①基本方針, 情報セキュリティ委員会設置 ②情報セキュリティポリシの作成 ③セキュリティ教育, 周知活動 ④定期的に評価・監査, 必要に応じて見直し

①抑止効果を狙う ②予防的対策 ③事後対策(検知,復旧) ④再発防止策

①Confidentiality：機密性 ②Integrity：完全性 ③Availability：可用性

①サイバーセキュリティ基本法 ②サイバーセキュリティ戦略 ③サイバー・フィジカル・セキュリティ対策フレームワーク(Ver1.0) ④サイバーセキュリティ経営ガイドライン(Ver2.0) ⑤中小企業の情報セキュリティ対策ガイドライン　第3版

①サイバーセキュリティ戦略本部を設置 ②NISC(内閣サイバーセキュリティセンター)に改組 ③サイバーセキュリティ戦略の作成および実施（３年ごと）

①情報セキュリティマネジメント試験 ②ISMS適合性評価制度 ③システム監査制度 ④情報セキュリティ監査制度 ⑤内部統制報告制度 ⑥プライバシーマーク制度

①情報セキュリティ推進組織 ②CISO：最高情報セキュリティ責任者 ③情報セキュリティ管理者

①ISMS適用範囲を定義 ②ISMSの基本方針を定義 ③リスクアセスメントの取組方法を定義 ④リスク特定 ⑤リスク分析・リスク評価 ⑥リスク対応 ⑦管理目的と管理策を選択 ⑧残留リスクの承認 ⑨ISMSの導入・運用を許可 10適用宣言書を作成

JIS Q 27017:2016(ISO/IEC 27017:2015)

①監査計画(中長期計画、基本計画、個別計画） ②予備調査 ③本調査 ④評価・結論 ⑤監査報告 ⑥フォローアップ

①監査手続(書） ②監査調書 ③監査証跡 ④監査証拠 ⑤監査報告書

システム監査基準：システム監査人の行為規範 システム管理基準：システム管理の実施規範

①保証型監査 ②助言型監査 ③情報セキュリティ監査基準 ④情報セキュリティ管理基準

①金融商品取引法 ②財務報告に係る内部統制の評価及び監査に関する実施基準 ③IT全般統制、業務処理統制

①業務の有効性及び効率性 ②財務報告の信頼性 ③事業活動にかかわる法令などの厳守 ④資産の保全

①統制環境 ②リスクの評価と対応 ③統制活動 ④情報と伝達 ⑤モニタリング ⑥ITへの対応

①JIS Q 15001:2017 ②PMS（個人情報保護マネジメントシステム） ③個人情報保護法

①個人情報保護方針の作成 ②個人情報保護体制の整備（個人情報保護管理者、監査責任者） ③PMSの内部規定作成（取得・利用・提供・委託） ④苦情相談窓口の設置 ⑤教育 ⑥監査（個人情報保護監査責任者）

①民間分野（令和３年改正） ②個人情報保護委員会 ③保有個人データ（オプトアウト） ④要配慮個人情報（オプトイン） ⑤匿名加工情報 ⑥仮名加工情報 ⑦個人関連情報

①JIS Q 27001(ISMSの要求事項) ②JIS Q 27002(ISMSの実践のための規範) ③ISO/IEC15408(製品のセキュリティ評価基準), JISEC ④PCI DSS(クレジットカード情報を取り扱う企業におけうる遵守事項)

①ファイアウォールを導入 ②デフォルトパスワードは使用しない ③データを安全に保護すること ④暗号化 ⑤ウイルス対策ソフトの導入・更新 ⑥安全性の高いシステムとアプリケーションの開発・保守 ⑦必要範囲内のアクセス制限 ⑧アクセス確認と認可 ⑨物理的アクセス制限 10アクセスを追跡監視 11定期的にテスト 12ポリシを整備・維持する

①カード情報の非保持化 ②PCI DSS準拠（カード情報を保持する場合） ③加盟店の信用照会端末はICカード決済対応を義務化 ④ECサイトはリスクに応じた多面的・多面的・重層的な不正使用対策の導入（パスワードによる本人認証、属性・行動分析等）

①ISO/IEC 27000 ②ISO/IEC 27001（ISMSの要求事項） ③ISO/IEC 27003（ISMSの実践のための規範） ④ISO/IEC 27017（クラウドサービス） ⑤ISO/IEC 27018（クラウド、個人情報） ⑥ISO/IEC 27701（プライバシー情報）

