問題一覧
1
ユーザ環境の管理 ネットワーク利用者に制限をかけること。 ( )や( )に関する制限 不要な( )の( )に関する制限 ( )やデスクトップなどの( )に関する制限
アカウントロック, パスワード, ソフトウェア, 実行, リームバブルディスク, アクセス
2
サーバのパフォーマンス監視 サーバが適切に稼働しているか把握するために行う サーバで実行中の( ) サーバの( )や( )の利用状況 ( )の利用状況
サービスの稼働状況, CPU, メモリ, ストレージデバイス
3
情報システムにまつわるリスクに適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検•評価•点検すること。
システム監査
4
システム監査を行うもの。監査対象部門から独立している必要があり、客観的な立場で公正な、判断を行う態度や、高い理論感も求められる。
システム監査人
5
システム監査の実施手順 () 効率的に実施するため計画を策定する () 資料収集やインタビューを行い実態を 把握する () 結論のための監査証拠などを収集する () 監査対象や業務が妥当であるかを判断 する () 監査結果を報告し、フォローアップする
監査計画の立案, 予備調査, 本調査, 評価、結論, システム監査報告、フォローアップ
6
システム監査人が、あらかじめ監査対象に応じて調整して作成した チェックリスト形式の質問票に対して、関係者から解答を求める。
チェックリスト法
7
監査証拠を入手するために、関連する資料および文書類を入手し、 内容を点検する。
ドキュメントレビュー法
8
実体を確かめるために、直接関係者に口頭で問い合わせ、回答を入手する。
インタビュー法
9
データの生成から入力、処理、出力、活用までのプロセス、および 組み込まれているコントロールを書面上または実際に追跡する。
ウォークスルー法
10
関連する複数の証拠資料を突き合せること。記録された最終結果について、原子資料まで遡って起因となった事象と突き合わせる。
突合•照合法
11
システム監査人が被監査部門などに直接おもむき、対象業務の流れ などの状況を、自ら観察・調査する。
現地調査法
12
監査対象ファイルの検索、抽出、計算など、システム監査上使用頻度の高い機能に特化し、かつ、簡単な操作で利用できる支援専用のソフトウェアを利用してシステム監査を実施する。
コンピュータ支援監査技法
13
一般ユーザーのアクセス権、または無権限でテスト対象システムへの侵入を試み、システム資源が守られているかを確認する技法。
ペネトレーションテスト法
14
健全かつ効率的な組織運営のための体制を企業などが自ら構築して運用するしくみのこと。
内部統制
15
内部統制のうち、IT に関連する内容を統制するためにシステムやシステムに関連する業務について、ルールやしくみなどを整備・実施すること。
IT統制
16
・内部統制 … ( ) の明確化、職務 ( ) 、実施ルールの設定、 ( ) の確立など
業務プロセス, 分掌, チェック体制
17
・IT統制 … システムを使って業務を統制する( )や、システム開発から運用まで を含めた( )など。
IT業務処理統制, IT全般統制
18
利用する権利の無いものが、企業の情報システムや個人の情報端末に、無断で侵入する行為。
不正アクセス
19
企業の情報システムなどのセキュリティ対策を破壊あるいは無効化して侵入し、無断でシステムを利用したり破壊したりする悪意あ る行為。
クラッキング
20
情報セキュリティの三原則の 1 つ。企業の内部情報や個人情報等にアクセスする権利がない人には情報を操作させないようにし、外部 に情報を流出させないこと。
機密性
21
情報セキュリティの三原則の 1 つ。情報が外部の第三者に意図しない内容に書き換えられないようにし、最新で正しく使えること。
完全性
22
情報セキュリティの三原則の 1 つ。必要な情報へのアクセス権限を持っている人に対していつでも利用可能にし、必要なときにアクセ スすることができること。
可用性
23
ビジネス活動の継続を阻害する脅威に対して、企業の事業活動を継続的に行うことができるように計画すること。
事業継続計画
24
システム等のセキュリティ上の欠陥。人的なもの等も含まれる。
脆弱性
25
システムやソフトウェア等のセキュリティ上の技術的な欠陥。
セキュリティホール
26
不正は、動機、機械、正当化がすべて揃うと発生するという考え方。
不正のトライアングル
27
人間の心理的な隙やミスを狙い、パスワードなどの個人情報を、機器を使用せずに不正に入手する行為。
ソーシャルエンジニアリング
28
