JIS Q 27000:2019 において、「情報セキュリティリスク」は、脅威が情報資産の脆弱性または、情報資産グループの脆弱 性に付け込み、その結果、組織に損害を与える可能性に伴って生じると定義されている。

コーポレートガバナンスは、企業統治とも呼ばれ、「業務の有効性・効率性」、「財務報告の信頼性」、「事業活動に関わる法律等の遵守」、「資産の保全」の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、 組織内のすべての者によって遂行されるプロセスを言う。

情報セキュリティポリシーの構成要素の一つである「情報セキュリティ基本方針」は情報セキュリティ対策に対する根本 的な考えを表すものであり、情報セキュリティ対策の目的、対象範囲などを盛り込み、組織の情報セキュリティに対する基本的な考え方を定めている

リスクアセスメントは、リスクの特定、リスク分析及びリスク評価のプロセス全体を指すものである。これらのうち、リスク の特質を理解し、リスクレベルを決定するプロセスは、リスク分析である。

リスク対応を、リスクファイナンスとリスクコントロールに分類した場合、リスクファイナンスの具体例として、高額で高性能 なサーバを導入し、セキュリティ強度を高めることなどが挙げられる。

違法配信されたものであると知りながら、映像や音楽をダウンロードする行為については、商用目的ではなく個人的に利 用する目的に限定されていれば、「著作権法」に抵触する行為には該当しない。

技術やノウハウ等の情報が「営業秘密」として「不正競争防止法」で保護されるためには、秘密管理性・有用性・非公知 性の3つの要件を全て満たす必要がある。

OECD プライバシー・ガイドラインの8原則のうち、「目的明確化の原則」では、データ自体の同意がある場合や法律の 規定による場合を除いて、収集したデータを目的以外に利用してはならないとしている。

正当な理由がないのに、その使用者の意図とは無関係に勝手に実行されるようにする目的で、コンピュータウイルスや コンピュータウイルスのプログラム(ソースコード)を作成、提供する行為は、「刑法」における不正指令電磁的記録作成 及び提供の罪に該当し、処罰の対象となる。

「個人情報の保護に関する法律」(以下、個人情報保護法)における「個人情報」には、防犯カメラに記録された情報など の本人の判別が出来る映像情報や、本人の氏名が含まれるなどの理由により、特定の個人を識別できる音声記録情報などが該当する

JIS Q 27000:2019 における情報セキュリティの要素とその定義を次の表に示す。 (a)エンティティは、それが主張するとおりのものであるという特性 (b)主張された事象又は処置の発生、及びそれらを引き起こしたエンティ ティを証明する能力 (c)意図する行動と結果とが一貫しているという特性

「個人情報保護法」における「個人識別符号」とは、情報単体から特定の個人を識別できるものとして、「個人情報保護 法施行令」に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は (a) となる。 例えばバイオメトリクス認証における認証情報や、(b) 運転免許証の番号、住民票コード、国民健康保険の被保険者証 番号などが該当するが、(c)は該当しない。

( )とは、個人情報を取り扱う組織において、個人データの安全管理の実施及び運用に関する責任及び権限を有す る者として任命される、個人情報保護管理者のことである。

「知的財産権」のうち、特許権、実用新案権、( )、商標権を「産業財産権」という

ISMS をサイクルを継続的に推進していく手法である PDCAサイクルにおいて( )を行うのは Check プロセスである。

一般的に、情報セキュリティポリシーの策定手順として、まず組織と体制の確立を行い次に情報セキュリティ基本方針 の策定を行う。続いて( )を行い、その後のリスク分析を行う。

リスク対策の手法の一つである「リスクの移転」の具体例として、( )することなどが挙げられる。

「特許法」において、保護の対象になるのは( )である。

情報セキュリティの7要素に関する記述のうち「完全性」の具体例に該当するのはどれか。

OS とは、多くのアプリケーションソフトウェアで共通して利用される基本機能を提供し、コンピュータシステム全体を管理するソフトウェアのことで、広く利用されているOSとして、Windows や MacOS などが挙げられる。

