平成30年度 秋期 情報セキュリティマネジメント［午前］

平成30年度(2018年)秋期
平成30年度 秋期 情報セキュリティマネジメント［午前］

皆さまからのご意見を参考に，この解説をより良いものにしていきたいと思います。
「私はこう解いた」「こういう説明の方が分かりやすい」など、
具体的なご意見がありましたらお問い合わせフォームまでお寄せください。

問1

解答　ア

JPCERT/CCとは，日本を代表するCSIRT。CSIRTとは，情報セキュリティのインシデント発生時に対応する組織。インシデント報告の受付・対応の支援・手口の分析・再発防止策の検討と助言を，技術面から行う。
ア　〇 CSIRTであるJPCERT/CCが作成したもの。
イ　ISMS（情報セキュリティマネジメントシステム）に関するガイドラインで，日本情報経済社会推進協会（JIPDEC）が作成したもの。
ウ　電磁的証拠の証拠保全の手続きに関するガイドライン。デジタル・フォレンジック研究会（IDF）が作成したもの。
エ　組織内部で起きる不正行為である内部不正の対策に関するガイドライン。情報処理推進機構（IPA）が作成したもの。

問2

解答　エ

トップマネジメントとは，組織に対して経営責任をもつ人々で，社長・取締役・役員など。経営層ともいう。
ア　ISMS（情報セキュリティマネジメントシステム）の適用範囲である組織（企業・役所・法人・団体など）と，トップマネジメントとは，独立してはいけない。
イ　代表取締役以外に，取締役・役員などもトップマネジメントに含む。
ウ　情報システム部門の長以外に，組織に対して経営責任をもつ人々も含む。
エ　〇 複数名で構成されていてもよい。

問3

解答　イ

JIS Q 27017:2016は，クラウドサービス利用者とクラウドサービス提供者の両者のための，情報セキュリティ管理策の実践を支援する指針。

問4

解答　エ

SECURITY ACTIONとは，中小企業がみずから情報セキュリティ対策に取り組むことを自己宣言する制度。IPAと中小企業関係団体が，"自発的な情報セキュリティ対策を促す"ための核となる取組みと位置付けている。
ア　ISMS適合性評価制度とは，ISMSを適切に導入している組織を，第三者が認定する，ISMS認証を与えるための制度。
イ　ITセキュリティ評価及び認証制度とは，政府が，電子政府で利用するIT関連製品のセキュリティ機能・品質をチェックする制度。
ウ　MyJVNとは，JVNで提供しているバージョンチェッカの説明。JVNとは，日本で使用されているソフトウェアの脆弱性情報（セキュリティホール）と，その対策情報を提供するポータルサイト。
エ　〇

問5

解答　ウ

SaaS（Software as a Service）とは，アプリケーション（ソフトウェア）をサービスとして提供する方式。利用者は，インフラ・プラットフォームに加え，アプリケーションを導入・設置することなく，アプリケーションを利用できる。アプリケーションの例は，Webブラウザ上で閲覧できるメールソフト・スケジュール管理ソフト。
ア　SaaSを利用しても，障害時の業務手順は，SaaSを利用する組織内で検討する必要がある。
イ　SaaSを利用しても，SaaSを利用する組織内の手続やポリシを検討する必要がある。
ウ　〇 SaaSを利用する場合，システムの構築時に行う，情報セキュリティ要件の定義やシステムログの保存容量の設計は不要。
エ　SaaSを利用しても，情報セキュリティ管理規程の策定や管理担当者の設置は，SaaSを利用する組織内で行う必要がある。

問6

解答　イ

適用宣言書とは，情報セキュリティの管理策とその適用状況を記載し，外部に宣言するための書類。次の手順で作成する。
① リスクアセスメントをもとに，情報セキュリティリスク対応の選択肢を選定する。
② その実施のためのすべての管理策を決定する。
③ その管理策を，包括的なリストである附属書Ａと比較し，抜け漏れがないかを検証する。
④ 適用宣言書を作成する。必要な管理策とその理由，実施の有無，附属書Ａの管理策を除外した場合の理由を明記する。
⑤ 情報セキュリティリスク対応計画を策定する。
ア　順序が逆。情報セキュリティリスク対応計画の作成は手順⑤で，適用宣言書の作成は手順④で行う。
イ　〇
ウ　順序が逆。適用宣言書の作成は手順④で，情報セキュリティリスク対応の選択肢の選定は手順①で行う。
エ　順序が逆。適用宣言書の作成は手順④で，リスクの特定を含むリスクアセスメントは手順①で行う。

