08 情報セキュリティ(1)

100問 • 1年前

N.S

通報

問題一覧

組織が保持している全ての情報を(①)という。

情報資産

情報漏えいや改ざん、紛失など、情報の損失を与える原因となるものを(①)という。

脅威

情報資産に内在している弱点を(①)という。

脆弱性

組織における情報資産のセキュリティを適切に管理していく仕組みを(①)という。

情報セキュリティマネジメントシステム

ISMSの国内規格を(①)シリーズという。

JIS Q 27000

ISMSの国際規格を(①)シリーズという。

ISO/IEC 27000

情報セキュリティの3要素の一つで、許可された者だけが使用できることを(①)という。

機密性

情報セキュリティの3要素の一つで、情報が正確であり完全であることを(①)という。

完全性

情報セキュリティの3要素の一つで、必要なときに使用できることを(①)という。

可用性

情報セキュリティにおいて、主張するとおりの本物であることを表す要素を(①)という。

真正性

情報セキュリティにおいて、意図した結果が得られることを表す要素を(①)という。

信頼性

情報セキュリティにおいて、後で追跡できることを表す要素を(①)という。

責任追跡性

情報セキュリティにおいて、後で否定されないことを表す要素を(①)という。

否認防止

組織における情報セキュリティの取り組みに対して、ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度を(①)という。

ISMS適合評価制度

システムの企画・設計段階から、情報セキュリティ対策を組み込んでおこうという考え方を(①)という。

セキュリティバイデザイン

システムの企画・設計段階から、個人情報保護の仕組みを組み込んでおこうという考え方を(①)という。

プライバシーバイデザイン

想定されるリスクを組織的に管理しながら、その損失を最小限に抑える活動を(①)という。

リスクマネジメント

リスクを分析・評価して、あらかじめ設定しておいたリスク受容基準に照らして対応が必要かどうかを判断することを(①)という。

リスクアセスメント

リスクアセスメントにおいて、保護すべき情報資産において、組織に存在するリスクを洗い出すプロセスを(①)という。

リスク特定

リスクアセスメントにおいて、リスクの発生確率と影響度からリスクの大きさを算定するプロセスを(①)という。また、このリスクの大きさを(②)という。

リスク分析, リスクレベル

リスクアセスメントにおいて、リスクの大きさとリスク受容基準を比較して、リスク対策が必要かを判断するプロセスを(①)という。

リスク評価

リスク評価を受け、実際にどのような対応を選択するかを決定することを(①)という。

リスク対応

リスク対応の方法の一つで、リスクの発生確率や大きさを小さくする方法を(①)という。

リスクコントロール

リスク対応の方法の一つで、損失を補填するために金銭的な手当てをする方法を(①)という。

リスクファイナンシング

リスクの損失額や発生確率を抑えるリスク対応を(①)という。

リスク軽減

リスクの原因を除去するリスク対応を(①)という。

リスク回避

リスクを第三者へ移転・転嫁するリスク対応を(①)という。

リスク移転

影響度が小さいので、許容範囲として保有・受容するリスク対応を(①)という。

リスク保有

災害などの予期せぬ事態によって、特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価することを(①)という。

