暗記メーカー

暗記メーカー

ログイン

個人情報保護士(公式過去問より)

個人情報保護士(公式過去問より)
84問 • 2年前
  • kanetaka yuriko
    • 通報

    問題一覧

  • 1

    マイナンバー法の目的条文について。番号法の目的に合致するものを選べ。

    行政機関等事務処理者の効率的な情報管理、迅速な情報授受, 国民の負担軽減、利便性の向上, 個人番号、特定個人情報の取り扱いのため、個人情報保護法の特例を定める, 行政運営の効率化、公正な給付と負担の確保

  • 2

    個人情報の有用性に配慮しつつ、個人の権利利益を保護することは、どの法律の目的として規定されているものか。

    個人情報保護法

  • 3

    番号法の定義について。行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し及び管理するために必要な限度で個人番号を利用して処理する事務およびこれに関して行われる他人の番号を必要な限度で利用して行う事務のことを○○という。

    個人番号関係事務

  • 4

    個人番号の定義について。「本人」とは、個人番号によって識別される特定の個人を指す。

    あくまで「個人番号によって識別される」のであって、住民票番号によっては識別されない。

  • 5

    番号法における個人番号は、個人識別符号に該当する。

    正しい。

  • 6

    「個人番号」とは、住民票コードを変換して得られる番号で、住民票コードが記載された住民票に係るものを識別するために指定される。

    正しい。

  • 7

    個人番号について。市町村長は、地方公共団体情報システム機構(短縮して 機構 と呼ぶ)に住民票コードを通知して個人番号の生成を求める。機構は電子情報処理組織を使用して番号を生成し、速やかに、本人に通知する。

    正しくない。

  • 8

    特定個人情報(個人番号を含む個人情報)に該当するのは次のうちどれか。

    雇用保険被保険者資格取得届, 健康保険被保険者資格喪失届, 年金請求書(国民年金・厚生年金保険老齢給付)

  • 9

    個人番号の利用目的について。 事業者は本人から個人番号の提供を受ける場合、利用目的について本人からの同意を得る必要はない。

    正しい。

  • 10

    個人番号の利用目的について。 個人番号の利用目的を特定して本人へ通知または公表する場合は、個人番号の提出先を具体的に示す必要がある。

    正しくない。

  • 11

    個人番号の利用目的について。 個人番号の利用目的の通知方法としては、就業規則へ明記するなどの方法がある。

    正しい。

  • 12

    個人番号の利用制限について。 健康保険組合等以外の事業者は、個人番号関係事務として個人番号を利用できるだけであり、個人番号利用事務として個人番号を利用できる場合はない。

    正しくない。

  • 13

    個人番号の利用制限について。 預金取扱金融機関等は、支払調書の作成等の個人番号関係事務を処理する目的で保有している個人番号を、金銭支払目的(預金情報等の検索)に利用できる場合がある。

    正しい。

  • 14

    マイナンバー本人確認書類について。 個人番号利用事務実施者が認める場合には、代理人の実在確認資料の提示は不要となる。

    正しい。

  • 15

    特定個人情報の受け渡しについて。 1.配送業者による配送手段を利用する場合 2.通信事業者による通信手段を利用する場合 は、個人番号関係事務や個人番号利用事務の委託に該当しない。そのため、委託先の監査義務は発生しない。

    1.2ともに認められ、正しい。

  • 16

    個人番号の提供要求について。 従業員持株会は、入社した従業員に対し、入社時点で個人番号の提供を求めることができる。

    正しくない。

  • 17

    特定個人情報の提供制限について。 個人番号利用事務等実施者は、個人番号利用事務等を処理するために必要があるときは、本人または他の個人番号利用事務等実施者に対し個人番号の提供を求めることができる。

    正しい。

  • 18

    特定個人情報の収集について。 事業者は、個人番号を削除した場合、削除記録を保存することとされている。

    正しい。

  • 19

    特定個人情報の収集について。 何人も、他人の個人番号を含む特定個人情報を収集し、または保管してはならないが、ここでいう収集とは、集める意思をもって自己の専有に置くことをいい、特定個人情報の提示を受けただけでは収集に該当しない。

    正しい。

  • 20

    特定個人情報保護評価について。 特定個人情報保護評価 とは、情報提供ネットワークシステムを使用する事業者(行政機関の長や地方公共団体機関などが中心。例外として民間事業者では、健康保険組合等が該当する)が、特定個人情報の漏洩リスクを分析し、リスク軽減の措置を講ずることを宣言するものをいう。特定個人情報ファイルを保有しようとするものに対する指針を作成するのは、個人情報保護委員会。

    正しい。

  • 21

    法人番号について。法人番号は申請法人に対し原則として1つの法人番号を指定する。支店や複数事業所がある場合はそれぞれに番号が指定される。

    正しくない。

  • 22

    法人番号について。外国法人(外国に本店がある法人)の場合、日本国内で事務所の支店登記をしなければ、法人番号は発行されない。

    正しくない。

  • 23

    法人番号について。人格のない社団等は法人番号の指定対象となるが、法人番号を公表するには、あらかじめその代表者または管理人の同意を得なければならない。

    正しい。

  • 24

    マイナンバー法における罰則について。 不正手段で個人番号カードの交付を受けた→6月以下の懲役 または 50万円以下の罰金。

    正しい。

  • 25

    マイナンバー法における罰則について。 詐欺、脅迫、不正アクセス等により個人番号を取得した者→3年以下の懲役 または 150万円以下の罰金になる。

    正しい。

  • 26

    マイナンバー法における罰則について。 個人情報保護委員会によるマイナンバー法に基づく命令に違反した者→2年以下の懲役 または 50万円以下の罰金。 個人情報保護委員会による報告要求や資料提出要求に従わなかった者→1年以下の懲役 または 50万円以下の罰金。

    正しい。

  • 27

    マイナンバー法における罰則について。 情報提供等事務 または 情報提供ネットワークシステムの運営に関する事務に従事する者は、秘密漏洩、盗用の場合、3年以下の懲役 もしくは 150万円以下の罰金、もしくはこの両方が科される。また、両罰規定の対象になる。

    正しくない。

  • 28

    情報セキュリティについて。 情報漏洩が発生すると、○○リスクが発生し、企業ブランドイメージが傷つくこともある。

    レピュテーションリスク

  • 29

    情報セキュリティについて。 個人情報の保護だけでなく、リスクマネジメントの一貫として、企業の情報資産すべてについて安全管理措置を講じる必要がある。適切な情報セキュリティ対策を講じることは、企業の○○の一貫として必要になる。

    CSR

  • 30

    情報セキュリティについて。情報のCIA(機密性、完全性、可用性)にあとから追加された4要素を正しく選びなさい。 真正性(Authenticity) 責任追跡性(Accountability) 信頼性(Reliability) 否認防止(Non-repudiation)

    真正性(Authenticity) 真正性は、組織が主張する通りであることを指します。簡単にいうと、情報資産にアクセスする人が許可された本人であるかどうかを認証できることです。これによってなりすましを防止できます。真正性を保つ対策としては、デジタル署名や二段階認証・生体認証などが挙げられます。, 責任追跡性(Accountability) 責任追跡性は、組織や個人が行った動作を追跡できる特性のことです。インシデントが起きた際などに責任追跡性が求められます。アクセスログや操作ログを残すことで対策が可能です。, 信頼性(Reliability) 信頼性は、意図した動作が確実に行われるかどうかを示す特性です。人為的な操作ミスを起こさなくても、システムの不具合やバグによってデータが意図せず改ざんされることもあるため、このような特性が求められます。システムがバグや不具合を起こさないような設計・構築を行うことで対策できます。, 否認防止(Non-repudiation) 否認防止は、情報資産に関する行動や事象が、後から否認されないように証明する特性です。責任追跡性が保たれることで否認防止も保たれます。デジタル署名やアクセス・操作ログを残すことが重要になるでしょう。

