暗記メーカー

暗記メーカー

ログイン
セキュリティ
64問 • 4ヶ月前
  • akari
    • 通報

    問題一覧

  • 1

    情報セキュリティに関する対策a~dのうち、マルウェアに感染することを防止するための対策として、適切なものだけを全て挙げたものはどれか

    マルウェア対策ソフトの導入, セキュリティバッチ(修正モジュール)の適用

  • 2

    マルウェア対策ソフトの適切な運用方法はどれか。

    導入後もマルウェア定義ファイルの更新を継続して行う。

  • 3

    セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり、外出で使用したPCを会社に持ち帰った際に、マルウェアに感染していないことなどを確認するために利用するものはどれか。

    検疫ネットワーク

  • 4

    職場でのパスワードの取り扱いに関する記述a~dのうち、適切なものだけを全て挙げたものはどれか。

    個人用パスワードはシステム管理者にも教えない。, パスワードを第三者に知られた可能性がある場合には、すぐに変更する。, 付与された初期パスワードは、最初にログインした時に変更する。

  • 5

    電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術として、適切なものはどれか。

    アクセス制御

  • 6

    デジタルフォレンジックスの活動に含まれるものはどれか。

    インシデントの原因究明に必要となるデータの収集と保全

  • 7

    ネットワークにおいて、外部からの不正アクセスを防ぐために内部ネットワークと外部ネットワークの間に置かれるものはどれか。

    ファイアウォール

  • 8

    無線LANの通信は電波で行われる、適切なセキュリティ対策が欠かせない。無線LANのセキュリティ対策のうち、無線LANアクセスポイントで行うセキュリティ対策ではないものはどれか。

    パーソナルファイアウォールを導入する。

  • 9

    家庭内で、ブロードバンドルータのIPマスカレード機能を利用してPCをインターネットに接続するとき、期待できるセキュリティ上の効果の記述のうち、適切なものはどれか。

    インターネットからの不正侵入に対する防止効果

  • 10

    ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。

    運用担当者のセキュリティ意識が低い。

  • 11

    会社や団体が、自組織の従業員に貸与するスマートフォンに対して、セキュリティポリシーに従った一元的な設定をしたり、業務アプリケーションを配信したりして、スマートフォンの利用状などを一元管理する仕組みはどれか。

    MDM (Mobile Device Management)

  • 12

    生体認証による入退室管理システムに全社員を登録し、社内の各部屋に入室を許可する社員を設定した。体質は管理していない。a~dの記述のうち、この入退室管理システムで実現出来ることだけをすべて挙げたものはどれか。

    権限のある社員だけに入室を許可する。, 入室を試みて、拒否された社員を記録する。

  • 13

    SSLに関する記述のうち、適切なものはどれか。

    通信の暗号化を行うことによって、通信経路上での通信内容の漏洩を防ぐ。

  • 14

    SMTP-AUTH(SMTP Service Extention for Authentication)における認証の動作を説明したものはどれか。

    SMTPサーバは、クライアントがアクセスしてきた場合に利用者認証を行い、認証が成功した時電子メールを受け付ける。

  • 15

    WAF(Web Application Firewall)を利用する目的はどれか。

    Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。

  • 16

    情報セキュリティ基本方針、又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており、企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。

    情報セキュリティポリシー

  • 17

    情報セキュリティの基本方針に関する記述のうち、適切なものはどれか。

    情報セキュリティに対する組織の取組みを示すもので、経営層が承認する。

  • 18

    JPCERT-CCの説明はどれか。

    特定の政府機関や企業から独立した組織であり、国内のコンピュータセキュリティインシデントに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止策の検討や助言を行っている。

  • 19

    組織の活動に関する記述a~dのうち,ISMSの特徴として、適切なものだけを全て挙げたもの はどれか。

    一過性の活動でなく改善と活動を継続する。, 導入及び活動は経営層を頂点とした組織的な取組みである。

  • 20

    情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、点検フェーズで実施するものはどれか。

    ISMSの監視及びレビュー

  • 21

    ISMS 適合性評価制度において、ISMS認証機関が認証の基準として用いる ISMS の管理目的及び管理策を規定したものはどれか。

    ISO/IEC 27001 (JIS Q 27001)