ビジネスインパクト分析

組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書を(①)という。

情報セキュリティポリシ

情報セキュリティポリシのうち、情報セキュリティに関する基本的な方針を定めたものを(①)という。

基本方針

情報セキュリティポリシのうち、項目ごとに遵守すべき行為や判断を記述したものを(①)という。

対策基準

情報セキュリティポリシのうち、具体的にどのような手順で実施していくかを示したものを(①)という。

実施手順

組織の長が、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するものを(①)という。

情報セキュリティ基本方針

情報セキュリティ基本方針を策定する上で参考にできるものとして、経済産業省が策定した(①)がある。

情報セキュリティ管理基準

組織で扱う個人情報の扱い方についての規定を(①)という。

プライバシーポリシ

企業や官公庁などに設けるセキュリティ対策チームを(①)という。

CSIRT

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威を(①)という。

物理的脅威

操作ミス・紛失・内部関係者による不正使用・怠慢など、人による脅威を(①)という。

人的脅威

コンピュータを使わず人の心理や行動の隙を突いて機密情報を入手する行為を(①)という。

ソーシャルエンジニアリング

画面を肩越しからのぞき見するソーシャルエンジニアリングを(①)という。

ショルダーハッキング

ゴミ箱に捨てられた紙から機密情報を入手するソーシャルエンジニアリングを(①)という。

トラッシング

スクリーンにのぞき見防止フィルムを貼ったり、離席時に画面をロックしておくソーシャルエンジニアリングへの対策方法を(①)という。

クリアスクリーン

書類などが盗まれてもすぐ分かるように机を整頓しておくソーシャルエンジニアリングへの対策方法を(①)という。

クリアデスク

不正行為は、機会・動機・正当化の三つの条件が揃ったときに行われるという理論を(①)という。

不正のトライアングル理論

実施者と承認者に別の人間を割り当てることを(①)という。

職務分掌

コンピュータウイルスやサイバー攻撃などのITを使った脅威を(①)という。

技術的脅威

悪意を持って作成された不正なプログラムを総称して(①)という。

マルウェア

自己伝染・潜伏・発病のうち一つ以上の機能をもち、意図的に何らかの被害を及ぼすマルウェアを(①)という。

コンピュータウイルス

ワープロソフトや表計算ソフトなどのマクロ機能を悪用するマルウェアを(①)という。

マクロウイルス

ネットワークやリムーバブルメディアを媒介として、自ら感染を広げる自己増殖機能をもつマルウェアを(①)という。

ワーム

ウイルスに感染したPCを、インターネットなどのネットワークを通じて外部から操るマルウェアを(①)という。

ボット

外部から悪意のある命令を出すサーバを(①)という。

C&Cサーバ

有益なソフトウェアと見せかけて、特定の条件になるまで活動をせずに待機した後、悪意のある動作をするマルウェアを(①)という。

トロイの木馬

利用者の意図に反してPCにインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するマルウェアを(①)という。

スパイウェア

勝手にPCのファイルを暗号化して読めなくし、戻すパスワードと引き換え金銭を要求するマルウェアを(①)という。

ランサムウェア

キーボードの入力履歴を不正に記録し、利用者IDやパスワードを盗み出すマルウェアを(①)という。

キーロガー

侵入するために仕組んだ裏口のアクセス経路を作り、侵入の痕跡を隠蔽するなどの機能を持つ不正なプログラムツールを(①)という。

ルートキット

正規のアクセス経路でない裏口のアクセス経路を(①)という。

バックドア

情報システム部門の許可を得て、私物のPCやスマートフォンなどの情報端末を業務に利用することを(①)という。

BYOD

情報システム部門の許可を得ずに、私物のPCやスマートフォン、社外のクラウドサービスなどを業務に使うことを(①)という。

シャドーIT

情報セキュリティ対策として、企業が社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組みを(①)という。