パラレルインターフェースとは、1本の信号で 1bit ずつを順次送る直列データ転送方式のことである。一度に転送できる データ量は少なくなるが、仕組みが単純であるため、データを高速に転送できるという特徴がある。

主記憶装置とは、CPUプログラムを実行する際に直接使用する記憶装置のことで、アドレス部、記憶部、制御部から構成される。

光ディスクの一種である BD (Blu-ray Disc) のうち、BD-RE はデータの追記が可能であるが、消去や書き換えはできない

EUC とは、ISO IEC が制定した、世界各国の言語体系に対応した文字コードで、各文字にはコードポイントと呼ばれる 一意の番号が割り振られ管理されている。

LAN のトポロジの一つであるリング型は、中心に交換機のような各回線を集中管理する装置を置き、制御を行う方式で ある。

関係データベースでは、行と列からなるテーブル形式ではデータを表現し、データ操作する際には、SQLなどを利用する。

VRとは、コンピュータが作り出した仮想的な映像などの情報を、現実のカメラ映像に重ねて、表示したりすることで、現 実そのものを拡張する技術のことである。

情報リテラシとは、情報を活用できる能力のことであり、業務に必要なデータを検索することや、分析や改善などの目的 に合わせてデータを活用することなどが該当する。

EC(電子商取引)は、取引主体の類型により、BtoBやBtoC、CtoC、BtoG、BtoEなどに分類され、例えば、オンラインショ ッピングやオンラインバイキングなど BtoE に分類される

CPUに内蔵された、小容量で高速に動作する記憶素子は、次のうちどれか。

10 進数の「4」を2進数で表したものは、次のうちどれか

静止画の圧縮方式を策定する組織及びその圧縮方式の名称のことであり、デジタルカメラなどで撮影した写真の保存形式として

テキストベースでタグを使って文章の構造や見栄えを指定することができ、ユーザが独自のタグを定義できるため、マークアップ言語を作成するためのメタ言語ともいわれているマークアップ言語は、次のうちどれか。

赤外線を利用した近距離データ通信として1993年に制定された規格、および規格を制定した団体の名称は次のうち どれか。

縦と横の二方向に情報を記録させたマトリックス型二次元コードで、コンサートやイベントなどの電子チケットとして用い られたり、工場や物流管理などに利用されているのは、次のうちどれか。

(a): メールサーバ間での電子メールの送受信や、クライアントからの電子メールの送信を行うプロトコルである。 (b): コンピュータ間でファイルを送受信するときに使用するプロトコルである。 (c): IP ネットワーク上で、ネットワーク機器の監視と制御を行うためのプロトコルである。

(a): 主に表計算ソフトやデータベースソフトのテキストデータの保存形式として使用されているファイル形式であり、 異なるアプリケーションソフト間でのデータの受渡しに利用される。 (b): 文字情報だけではなく、フォントや文字のサイズ、文字飾り、埋め込まれた画像などの情報が保存できるファイル形式であり、コンピュータの機種や環境、OSなどに依存せずにオリジナルとほぼ同じ状態で文章や画像などの閲覧が可能である。 (c): 広く普及している音声圧縮方式であり、音楽CDに匹敵する音質を保ちながら、大幅に容量を圧縮できる という特徴を持つ。インターネット配信や、携帯音楽プレーヤーなどに保存する際に多く使われている。

コンピュータなどで用いられる単位に関する記述のうち、正しいものはどれか。

【自動認識技術】( )とは、物体の識別に必要な情報などが記憶されている小型の無線ICチップによって、電波や電磁波で管理システムと情報を送受信する仕組みである。バーコードとは異なり、離れた位置から処理できるほか、複数のタグを同時に 認識でき、バーコードと比較すると多くの情報を持つことが可能でありICタグ、無線タグや電子荷札、電子タグなども呼ばれることもある。

リスクコントロールの手法に関する記述のうち誤っているものはどれか。

プリンタ機能やFAX機能、コピー機能などが搭載されている複合機のセキュリティ対策として、FAX による誤送信を防ぐため、テンキーからFAX番号を直接入力して送信する場合は、確認のために同 じ番号を複数回入力し、複数回入力した番号が一致しないときは送信されないような機能を導入する。