  • 22

    リスクマネジメントに含まれる四つのプロセスであるリスク対応,リスク特定、リスク評価。 リスク分析を実施する順番として、適切なものはどれか。

    リスク分析→リスク特定→リスク対応→リスク評価

  • 23

    リスクアセスメントに関する記述のうち,適切なものはどれか。

    以前に洗い出された全てのリスクへの対応が完了する前に、リスクアセスメントを実施することは避ける。

  • 24

    ISMSにおけるセキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。

    セキュリティ対策を行って、問題発生の可能性を下げた。

  • 25

    物理的セキュリティ対策の不備が原因となって発生する情報セキュリティインシデントの例と して、最も適切なものはどれか。

    Dos攻撃を受け、サーバが停止する。

  • 26

    “情報セキュリティ管理基準”に基づいて策定された雇用契約に関する規定として、適切でな いものはどれか。

    定められた守秘責任を果たさなかった場合、相応の処置がとられることを、雇用契約に定めている。

  • 27

    社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。

    脂弱性検査ソールを利用して、サーバの脆弱性を確認する

  • 28

    サイバーセキュリティ基本法に関する記述として、適切なものはどれか。

    国民に対し、サイバーセキュリティの重要性につき関心と理解を深め、その確保に必要な注意を払うよう務めることを求める規定がある。

  • 29

    不正アクセス禁止法で禁止されている行為はどれか。

    電気通回線を通じてアクセス制御されたコンピュータを不正利用する行為

  • 30

    刑法における、マルウェアに関する罪となるものはどれか。

    他人が作成したマルウェアを発見し、後日これを第三者のコンピュータで助させる目的で保管した。

  • 31

    ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。

    TCP23番ポートはIoT機器の操作用プロトコルで使用されており、そのプロトコルを用いると、初期パスワードを使って不正ログインが容易に成功し、不正にIoT機器を操作できることが多いから

  • 32

    シャドーITに該当するものはどれか。

    IT部門の許可を得ずに、従業員又は部門が業務に利 用しているデバイスやクラウドサービス

  • 33

    BYODの説明、及びその情報セキュリティリスクに関する記述のうち、適切なものはどれか。

    従業員が私的に保有する情報端末を業務に利用することであり、セキュリティ設定の不備に起因するウイルス感染などの情報セキュリティリスクが増大する。

  • 34

    CRYPTRECの役割として、適切なものはどれか。

    電子政府での利用を推奨する暗号技術の安全性を評価,監視する。

  • 35

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における、トップマネジメントに関する記述として、適切なものはどれか。

    組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよい。

  • 36

    IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)に記載されている,基本方針,対策基準、実施手順から成る組織の情報セキュリティポリシーに関する記述のうち、適切なものはどれか。

    組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。

  • 37

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)では、リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいる

    リスク所有者

  • 38

    A社は、情報システムの運用をB社に委託している。当該情報システムで発生した情報セキュリティインシデントについての対応のうち、適切なものはどれか。

    情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために、あらかじめ定めた連絡経路に従ってB社から連絡した。

  • 39

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における"リスクレベル"の定義はどれか。

    結果とその起こりやすさの組合せとして表現される,リスクの大きさ

  • 40

    a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか

    リスクによって引き起こされる事象, リスクによって引き起こされる事象の原因及び起こり得る結果, リスクを顕在化させる可能性をもつリスク源

  • 41

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)におけるリスク評価についての説明として、適切なものはどれか。

    リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス

  • 42

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)に従ったリスク評価において、情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するものはどれか。

    組織の情報セキュリティのリスク基準

  • 43

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,リスクを受容するプロセスに求められるものはどれか。

    受容するリスクについては、リスク所有者が承認すること

  • 44

    リスク対応のうち、リスクファイナンシングに該当するものはどれか。

    システムが被害を受けるリスクを想定して、保険を掛ける。

  • 45

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において、情報セキュリティ目的をどのように達成するかについて計画するとき、"実施事項","責任者","達成期限”のほかに、決定しなければならない事項として定められているものはどれか。

    "必要な資源"及び"結果の評価方法"

  • 46

    JIS Q 27000:2019(情報セキュリティマネジメントシステムー用語)において、不適合が発生した場合にその原因を除去し、再発を防止するためのものとして定義されているものはどれか。

    是正処置

  • 47

    情報セキュリティ管理を推進する取組みa~dのうち、|PA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"において、経営者がリーダーシップを発揮し自ら行うべき取組みとして示されているものだけを全て挙げた組合せはどれか。

    情報セキュリティ対策の有効性を維持するために、対策を定期又は随時に見直す。, 情報セキュリティ対策を組織的に実施する意思を明確に示すために、方針を定める。, 情報セキュリティの新たな脅威に備えるために、最新動向を収集する。

  • 48

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。

  • 49

    JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち、適切なものはどれか。

    情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

  • 50

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の"サポートユーティリティに関する例示に基づいて、サポートユーティリティと判断されるものはどれか。