MDM

コンピュータウイルスの検知・駆除・隔離などが出来るソフトウェアを(①)という。

ウイルス対策ソフト

既知のウイルスの特徴を識別できるシグネチャコードを記録したファイルを(①)という。

ウイルス定義ファイル

ウイルス検出方法の一つで、検査対象と既知ウイルスのシグネチャコードの比較によってウイルスを検出する方法を(①)という。

パターンマッチング方式

ウイルス検出方法の一つで、サンドボックスと呼ばれる仮想環境で、実際に検査対象を実行してその挙動を監視することでウイルスを検出する方法を(①)という。

ビヘイビア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性を(①)という。

セキュリティホール

事業者から提供されるセキュリティホールの修正プログラムを(①)という。

セキュリティパッチ

セキュリティパッチが事業者から提供される前にセキュリティホールを利用する攻撃を(①)という。

ゼロデイ攻撃

インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行う攻撃を(①)という。

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われるサイバー攻撃を(①)という。

標的型攻撃

特定の組織を標的に、複数の手法を組み合わせて気付かれないよう執拗に攻撃を繰り返す標的型攻撃を(①)という。

APT攻撃

よく利用される企業などのWebサイトにウイルスを仕込み感染させる標的型攻撃を(①)という。

水飲み場型攻撃

攻撃により他人のパスワードを割り出すことを(①)という。

パスワードクラック

攻撃対象とする利用者IDを一つ定め、辞書にある単語やその組合せをパスワードとしてログインを試行するパスワードクラック方法を(①)という。

辞書攻撃

攻撃対象とする利用者IDを一つ定め、英字や数字、記号を組み合わせたパスワードを総当たりしてログインを試行するパスワードクラック方法を(①)という。

ブルートフォース攻撃

よく用いられるパスワードを一つ定め、文字を組み合わせた利用者IDを総当たりしてログインを試行することを(①)という。

リバースブルートフォース攻撃

不正に取得した他サイトの利用者IDとパスワードの一覧表を用いてログインを試行するパスワードクラック方法を(①)という。

パスワードリスト攻撃

特定のサーバなどに1台のコンピュータから大量のパケットを送り付けることで想定以上の負荷を与え、サーバの機能を停止させる攻撃を(①)という。

Dos攻撃

特定のサーバなどに複数台のコンピュータから大量のパケットを送り付けることで想定以上の負荷を与え、サーバの機能を停止させる攻撃を(①)という。

DDos攻撃

不正な通信を検知して管理者に通報するシステムを(①)という。

IDS

不正な通信を検知して遮断を行うシステムを(①)という。

IPS

攻撃者が用意した有害な文字列を、利用者のWebブラウザを介して脆弱なWebサイトに送り込み、利用者のWebブラウザ上で実行させる攻撃を(①)という。

クロスサイトスクリプティング

脆弱性のあるWebアプリケーションの入力領域に、攻撃者が悪意ある問合せや操作を行う命令文を注入することで、管理者の意図していないSQL文を実行させる攻撃を(①)という。

