過去問48回

82問 • 2年前

問題一覧

JIS Q 27000:2019 において、「情報セキュリティリスク」は、脅威が情報資産の脆弱性または、情報資産グループの脆弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じると定義されている。

◯

コーポレートガバナンスは、企業統治とも呼ばれ、「業務の有効性・効率性」、「財務報告の信頼性」、「事業活動に関わる法律等の遵守」、「資産の保全」の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスを言う。

情報セキュリティポリシーの構成要素の一つである「情報セキュリティ基本方針」は情報セキュリティ対策に対する根本的な考えを表すものであり、情報セキュリティ対策の目的、対象範囲などを盛り込み、組織の情報セキュリティに対する基本的な考え方を定めている

◯

リスクアセスメントは、リスクの特定、リスク分析及びリスク評価のプロセス全体を指すものである。これらのうち、リスクの特質を理解し、リスクレベルを決定するプロセスは、リスク分析である。

◯

リスク対応を、リスクファイナンスとリスクコントロールに分類した場合、リスクファイナンスの具体例として、高額で高性能なサーバを導入し、セキュリティ強度を高めることなどが挙げられる。

違法配信されたものであると知りながら、映像や音楽をダウンロードする行為については、商用目的ではなく個人的に利用する目的に限定されていれば、「著作権法」に抵触する行為には該当しない。

技術やノウハウ等の情報が「営業秘密」として「不正競争防止法」で保護されるためには、秘密管理性・有用性・非公知性の3つの要件を全て満たす必要がある。

◯

OECD プライバシー・ガイドラインの8原則のうち、「目的明確化の原則」では、データ自体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならないとしている。

正当な理由がないのに、その使用者の意図とは無関係に勝手に実行されるようにする目的で、コンピュータウイルスやコンピュータウイルスのプログラム(ソースコード)を作成、提供する行為は、「刑法」における不正指令電磁的記録作成及び提供の罪に該当し、処罰の対象となる。

◯

「個人情報の保護に関する法律」(以下、個人情報保護法)における「個人情報」には、防犯カメラに記録された情報などの本人の判別が出来る映像情報や、本人の氏名が含まれるなどの理由により、特定の個人を識別できる音声記録情報などが該当する

◯

JIS Q 27000:2019 における情報セキュリティの要素とその定義を次の表に示す。 (a)エンティティは、それが主張するとおりのものであるという特性 (b)主張された事象又は処置の発生、及びそれらを引き起こしたエンティティを証明する能力 (c)意図する行動と結果とが一貫しているという特性

工:(a)真正性 (b) 否認防止 (c)信頼性

「個人情報保護法」における「個人識別符号」とは、情報単体から特定の個人を識別できるものとして、「個人情報保護法施行令」に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は (a) となる。例えばバイオメトリクス認証における認証情報や、(b) 運転免許証の番号、住民票コード、国民健康保険の被保険者証番号などが該当するが、(c)は該当しない。

ウ:(a)個人情報 (b) パスポートの番号(c) クレジットカード番号

( )とは、個人情報を取り扱う組織において、個人データの安全管理の実施及び運用に関する責任及び権限を有する者として任命される、個人情報保護管理者のことである。

ウ: CPO

「知的財産権」のうち、特許権、実用新案権、( )、商標権を「産業財産権」という

イ: 意匠権

ISMS をサイクルを継続的に推進していく手法である PDCAサイクルにおいて( )を行うのは Check プロセスである。

イ: 情報セキュリティポリシーの遵守状況の確認

一般的に、情報セキュリティポリシーの策定手順として、まず組織と体制の確立を行い次に情報セキュリティ基本方針の策定を行う。続いて( )を行い、その後のリスク分析を行う。

ウ:情報資産の洗い出しと分類

リスク対策の手法の一つである「リスクの移転」の具体例として、( )することなどが挙げられる。

イ: 社内システムの運用業務を、専門業者にアウトソーシング

「特許法」において、保護の対象になるのは( )である。

ア:物の発明や物を生産する方法の発明

情報セキュリティの7要素に関する記述のうち「完全性」の具体例に該当するのはどれか。

エ: 情報システムの危機の設定内容が、不正に書き換えられないようにする

OS とは、多くのアプリケーションソフトウェアで共通して利用される基本機能を提供し、コンピュータシステム全体を管理するソフトウェアのことで、広く利用されているOSとして、Windows や MacOS などが挙げられる。

◯

パラレルインターフェースとは、1本の信号で 1bit ずつを順次送る直列データ転送方式のことである。一度に転送できるデータ量は少なくなるが、仕組みが単純であるため、データを高速に転送できるという特徴がある。