重要度が高い情報を扱う部屋には、個人所有のパソコンやスマートフォン、タブレット、USBメモ リなどの機器や媒体の持込みを禁止する。なお、音楽プレイヤーについては、音声を取り扱う機器 であるため、持込み禁止の対象とする必要はない。

コンピュータや周辺機器などにセキュリティワイヤーを装着する主な目的は、通信ノイズの低減や 通信障害を低減することである。製品によっては、使用していないポートを塞いで、ケーブルの不 正な接続などを防止することができるものもある。

バイオメトリクス認証の方式の一つである顔認証は、非接触・非拘束での認証や離れた場所からの 認証も可能である。認証に用いる装置として一般的なWebカメラも利用可能であり、入出国管理や 重要施設の監視、イベント会場での入場管理など、さまざまな場所で導入されている。

ヒューマンエラーの具体例として、悪意をもって偽りの情報をSNSへ投稿することや、愉快犯によ るチェーンメールの配信などが挙げられる。

情報セキュリティに関する教育及び訓練は、正社員だけではなく、長期にわたり雇用する契約社員 も対象とする。ただし、パートやアルバイト、短期雇用の契約社員については、教育及び訓練は希 望者のみに対して行うようにして、これらの受講を義務付けなくてもよい。

Webサービスとして提供されている短縮URLサービスを利用することにより、URLをアルファベッ ト数文字程度に短くすることができる。便利な反面、一見しただけでは、どのようなWebサイトに リンクされているか判断がつきにくいというデメリットがある。

SNSを活用している法人がとるべき対策の一つとして、自社のWebサイトで公式アカウントを公開 しておくことが挙げられる。これによって、悪意ある第三者が作成した類似のSNSアカウントに、利用者が誤って誘導されることを防げるようになる。

スマートフォンなどのモバイル端末の紛失・盗難対策の一つであるローカルワイプとは、端末のロッ クを解除するパスコードの入力を一定回数以上間違えると、端末内のデータが消去される機能のこ とである。

自然災害の脅威の一つである雷サージとは、落雷の際、電線などに瞬間的に高い電圧が発生する現 象であり、過電流が通信ケーブルなどを伝って屋内に侵入し、コンピュータや通信機器などを損傷させる場合もある。

( a ) とは、パスワードや個人情報などの重要な情報を、技術的な攻撃をしかけずに不正に収集する手法であり、その多くは、人の心理的・社会的な弱点や盲点を利用する。代表的な手法として、なりすましや ( b )、( c ) などがある。 (b)は、パスワードや個人情報などを入力している画面を背後から盗み見ることによって、その内容を不正に入手する手法である。一方、(c)は、ごみ箱をあさるなどして、廃棄されている書類やメモなどから、ネットワークの構成図や内線表、サーバやルータの設定情報などを収集する手法である。

ビルやオフィスなどの出入り口では、認証によって入室を許可された人の後ろについて、認証を受 けずに入室してしまう (a)の脅威が存在する。そのため、(b)やスイングゲートなど のセキュリティゲートを設けることにより、不正侵入の脅威の可能性を減らすことができるように なる。

守秘義務契約とは、知り得た重要な情報を第三者に漏えいさせないことなどを約束させる目的で取 り交わされるものであり、非開示契約や ( ) などとも呼ばれる。

スマートフォンの盗難・紛失対策として、SIMカードの不正利用を防ぐために、( ) によるロックを行う。

オフィス内での対策として、情報セキュリティにおけるクリアデスクの原則に従い、( )ことが可能となる。

セキュリティレベルごとに部屋やフロアを分ける対策である物理的分離の一例として、( )ことが挙げられる。

スマートフォンに対してジェイルブレイクやルート化を行うことにより、( )。

バックアップサイトの一つであるコールドサイトは、( ) 形態である。

紙媒体の利用・管理に関する記述のうち、不適切なものはどれか。

重要度が高い情報が含まれる書類を移送する際の対策に関する記述のうち、不適切なものはどれか。

パスワードに対する脅威の1つで、パスワードを固定し、利用者IDを次々に変えてログインを試す ことで、当該パスワードを使用している利用者として不正にログインする攻撃手法を、リバースエ ンジニアリングという。