問7

解答　ウ

リスク分析とは，リスクを特定し，リスクの大きさを決める段階。リスク特定とリスク算定が含まれる。
ア　リスク対応の説明。リスク対応とは，リスクに対し，対策を打つ段階。
イ　リスク評価の説明。リスク評価とは，リスクが許容範囲内かどうかを決めるために，リスク分析の結果をリスク基準と照らし合わせる段階。
ウ　〇 リスク分析の説明。
エ　リスク特定の説明。リスク特定とは，リスクを発見する段階。

問8

解答　ア

情報セキュリティガバナンスとは，企業が，情報資産のリスク管理のために，情報セキュリティの意識・取組み・業務活動を，組織内に徹底させるための仕組み。ＩＴガバナンスとは，企業が，経営目標を達成するために，ＩＴを過不足なく活用すること。経営戦略をもとにした適切なＩＴ戦略を決めたり，情報セキュリティ事故にならないように，従業者によるＩＴの利用を統制したりする
情報セキュリティガバナンスとＩＴガバナンスについては，両者ともに対象範囲。また，両者が包含したり，包含されたりはしていない。なお，コーポレートガバナンスは，両者を包含している。

問9

解答　イ

情報セキュリティポリシとは，ISMSに基づいて，情報セキュリティに関する組織内の取組みを規定した文書。次の３つで構成される。
— 基本方針（ポリシ）は，社会的背景・法令順守の観点から，その必要性を説く宣言文。例えば，目的・方針・適用範囲・体制などを明記。
— 対策基準（スタンダード）は，守るべきルール・規程。例えば，情報セキュリティ対策基準・事故への対応規程・文書管理規程。
— 実施手順（プロシージャ）は，マニュアル文書・利用手順書。例えば，情報システム利用手順書・メールやWebの利用手順書。
ア　基本方針と対策基準の適用範囲は，経営者だけでなく，従業員なども含める。
イ　〇
ウ　システムソフトウェアが複数存在しても，複数の基本方針を策定してはいけない。
エ　手順が逆。

問10

解答　エ

経営者は，情報セキュリティに関する，組織全体の対応方針を定める。また，担当者に，対策の実行を指示する。
ａ：経営者が，具体的な監査計画を立案する必要はない。
ｂ：正しい。経営者は，情報セキュリティ対策の見直しを指示する。
ｃ：正しい。経営者は，組織全体の対応方針を定める。
ｄ：正しい。経営者は，新たな脅威に備えるため，最新動向を収集する。
よって，正解はエ（ｂ，ｃ，ｄ）。

問11

解答　エ

"社外秘情報とは知らなかった"という言い訳をさせないための対策として，資料に「社外秘」というラベルを貼る方法がある。

問12

解答　エ

割れ窓理論とは，軽微な不正や犯罪（割れ窓）を放置することで，より大きな不正や犯罪が誘発されるという理論。なお，ウの不正のトライアングル理論とは，「機会」（不正行為を行える状況），「動機」（処遇面の不満・借金による生活苦），「正当化」（みずからを納得させる自分勝手な理由付け）という３つの要因のことで，すべてそろった場合に，内部不正は発生するとされている理論。

問13

解答　ア

ゼロデイ攻撃とは，ソフトウェアにセキュリティホール（脆弱性）が発見された際，修正プログラムが提供されるより前に，そのセキュリティホールを悪用して行われる攻撃。
ア　〇 ゼロデイ攻撃の説明。
イ　DDoS攻撃の説明。DDoS攻撃とは，複数台の情報機器から何度も連続してサーバに通信を行い，サーバをパンク状態にしてサービスを停止させる攻撃。
ウ　フィッシングの説明。フィッシングとは，有名企業や金融機関などを装った偽のメールを送りつけ，偽のWebサイトに誘導して，個人情報を入力させてだまし取る行為。
エ　スパムメール送信の説明。スパムメール（迷惑メール）とは，受け取る側の意思に関係なく，一方的に送りつける電子メール。