主記憶装置とは、CPUプログラムを実行する際に直接使用する記憶装置のことで、アドレス部、記憶部、制御部から構成される。

◯

光ディスクの一種である BD (Blu-ray Disc) のうち、BD-RE はデータの追記が可能であるが、消去や書き換えはできない

EUC とは、ISO IEC が制定した、世界各国の言語体系に対応した文字コードで、各文字にはコードポイントと呼ばれる一意の番号が割り振られ管理されている。

LAN のトポロジの一つであるリング型は、中心に交換機のような各回線を集中管理する装置を置き、制御を行う方式である。

関係データベースでは、行と列からなるテーブル形式ではデータを表現し、データ操作する際には、SQLなどを利用する。

◯

VRとは、コンピュータが作り出した仮想的な映像などの情報を、現実のカメラ映像に重ねて、表示したりすることで、現実そのものを拡張する技術のことである。

情報リテラシとは、情報を活用できる能力のことであり、業務に必要なデータを検索することや、分析や改善などの目的に合わせてデータを活用することなどが該当する。

◯

EC(電子商取引)は、取引主体の類型により、BtoBやBtoC、CtoC、BtoG、BtoEなどに分類され、例えば、オンラインショッピングやオンラインバイキングなど BtoE に分類される

CPUに内蔵された、小容量で高速に動作する記憶素子は、次のうちどれか。

ア:レジスタ

10 進数の「4」を2進数で表したものは、次のうちどれか

ウ:0100

静止画の圧縮方式を策定する組織及びその圧縮方式の名称のことであり、デジタルカメラなどで撮影した写真の保存形式として

ア:JPEG

テキストベースでタグを使って文章の構造や見栄えを指定することができ、ユーザが独自のタグを定義できるため、マークアップ言語を作成するためのメタ言語ともいわれているマークアップ言語は、次のうちどれか。

ウ:XML

赤外線を利用した近距離データ通信として1993年に制定された規格、および規格を制定した団体の名称は次のうちどれか。

エ: IrDA

縦と横の二方向に情報を記録させたマトリックス型二次元コードで、コンサートやイベントなどの電子チケットとして用いられたり、工場や物流管理などに利用されているのは、次のうちどれか。

イ:QRコード

(a): メールサーバ間での電子メールの送受信や、クライアントからの電子メールの送信を行うプロトコルである。 (b): コンピュータ間でファイルを送受信するときに使用するプロトコルである。 (c): IP ネットワーク上で、ネットワーク機器の監視と制御を行うためのプロトコルである。

エ: (a) SMTP (b) FTP (c) SNMP

(a): 主に表計算ソフトやデータベースソフトのテキストデータの保存形式として使用されているファイル形式であり、異なるアプリケーションソフト間でのデータの受渡しに利用される。 (b): 文字情報だけではなく、フォントや文字のサイズ、文字飾り、埋め込まれた画像などの情報が保存できるファイル形式であり、コンピュータの機種や環境、OSなどに依存せずにオリジナルとほぼ同じ状態で文章や画像などの閲覧が可能である。 (c): 広く普及している音声圧縮方式であり、音楽CDに匹敵する音質を保ちながら、大幅に容量を圧縮できるという特徴を持つ。インターネット配信や、携帯音楽プレーヤーなどに保存する際に多く使われている。

ウ:(a) CSV (b) PDF (c) MP3

コンピュータなどで用いられる単位に関する記述のうち、正しいものはどれか。

エ: PV とは、Web サイトまたは特定の Web ページにおけるアクセス数の単位の一つであり、どの程度閲覧されているかを測るための一般的な指標である

【自動認識技術】( )とは、物体の識別に必要な情報などが記憶されている小型の無線ICチップによって、電波や電磁波で管理システムと情報を送受信する仕組みである。バーコードとは異なり、離れた位置から処理できるほか、複数のタグを同時に認識でき、バーコードと比較すると多くの情報を持つことが可能でありICタグ、無線タグや電子荷札、電子タグなども呼ばれることもある。

イ: RFID

リスクコントロールの手法に関する記述のうち誤っているものはどれか。

ウ:「リスク最適化」は損失が発生した場合に、その損失の度合いを小さくする手法である

プリンタ機能やFAX機能、コピー機能などが搭載されている複合機のセキュリティ対策として、FAX による誤送信を防ぐため、テンキーからFAX番号を直接入力して送信する場合は、確認のために同じ番号を複数回入力し、複数回入力した番号が一致しないときは送信されないような機能を導入する。

◯

重要度が高い情報を扱う部屋には、個人所有のパソコンやスマートフォン、タブレット、USBメモリなどの機器や媒体の持込みを禁止する。なお、音楽プレイヤーについては、音声を取り扱う機器であるため、持込み禁止の対象とする必要はない。

コンピュータや周辺機器などにセキュリティワイヤーを装着する主な目的は、通信ノイズの低減や通信障害を低減することである。製品によっては、使用していないポートを塞いで、ケーブルの不正な接続などを防止することができるものもある。