SQLインジェクション

有害な入力を無害化するSQLインジェクション対策を(①)という。

サニタイジング

有害となる特殊な文字や記号を無害な文字に強制的に置き換える処理を(①)という。

エスケープ処理

Webアプリケーションに対する外部からの攻撃をブロックする仕組みを(①)という。

WAF

攻撃者が、パス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃を(①)という。

ディレクトリトラバーサル

攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃を(①)という。

なりすまし

WebサイトなどのセッションIDを攻撃者が窃取して、正規の利用者になりすまして通信するなりすましを(①)という。

セッションハイジャック

DNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導するなりすましを(①)という。

DNSキャッシュポイズニング

検索サイトの順位付けアルゴリズムを悪用し、悪意のあるWebサイトが検索結果の上位に表示されるようにするなりすましを(①)という。

SEOポイズニング

送信元IPアドレスを詐称して、標的のネットワーク上のホストになりすまして接続するなりすましを(①)という。

IPスプーフィング

公衆無線LANで正規のアクセスポイントになりすまし、より強い電波で利用者を偽装のアクセスポイントに誘導するなりすましを(①)という。

Evil Twins攻撃

Webサイトを閲覧したときに、利用者の意図にかかわらずマルウェアをダウンロードさせて感染させる攻撃を(①)という。

ドライブバイダウンロード攻撃

実在する会社などを装って電子メールを送信し、偽のWebサイトに誘導して個人情報をだまし取る攻撃を(①)という。

フィッシング

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで想定外の動作をさせる攻撃を(①)という。

バッファオーバフロー攻撃

罠サイトのコンテンツ上に著名なサイトのボタンを透明化して配置し、意図しない操作をさせる攻撃を(①)という。

クリックジャッキング攻撃

利用者のアクセス動向などを収集するために、Webページなどに埋め込まれた小さな画像を(①)という。

Webビーコン

100

サイバー攻撃を行う前に行う情報収集を(①)という。

フットプリンティング

ビジネス情報実務検定1級②

ビジネス情報実務検定1級②

技術

技術

6-2 システム監査

6-2 システム監査

3-5 セキュリティ

3-5 セキュリティ

問題Ⅱ №201～260

問題Ⅱ №201～260

セキュリティ

セキュリティ

説明

説明

トータルシステム・サブシステム

トータルシステム・サブシステム

基本問題

ユーザ名非公開 · 112問 · 11ヶ月前

基本問題

情報セキュリティ2

情報セキュリティ2

情報処理安全確保支援士①

情報処理安全確保支援士①

問題集①

問題集①

ISMS2

ISMS2

リスク

リスク

第3章インターネットセキュリティ

第3章インターネットセキュリティ

IT基礎技術論

IT基礎技術論

DX03

DX03

生保一般

生保一般

7月✅

7月✅

技術

kawa yama · 50問 · 1年前

技術

50問 • 1年前

kawa yama

問題一覧

組織が保持している全ての情報を(①)という。

情報資産

情報漏えいや改ざん、紛失など、情報の損失を与える原因となるものを(①)という。

脅威

情報資産に内在している弱点を(①)という。

脆弱性

組織における情報資産のセキュリティを適切に管理していく仕組みを(①)という。

情報セキュリティマネジメントシステム

ISMSの国内規格を(①)シリーズという。

JIS Q 27000

ISMSの国際規格を(①)シリーズという。

ISO/IEC 27000

情報セキュリティの3要素の一つで、許可された者だけが使用できることを(①)という。

機密性

情報セキュリティの3要素の一つで、情報が正確であり完全であることを(①)という。

完全性

情報セキュリティの3要素の一つで、必要なときに使用できることを(①)という。

可用性

情報セキュリティにおいて、主張するとおりの本物であることを表す要素を(①)という。

真正性

情報セキュリティにおいて、意図した結果が得られることを表す要素を(①)という。

信頼性

情報セキュリティにおいて、後で追跡できることを表す要素を(①)という。

責任追跡性

情報セキュリティにおいて、後で否定されないことを表す要素を(①)という。

否認防止

ISMS適合評価制度

システムの企画・設計段階から、情報セキュリティ対策を組み込んでおこうという考え方を(①)という。

セキュリティバイデザイン

システムの企画・設計段階から、個人情報保護の仕組みを組み込んでおこうという考え方を(①)という。

プライバシーバイデザイン

想定されるリスクを組織的に管理しながら、その損失を最小限に抑える活動を(①)という。

リスクマネジメント

リスクを分析・評価して、あらかじめ設定しておいたリスク受容基準に照らして対応が必要かどうかを判断することを(①)という。

リスクアセスメント

リスクアセスメントにおいて、保護すべき情報資産において、組織に存在するリスクを洗い出すプロセスを(①)という。

リスク特定

リスク分析, リスクレベル

リスクアセスメントにおいて、リスクの大きさとリスク受容基準を比較して、リスク対策が必要かを判断するプロセスを(①)という。

リスク評価

リスク評価を受け、実際にどのような対応を選択するかを決定することを(①)という。

リスク対応

リスク対応の方法の一つで、リスクの発生確率や大きさを小さくする方法を(①)という。

リスクコントロール

リスク対応の方法の一つで、損失を補填するために金銭的な手当てをする方法を(①)という。

リスクファイナンシング

リスクの損失額や発生確率を抑えるリスク対応を(①)という。

リスク軽減

リスクの原因を除去するリスク対応を(①)という。

リスク回避

リスクを第三者へ移転・転嫁するリスク対応を(①)という。

リスク移転

影響度が小さいので、許容範囲として保有・受容するリスク対応を(①)という。

リスク保有

災害などの予期せぬ事態によって、特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価することを(①)という。