  • 31

    情報セキュリティについて。 情報システムのセキュリティ上の弱点を減らして堅牢な状態にすること。不要なプログラムの削除や、アクセス権限を最小限にするなどにより、システムの設定上の問題を修正することなどを○○という。

    ハードニング

  • 32

    ○○は、インターネットに限定した個人情報保護の認証の仕組み。世界各国で導入されている。事業者がOECDプライバシーガイドラインに基づいた個人情報の取り扱いを実践している旨を公表したプライバシー・ステートメントの内容を認証機関が審査し、適合した事業者は○○の認証マークをWebサイトに掲載できる。日本では「一般社団法人日本プライバシー認証機構」が審査を実施している。

    TRUSTe

  • 33

    マネジメントシステムに関する問題。合致するものを選択せよ。 1.製造物や提供されるサービスの品質のマネジメントシステム。国際規格はISO9000。 2.環境方針、目的、目標を設定し達成に向けた取り組みをマネジメントするシステム。国際規格はISO14000。 3.ITサービス提供者が顧客のニーズに合致した適切なITサービスを提供するためのマネジメントシステム。国際規格はISO/IEC20000。

    QMS, EMS, ITSMS

  • 34

    リスク分析手法について。それぞれあてはまる言葉を答えよ。 1.特定のレベルとのギャップを分析する手法 2.個人の知識や経験をベースに体系化されていない方法で分析する手法 3.個々の情報資産について脅威脆弱性を識別して分析する手法 4.重要な情報資産については3を、それ以外は1を活用する手法

    ベースラインアプローチ, 非形式アプローチ, 詳細リスク分析, 組合せアプローチ

  • 35

    リスクアセスメントについて。 リスクアセスメントの実施にあたっては、リスク○○を確立する必要がある。これは、リスクの重大性を評価するための目安とする条件のこと。 また、リスクの特質を理解し、リスクレベルを決定するプロセスであり、リスクの重大さを算定するための体系的なプロセスのことを、リスク△△という。 リスク△△の結果をリスク○○と比較するプロセスのことは、リスク□□と呼ぶ。 リスクレベルは定性的・定量的に評価できる。リスク△△のうち、定量的リスク分析の手法としてALEがあり、年間の予想損失額を求める際にこの手法を用いる場合がある。

    リスク基準, リスク分析, リスク評価

  • 36

    ICTとはなにか。

    ICTは「Information and Communication Technology(情報通信技術)」の略で、通信技術を活用したコミュニケーションを指します。 情報処理だけではなく、インターネットのような通信技術を利用した産業やサービスなどの総称です。

  • 37

    MICTSとはなにか。

    Management ICT Sucurity(情報通信技術セキュリティマネジメント)(ISO/ IEC27005)のこと。 なお、ICTは「Information and Communication Technology(情報通信技術)」の略で、通信技術を活用したコミュニケーションを指します。 情報処理だけではなく、インターネットのような通信技術を利用した産業やサービスなどの総称です。

  • 38

    リスク対応は以下に分類される。 1.リスクが発生する状況に巻き込まれないようにする。撤退する。 2.対策を実施して、リスク発生可能性を下げる、または、発生時の損失を軽くする。 3.リスク発生時の損失負担を他者に分散、もしくは共有する。保険利用など。 4.対策を実施せず、損失を受容する。

    リスクの回避, リスクの修正、軽減、最適化, リスクの共有、移転、リスクトランスファー, リスクの保有、受容

  • 39

    JISQ15001:2017における内部向け個人情報保護方針について。 内部向け個人情報保護方針を文書化した情報には、個人情報の取扱いに関する法令、国が定める指針、その他の規範を遵守すること、個人情報の漏洩、滅失、または毀損の防止及び是正に関すること、苦情及び相談への対応に関することなどの事項を含めなければならない。

    正しい

  • 40

    JISQ15001:2017における外部向け個人情報保護方針について。 外部向け個人情報保護方針を文書化した情報には、内部向け個人情報保護方針の事項に加えて、外部向け個人情報保護方針の制定年月日、最終改正年月日、外部向け個人情報保護方針の内容についての問い合わせ先を明記しなければならない。

    正しい

  • 41

    個人情報保護の規定文書・様式について。 対策基準で定めた内容を、個々の業務でどう実施するか、という、実務上の手順や書式を具体的に定めたもの。チェックリストやマニュアル、個人情報管理台帳、誓約書や秘密保持契約書などの様式、監査手順書や苦情対応手順書などが該当するもののことを、なんというか。

    プロシージャー

  • 42

    経済産業省の「情報セキュリティポリシーに関するガイドライン」で示されているポリシーの策定手続きの流れを適切に示せ。

    組織・体制の確立, 基本方針の策定, リスク分析, 対策基準の策定, ポリシーの決定, 実施手順の策定

  • 43

    個人情報保護監査について。 個人情報保護監査は、計画→実施→報告の順に実施する。監査報告書を作成し、代表者に提出するが、改善に緊急を要する場合は報告書の作成を待たずに、代表者に口頭で報告する。また、監査報告書における報告事項が改善されるよう、被監査主体をフォローアップすることが要求されるが、指摘事項の改善に責任を持つのは被監査主体となる。

    正しい。

  • 44

    委託先管理について。 委託先に提供する個人情報の項目は必要最小限に留める。また、提供した個人情報が、委託業務終了後も委託先に残らないよう、使用を終了した個人情報の速やかな返却または廃棄を徹底する旨を、あらかじめ契約書に盛り込まなければならない。その際、委託先で廃棄を行った場合は、確実に廃棄されたかどうかの確認を行うこと。

    正しい。

  • 45

    本人認証について。 PINコードを一定回数間違えて凍結された場合、解除をするには、PINロック解除コードである○○コードの入力が必要となる。

    PUKコード

  • 46

    セキュリティリスクについて。 企業側で把握していない携帯端末やクラウドサービスなどを利用し、従業者が業務を進める状態のことをなんと呼ぶか。

    シャドーIT

  • 47

    システムの二重化について。 デュアルシステムとデュプレックスシステムの違いは何ですか?

    デュアルシステムとデュプレックスシステムは、どちらも2組のシステムを用意しておくという点は同じです。 しかし、常に2つのシステムを本稼働させているデュアルシステムに比べて、デュプレックスシステムは待機用として備えておくところに違いがあります。

  • 48

    攻撃について。DNSサーバに偽りの情報を記憶させる攻撃手法であり、攻撃が成功すると、ユーザは正しいホスト名のWebサーバに接続しているつもりでも、提供された偽りの情報によって、不正なWebサーバに誘導されてしまう。

    DMSキャッシュポイズニング

  • 49

    攻撃手法について。Webアプリケーションの脆弱性をついて、Webサイトにログイン中のユーザのスクリプトを操ることで、ユーザの意図していない処理を行わせる攻撃手法のこと。

    クロスサイトフォージェリ

  • 50

    攻撃手法について。パスワードや暗号鍵などを盗聴し、それを再利用することでそのユーザになりすます攻撃手法のこと。パスワードが暗号化されていても、暗号化後のデータを使うので、受信者は正しいパスワードを正しく暗号化していると判断してしまう。

    リプレイアタック

  • 51

    セキュリティについて。 Webサーバやメールサーバなどの外部に公開するサーバーを設置する、ファイアウォールによって外部ネットワークからも社内ネットワークからも隔離された区域のことを、なんというか。