バイオメトリクス認証の方式の一つである顔認証は、非接触・非拘束での認証や離れた場所からの認証も可能である。認証に用いる装置として一般的なWebカメラも利用可能であり、入出国管理や重要施設の監視、イベント会場での入場管理など、さまざまな場所で導入されている。

◯

ヒューマンエラーの具体例として、悪意をもって偽りの情報をSNSへ投稿することや、愉快犯によるチェーンメールの配信などが挙げられる。

情報セキュリティに関する教育及び訓練は、正社員だけではなく、長期にわたり雇用する契約社員も対象とする。ただし、パートやアルバイト、短期雇用の契約社員については、教育及び訓練は希望者のみに対して行うようにして、これらの受講を義務付けなくてもよい。

Webサービスとして提供されている短縮URLサービスを利用することにより、URLをアルファベット数文字程度に短くすることができる。便利な反面、一見しただけでは、どのようなWebサイトにリンクされているか判断がつきにくいというデメリットがある。

◯

SNSを活用している法人がとるべき対策の一つとして、自社のWebサイトで公式アカウントを公開しておくことが挙げられる。これによって、悪意ある第三者が作成した類似のSNSアカウントに、利用者が誤って誘導されることを防げるようになる。

◯

スマートフォンなどのモバイル端末の紛失・盗難対策の一つであるローカルワイプとは、端末のロックを解除するパスコードの入力を一定回数以上間違えると、端末内のデータが消去される機能のことである。

◯

自然災害の脅威の一つである雷サージとは、落雷の際、電線などに瞬間的に高い電圧が発生する現象であり、過電流が通信ケーブルなどを伝って屋内に侵入し、コンピュータや通信機器などを損傷させる場合もある。

◯

( a ) とは、パスワードや個人情報などの重要な情報を、技術的な攻撃をしかけずに不正に収集する手法であり、その多くは、人の心理的・社会的な弱点や盲点を利用する。代表的な手法として、なりすましや ( b )、( c ) などがある。 (b)は、パスワードや個人情報などを入力している画面を背後から盗み見ることによって、その内容を不正に入手する手法である。一方、(c)は、ごみ箱をあさるなどして、廃棄されている書類やメモなどから、ネットワークの構成図や内線表、サーバやルータの設定情報などを収集する手法である。

エ: (a) ソーシャルエンジニアリング(b) ショルダーハッキング(c) トラッシング

ビルやオフィスなどの出入り口では、認証によって入室を許可された人の後ろについて、認証を受けずに入室してしまう (a)の脅威が存在する。そのため、(b)やスイングゲートなどのセキュリティゲートを設けることにより、不正侵入の脅威の可能性を減らすことができるようになる。

ウ: (a) ピギーバック(b) サークルゲート

守秘義務契約とは、知り得た重要な情報を第三者に漏えいさせないことなどを約束させる目的で取り交わされるものであり、非開示契約や ( ) などとも呼ばれる。

ウ: NDA

スマートフォンの盗難・紛失対策として、SIMカードの不正利用を防ぐために、( ) によるロックを行う。

イ: PINコード

オフィス内での対策として、情報セキュリティにおけるクリアデスクの原則に従い、( )ことが可能となる。

エ: 退出して帰宅する際は、使用していた重要な書類は所定のキャビネットなどで保管・施錠することにより、紛失や盗難を防ぐ

セキュリティレベルごとに部屋やフロアを分ける対策である物理的分離の一例として、( )ことが挙げられる。

ウ:来客用応接室とサーバ室を隣接させない

スマートフォンに対してジェイルブレイクやルート化を行うことにより、( )。

イ: 不正プログラム感染の危険性が高まる

バックアップサイトの一つであるコールドサイトは、( ) 形態である。

ア:必要最低限の機材と空調や電気などの設備環境のみの

紙媒体の利用・管理に関する記述のうち、不適切なものはどれか。

ウ:書類については、重要度が高いものと低いものとが一目で判別できるよう、ラベリングして管理する。また、使用頻度が低く重要度が高い書類と、使用頻度が高く重要度が低い書類を管理する場合は、管理主管部署が同一であれば、これらを分離せずに保管する。

重要度が高い情報が含まれる書類を移送する際の対策に関する記述のうち、不適切なものはどれか。

エ:運送業者を利用する場合は、位置情報を確認できる追跡サービスや、専用のセキュリティポックスなどを利用する。また、個人情報保護の観点から、配達伝票(送り状)の宛先には社名のみを記入し、担当者の部署名や個人名は記入するべきではない。

パスワードに対する脅威の1つで、パスワードを固定し、利用者IDを次々に変えてログインを試すことで、当該パスワードを使用している利用者として不正にログインする攻撃手法を、リバースエンジニアリングという。