ビジネスインパクト分析

組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書を(①)という。

情報セキュリティポリシ

情報セキュリティポリシのうち、情報セキュリティに関する基本的な方針を定めたものを(①)という。

基本方針

情報セキュリティポリシのうち、項目ごとに遵守すべき行為や判断を記述したものを(①)という。

対策基準

情報セキュリティポリシのうち、具体的にどのような手順で実施していくかを示したものを(①)という。

実施手順

組織の長が、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するものを(①)という。

情報セキュリティ基本方針

情報セキュリティ基本方針を策定する上で参考にできるものとして、経済産業省が策定した(①)がある。

情報セキュリティ管理基準

組織で扱う個人情報の扱い方についての規定を(①)という。

プライバシーポリシ

企業や官公庁などに設けるセキュリティ対策チームを(①)という。

CSIRT

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威を(①)という。

物理的脅威

操作ミス・紛失・内部関係者による不正使用・怠慢など、人による脅威を(①)という。

人的脅威

コンピュータを使わず人の心理や行動の隙を突いて機密情報を入手する行為を(①)という。

ソーシャルエンジニアリング

画面を肩越しからのぞき見するソーシャルエンジニアリングを(①)という。

ショルダーハッキング

ゴミ箱に捨てられた紙から機密情報を入手するソーシャルエンジニアリングを(①)という。

トラッシング

スクリーンにのぞき見防止フィルムを貼ったり、離席時に画面をロックしておくソーシャルエンジニアリングへの対策方法を(①)という。

クリアスクリーン

書類などが盗まれてもすぐ分かるように机を整頓しておくソーシャルエンジニアリングへの対策方法を(①)という。

クリアデスク

不正行為は、機会・動機・正当化の三つの条件が揃ったときに行われるという理論を(①)という。

不正のトライアングル理論

実施者と承認者に別の人間を割り当てることを(①)という。

職務分掌

コンピュータウイルスやサイバー攻撃などのITを使った脅威を(①)という。

技術的脅威

悪意を持って作成された不正なプログラムを総称して(①)という。

マルウェア

自己伝染・潜伏・発病のうち一つ以上の機能をもち、意図的に何らかの被害を及ぼすマルウェアを(①)という。

コンピュータウイルス

ワープロソフトや表計算ソフトなどのマクロ機能を悪用するマルウェアを(①)という。

マクロウイルス

ネットワークやリムーバブルメディアを媒介として、自ら感染を広げる自己増殖機能をもつマルウェアを(①)という。

ワーム

ウイルスに感染したPCを、インターネットなどのネットワークを通じて外部から操るマルウェアを(①)という。

ボット

外部から悪意のある命令を出すサーバを(①)という。

C&Cサーバ

有益なソフトウェアと見せかけて、特定の条件になるまで活動をせずに待機した後、悪意のある動作をするマルウェアを(①)という。

トロイの木馬

利用者の意図に反してPCにインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するマルウェアを(①)という。

スパイウェア

勝手にPCのファイルを暗号化して読めなくし、戻すパスワードと引き換え金銭を要求するマルウェアを(①)という。

ランサムウェア

キーボードの入力履歴を不正に記録し、利用者IDやパスワードを盗み出すマルウェアを(①)という。

キーロガー

侵入するために仕組んだ裏口のアクセス経路を作り、侵入の痕跡を隠蔽するなどの機能を持つ不正なプログラムツールを(①)という。

ルートキット

正規のアクセス経路でない裏口のアクセス経路を(①)という。

バックドア

情報システム部門の許可を得て、私物のPCやスマートフォンなどの情報端末を業務に利用することを(①)という。

BYOD

情報システム部門の許可を得ずに、私物のPCやスマートフォン、社外のクラウドサービスなどを業務に使うことを(①)という。

シャドーIT

情報セキュリティ対策として、企業が社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組みを(①)という。