    DMZ

  • 52

    セキュリティについて。 LANにおいて物理的な接続とは別に、仮想的なネットワークを構築する技術のこと。同じスイッチに接続している複数の機器を、論理的に2つのネットワークに分離することによって、必要なグループ内だけで情報を共有することなどができる。

    VLAN

  • 53

    セキュリティについて。 Webアプリケーションの脆弱性をつく「SQLインジェクション」などの攻撃からWebアプリケーションを防御するためのハードウェアまたはソフトウェアのことをなんというか。SQLインジェクションの特徴的なパターンが含まれていた場合にその通信を遮断することにより防御するなど。

    WAF

  • 54

    セキュリティについて。 複合的な機能を持ったセキュリティ機器を導入して、包括的・統合的にセキュリティ対策を実施する管理手法のことをなんというか。ファイアウォール、ウイルス対策ソフトおよび迷惑メールフィルタなどの機能を一台にまとめた機器を指す場合もある。

    UTM

  • 55

    不正アクセス対策について。 ユーザがクライアントに入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算し、その結果をサーバに送信して認証データに用いる認証方式のことをなんというか。

    チャレンジレスポンス認証

  • 56

    ファイアウォールの方式には、以下のふたつがある。 1.パケットフィルタリング型 パケットにあるIPアドレスとポート番号の情報をもとにパケットの通信許可を判断し、アクセスを制御する方式のこと。パケットフィルタリング機能は、ACLの名称でOSに実装されている。パケットフィルタリング型のうち、パケットの内容までチェックできる機能をステートフルインスペクションといい、これによって、送受信どちらのパケットの通信に対しても監視を行うことができる。 2.アプリケーションゲートウェイ型 通信を中継するプロキシプログラムを使って、OSI参照モデルの応用層のレベルで通信内容を認識してフィルタリングを行い、アクセス制御する方式。プロキシサーバともよばれる。通信内容の確認をしてフィルタリングできるので、パケットフィルタリング型より詳細なアクセス制御が可能となる。

    正しい。

  • 57

    IEEE802.1X認証を行うためには、IEEE802.1X対応のLANスイッチや無線LANアクセスポイントなどのアプラインアンス、IEEE802.1X対応のクライアントソフトであるサプリカント、RADIUSなどの認証サーバが必要になる。

    正しい

  • 58

    不正アクセス対策について。 特定のシステムを攻撃する準備として、検索エンジンやネームサーバ検索、WHOISなどを利用して、攻撃対象の情報を収集する手段のことをなんというか。

    フットプリンティング

  • 59

    不正アクセス対策について。 ユーザを視覚的にだまして正常に見えるウェブページのコンテンツをクリックさせる手法であり、これによって、意図せずに情報を登録させられ、個人情報を詐取される場合もあることを、なんというか。

    クリックジャッキング

  • 60

    電子署名とタイムスタンプには有効期限がある。 1.電子署名 2.タイムスタンプ の有効期限を答えよ。

    1〜3年, 約10年

  • 61

    本人認証について。 スマートフォンなどでPINコードの入力を一定回数間違えると、凍結を解除するために○○が必要となる。

    PUKコード

  • 62

    RMS(リスクマネジメントシステム)について。 1.製造物や提供されるサービスの品質を管理監督するマネジメントシステムであり、国際規格はISO9000シリーズである。 2.環境方針、目的目標を設定し、その達成に向けた取り組みを実施するためのマネジメントシステムであり、国際規格はISO14000シリーズ。 3.ITサービス提供者が顧客のニーズに合致した適切なITサービスを提供するためのマネジメントシステムであり、国際規格はISO/IEC20000。

    QMS, EMS, ITSMS

  • 63

    刑法について。該当するものを選べ。 1.コンピュータの使用者の意図とは無関係に勝手に実行されるようにする目的で、マルウエアのソースコードを作成する行為。 2.ゲームの制作者が意図しない方法で、ゲームのプログラムを改変し、インターネット上で公開する行為。 3.銀行のホストコンピュータに侵入し、特定の口座の預金残高を不正に書き換える行為。 4.特定のWebサーバにログインするためのユーザID/パスワードを一覧できるファイルを作成し、本人に無断で第三者に提供する行為。

    不正指令電磁的記録作成, 著作権法違反, 電子計算機使用詐欺, 不正アクセス禁止法違反

  • 64

    内部統制について。 会社の取締役は、内部統制構築の義務を負う。内部統制は、組織の事業活動を支援する4つの目的を達成するために組織内に構築される。つぎのうちどれか。

    業務の有効性および効率性, 財務報告の信頼性, 事業活動に関わる法令等の遵守, 資産の保全

  • 65

    内部統制について。 内部統制は以下の6つの基本的要素で構成されている。それはどれか。

    統制環境, リスクの評価と対応, 統制活動, 情報と伝達, モニタリング, ITへの対応

  • 66

    情報セキュリティについて。 情報の漏洩などの事故が発生すると、企業や顧客に損失を与えたり、レピュテーションリスクが発生することにより、企業のブランドイメージが傷つくこともある。適切な情報セキュリティ対策を講じることは、企業の○○○の一貫として重要。

    CSR

  • 67

    個人関連情報に関するもっとも適切なものを選びなさい。

    個人の位置情報(特定の個人を識別することができない)は、個人関連情報に該当する。

  • 68

    番号法において正しいものをすべて選べ。

    「本人」とは、個人番号によって識別される特定の個人を言う。, 「情報提供ネットワークシステム」は、内閣総理大臣が設置し、管理する。, 個人番号は12桁である。, 「特定個人情報」とは、個人番号を含む個人情報である。, 暗号化などで秘匿化したものも個人番号に該当する。, 「個人番号利用事務実施者」には、国の行政機関、地方公共団体、日本年金機構等が含まれる。

  • 69

    番号法について。番号法の「他人」の定義における「同一の世帯」とは、住居及び生計をともにする者の集まりまたは独立して住居を維持する単身者をいう。○かバツか。

    ✕正しくない。

  • 70

    法人番号について。正しいものを選べ。

    個人事業者に法人番号は付与されない。

  • 71

    情報セキュリティについて。JISQ27000 2019 における情報セキュリティの要素のひとつである「否認防止」の定義に該当するものを選べ。

    主張された事象または処置の発生、およびそれらを引き起こしたエンティティを証明する能力。

  • 72

    残留リスクについて、適切でないものを選べ。

    残留リスクには、特定されていないリスクを含めてはならない。

  • 73

    アンチパスバック機能とは何か。

    入退室管理における「アンチパスバック」とは? 入退室管理システムには「不審者の入室を防止する」機能がありますが、同時に「退室を防止する」機能もあります。たとえ不審者が入室したとしても、退室させなければ情報漏えいの危険性を減らせます。 これは情報セキュリティにおける出口対策の位置付けにあたり、不審者を外に出さない機能が「アンチパスバック」です。 アンチパスバックとは、入室する際の認証記録がない不審者の退室を許可しない仕組みのことです。 共連れの防止対策として、入退室管理システムに用意されています。 共連れとは、複数の人間が1人の認証で入室することで、情報漏えい対策の課題とされてきました。共連れはピギーバックとも呼ばれます。 万が一不審者の入室があっても、アンチパスバック機能により退室させなければ情報漏洩などの重大事故を食い止められる可能性があるので、アンチパスバックの必要性が高いとされています。 アンチパスバックの事例 たとえば先に入った正規の認証者の後に続いて、認証していない人が入ったとします。後者は正規に認証を受けていませんから、入室の記録が残っていません。これを不正な侵入者として退室を禁止します。不審者が見つかった場合は、アンチパスバックの該当者として警備室にアラートが飛んで、入室の経緯などを確認します。 まれな例として、入室の際に認証をうっかり忘れてしまい、結果的に共連れになってしまったケースも考えられます。また、共連れの逆のパターンとして「すれ違い」もあります。誰かが退室するのを待ち、そのタイミングで入室する方法です。これも入室の記録がないため、退出が許されません。 アンチパスバック以外の共連れ防止策 アンチパスバックで完全に共連れを防止できるわけではありません。共連れで入室したのと同じように、共連れで退出できるからです。すれ違いで退出することも可能です。