電話で「部長の○○だが、システムにログインするIDとパスワードを教えてくれるかね」と問い合わせがあったとしても、ソーシャルエンジニアリングの1つであるスキャベンジングの可能性もあるため、本当に本人かどうか確認するべきである。

SSOとは、関連する複数のサーバやアプリケーションなどにおいて、いずれかで認証手続きを一度だけ行えば、関連する他のサーバやアプリケーションにもアクセスできること、またはそれを実現するための機能のことである。

◯

複数のハードディスクを組み合わせてデータの信頼性の向上や高速化を図る方法の「ストライピング」と「ミラーリング」において、1台のハードディスクが故障してもデータの復旧が可能なのは「ミラーリング」である。

◯

フィッシングの対策として効果が高いのは、パスワードを英数字だけでなく記号を混ぜたり、できるだけ長いものにすることである。

パスワードリスト攻撃とは、あるWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する攻撃である。

◯

ランサムウェアに感染すると、被害者のパソコン内のファイルを勝手に暗号化したり、パソコンを操作できなくしたうえで、ファイルなどを“人質”にして被害者を脅迫して元に戻すための代金を払わせようとする。

◯

ワームは、ネットワークを通じて他のコンピュータに伝染することを目的とした不正プログラムで、メールの添付ファイルとして自動的に自分自身のコピーを拡散させるものやネットワークを利用して次々に感染していくものなどがある。

◯

磁気テープのLTO規格の第8世代 (LTO8) においては、最大800GBのデータを記録することができる。

フラッシュメモリは、読み取りと書き換えが可能であり、電源を切ってもデータが消えない不揮発性の半導体メモリで、理論上は書き換え回数に制限はなく、何度でも書き換えが可能である。

バックアップ方法には、(a) バックアップや ( b ) バックアップがある。 (a) バックアップは、システム上のすべてのデータをバックアップすることで、システムで利用しているデータの量によっては、非常に長い時間がかかることがある。 (b) バックアップは、(a) バックアップを行った後に変更されたデータのみをバックアップの対象とする。変更されたデータのみをバックアップするため、(a) バックアップに比べ時間がかからない。バックアップは、機器の故障や人為的なミスなどでのデータの破損に備えてデータを複製しているので、データの破損の際には復元作業を行う。このように、バックアップしたデータを元に戻すことを (c) という。

エ: (a) フル(b) 差分(c) リストア

(a)は、利用者に気づかれないようにひそかにコンピュータに侵入して、何らかのきっかけにより動作する悪質なプログラムの総称で、ワームやトロイの木馬、(b)などが含まれる。このうち、トロイの木馬は、コンピュータシステムのセキュリティを回避するよう設計されたプログラムで、一見無害なプログラムを装う。トロイの木馬には、別のプログラムを装ってセキリティ対策を回避したり、プログラムのソースコードのコピーを利用して ( c ) を開けたりセキュリティ侵害を行ったりするものがある。

エ: (a) マルウェア(b) コンピュータウイルス(c) バックドア

セキュリティソフト (ウイルスソフト)においては( )を自動に更新するように常に最新の状態にしおく重要である

エ: パターンファイル

OSやソフトウェアの修正プログラム提供前のぜい弱性を悪用してウイルス感染させる攻撃を( )という

ア: ゼロデイ攻撃

ハッシュ値を生成する際などに、パスワードに付加するランダムな文字列ことを( )という

ア: ソルト

無線端末が接続できるアクセスポイントを識別するために使用する ( )は、暗号化されていないために、盗聴の危険がある。

イ: ESSID

WPAとは( )である。

エ: WEPのぜい弱性を改良するために作成された、無線LANの暗号規格やプロトコルなどの総称

踏み台とは、大量の迷惑メールやウイルスつきのメールを送る際に、( ) ことである。

ア:送信元を偽装するためにまったく関係のない第三のメールサーバに中継させる

Cookieの説明に該当するものはどれか。

ア:アクセスを行ったWebサイトからプラウザに送信されるデータのことである。

公開鍵暗号方式に関する記述のうち、誤っているものはどれか。

ア:公開鍵暗号方式では、暗号化に公開鍵を使い、復号に共通鍵を使うため、複数の送信相手に対して同じ鍵で暗号化を行い、データを送信することができる。

スマートデバイスには明確な定義があるわけではなく、一般的にはインターネットに接続でき、さまざまなアプリケーションソフトを利用できる、スマートフォンやタブレット端末といった携帯型の多機能端末を指す。

◯

ビッグデータを特徴付けるものとして、「3つのV (Volume、Variety、Velocity)」という概念が広く知られているが、4つ以上のVが列挙されているケースも見られる

◯

第8回DX推進アドバイザー認定試験

ちびすけ · 100問 · 1年前

第8回DX推進アドバイザー認定試験