各種コンピュータや通信機器などの装置が一括して設置、運用されている施設。
データセンター
29
入室記録がない人に対して退室を許可しないしくみ。
アンチパスバック
30
悪意のあるソフトウェアの総称。
マルウェア
31
マクロ機能を悪用したウイルスの一種。
マクロウイルス
32
ミミズなどの意味があり、ファイルに寄生せず、単体で実行する。
ワーム
33
外部から遠隔操作を行うための侵入口。
バックドア
34
有用なソフトウェアを装って正常な動作に見せかけ、裏で悪意ある動作を行う。
トロイの木馬
35
攻撃者の指示を待ち、遠隔操作で動作を行う。感染した世界中のコンピュータで構築されたネットワークをボットネットという。
ボット
36
ファイルを勝手に暗号化し、復号と引き換えに金銭を要求する。
ランサムウェア
37
パスワードを不正に探り出すこと。様々な手法がある。
パスワードクラック
38
力づくや強引という意味。すべてのパターンを試す手法。
ブルートフォースアタック
39
入手したアカウントリストに対して単純なパスワードを試す手法。
リバースブルートフォースアタック
40
辞書や人名など、設定しそうな文字列を試す手法。
辞書攻撃
41
入手したアカウントリストを使って他のサービスへのアクセスを試す手法。
パスワードリスト攻撃
42
利用者がよく使う Web サイトにスクリプトを仕込み、利用者のブラウザで実行させる攻撃手法。
クロスサイトスプリプティング
43
SQL を利用した Web サイトで不正な SQL を送る攻撃手法。
SQLインジェクション
44
標的の Web サイト上に、目に見えないリンクを設置し、クリックさせる攻撃手法。
クリックジャッキング
45
IP アドレスを偽装して他人になりすまし、不正を行う攻撃手法。
IPスプーフィング
46
IP アドレスと URL の一部のドメイン名を対応付ける DNS のしくみを悪用した攻撃手法。
キャッシュポイズニング
47
大量のパケットを送り付けてサーバの負荷を増やす攻撃手法。
Dos攻撃
48
世界中のコンピュータから一斉に標的のコンピュータに大量のパ ケットを送り付ける攻撃。世界中のコンピュータから一斉に標的のコンピュータに大量のパ ケットを送り付ける攻撃。
DDos攻撃
49
特定のメールアドレスに大量のメールを送り付ける攻撃。
電子メール爆弾
50
特定の企業や団体に対して行われるサイバー攻撃。
標的型攻撃
51
標的型攻撃の 1 つ。ターゲットがよく閲覧する Web サイトに不正なプログラムを埋め込む攻撃手法。
水飲み場攻撃
52
ソフトウェアの新たなセキュリティホールが発見され、公表される前に攻撃を行う手法。
ゼロデイ攻撃
53
火災や地震などの天災による( )
財産損失
54
自社の信用失墜あるいはブランド力の低下による( )
純利益の喪失
55
自社製品が顧客に対して不利益を起こしたときの賠償責任などの( )
責任損失
56
従業員の事故などによる( )
人的損失
57
業務活動全般で起こる( )
オペレーションリスク
58
商品供給一連の工程における委託先などで起こる( )
サプライチェーンリスク
59
SNS による( )のリスク
情報発信
60
情報資産へのリスクを調査し分析する作業を情報セキュリティ( )という。
リスクアセスメント
61
脅威のもとを除去し、リスクを発生させない( )
リスク回避
62
リスクを移転したり、複数に分散したりする( )
リスク共有
63
脆弱性の対策など、発生の可能性を低くする( )
リスク低減
64
影響が小さいためリスク自体を許容する ( )
リスク保有
65
サイバーセキュリティに関する施策の基本理念を定めたもの。
サイバーセキュリティ基本法
66
他人の情報端末に許可なく不正にアクセスする行為を禁じる法律。
不正アクセス禁止法
67
個人情報を扱う事業者へ、情報の取扱に関する責務を定めた法律
個人情報保護法
68
Web に発信された情報で個人の人権等が侵害された場合に、サイト運営者やプロバイダの責任を免除し、発信者の情報を削除したり 開示したりできることを定めた法律。
プロバイダ責任制限法
69
利用者の同意を得ず無差別に送信する迷惑メールを規制する法律。
特定電子メール方法
70
企業や組織において情報セキュリティ対策の方針を定めた指針。基本方針、対策基準、実施手順の三階層で構成される。
情報セキュリティポロシー
71
システムなどに被害を及ぼすような事象のこと。解決すべき課題。
インシデント
72
インシデントに対応する部署やプロジェクトチーム
CSIRT
73
ネットワーク監視やインシデントへの対応策のアドバイスを行う。
SOC