  • 74

    コンピュータシステムの信頼性の評価指標について。「RASIS」とは、信頼性、可用性、保守性、保全・完全性、機密性の5要素を頭文字であらわしたもの。これらのうち、信頼性(Reliability)とは、○○や○○である。また、可用性(Availability)とは、システムがどの程度正常に稼働しているかを割合で示した稼働率のことであり、稼働率=○○÷(平均故障間隔+平均修復時間)で算出できる。 なお、RASISのなかでも、信頼性・可用性・○○は重要視されており、RASとして評価指標にされることも多い。

    故障・障害の発生しにくさ, 安定性の程度, 平均故障間隔, 保守性

  • 75

    携帯端末の管理の仕組みについて。MDM、MAM、MCMとは何かをこたえよ。

    MDMは、Mobile Device Managementのことであり、日本語で言うと「モバイルデバイス管理」。モバイル端末本体からの情報漏えいを防ぐ方法です。 すなわち、盗難や紛失によって他人に端末に保存したデータを見られることを防ぐというものが中心となります。 具体的な方法としては、アプリを使用して画面のキャプチャや録画をすることやクリップボード履歴を保存することを禁止して、紛失や盗難があったときに遠隔操作で端末を使用できない状態にする「リモートロック」や「リモートワイプ」の導入が欠かせないものとなります。 MAMはMobile Application Managementのことであり、日本語で言うと「モバイルアプリケーション管理」。 モバイル端末を業務に使用する場合に業務にかかわるアプリケーションとデータを適切に管理することを指します。 MAMの方法として代表的なものが「ラッピング」です。これはアプリケーションに対してアクセス制限やデータ保護の設定を行うものであり、個人のデータとは分離して、業務に必要なアプリケーションだけに対策を施すことができます。 また、端末には一切の情報を保存せず、仮想デスクトップなどを利用するMAMの方法もあります。 MCMはMobile Contents Managementの略であり、「モバイルコンテンツ管理」などとも呼ばれ、端末全体を管理するのではなく、業務に必要なコンテンツだけを管理するものです。 個人利用の端末を業務に利用する際に問題となることのひとつが、個人向けのクラウドストレージサービスからの情報漏えいです。とはいえ、全面的にこれらのサービスを禁止することは業務効率を考えると現実的ではないでしょう。 そのため、MCMではセキュリティを重視したクラウドサービスや、電子カタログの閲覧に特化してタブレットなどでの利便性を高めたMCMなどもあります。

  • 76

    デジタル署名とタイムスタンプについて、正しくないものはどれか。

    デジタル署名の要件として、電子文書の作者を示すために行われたものであること、作成された電子文書に対する改ざんが特定の時刻以降に行われていないことを確認できるものであること の2つを満たす必要がある。

  • 77

    ファイアーウォールについて正しくないものを選べ。

    パケットフィルタリングは、IP偽装には効果があるが、ログがIPパケット以外の情報も取得するため、処理速度が遅くなり、通信速度の減衰を招くことがある。

  • 78

    プライバシーマーク制度の運営体制のうち、正しいものを選べ。

    プライバシーマーク付与機関, プライバシーマーク指定審査機関, プライバシーマーク指定研修機関

  • 79

    匿名加工情報を作成する個人情報取扱事業者が遵守する義務について正しくないものを選べ。

    個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名校情報に含まれる個人に関する情報の項目を公表するよう努めなければならない。

  • 80

    不正アクセス行為の禁止等に関する法律、不正アクセス禁止法において、不正アクセス剤が成立するための要件に該当しないものをえらべ。

    情報の不正入手を目的として行われたものであること。

  • 81

    情報セキュリティにおける組織体について。 インシデントが発生した際に対応する組織体であり、脆弱性情報などの収集、分析、インシデント発生時の対応、組織内外との情報の共有、連携などを行う。事前の検知や対策に重点を置くSOC(セキュリティオペレーションセンター)とは異なり、事後の対策を中心に行う。なお、このような業務を担う人材には高度なセキュリティ知識が求められるため、社内組織として構成するのではなく、この組織体そのものをアウトソースするケースも増えている。

    CSIRT

  • 82

    携帯端末の紛失や盗難への対策に関して、間違っているものを選べ。

    ローカルブレイクアウトとは、利用者認証やロック解除などの操作を一定回数誤った際に自動的に端末が初期化され、内部のデータが自動的に消去される機能のこと。

  • 83

    事業継続マネジメントについて適切な語句を選べ。 経済産業省が策定した「情報セキュリティ継続」において、組織は、情報セキュリティの継続が事業継続マネジメントプロセスまたは災害復旧管理プロセスに折り込まれているか否かを判断すると示されている。ここでの「事業継続マネジメント」は○○とも呼ばれ、「災害復旧管理」は○○とも呼ばれる。また、事業継続および災害復旧に関する正式な計画が策定されていない場合において、情報セキュリティ要求事項が変わらず存続すると定められない場合には、情報セキュリティの側面について事業影響度分析を実施し、通常の業務状況とは異なる困難な状況に適用できる情報セキュリティ要求事項を定めると示されている。ここでの「事業影響度分析」は○○などとも呼ばれる。

    BCM, DRM, BIA

  • 84

    情報セキュリティ 真正性とは?