問14

解答　エ

ボットとは，感染したコンピュータを，インターネット経由で外部から操ることを目的とした不正プログラム。ボットに感染すると，指令者であるボットハーダーが遠隔操作し，様々な攻撃を行う。ボットネットとは，ボットに感染した，複数のコンピュータで構成されたネットワーク。Ｃ＆Ｃサーバとは，ボットハーダーが，ボットに命令を送り，遠隔操作するためのサーバ。
ア　CDN（Contents Delivery Network）の説明。
イ，ウ　RAS（Remote Access Service）サーバの説明。
エ　〇 Ｃ＆Ｃサーバの説明。

問15

解答　ア

Wanna Cryptor（WannaCry）とは，ランサムウェアの一種。ランサムウェアとは，コンピュータのファイルやシステムを使用不能にし，その復旧と引き換えに金銭を要求するソフトウェア。　WannaCryは，ランサムウェアの一種。ランサムウェアの説明は，アだけ。

問16

解答　ア

ア　〇 シャドーITとは，個人所有（私物）の情報機器を，許可なく業務に利用すること。
イ　ソーシャルエンジニアリングとは，技術を使わずに，人の心理的な隙や行動のミスにつけ込んで，秘密情報を盗み出す方法。
ウ　ダークネットとは，インターネット上の未使用のIPアドレス空間のこと。本来，宛先となることはないダークネットに対する通信を観測することで，マルウェアの活動傾向を観測できる。
エ　バックドアとは，一度，不正アクセスできたコンピュータに対し，再び侵入するために，仕掛ける裏口のこと。

問17

解答　ウ

セキュアブートとは，OS起動時のマルウェア感染を防ぐために，書換えができないROMから起動したり，ディジタル署名により改ざんを検知したりしながら，OSを起動する方法。
ア　BIOSパスワードの説明。
イ　HDDパスワードの説明。
ウ　〇 セキュアブートの説明。
エ　マルウェア対策ソフトの起動方法の説明。

問18

解答　イ

ア　FTPとは，ファイルを転送するためのプロトコル。
イ　〇 NTPとは，正確な現在時刻を取得するためのプロトコル。
ウ　SMTPとは，メール送信用のプロトコル。
エ　SNMPとは，ネットワーク機器を遠隔から監視・制御するためのプロトコル。

問19

解答　エ

hostsファイルとは，IPアドレスと，対応するドメイン名の一覧が記載されたファイル。ドメイン名をもとに，対応するIPアドレスを取得したり，逆に，IPアドレスをもとに，対応するドメイン名を取得したりするために使用される。hostsファイルの設定内容は，IPアドレス，ドメイン名の順に記載される。
問題中の各用語の説明は，次のとおり。
— 127.0.0.1とは，自分自身の機器を指す特別なIPアドレス。
— localhostとは，自分自身の機器を指す特別なホスト名。
— FQDN（Fully Qualified Domain Name，完全修飾ドメイン名）とは，ドメイン名（例 www.trident.ac.jp）のこと。
表において，ドメイン名に対応するIPアドレスは，すべて127.0.0.1。127.0.0.1とは，自分自身を指す特別なIPアドレス。

問20

解答　エ

無線LANとは，LANケーブルなしで，社内ネットワークに接続するための技術。
ア　MACアドレスフィルタリングとは，MACアドレス（機器を識別するための機器固有の番号）により，接続を遮断する機能。MACアドレスが不明な場合，接続を遮断するため，多くの機器から接続する用途である公衆無線LANでは，適切ではない。
イ　SSIDとは，親機の接続先を識別するための名称。周囲の子機向けに電波で公開されている。SSIDを暗号化すると，それを知らない機器からは接続できないため，公衆無線LANでは適切ではない。
ウ　ドメイン名をSSIDにしても，親機の接続先を識別するための名称がドメイン名というだけで，効果はない。
エ　〇

