価し， CVSS 環境値を算出する。この基準による評価結果は，脆弱性に対して想定される脅威に応じ，製品利用者毎に変化する。
ア　〇　「攻撃コードの出現の有無，利可能な対策のレベルなどに応じ，評価結果は時間の経過で変化する。」は現状評価基準の特徴
イ　「脆弱性及び想定される脅威に応じ，製品利者ごとに評価結果は異なる。」は環境評価基準の特徴
ウ　「製品利用者が脆弱性への対応を決めるための評価にいる基準であり，評価結果は時間の経過で変化しない。」現状評価基準は時間の経過で変化する
エ　「評価結果は利用環境によらず同じで，かつ，時間の経過でも変化しない。」は基本評価基準の特徴

問7

解答　エ

特定電子メール法は，迷惑メールを防止し，良好なインターネット環境を保つために制定された法律。
ア　「特定電子メール法は，広告のための電子メールの送信を受託した事業者だけを規制している。」広告だけではなく無差別に大量に送られるメールを規制している
イ　「特定電子メール法の規制は，受信者から受信拒否の通知があった場合にだけ広告宣伝メールを禁止するオプトアウト方式を採用している。」特定電子メールは受信者の同意を得てから送信するオプトイン方式を採用している
ウ　「特定電子メール法の目的は，取引の公平の観点から広告宣伝メールを規制すること及び犯罪捜査のための通信傍受である。」犯罪捜査とは関係していない
エ　〇　「特定電子メール法は，規制の対象となる電子メールの送信者及び送信委託者に対する義務を規定している。」

問8

解答　ア

情報セキュリティ管理基準における「情報セキュリティ違反を犯した従業員に対しての懲戒手続」は下記の通り。
１．懲戒手続は，情報セキュリティ違反が生じたことの事前の確認を待って開始する。
２．正式な懲戒手続には，情報セキュリティ違反を犯したという疑いがかけられた従業員に対する正確かつ公平な取扱いを含める。
３．正式な懲戒手続は，違反の内容及び重大さ並びにその業務上の影響，最初の違反か又は繰り返されたものか，違反者は，適切に教育・訓練されていたかどうか，関連する法令，取引契約，その他の必要な要素を考慮した段階別の対応を定める。
４．懲戒手続を，従業員が情報セキュリティ違反（従業員による組織の情報セキュリティのための方針群及び手順への違反並びに他の全ての情報セキュリティ違反）を起こすことを防ぐための抑止力として使う。
よって，選択肢アの「従業員による情報セキュリティ違反の可能性を認識したら，直ちに懲戒手続を開始することを定めていた。」は監査における指摘事項となる。

問9

解答　エ

満足度の平均点は集計結果の表より，満足度（点）×回答数の割合の合計で求めることができる。
回答数の割合はそれぞれの回答数を回答数の合計（500）で割り算する。
５×(50/500)＋４×(250/500)＋３×(150/500)＋２×(50/500)
＝0.5＋2＋0.9＋0.2＝3.6
目標値は4.0点と設定されているため，目標達成率は
3.6÷4.0＝0.9

問10

解答　ア

RASISとは，Reliability（信頼性），Availability（可用性），Serviceability（保守性），Integrity（保全性），Security（安全性）の頭文字をとった言葉。
Ｒ（信頼性）・・・システムが稼働している時間の平均MTBF（平均故障間隔）で表す。
Ａ（可用性）・・・MTBF/(MTBF+MTTR)の稼働率で表す。
Ｓ（保守性）・・・修理のしやすさを表しMTTF（平均故障間隔）で表す。
Ｉ（保全性）・・・データに矛盾がなく，一貫性がある状態の完全性が指標となる。
Ｓ（安全性）・・・機密性が高く，セキュリティが守られていることが指標となる。

問11

解答　イ

企業全体で使用するデータを統合・整理したデータウェアハウスから，特定の分析目的のためのデータを加工して構築したものを「データマート」という。
ア　「データカタログ」は組織内に散在するデータを収集し，一元的に管理するシステム（目録）
イ　〇　「データマート」
ウ　「データリネージ」はデータが作成されてから利用されるまでのデータのライフサイクル全体を可視化する仕組み
エ　「データレイク」は構造化されていないデータも含めて元の形式のまま保存する大規模な保管庫

問12

解答　ウ

DX実現に至る段階を以下のように分けている。
デジタイゼーション　→　アナログ・物理データのデジタルデータ化
デジタライゼーション　→　個別の業務・製造プロセスのデジタル化
デジタルトランスフォーメーション　→　組織横断／全体の業務・製造プロセスのデジタル化，“顧客起点の価値創出”のための事業やビジネスモデルの変革
ア　「3D 画像撮影用の高性能カメラを生産ラインに設置し，カメラの前を通過する製造物のデジタル画像をリアルタイムで記録して，出荷検査の証拠データとする。」はデジタイゼーションの段階
イ　「技術継承のために，生産ラインに設置したカメラと，熟練工の手に装着したウェアラブルセンサーによって，熟練工の所作をデジタルデータとして保存した上で，AI を用いて熟練工の動きをモデル化する。」はデジタライゼーションの段階
ウ　〇　「顧客から販売・在庫情報を，部品メーカーから生産・在庫情報をデジタルデータで逐次入手し，AI を用いて複数の需給調整案を高速でシミュレーションすることによって，サプライチェーン全体を最適化する。」はデジタルトランスフォーメーションの段階
エ　「生産ラインで取得したデジタル画像データから良品，不良品の特徴を AI に学習させた上で，AI で画像解析を行うことによって，自社の出荷時検品作業を効率化する。」はデジタライゼーションの段階

問13

解答　ク

可用性評価に関する問題
「電子メール」はヘルプデスク利用者からの問い合わせの受付，回答に利用していることからサービスが利用できなくなると自社だけではなく，ヘルプデスク利用者すなわち顧客にも影響する。よって「重要度は２」
「人事・労務管理」はマイナンバーを含む人事情報の管理，労務管理に利用しているため，自社にだけ影響する。よって「重要度は１」

問14

解答　ウ

ファイルの受け渡しをメールからＣサービス（クラウドストレージサービス）を使うことにより，情報漏洩のリスクが低減できる。誤ったメールアドレスを指定した場合，メールを使った場合は，ファイルがそのまま送信されるが，Ｃサービスを使った場合は，誤りに気付いた時点でアクセス権の取消しを行うことができる。
また，ファイルがダウンロードされると，ログが記録されるため，ダウンロードされていなければ，情報漏洩はないと判断できる。

問15

解答　キ

個人情報の匿名加工情報に関する問題
匿名情報の作成に係る手法は以下の通り。
（一）項目削除
（二）一般化
（三）トップ（ボトム）コーディング
（四）丸め
今回の分析の対象は年代，性別，年収区分，住んでいる地域区分及び勤務先の業種と体重および歩数の関係なので，
それぞれの項目は以下に該当する
「電子メール」　上記分析とは関係ない。また，個人の特定ができるため（一）項目削除
「勤務先の業種」すでに一般化されており，業種では個人の特定ができないため加工なし
「体重」は（三）トップ（ボトム）コーディング，（四）丸め

一覧へ戻る