    サーバ室の空調

  • 51

    JPCERTICC "CSIRTガイド(2015年11月26日)では、CSIRTを活動とサービス対象によって六つに分類しており、その一つにコーディネーションセンターがある。 コーディネーションセンターの活動とサービス対象の組合せとして,適切なものはどれか。

  • 52

    参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を、IPAが情報ハブになって集約し、参加組織間で共有する取組はどれか。

    J-CSIP

  • 53

    サイバーセキュリティ基本法に基づき、内閣官房に設置された機関はどれか。

    NCO

  • 54

    情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。

    ソフトウェアなどの脆弱性関連情報や対策情報

  • 55

    ソフトウェア製品の弱性を第三者が発見し、その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、"情報セキュリティ早期戒パートナーシップガイドライン(2019年5月)”に照らして適切なものはどれか。

    脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する。

  • 56

    PCIDSSv3.2.1において、取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち、適切なものはどれか。ここで、用語の定義は次のとおりとする。

  • 57

    共通弱性評価システム(CVSS)の特徴として、適切なものはどれか。

    情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない評価方法を提供する。

  • 58

    マルウェアの動的解析に該するものはどれか。

    検体をサンドボックス上で実行し、その動作や外部との通信を観測する。

  • 59

    ステガノグラフィはどれか。

    画像などのデータの中に、秘密にしたい情報を他者に気付かれることなく埋め込む。

  • 60

    SIEM(Security Information and Event Management) の機能はどれか。

    様々な機器から集められたログを総合的に分析し、管理者による分析を支援する。

  • 61

    A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。 新たなシステムを導入し、DMZ上に用意したVDI(VirtuaIDesktop Infrastructure)サーバにPCからログインし、インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照するように変更する。この変更によって期待できるセキュリティ上の効果はどれか。

    インターネット上のWebサイトから、内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。

  • 62

    UPSの導入によって期待できる情報セキュリティ対策としての効果はどれか。

    電源の瞬断に起因するデータの破損を防ぐ

  • 63

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。

    システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う。

  • 64

    退職する従業員による不正を防ぐための対策のうち、IPA"組織における内部不正防止ガイドライン(第4版)”に照らして,適切なものはどれか。

    退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

    • セキュリティ

    セキュリティ

    akari · 30問 · 8ヶ月前

    セキュリティ

    セキュリティ

    30問 • 8ヶ月前
    akari

    セキュリティ

    セキュリティ

    akari · 100問 · 4ヶ月前

    セキュリティ

    セキュリティ

    100問 • 4ヶ月前
    akari

    問題一覧

  • 1

    情報セキュリティに関する対策a~dのうち、マルウェアに感染することを防止するための対策として、適切なものだけを全て挙げたものはどれか

    マルウェア対策ソフトの導入, セキュリティバッチ(修正モジュール)の適用

  • 2

    マルウェア対策ソフトの適切な運用方法はどれか。

    導入後もマルウェア定義ファイルの更新を継続して行う。

  • 3

    セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり、外出で使用したPCを会社に持ち帰った際に、マルウェアに感染していないことなどを確認するために利用するものはどれか。

    検疫ネットワーク

  • 4

    職場でのパスワードの取り扱いに関する記述a~dのうち、適切なものだけを全て挙げたものはどれか。

    個人用パスワードはシステム管理者にも教えない。, パスワードを第三者に知られた可能性がある場合には、すぐに変更する。, 付与された初期パスワードは、最初にログインした時に変更する。

  • 5

    電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術として、適切なものはどれか。

    アクセス制御

  • 6

    デジタルフォレンジックスの活動に含まれるものはどれか。

    インシデントの原因究明に必要となるデータの収集と保全

  • 7

    ネットワークにおいて、外部からの不正アクセスを防ぐために内部ネットワークと外部ネットワークの間に置かれるものはどれか。

    ファイアウォール

  • 8

    無線LANの通信は電波で行われる、適切なセキュリティ対策が欠かせない。無線LANのセキュリティ対策のうち、無線LANアクセスポイントで行うセキュリティ対策ではないものはどれか。

    パーソナルファイアウォールを導入する。

  • 9

    家庭内で、ブロードバンドルータのIPマスカレード機能を利用してPCをインターネットに接続するとき、期待できるセキュリティ上の効果の記述のうち、適切なものはどれか。

    インターネットからの不正侵入に対する防止効果

  • 10

    ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。

    運用担当者のセキュリティ意識が低い。

  • 11

    会社や団体が、自組織の従業員に貸与するスマートフォンに対して、セキュリティポリシーに従った一元的な設定をしたり、業務アプリケーションを配信したりして、スマートフォンの利用状などを一元管理する仕組みはどれか。