問21

解答　ウ

APTとは，標的となる組織の脆弱性を突くために，事前に調査した上で，複数の攻撃手法を組み合わせて作られたマルウェアで行う攻撃。既存の攻撃手法の中から，システムへの侵入を目的とする共通攻撃部と，システム侵入後に特定のシステムを標的とする個別攻撃部を組み合わせて，マルウェアを作る。
ア　サービス停止を起こす攻撃ではない。
イ　場当たり的でなく，事前に調査した上で攻撃する。
ウ　〇 APTの説明。
エ　APTの攻撃対象は，不特定多数でなく，標的となる特定の組織。

問22

解答　ウ

サーバ証明書とは，Webサーバのなりすましを防ぐために，認証局（CA）が発行するディジタル証明書。サーバ証明書内の認証局の公開鍵により，Webサーバが正規のものかを検証できる。

問23

解答　ウ

EDoS攻撃は，DoS攻撃の一種。DoS攻撃とは，何度も連続してサーバに通信を行い，サーバをパンク状態にしてサービスを停止させる攻撃。なお，リソースとは，情報システムを動作させるために必要なCPU・メモリ・ハードディスクなど。

問24

解答　ウ

ア　CAPTCHAとは，プログラムは読み取れないが，人間なら読み取れる形状の文字のこと。
イ　クリックジャッキング攻撃とは，Webサイト閲覧者を視覚的にだまして，一見正規に見えるWebページをクリックさせることで，実際にはWeb閲覧者が意図しない操作をさせる攻撃。
ウ　〇 ステガノグラフィとは，データに情報を埋め込む技術。埋め込む情報の存在に気付かれない点が特徴。
エ　ストレッチングとは，パスワードを破るまでの時間を増やすために，パスワードをもとにハッシュ関数で計算して求めたハッシュ値に対し，さらにそのハッシュ値をもとにハッシュ関数で計算してハッシュ値を求める作業を繰り返すこと。

問25

解答　ア

ディジタル署名とは，署名の電子版。公開鍵暗号方式の暗号化と逆の手順を踏むことで，なりすましなしと改ざんなしを確かめられる。
ア　〇 ディジタル署名により，改ざんを検知できる。
イ　ディジタル署名により，利用者は制限できない。
ウ　ディジタル署名は，著作権者を明示するものではない。
エ　ディジタル署名により，改ざんの検知はできるが，修正や改変自体を不可能にするものではない。

問26

解答　ア

暗号化と復号とで同じ鍵を使用する暗号方式は，共通鍵暗号方式。
ア　〇 AESとは，共通鍵暗号方式の代表格の暗号技術。
イ　PKIとは，なりすましなしで，確実に本人の公開鍵であると認証する仕組み。
ウ　RSAとは，公開鍵暗号方式の代表格の暗号技術。
エ　SHA-256とは，平文から256ビットのダイジェストを作るハッシュ関数。

問27

解答　ア

ア　〇 共通鍵暗号方式には，必要な鍵の数が多くなるという短所がある。
イ　共通鍵暗号方式では，通信相手に鍵を知らせなければ，復号できない。
ウ　公開鍵暗号方式で暗号文を復号するには，受信者の秘密鍵を使う。秘密鍵は，秘密扱いにし，だれにも渡さない。
エ　エ　公開鍵暗号方式のディジタル署名では，送信者が［送信者の秘密鍵］を使ってダイジェストを暗号化し，受信者が［送信者の公開鍵］を使って復号し，ダイジェストを取り出す。このうち，［送信者の秘密鍵］は，公開せず，秘密扱いにする必要がある。

問28

解答　イ

CVSS（Common Vulnerability Scoring System，共通脆弱性評価システム）とは，情報システムの脆弱性に対する公平で汎用的な評価手法。メーカーに依存しない共通の評価方法で，脆弱性の深刻度を同一の基準で定量的に比較できる。
ア　基本評価基準が変更されたため，同じ脆弱性であってもCVSS v2とCVSS v3とで結果が異なる場合がある。
イ　〇
ウ　脆弱性の深刻度には，0～10.0の数値で表す。
エ　脆弱性を評価する基準は，基本評価基準・現状評価基準・環境評価基準の３つ。

問29

解答　エ

SSHとは，遠隔地のコンピュータを安全に遠隔操作するためのセキュアプロトコル。
ア　S/MIMEの説明。S/MIMEとは，ハイブリッド暗号を使って，メールを暗号化したり，ディジタル署名によるなりすましなし・改ざんなしを確かめたりするための規格。
イ　SET（Secure Electronic Transaction）の説明。
ウ　PGPの説明。PGPとは，ハイブリッド暗号を使って，メールを暗号化したり，ディジタル署名によるなりすましなし・改ざんなしを確かめたりするためのソフトウェア。
エ　〇 SSHの説明。