電話で「部長の○○だが、システムにログインするIDとパスワードを教えてくれるかね」と問い合 わせがあったとしても、ソーシャルエンジニアリングの1つであるスキャベンジングの可能性もあ るため、本当に本人かどうか確認するべきである。

SSOとは、関連する複数のサーバやアプリケーションなどにおいて、いずれかで認証手続きを一度 だけ行えば、関連する他のサーバやアプリケーションにもアクセスできること、またはそれを実現 するための機能のことである。

複数のハードディスクを組み合わせてデータの信頼性の向上や高速化を図る方法の 「ストライピン グ」と「ミラーリング」において、1台のハードディスクが故障してもデータの復旧が可能なのは 「ミラーリング」である。

フィッシングの対策として効果が高いのは、パスワードを英数字だけでなく記号を混ぜたり、でき るだけ長いものにすることである。

パスワードリスト攻撃とは、あるWebサイトから流出した利用者IDとパスワードのリストを用い て、他のWebサイトに対してログインを試行する攻撃である。

ランサムウェアに感染すると、被害者のパソコン内のファイルを勝手に暗号化したり、パソコンを 操作できなくしたうえで、ファイルなどを“人質”にして被害者を脅迫して元に戻すための代金を 払わせようとする。

ワームは、ネットワークを通じて他のコンピュータに伝染することを目的とした不正プログラムで、 メールの添付ファイルとして自動的に自分自身のコピーを拡散させるものやネットワークを利用し て次々に感染していくものなどがある。

磁気テープのLTO規格の第8世代 (LTO8) においては、最大800GBのデータを記録することがで きる。

フラッシュメモリは、読み取りと書き換えが可能であり、電源を切ってもデータが消えない不揮発 性の半導体メモリで、理論上は書き換え回数に制限はなく、何度でも書き換えが可能である。

バックアップ方法には、(a) バックアップや ( b ) バックアップがある。 (a) バックアップは、システム上のすべてのデータをバックアップすることで、システムで利用しているデータの量によっては、非常に長い時間がかかることがある。 (b) バックアップは、(a) バックアップを行った後に変更されたデータのみをバックアップの 対象とする。変更されたデータのみをバックアップするため、(a) バックアップに比べ時間がか からない。 バックアップは、機器の故障や人為的なミスなどでのデータの破損に備えてデータを複製している ので、データの破損の際には復元作業を行う。このように、バックアップしたデータを元に戻すことを (c) という。

(a)は、利用者に気づかれないようにひそかにコンピュータに侵入して、何らかのきっかけ により動作する悪質なプログラムの総称で、ワームやトロイの木馬、(b)などが含まれる。 このうち、トロイの木馬は、コンピュータシステムのセキュリティを回避するよう設計されたプロ グラムで、一見無害なプログラムを装う。トロイの木馬には、別のプログラムを装ってセキリティ 対策を回避したり、プログラムのソースコードのコピーを利用して ( c ) を開けたりセキュリ ティ侵害を行ったりするものがある。

セキュリティソフト (ウイルスソフト)においては( )を自動に更新するように常に最新の状態にし おく重要である

OSやソフトウェアの修正プログラム提供前のぜい弱性を悪用してウイルス感染させる攻撃を( )という

ハッシュ値を生成する際などに、パスワードに付加するランダムな文字列ことを( )という

無線端末が接続できるアクセスポイントを識別するために使用する ( )は、暗号化されていないために、盗聴の危険がある。

WPAとは( )である。

踏み台とは、大量の迷惑メールやウイルスつきのメールを送る際に、( ) ことである。

Cookieの説明に該当するものはどれか。

公開鍵暗号方式に関する記述のうち、誤っているものはどれか。

スマートデバイスには明確な定義があるわけではなく、一般的にはインターネットに接続でき、さまざまなアプリケーションソフトを利用できる、スマートフォンやタブレット端末といった携帯型 の多機能端末を指す。