    MDM (Mobile Device Management)

  • 12

    生体認証による入退室管理システムに全社員を登録し、社内の各部屋に入室を許可する社員を設定した。体質は管理していない。a~dの記述のうち、この入退室管理システムで実現出来ることだけをすべて挙げたものはどれか。

    権限のある社員だけに入室を許可する。, 入室を試みて、拒否された社員を記録する。

  • 13

    SSLに関する記述のうち、適切なものはどれか。

    通信の暗号化を行うことによって、通信経路上での通信内容の漏洩を防ぐ。

  • 14

    SMTP-AUTH(SMTP Service Extention for Authentication)における認証の動作を説明したものはどれか。

    SMTPサーバは、クライアントがアクセスしてきた場合に利用者認証を行い、認証が成功した時電子メールを受け付ける。

  • 15

    WAF(Web Application Firewall)を利用する目的はどれか。

    Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。

  • 16

    情報セキュリティ基本方針、又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており、企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。

    情報セキュリティポリシー

  • 17

    情報セキュリティの基本方針に関する記述のうち、適切なものはどれか。

    情報セキュリティに対する組織の取組みを示すもので、経営層が承認する。

  • 18

    JPCERT-CCの説明はどれか。

    特定の政府機関や企業から独立した組織であり、国内のコンピュータセキュリティインシデントに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止策の検討や助言を行っている。

  • 19

    組織の活動に関する記述a~dのうち,ISMSの特徴として、適切なものだけを全て挙げたもの はどれか。

    一過性の活動でなく改善と活動を継続する。, 導入及び活動は経営層を頂点とした組織的な取組みである。

  • 20

    情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、点検フェーズで実施するものはどれか。

    ISMSの監視及びレビュー

  • 21

    ISMS 適合性評価制度において、ISMS認証機関が認証の基準として用いる ISMS の管理目的及び管理策を規定したものはどれか。

    ISO/IEC 27001 (JIS Q 27001)

  • 22

    リスクマネジメントに含まれる四つのプロセスであるリスク対応,リスク特定、リスク評価。 リスク分析を実施する順番として、適切なものはどれか。

    リスク分析→リスク特定→リスク対応→リスク評価

  • 23

    リスクアセスメントに関する記述のうち,適切なものはどれか。

    以前に洗い出された全てのリスクへの対応が完了する前に、リスクアセスメントを実施することは避ける。

  • 24

    ISMSにおけるセキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。

    セキュリティ対策を行って、問題発生の可能性を下げた。

  • 25

    物理的セキュリティ対策の不備が原因となって発生する情報セキュリティインシデントの例と して、最も適切なものはどれか。

    Dos攻撃を受け、サーバが停止する。

  • 26

    “情報セキュリティ管理基準”に基づいて策定された雇用契約に関する規定として、適切でな いものはどれか。

    定められた守秘責任を果たさなかった場合、相応の処置がとられることを、雇用契約に定めている。

  • 27

    社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。

    脂弱性検査ソールを利用して、サーバの脆弱性を確認する

  • 28

    サイバーセキュリティ基本法に関する記述として、適切なものはどれか。

    国民に対し、サイバーセキュリティの重要性につき関心と理解を深め、その確保に必要な注意を払うよう務めることを求める規定がある。

  • 29

    不正アクセス禁止法で禁止されている行為はどれか。

    電気通回線を通じてアクセス制御されたコンピュータを不正利用する行為

  • 30

    刑法における、マルウェアに関する罪となるものはどれか。

    他人が作成したマルウェアを発見し、後日これを第三者のコンピュータで助させる目的で保管した。

  • 31

    ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。

    TCP23番ポートはIoT機器の操作用プロトコルで使用されており、そのプロトコルを用いると、初期パスワードを使って不正ログインが容易に成功し、不正にIoT機器を操作できることが多いから

  • 32

    シャドーITに該当するものはどれか。

    IT部門の許可を得ずに、従業員又は部門が業務に利 用しているデバイスやクラウドサービス

  • 33

    BYODの説明、及びその情報セキュリティリスクに関する記述のうち、適切なものはどれか。

    従業員が私的に保有する情報端末を業務に利用することであり、セキュリティ設定の不備に起因するウイルス感染などの情報セキュリティリスクが増大する。

  • 34

    CRYPTRECの役割として、適切なものはどれか。

    電子政府での利用を推奨する暗号技術の安全性を評価,監視する。

  • 35

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における、トップマネジメントに関する記述として、適切なものはどれか。