問30

解答　イ

WAFとは，Webアプリケーションを攻撃から守ることに特化した製品。ファイアウォール・IDS・IPSでは防げないスクリプト攻撃についても，WAFでは防げる。また，フィルタリングのルール設定には，ブラックリストとホワイトリストという２つの方式がある。
・ブラックリストは，通過を禁止する対象をまとめた一覧。
・ホワイトリストは，通過を許可する対象をまとめた一覧。
ア，ウ，エ　WAFは，通信データパターンを対象とするため，不適切。なお，FQDN（Fully Qualified Domain Name，完全修飾ドメイン名）とは，ドメイン名（例 www.trident.ac.jp）のこと。
イ　〇 WAFにおけるブラックリストの説明。

問31

解答　エ

サイバーセキュティ戦略本部は,サイバーセキュリティー基本法に基づいて2015年に内閣に設置された。

問32

解答　ア

ア　〇
イ　"識別符号の入力を不正に要求する行為の禁止"によって規制される行為です。
ウ　"他人の識別符号を不正に取得する行為の禁止"によって規制される行為です。
エ　"他人の識別符号を不正に保管する行為の禁止"によって規制される行為です。

問33

解答　イ

ア　電子署名は,電磁的記録でなくてはならない。
イ 〇
ウ　民間事業者も電子署名の認証業務を行うことができる。
エ　電子署名は公開鍵暗号技術によるものに限られる。
（SG 29春 問31 と同じ問題）

問34

解答　エ

ア　開設したWebページを公開すれば,不特定多数の人が閲覧でき,私的使用とはいえないので著作権の侵害になる。
イ　フリーウェアは無料で使用できるが著作権は放棄されていない。
ウ　データの作成に使用したシェアウェアが,試用期間中か試用期間後かにかかわらず,作成したデータの著作権は作成者のものだから,著作権の侵害にはならない。
エ　〇
（AP 29春 問72 と類似問題）

問35

解答　ア

ア　〇 ボリュームライセンス契約
イ　サイトライセンス契約
ウ　クリックラップ契約(オンクリック契約)
エ　シュリンクラップ契約
（FE 20春 問80 と類似問題）

問36

解答　ウ

ITの統制目標とは，ITの統制を有効なものとするために経営者が設定する目標のことである。
ア　準拠性の説明である。
イ　機密性の説明である。
ウ　〇信頼性の説明である。
エ　可用性の説明である。

問37

解答　エ

監査人が指摘事項として監査報告書に記載すべきものは，監査の結果として改善をする必要がある事項である。
ア　監査人が指摘事項として監査報告書に記載する必要はない。
イ　監査人が指摘事項として監査報告書に記載する必要はない。
ウ　監査人が指摘事項として監査報告書に記載する必要はない。
エ　リスク受容基準はリスクアセスメントを実施する前に決めるものである。したがって，リスクアセスメントを実施した後にリスク受容基準を決めたことは，監査人が指摘事項として監査報告書に記載すべきものである。

問38

解答　ア

ア　〇
イ　請負契約においては，受託側要員に対して委託側の指揮命令を行っていないことを監査すべきである。
ウ　外部委託で開発した業務システムの品質管理状況は，委託側で監査すべきである。
エ　機密性が高い業務システムの開発を外部に委託している場合は，秘密保持契約を結ぶように勧告すべきである。

問39

解答　ウ

公開鍵証明書の有効期間内に電子署名の生成および検証を行う必要がある。
ア　公開鍵証明書取得日が2012年３月１日なので，2016年２月29日までが有効期間である。
　　検証日が有効期間を過ぎている。
イ　公開鍵証明書取得日が2014年１月１日なので，2017年12月31日までが有効期間である。
　　検証日が有効期間を過ぎている。
ウ　〇公開鍵証明書取得日が2015年４月１日なので，2019年３月31日までが有効期間である。
　　電子署名生成日，検証日ともに公開鍵証明書取得日以降の有効期間内となっている。
エ　公開鍵証明書取得日が2016年８月１日なので，2020年７月31日までが有効期間である。
　　電子署名生成日が公開鍵証明書取得日よりも前となっている。