    TREND MICRO SaaS・プロダクトポータルサイト サイバー攻撃対策 情報セキュリティの7要素とは? CIAに続く真正性、信頼性、責任追及性、否認防止 法人のお客さまに起こりがちな状況 情報セキュリティを高めるために必要なことは?と聞かれたときに、よく出てくるのが「ISMS」です。 機密性、完全性、可用性の3要素は多くの人が知っていて、その重要性については疑う余地がありません。 しかし、そこには続きがあることをご存じでしょうか? 今回は、情報セキュリティの3要素と、そこに続いて記載されている追加の4要素についてご説明いたします。 ISMSの規格に記載されている情報セキュリティの定義 ISMSで重要なことは?と聞かれるとパッと出てくるのは何でしょうか? 多くの人は「機密性」「完全性」「可用性」の3つの要素をバランスよく維持すること、と回答すると思います。 この3つは正しくはISO/IEC 27000に記載されている情報セキュリティ(information security)の定義で、ここでは「情報の機密性,完全性及び可用性を維持すること。」と定められています。 実はこの定義には注記があるのをご存じでしょうか? そこには「さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持することを含めることもある。」と記載されています。 3要素ほどは知られてはいませんが、情報セキュリティの重要性が高まる中ではこの注記部分に記載されている4要素も意識していかなければならない状況になってきています。 機密性、完全性、可用性のCIA 情報セキュリティに重要な3要素について、改めての解説です。 <機密性(confidentiality)> 機密性とは、情報へのアクセス権限を設定し保護することを指します。アクセス難易度が上がればその分外部からの侵入が難しくなり、情報漏洩や破損する可能性を下げることが可能になります。 機密性を高める方法として、具体的には以下のような対策が考えられます。 物理的なアクセスができないよう、鍵をかけた部屋に保管したりデータセンターに保管したりする 強力なパスワードを設定する 該当データの保存フォルダにアクセス権限を設定する データへアクセス可能な端末を限定し、その端末自体を限られた人しか入れない部屋に設置する <完全性(integrity)> 完全性は該当する情報が常に正確な情報を維持している状態を指します。情報がいくら機密性の高い状態を維持していたとしても、その中身が書き換えられていたり過不足があったりするのであればまともに使用することができず、信頼性の低いデータとして利用価値がない状態となってしまいます。 具体的には以下のような対策で完全性の維持を行います。 バックアップを取る 変更履歴やアクセス履歴を残す <可用性(availability)> 可用性は、対象となる情報を利用する必要がある人間が必要なタイミングでいつでも使える状態を維持することを指します。いくらデータがあっても停電や事業所外からのアクセスなどで使えなければ情報としての価値はありません。可用性を高めることで、実務としての価値が出てくることになります。 具体的には以下のような対策で可用性を維持します。 UPS(無停電電源装置)の導入 クラウドストレージサービスの利用 システムの多重化 この3つの要素は頭文字を取って「CIA」と呼ばれることがあります。 また、この要素はそれぞれ他の要素に対して影響を与えることがあります。 例えば機密性を高めるために個人情報のデータは本社の立ち入り制限された部屋の端末にローカルデータとして保存するルールにしてしまうと完全性や可用性の観点では非常に危うい状態となります。実際の運用の中では自社の実情に照らし合わせながらそれぞれの情報に対して事業運営に支障がない(少ない)範囲で3要素をできるだけ高める、という意識と仕組みを考えることが重要となります。 拡張定義としての真正性、責任追及性、否認防止、信頼性 情報セキュリティの定義で注記として存在する4つの要素は、情報セキュリティを高めるための考え方として現在注目度が上がってきている内容です。主に情報を活用する際に、どのようにすればインシデントを発生させずに済むのかを考えるために重要になるのがこの4要素と言えます。 <真正性(Authenticity)> 真正性は対象の情報に対してアクセスする人間が「本当にアクセスするべき人かどうか」を担保することを指します。関係ない外部の人間がアクセスしてしまうと情報漏洩やデータの破壊につながる可能性があるため、重要な要素です。単純なパスワードでは簡単に突破され、正規な認証方法でアクセスすべきではない人がアクセスしてしまう可能性があるため、認証方法の強化が重要です。 対策としては以下のようなものがあります。 多要素認証 デジタル署名 <責任追及性(Accountability)> 責任追及性は対象の情報へのアクセスがどのような手順によって行われたのかを追跡できるようにすることを指します。インシデント発生時に手順を追えるようにすることで、誰が行ったどのプロセスのどの手順が要因なのかを判別していきます。 対策としては以下のようなものがあります。 ログイン履歴 アクセスログ 操作ログ <否認防止(non-repudiation)> 否認防止はインシデント発生後、その原因となった人物や対象から該当の行動を否定されないように証拠を残すことを指します。問題行動を指摘したとしても、証拠が残っていなければ水掛け論に終始してしまうため、しっかりと保存しておくことが重要です。 対策としては以下のようなものがあります。 ログイン履歴の保存 アクセスログの保存 操作ログの保存 <信頼性(Reliability)> 信頼性はデータに対する操作が意図したとおりに動くことを指します。ヒューマンエラーやバグによって、手順通りに行ったはずなのに意図しない結果が出力されることがあると正しい情報ではなくなってしまい、情報の価値が失われてしまいます。 対策としては以下のようなものがあります。 システム開発時のしっかりとした設計書レビューやテスト フールプルーフやフェイルセーフを前提とした運用設計 ご紹介したこれらの4要素はCIAの要素と比較して、インシデントを防止するための要素、インシデントが発生してしまった後の対処のための情報としての意味合いが強いことがわかるでしょうか?当然のことですが、情報は使われなければただの文字の羅列となります。同時に、情報を利活用することはインシデント発生の可能性を上げることにも他なりません。現実的な問題としてインシデントの発生率を0にすることは難しいため、発生を前提としてどのような観点で事前準備を行うべきかを示したものがこの4要素と言えます。 ご紹介したこれらの点を意識してソリューションや社内ガイドラインを設定していくことで、抜け漏れのない対策ができるような形になっています。 情報セキュリティ対策には拡張定義を意識したソリューションの導入を ISMSを意識するうえでCIAの3要素が重要とは言われつつ、実務レベルでどのような観点を持って対策を行うべきかは、なかなか見えにくいところでした。 この拡張定義を加えることで、社内の情報セキュリティ体制での抜け漏れがないかどうかを改めて確認できるようになったのではないでしょうか? 再度体制を確認し、不足している点があれば対策しセキュリティレベルを上げていきましょう。特に今回ご紹介した4要素は、全体としてシステムでの対応により負荷軽減できる範囲が多いので、積極的なソリューションの導入が効果的であると考えています。 トレンドマイクロからのアドバイス CIAの3要素と拡張の4要素を意識した情報セキュリティの向上について、その重要性はわかってはいるものの、実際の対応方法については各企業によって実態が異なるため、どのようにしてバランスを取るべきかなかなか判断が難しいところです。しかし一方で、どの情報がどこに保存されており、その利用者は誰であるべきかなどの要素さえしっかりと整理できていれば、セキュリティベンダー各社においてはポイントポイントに対応したソリューションを用意してもいます。 トレンドマイクロでは情報セキュリティソリューションベンダーとして高いセキュリティレベルを維持できるソリューションを取りそろえています。ぜひ自社の状況を整理したうえで、不足している部分に合わせたソリューションの導入をご検討ください。 管理サーバ要らずの「サーバ向けクラウド型セキュリティ」 Trend Micro Cloud One - Workload Security™はWEBサーバ、特にパブリッククラウドへのサイバー攻撃に対してオールラウンドで対応できるソリューションです。 1ライセンスから導入可能で月額課金という料金体系のため、イニシャルコストを抑えやすくスモールスタートが可能となっています。 事前予防と事後対処を実現するエンドポイントセキュリティ Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。 管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。 先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチによりスクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現するほかWebレピュテーション機能によって不正URLへのアクセスをブロックすることでフィッシング被害を抑制することも可能です。 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護 Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。 ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。 ※すべての未知の脅威に対応するものではありません また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。 ご活用いただける環境にありましたらぜひお試しください。 Trend Micro Security Assessment Service™ この課題を解決する製品 法人向け クラウド型総合サーバセキュリティサービス Trend Micro Cloud One - Workload Security™ 法人向け エンドポイントセキュリティプラットフォーム Trend Micro Apex One™ 法人向け クラウドアプリケーションセキュリティ Trend Micro Cloud App Security™ 導入前の製品や購入に 関するお問い合わせ ご担当者様の課題解決を電話やメールで受け付けます。製品や購入に関するご不明点がある方はお気軽にご相談ください。 導入前の製品や購入に関する お問い合わせ オンライン見積り トレンドマイクロのセキュリティ対策製品のお見積りをオンラインでご確認いただけます。 オンライン見積り 課題から探す 事例紹介 特集 お問い合わせ オンライン見積り 製品一覧から探す ウイルスバスター™ ビジネスセキュリティサービス(VBBSS) Trend Micro Apex One™ Trend Micro Cloud One - Workload Security™ Cloud Edge™ Trend Micro Cloud App Security™ ページ先頭へ 特定商取引に関する表記 ご利用条件 個人情報保護方針 プライバシーポリシー Copyright © 2023 Trend Micro Incorporated. All rights reserved.