MDM

コンピュータウイルスの検知・駆除・隔離などが出来るソフトウェアを(①)という。

ウイルス対策ソフト

既知のウイルスの特徴を識別できるシグネチャコードを記録したファイルを(①)という。

ウイルス定義ファイル

ウイルス検出方法の一つで、検査対象と既知ウイルスのシグネチャコードの比較によってウイルスを検出する方法を(①)という。

パターンマッチング方式

ビヘイビア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性を(①)という。

セキュリティホール

事業者から提供されるセキュリティホールの修正プログラムを(①)という。

セキュリティパッチ

セキュリティパッチが事業者から提供される前にセキュリティホールを利用する攻撃を(①)という。

ゼロデイ攻撃

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われるサイバー攻撃を(①)という。

標的型攻撃

特定の組織を標的に、複数の手法を組み合わせて気付かれないよう執拗に攻撃を繰り返す標的型攻撃を(①)という。

APT攻撃

よく利用される企業などのWebサイトにウイルスを仕込み感染させる標的型攻撃を(①)という。

水飲み場型攻撃

攻撃により他人のパスワードを割り出すことを(①)という。

パスワードクラック

攻撃対象とする利用者IDを一つ定め、辞書にある単語やその組合せをパスワードとしてログインを試行するパスワードクラック方法を(①)という。

辞書攻撃

ブルートフォース攻撃

よく用いられるパスワードを一つ定め、文字を組み合わせた利用者IDを総当たりしてログインを試行することを(①)という。

リバースブルートフォース攻撃

不正に取得した他サイトの利用者IDとパスワードの一覧表を用いてログインを試行するパスワードクラック方法を(①)という。

パスワードリスト攻撃

Dos攻撃

DDos攻撃

不正な通信を検知して管理者に通報するシステムを(①)という。

IDS

不正な通信を検知して遮断を行うシステムを(①)という。

IPS

クロスサイトスクリプティング

SQLインジェクション

有害な入力を無害化するSQLインジェクション対策を(①)という。

サニタイジング

有害となる特殊な文字や記号を無害な文字に強制的に置き換える処理を(①)という。

エスケープ処理

Webアプリケーションに対する外部からの攻撃をブロックする仕組みを(①)という。

WAF

攻撃者が、パス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃を(①)という。

ディレクトリトラバーサル

攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃を(①)という。

なりすまし

WebサイトなどのセッションIDを攻撃者が窃取して、正規の利用者になりすまして通信するなりすましを(①)という。

セッションハイジャック

DNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導するなりすましを(①)という。

DNSキャッシュポイズニング

検索サイトの順位付けアルゴリズムを悪用し、悪意のあるWebサイトが検索結果の上位に表示されるようにするなりすましを(①)という。

SEOポイズニング

送信元IPアドレスを詐称して、標的のネットワーク上のホストになりすまして接続するなりすましを(①)という。

IPスプーフィング

公衆無線LANで正規のアクセスポイントになりすまし、より強い電波で利用者を偽装のアクセスポイントに誘導するなりすましを(①)という。

Evil Twins攻撃

Webサイトを閲覧したときに、利用者の意図にかかわらずマルウェアをダウンロードさせて感染させる攻撃を(①)という。

ドライブバイダウンロード攻撃

実在する会社などを装って電子メールを送信し、偽のWebサイトに誘導して個人情報をだまし取る攻撃を(①)という。

フィッシング

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで想定外の動作をさせる攻撃を(①)という。

バッファオーバフロー攻撃

罠サイトのコンテンツ上に著名なサイトのボタンを透明化して配置し、意図しない操作をさせる攻撃を(①)という。

クリックジャッキング攻撃

利用者のアクセス動向などを収集するために、Webページなどに埋め込まれた小さな画像を(①)という。

Webビーコン

100

サイバー攻撃を行う前に行う情報収集を(①)という。

フットプリンティング