①マルウェア ②不正アクセス ③盗聴 ④なりすまし ⑤サービス不能攻撃（DoS, DDoS) ⑥アプリケーションへの攻撃

①コンピュータウイルス ②ワーム ③トロイの木馬 ④ボット ⑤ランサムウェア ⑥バックドア ⑦rootkit ⑧キーロガー ⑨スパイウェア 10アドウェア 11ファイルレスマルウェア

①ポリモーフィック型 ②ブートセクタ感染型 ③マクロウイルス ④デマウイルス

①事前調査（フットプリンティング, ポートスキャン） ②身元の隠蔽（なりすまし） ③利用者権限の奪取, 管理者権限の奪取 ④バックドア, ログの改ざん

①パスワードクラッキング ②Exploitコード（を悪用した攻撃） ③ゼロデイアタック ④ソーシャルエンジニアリング ⑤スキャベンジング ⑥テンペスト攻撃 ⑦スニファ ⑧ウォードライビング

①ブルートフォース攻撃（総当たり攻撃） ②辞書攻撃 ③パスワードリスト攻撃 ④レインボー攻撃

①ダウングレード攻撃 ②バージョンロールバック攻撃 ③BEAST攻撃 ④POODLE攻撃

①フィッシング ②Man-in-the-middle（中間者）攻撃 ③IPスプーフィング ④ARPスプーフィング ⑤DHCPスプーフィング ⑥BEC ⑦ゴールデンチケット ⑧セッションハイジャック ⑨セッションフィクセーソン 10サブドメインテークオーバ

①TCP SYN Flood攻撃 ②ICMP Flood攻撃 ③Smurf攻撃 ④UDP Storm攻撃 ⑤DNSリフレクション攻撃, DNS amp攻撃 ⑥NTPリフレクション攻撃 ⑦マルチベクトル型DDoS攻撃 ⑧EDoS攻撃

①OSコマンドインジェクション ②SEOポイズニング ③HTTPヘッダインジェクション ④クリックジャッキング ⑤DNSキャッシュポイズニング ⑥XSS ⑦SQLインジェクション ⑧バッファオーバフロー ⑨CSRF

※次回攻撃の内容を回答する内容に変更(250702) ①暗号解読攻撃 ②サイドチャネル攻撃 ③迷惑メール ④サラミ法 ⑤ディレクトリトラバーサル攻撃 ⑥RLO ⑦Webビーコン ⑧ドライブ・バイ・ダウンロード攻撃

①計画立案段階：標的組織の調査、情報収集 ②攻撃準備段階：騙されやすい文面の作成、C&Cサーバの設置 ③初期潜入段階：標的型攻撃メールの送信、マルウェア感染 ④基盤構築段階：C&Cサーバと通信、ウイルス拡大 ⑤目的遂行段階：外部からのコントロールによる情報収集や破壊活動

①標的型メール（ばらまき型） ②標的型メール（やり取り型） ③水のみ型攻撃

①APT ②高度標的型攻撃 ③C&Cサーバ ④コネクトバック通信

①入口対策 ②内部対策（出口対策）

①暗号化と復号に使用する鍵が同じ（速度が早い） ②鍵数：n(n-1)/2 ③配送に問題がある ④AES, Camelia, KCipher-2, DES, トリプル DES, RC4

①復号と暗号化の鍵が異なる ②処理が遅い ③RSA, DSA, ECC(ECRSA ECDSA)

①暗号鍵を公開鍵暗号方式で暗号化する ②本文は共通鍵暗号方式で暗号化する

①ブルートフォース攻撃（総当たり攻撃） ②既知平文攻撃 ③選択平文攻撃 ④差分解読法 ⑤線形解読法

①一方向性 ②衝突回避性：同じ値になりにくい ③固定長になる ④高速処理

①SHA-1(160 bit) ②SHA-2(224, 256, 384, 512 bit) ③SHA-3(224, 256, 384, 512 bit) ④MD5(128 bit)

①原像計算困難性：ハッシュ値 -> 元の値が困難 ②衝突発見困難性：同じハッシュ値になる二つの値を求めることが困難 ③第二原像計算困難性：既知の値とハッシュ値があっても、異なる値から同じハッシュ値を求めることが困難

①ハッシュ関数を使って平文からメッセージダイジェスト（MD）を作成 ②MDに送信者の秘密鍵で暗号化する（署名する） ③送信 ④受信者はハッシュ関数を使って平文からMDを作成 ⑤受信者は、受信したディジタル署名を送信者の公開鍵を使って復号する ⑥MDを比較することで、改ざん有無と本人確認