    • 個人情報保護士(公式テキストより)

    個人情報保護士(公式テキストより)

    kanetaka yuriko · 100問 · 2年前

    個人情報保護士(公式テキストより)

    個人情報保護士(公式テキストより)

    100問 • 2年前
    kanetaka yuriko

    問題一覧

  • 1

    マイナンバー法の目的条文について。番号法の目的に合致するものを選べ。

    行政機関等事務処理者の効率的な情報管理、迅速な情報授受, 国民の負担軽減、利便性の向上, 個人番号、特定個人情報の取り扱いのため、個人情報保護法の特例を定める, 行政運営の効率化、公正な給付と負担の確保

  • 2

    個人情報の有用性に配慮しつつ、個人の権利利益を保護することは、どの法律の目的として規定されているものか。

    個人情報保護法

  • 3

    番号法の定義について。行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し及び管理するために必要な限度で個人番号を利用して処理する事務およびこれに関して行われる他人の番号を必要な限度で利用して行う事務のことを○○という。

    個人番号関係事務

  • 4

    個人番号の定義について。「本人」とは、個人番号によって識別される特定の個人を指す。

    あくまで「個人番号によって識別される」のであって、住民票番号によっては識別されない。

  • 5

    番号法における個人番号は、個人識別符号に該当する。

    正しい。

  • 6

    「個人番号」とは、住民票コードを変換して得られる番号で、住民票コードが記載された住民票に係るものを識別するために指定される。

    正しい。

  • 7

    個人番号について。市町村長は、地方公共団体情報システム機構(短縮して 機構 と呼ぶ)に住民票コードを通知して個人番号の生成を求める。機構は電子情報処理組織を使用して番号を生成し、速やかに、本人に通知する。

    正しくない。

  • 8

    特定個人情報(個人番号を含む個人情報)に該当するのは次のうちどれか。

    雇用保険被保険者資格取得届, 健康保険被保険者資格喪失届, 年金請求書(国民年金・厚生年金保険老齢給付)

  • 9

    個人番号の利用目的について。 事業者は本人から個人番号の提供を受ける場合、利用目的について本人からの同意を得る必要はない。

    正しい。

  • 10

    個人番号の利用目的について。 個人番号の利用目的を特定して本人へ通知または公表する場合は、個人番号の提出先を具体的に示す必要がある。

    正しくない。

  • 11

    個人番号の利用目的について。 個人番号の利用目的の通知方法としては、就業規則へ明記するなどの方法がある。

    正しい。

  • 12

    個人番号の利用制限について。 健康保険組合等以外の事業者は、個人番号関係事務として個人番号を利用できるだけであり、個人番号利用事務として個人番号を利用できる場合はない。

    正しくない。

  • 13

    個人番号の利用制限について。 預金取扱金融機関等は、支払調書の作成等の個人番号関係事務を処理する目的で保有している個人番号を、金銭支払目的(預金情報等の検索)に利用できる場合がある。

    正しい。

  • 14

    マイナンバー本人確認書類について。 個人番号利用事務実施者が認める場合には、代理人の実在確認資料の提示は不要となる。

    正しい。

  • 15

    特定個人情報の受け渡しについて。 1.配送業者による配送手段を利用する場合 2.通信事業者による通信手段を利用する場合 は、個人番号関係事務や個人番号利用事務の委託に該当しない。そのため、委託先の監査義務は発生しない。

    1.2ともに認められ、正しい。

  • 16

    個人番号の提供要求について。 従業員持株会は、入社した従業員に対し、入社時点で個人番号の提供を求めることができる。

    正しくない。

  • 17

    特定個人情報の提供制限について。 個人番号利用事務等実施者は、個人番号利用事務等を処理するために必要があるときは、本人または他の個人番号利用事務等実施者に対し個人番号の提供を求めることができる。

    正しい。

  • 18

    特定個人情報の収集について。 事業者は、個人番号を削除した場合、削除記録を保存することとされている。

    正しい。

  • 19

    特定個人情報の収集について。 何人も、他人の個人番号を含む特定個人情報を収集し、または保管してはならないが、ここでいう収集とは、集める意思をもって自己の専有に置くことをいい、特定個人情報の提示を受けただけでは収集に該当しない。

    正しい。

  • 20

    特定個人情報保護評価について。 特定個人情報保護評価 とは、情報提供ネットワークシステムを使用する事業者(行政機関の長や地方公共団体機関などが中心。例外として民間事業者では、健康保険組合等が該当する)が、特定個人情報の漏洩リスクを分析し、リスク軽減の措置を講ずることを宣言するものをいう。特定個人情報ファイルを保有しようとするものに対する指針を作成するのは、個人情報保護委員会。

    正しい。

  • 21

    法人番号について。法人番号は申請法人に対し原則として1つの法人番号を指定する。支店や複数事業所がある場合はそれぞれに番号が指定される。

    正しくない。

  • 22

    法人番号について。外国法人(外国に本店がある法人)の場合、日本国内で事務所の支店登記をしなければ、法人番号は発行されない。

    正しくない。

  • 23

    法人番号について。人格のない社団等は法人番号の指定対象となるが、法人番号を公表するには、あらかじめその代表者または管理人の同意を得なければならない。

    正しい。

  • 24

    マイナンバー法における罰則について。 不正手段で個人番号カードの交付を受けた→6月以下の懲役 または 50万円以下の罰金。

    正しい。

  • 25

    マイナンバー法における罰則について。 詐欺、脅迫、不正アクセス等により個人番号を取得した者→3年以下の懲役 または 150万円以下の罰金になる。

    正しい。

  • 26

    マイナンバー法における罰則について。 個人情報保護委員会によるマイナンバー法に基づく命令に違反した者→2年以下の懲役 または 50万円以下の罰金。 個人情報保護委員会による報告要求や資料提出要求に従わなかった者→1年以下の懲役 または 50万円以下の罰金。

    正しい。

  • 27

    マイナンバー法における罰則について。 情報提供等事務 または 情報提供ネットワークシステムの運営に関する事務に従事する者は、秘密漏洩、盗用の場合、3年以下の懲役 もしくは 150万円以下の罰金、もしくはこの両方が科される。また、両罰規定の対象になる。

    正しくない。

  • 28

    情報セキュリティについて。 情報漏洩が発生すると、○○リスクが発生し、企業ブランドイメージが傷つくこともある。

    レピュテーションリスク

  • 29

    情報セキュリティについて。 個人情報の保護だけでなく、リスクマネジメントの一貫として、企業の情報資産すべてについて安全管理措置を講じる必要がある。適切な情報セキュリティ対策を講じることは、企業の○○の一貫として必要になる。

    CSR

  • 30

    情報セキュリティについて。情報のCIA(機密性、完全性、可用性)にあとから追加された4要素を正しく選びなさい。 真正性(Authenticity) 責任追跡性(Accountability) 信頼性(Reliability) 否認防止(Non-repudiation)

    真正性(Authenticity) 真正性は、組織が主張する通りであることを指します。簡単にいうと、情報資産にアクセスする人が許可された本人であるかどうかを認証できることです。これによってなりすましを防止できます。真正性を保つ対策としては、デジタル署名や二段階認証・生体認証などが挙げられます。, 責任追跡性(Accountability) 責任追跡性は、組織や個人が行った動作を追跡できる特性のことです。インシデントが起きた際などに責任追跡性が求められます。アクセスログや操作ログを残すことで対策が可能です。, 信頼性(Reliability) 信頼性は、意図した動作が確実に行われるかどうかを示す特性です。人為的な操作ミスを起こさなくても、システムの不具合やバグによってデータが意図せず改ざんされることもあるため、このような特性が求められます。システムがバグや不具合を起こさないような設計・構築を行うことで対策できます。, 否認防止(Non-repudiation) 否認防止は、情報資産に関する行動や事象が、後から否認されないように証明する特性です。責任追跡性が保たれることで否認防止も保たれます。デジタル署名やアクセス・操作ログを残すことが重要になるでしょう。