    組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよい。

  • 36

    IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)に記載されている,基本方針,対策基準、実施手順から成る組織の情報セキュリティポリシーに関する記述のうち、適切なものはどれか。

    組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。

  • 37

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)では、リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいる

    リスク所有者

  • 38

    A社は、情報システムの運用をB社に委託している。当該情報システムで発生した情報セキュリティインシデントについての対応のうち、適切なものはどれか。

    情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために、あらかじめ定めた連絡経路に従ってB社から連絡した。

  • 39

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における"リスクレベル"の定義はどれか。

    結果とその起こりやすさの組合せとして表現される,リスクの大きさ

  • 40

    a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか

    リスクによって引き起こされる事象, リスクによって引き起こされる事象の原因及び起こり得る結果, リスクを顕在化させる可能性をもつリスク源

  • 41

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)におけるリスク評価についての説明として、適切なものはどれか。

    リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス

  • 42

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)に従ったリスク評価において、情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するものはどれか。

    組織の情報セキュリティのリスク基準

  • 43

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,リスクを受容するプロセスに求められるものはどれか。

    受容するリスクについては、リスク所有者が承認すること

  • 44

    リスク対応のうち、リスクファイナンシングに該当するものはどれか。

    システムが被害を受けるリスクを想定して、保険を掛ける。

  • 45

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において、情報セキュリティ目的をどのように達成するかについて計画するとき、"実施事項","責任者","達成期限”のほかに、決定しなければならない事項として定められているものはどれか。

    "必要な資源"及び"結果の評価方法"

  • 46

    JIS Q 27000:2019(情報セキュリティマネジメントシステムー用語)において、不適合が発生した場合にその原因を除去し、再発を防止するためのものとして定義されているものはどれか。

    是正処置

  • 47

    情報セキュリティ管理を推進する取組みa~dのうち、|PA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"において、経営者がリーダーシップを発揮し自ら行うべき取組みとして示されているものだけを全て挙げた組合せはどれか。

    情報セキュリティ対策の有効性を維持するために、対策を定期又は随時に見直す。, 情報セキュリティ対策を組織的に実施する意思を明確に示すために、方針を定める。, 情報セキュリティの新たな脅威に備えるために、最新動向を収集する。

  • 48

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。

  • 49

    JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち、適切なものはどれか。

    情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

  • 50

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の"サポートユーティリティに関する例示に基づいて、サポートユーティリティと判断されるものはどれか。

    サーバ室の空調

  • 51

    JPCERTICC "CSIRTガイド(2015年11月26日)では、CSIRTを活動とサービス対象によって六つに分類しており、その一つにコーディネーションセンターがある。 コーディネーションセンターの活動とサービス対象の組合せとして,適切なものはどれか。

  • 52

    参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を、IPAが情報ハブになって集約し、参加組織間で共有する取組はどれか。

    J-CSIP

  • 53

    サイバーセキュリティ基本法に基づき、内閣官房に設置された機関はどれか。

    NCO

  • 54

    情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。

    ソフトウェアなどの脆弱性関連情報や対策情報

  • 55

    ソフトウェア製品の弱性を第三者が発見し、その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、"情報セキュリティ早期戒パートナーシップガイドライン(2019年5月)”に照らして適切なものはどれか。

    脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する。

  • 56

    PCIDSSv3.2.1において、取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち、適切なものはどれか。ここで、用語の定義は次のとおりとする。

  • 57

    共通弱性評価システム(CVSS)の特徴として、適切なものはどれか。

    情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない評価方法を提供する。

  • 58

    マルウェアの動的解析に該するものはどれか。

    検体をサンドボックス上で実行し、その動作や外部との通信を観測する。

  • 59

    ステガノグラフィはどれか。

    画像などのデータの中に、秘密にしたい情報を他者に気付かれることなく埋め込む。

  • 60

    SIEM(Security Information and Event Management) の機能はどれか。

    様々な機器から集められたログを総合的に分析し、管理者による分析を支援する。

  • 61

    A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。 新たなシステムを導入し、DMZ上に用意したVDI(VirtuaIDesktop Infrastructure)サーバにPCからログインし、インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照するように変更する。この変更によって期待できるセキュリティ上の効果はどれか。

    インターネット上のWebサイトから、内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。

  • 62

    UPSの導入によって期待できる情報セキュリティ対策としての効果はどれか。

    電源の瞬断に起因するデータの破損を防ぐ

  • 63

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。

    システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う。

  • 64

    退職する従業員による不正を防ぐための対策のうち、IPA"組織における内部不正防止ガイドライン(第4版)”に照らして,適切なものはどれか。

    退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。