問40

解答　エ

可用性を表す数値は稼働率であり
　稼働時間÷(稼働時間＋修理時間)
で計算できる。
本来のサービス提供時間が7:00～19:00の12時間のところ，システム障害のため16:00以降サービスが停止した。したがって，この日のサービス提供時間内での稼働時間は９時間であり，サービス提供時間内での修理時間は３時間である。
よって，可用性は９÷(９＋３)＝0.75となる。

問41

解答　ウ

SLA(Service Level Agreement)とは，サービス提供者が顧客に対して提供するサービスのサービス・レベルなどを定めたものである。
サービスカタログとは，顧客に対して，利用できるサービスまたは利用しているサービスの情報を提示するものである。
SLAやサービスカタログを文書化し維持しなければならないのは，サービス提供者である。

問42

解答　ウ

ア　回避策とは，インシデントのITサービスへの影響を低減または除去するものである。
イ　継続的改善とは，ITサービスの効率性・有効性・費用対効果を向上させるために，PDCAに基づく改善活動を行うものである。
ウ　〇
エ　予防処置とは，インシデントの発生原因を回避または除去する，またはその発生可能性を低減するために行うものである。

問43

解答　エ

WBS(Work Breakdown Structure)とは，プロジェクトを管理するために作成されるもので，プロジェクトにおける作業を細かい単位に分割し階層構造で表したものである。
ア　EVM(Earned Value Management)を使用する目的である。
イ　アローダイアグラムを使用する目的である。
ウ　ガントチャートを使用する目的である。
エ　〇WBSを使用する目的である。

問44

解答　ウ

ア　フェールソフトの説明である。
イ　フォールトトレランスの説明である。
ウ　〇フェールセーフの説明である。
エ　フールプルーフの説明である。

問45

解答　エ

データベースの監査ログとは，データベースに対して行われたすべての操作を記録したものであり，データベースへの不正なアクセスや改ざんを検出および追跡するために利用される。

問46

解答　ウ

ネットワークにおけるポート番号とは，アプリケーション(サービス)を識別するための番号である。
ア　MACアドレスの説明である。
イ　IPアドレスの説明である。
ウ　〇ポート番号の説明である。
エ　VLAN ID(Virtual LAN IDentifier)の説明である。

問47

解答　イ

データサイエンティストとは，さまざまな意思決定の局面において，集められたデータを活用して合理的な判断を行えるように意思決定者を支援する人のことである。
ア　システム監査人の役割である。
イ　〇データサイエンティストの役割である。
ウ　ネットワークエンジニアの役割である。
エ　プロジェクトマネージャの役割である。

問48

解答　ウ

ディジタルディバイドとは，インターネットなどの情報通信技術を利用できる者と利用できない者との間にもたらされる格差のことである。
その解消のためにはネットワークなどのインフラ整備とともに，ITについて学ぶ場を増やしていく必要がある。

問49

解答　ア

要件定義プロセスは，発注者の要望を明確にし，実装すべき機能や満たすべき性能などを決定する工程である。
ア　〇要件定義プロセスで実施すべきものである。
イ　企画プロセスで実施すべきものである。
ウ　システム開発プロセスで実施すべきものである。
エ　システム開発プロセスで実施すべきものである。

問50

解答　ウ

図中のｄは，人間関係本位のリーダーシップが弱く，さらに仕事本位のリーダーシップが弱い領域にある。
問題文中の［組織の状況とリーダーシップのスタイルの関係］の中に，「成熟度が進むと，構成員は自主的に行動できるようになり，仕事本位，人間関係本位のリーダーシップがいずれも弱まっていく」とある。
以上のことから，図中のｄは成熟度が進み構成員は自主的に行動できる状態であると判断できる。
よって，図中のｄでの，リーダーシップのスタイルとしては，ウの「勝つためには選手に戦術の立案と実行を任せる」が正しい。
ア　図中のｂでのスタイルである。
イ　図中のｃでのスタイルである。
ウ　〇図中のｄでのスタイルである。
エ　図中のａでのスタイルである。

一覧へ戻る