  • 31

    情報セキュリティについて。 情報システムのセキュリティ上の弱点を減らして堅牢な状態にすること。不要なプログラムの削除や、アクセス権限を最小限にするなどにより、システムの設定上の問題を修正することなどを○○という。

    ハードニング

  • 32

    ○○は、インターネットに限定した個人情報保護の認証の仕組み。世界各国で導入されている。事業者がOECDプライバシーガイドラインに基づいた個人情報の取り扱いを実践している旨を公表したプライバシー・ステートメントの内容を認証機関が審査し、適合した事業者は○○の認証マークをWebサイトに掲載できる。日本では「一般社団法人日本プライバシー認証機構」が審査を実施している。

    TRUSTe

  • 33

    マネジメントシステムに関する問題。合致するものを選択せよ。 1.製造物や提供されるサービスの品質のマネジメントシステム。国際規格はISO9000。 2.環境方針、目的、目標を設定し達成に向けた取り組みをマネジメントするシステム。国際規格はISO14000。 3.ITサービス提供者が顧客のニーズに合致した適切なITサービスを提供するためのマネジメントシステム。国際規格はISO/IEC20000。

    QMS, EMS, ITSMS

  • 34

    リスク分析手法について。それぞれあてはまる言葉を答えよ。 1.特定のレベルとのギャップを分析する手法 2.個人の知識や経験をベースに体系化されていない方法で分析する手法 3.個々の情報資産について脅威脆弱性を識別して分析する手法 4.重要な情報資産については3を、それ以外は1を活用する手法

    ベースラインアプローチ, 非形式アプローチ, 詳細リスク分析, 組合せアプローチ

  • 35

    リスクアセスメントについて。 リスクアセスメントの実施にあたっては、リスク○○を確立する必要がある。これは、リスクの重大性を評価するための目安とする条件のこと。 また、リスクの特質を理解し、リスクレベルを決定するプロセスであり、リスクの重大さを算定するための体系的なプロセスのことを、リスク△△という。 リスク△△の結果をリスク○○と比較するプロセスのことは、リスク□□と呼ぶ。 リスクレベルは定性的・定量的に評価できる。リスク△△のうち、定量的リスク分析の手法としてALEがあり、年間の予想損失額を求める際にこの手法を用いる場合がある。

    リスク基準, リスク分析, リスク評価

  • 36

    ICTとはなにか。

    ICTは「Information and Communication Technology(情報通信技術)」の略で、通信技術を活用したコミュニケーションを指します。 情報処理だけではなく、インターネットのような通信技術を利用した産業やサービスなどの総称です。

  • 37

    MICTSとはなにか。

    Management ICT Sucurity(情報通信技術セキュリティマネジメント)(ISO/ IEC27005)のこと。 なお、ICTは「Information and Communication Technology(情報通信技術)」の略で、通信技術を活用したコミュニケーションを指します。 情報処理だけではなく、インターネットのような通信技術を利用した産業やサービスなどの総称です。

  • 38

    リスク対応は以下に分類される。 1.リスクが発生する状況に巻き込まれないようにする。撤退する。 2.対策を実施して、リスク発生可能性を下げる、または、発生時の損失を軽くする。 3.リスク発生時の損失負担を他者に分散、もしくは共有する。保険利用など。 4.対策を実施せず、損失を受容する。

    リスクの回避, リスクの修正、軽減、最適化, リスクの共有、移転、リスクトランスファー, リスクの保有、受容

  • 39

    JISQ15001:2017における内部向け個人情報保護方針について。 内部向け個人情報保護方針を文書化した情報には、個人情報の取扱いに関する法令、国が定める指針、その他の規範を遵守すること、個人情報の漏洩、滅失、または毀損の防止及び是正に関すること、苦情及び相談への対応に関することなどの事項を含めなければならない。

    正しい

  • 40

    JISQ15001:2017における外部向け個人情報保護方針について。 外部向け個人情報保護方針を文書化した情報には、内部向け個人情報保護方針の事項に加えて、外部向け個人情報保護方針の制定年月日、最終改正年月日、外部向け個人情報保護方針の内容についての問い合わせ先を明記しなければならない。

    正しい

  • 41

    個人情報保護の規定文書・様式について。 対策基準で定めた内容を、個々の業務でどう実施するか、という、実務上の手順や書式を具体的に定めたもの。チェックリストやマニュアル、個人情報管理台帳、誓約書や秘密保持契約書などの様式、監査手順書や苦情対応手順書などが該当するもののことを、なんというか。

    プロシージャー

  • 42

    経済産業省の「情報セキュリティポリシーに関するガイドライン」で示されているポリシーの策定手続きの流れを適切に示せ。

    組織・体制の確立, 基本方針の策定, リスク分析, 対策基準の策定, ポリシーの決定, 実施手順の策定

  • 43

    個人情報保護監査について。 個人情報保護監査は、計画→実施→報告の順に実施する。監査報告書を作成し、代表者に提出するが、改善に緊急を要する場合は報告書の作成を待たずに、代表者に口頭で報告する。また、監査報告書における報告事項が改善されるよう、被監査主体をフォローアップすることが要求されるが、指摘事項の改善に責任を持つのは被監査主体となる。

    正しい。

  • 44

    委託先管理について。 委託先に提供する個人情報の項目は必要最小限に留める。また、提供した個人情報が、委託業務終了後も委託先に残らないよう、使用を終了した個人情報の速やかな返却または廃棄を徹底する旨を、あらかじめ契約書に盛り込まなければならない。その際、委託先で廃棄を行った場合は、確実に廃棄されたかどうかの確認を行うこと。

    正しい。

  • 45

    本人認証について。 PINコードを一定回数間違えて凍結された場合、解除をするには、PINロック解除コードである○○コードの入力が必要となる。

    PUKコード

  • 46

    セキュリティリスクについて。 企業側で把握していない携帯端末やクラウドサービスなどを利用し、従業者が業務を進める状態のことをなんと呼ぶか。

    シャドーIT

  • 47

    システムの二重化について。 デュアルシステムとデュプレックスシステムの違いは何ですか?

    デュアルシステムとデュプレックスシステムは、どちらも2組のシステムを用意しておくという点は同じです。 しかし、常に2つのシステムを本稼働させているデュアルシステムに比べて、デュプレックスシステムは待機用として備えておくところに違いがあります。

  • 48

    攻撃について。DNSサーバに偽りの情報を記憶させる攻撃手法であり、攻撃が成功すると、ユーザは正しいホスト名のWebサーバに接続しているつもりでも、提供された偽りの情報によって、不正なWebサーバに誘導されてしまう。

    DMSキャッシュポイズニング

  • 49

    攻撃手法について。Webアプリケーションの脆弱性をついて、Webサイトにログイン中のユーザのスクリプトを操ることで、ユーザの意図していない処理を行わせる攻撃手法のこと。

    クロスサイトフォージェリ

  • 50

    攻撃手法について。パスワードや暗号鍵などを盗聴し、それを再利用することでそのユーザになりすます攻撃手法のこと。パスワードが暗号化されていても、暗号化後のデータを使うので、受信者は正しいパスワードを正しく暗号化していると判断してしまう。

    リプレイアタック

  • 51

    セキュリティについて。 Webサーバやメールサーバなどの外部に公開するサーバーを設置する、ファイアウォールによって外部ネットワークからも社内ネットワークからも隔離された区域のことを、なんというか。

    DMZ

  • 52

    セキュリティについて。 LANにおいて物理的な接続とは別に、仮想的なネットワークを構築する技術のこと。同じスイッチに接続している複数の機器を、論理的に2つのネットワークに分離することによって、必要なグループ内だけで情報を共有することなどができる。

    VLAN

  • 53

    セキュリティについて。 Webアプリケーションの脆弱性をつく「SQLインジェクション」などの攻撃からWebアプリケーションを防御するためのハードウェアまたはソフトウェアのことをなんというか。SQLインジェクションの特徴的なパターンが含まれていた場合にその通信を遮断することにより防御するなど。

    WAF

  • 54

    セキュリティについて。 複合的な機能を持ったセキュリティ機器を導入して、包括的・統合的にセキュリティ対策を実施する管理手法のことをなんというか。ファイアウォール、ウイルス対策ソフトおよび迷惑メールフィルタなどの機能を一台にまとめた機器を指す場合もある。

    UTM

  • 55

    不正アクセス対策について。 ユーザがクライアントに入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算し、その結果をサーバに送信して認証データに用いる認証方式のことをなんというか。

    チャレンジレスポンス認証

  • 56

    ファイアウォールの方式には、以下のふたつがある。 1.パケットフィルタリング型 パケットにあるIPアドレスとポート番号の情報をもとにパケットの通信許可を判断し、アクセスを制御する方式のこと。パケットフィルタリング機能は、ACLの名称でOSに実装されている。パケットフィルタリング型のうち、パケットの内容までチェックできる機能をステートフルインスペクションといい、これによって、送受信どちらのパケットの通信に対しても監視を行うことができる。 2.アプリケーションゲートウェイ型 通信を中継するプロキシプログラムを使って、OSI参照モデルの応用層のレベルで通信内容を認識してフィルタリングを行い、アクセス制御する方式。プロキシサーバともよばれる。通信内容の確認をしてフィルタリングできるので、パケットフィルタリング型より詳細なアクセス制御が可能となる。

    正しい。

  • 57

    IEEE802.1X認証を行うためには、IEEE802.1X対応のLANスイッチや無線LANアクセスポイントなどのアプラインアンス、IEEE802.1X対応のクライアントソフトであるサプリカント、RADIUSなどの認証サーバが必要になる。

    正しい

  • 58

    不正アクセス対策について。 特定のシステムを攻撃する準備として、検索エンジンやネームサーバ検索、WHOISなどを利用して、攻撃対象の情報を収集する手段のことをなんというか。

    フットプリンティング

  • 59

    不正アクセス対策について。 ユーザを視覚的にだまして正常に見えるウェブページのコンテンツをクリックさせる手法であり、これによって、意図せずに情報を登録させられ、個人情報を詐取される場合もあることを、なんというか。

    クリックジャッキング

  • 60

    電子署名とタイムスタンプには有効期限がある。 1.電子署名 2.タイムスタンプ の有効期限を答えよ。

    1〜3年, 約10年

  • 61

    本人認証について。 スマートフォンなどでPINコードの入力を一定回数間違えると、凍結を解除するために○○が必要となる。

    PUKコード

  • 62

    RMS(リスクマネジメントシステム)について。 1.製造物や提供されるサービスの品質を管理監督するマネジメントシステムであり、国際規格はISO9000シリーズである。 2.環境方針、目的目標を設定し、その達成に向けた取り組みを実施するためのマネジメントシステムであり、国際規格はISO14000シリーズ。 3.ITサービス提供者が顧客のニーズに合致した適切なITサービスを提供するためのマネジメントシステムであり、国際規格はISO/IEC20000。

    QMS, EMS, ITSMS

  • 63

    刑法について。該当するものを選べ。 1.コンピュータの使用者の意図とは無関係に勝手に実行されるようにする目的で、マルウエアのソースコードを作成する行為。 2.ゲームの制作者が意図しない方法で、ゲームのプログラムを改変し、インターネット上で公開する行為。 3.銀行のホストコンピュータに侵入し、特定の口座の預金残高を不正に書き換える行為。 4.特定のWebサーバにログインするためのユーザID/パスワードを一覧できるファイルを作成し、本人に無断で第三者に提供する行為。

    不正指令電磁的記録作成, 著作権法違反, 電子計算機使用詐欺, 不正アクセス禁止法違反

  • 64

    内部統制について。 会社の取締役は、内部統制構築の義務を負う。内部統制は、組織の事業活動を支援する4つの目的を達成するために組織内に構築される。つぎのうちどれか。

    業務の有効性および効率性, 財務報告の信頼性, 事業活動に関わる法令等の遵守, 資産の保全

  • 65

    内部統制について。 内部統制は以下の6つの基本的要素で構成されている。それはどれか。

    統制環境, リスクの評価と対応, 統制活動, 情報と伝達, モニタリング, ITへの対応

  • 66

    情報セキュリティについて。 情報の漏洩などの事故が発生すると、企業や顧客に損失を与えたり、レピュテーションリスクが発生することにより、企業のブランドイメージが傷つくこともある。適切な情報セキュリティ対策を講じることは、企業の○○○の一貫として重要。

    CSR

  • 67

    個人関連情報に関するもっとも適切なものを選びなさい。

    個人の位置情報(特定の個人を識別することができない)は、個人関連情報に該当する。

  • 68

    番号法において正しいものをすべて選べ。

    「本人」とは、個人番号によって識別される特定の個人を言う。, 「情報提供ネットワークシステム」は、内閣総理大臣が設置し、管理する。, 個人番号は12桁である。, 「特定個人情報」とは、個人番号を含む個人情報である。, 暗号化などで秘匿化したものも個人番号に該当する。, 「個人番号利用事務実施者」には、国の行政機関、地方公共団体、日本年金機構等が含まれる。

  • 69

    番号法について。番号法の「他人」の定義における「同一の世帯」とは、住居及び生計をともにする者の集まりまたは独立して住居を維持する単身者をいう。○かバツか。

    ✕正しくない。

  • 70

    法人番号について。正しいものを選べ。

    個人事業者に法人番号は付与されない。

  • 71

    情報セキュリティについて。JISQ27000 2019 における情報セキュリティの要素のひとつである「否認防止」の定義に該当するものを選べ。

    主張された事象または処置の発生、およびそれらを引き起こしたエンティティを証明する能力。

  • 72

    残留リスクについて、適切でないものを選べ。

    残留リスクには、特定されていないリスクを含めてはならない。

  • 73

    アンチパスバック機能とは何か。

    入退室管理における「アンチパスバック」とは? 入退室管理システムには「不審者の入室を防止する」機能がありますが、同時に「退室を防止する」機能もあります。たとえ不審者が入室したとしても、退室させなければ情報漏えいの危険性を減らせます。 これは情報セキュリティにおける出口対策の位置付けにあたり、不審者を外に出さない機能が「アンチパスバック」です。 アンチパスバックとは、入室する際の認証記録がない不審者の退室を許可しない仕組みのことです。 共連れの防止対策として、入退室管理システムに用意されています。 共連れとは、複数の人間が1人の認証で入室することで、情報漏えい対策の課題とされてきました。共連れはピギーバックとも呼ばれます。 万が一不審者の入室があっても、アンチパスバック機能により退室させなければ情報漏洩などの重大事故を食い止められる可能性があるので、アンチパスバックの必要性が高いとされています。 アンチパスバックの事例 たとえば先に入った正規の認証者の後に続いて、認証していない人が入ったとします。後者は正規に認証を受けていませんから、入室の記録が残っていません。これを不正な侵入者として退室を禁止します。不審者が見つかった場合は、アンチパスバックの該当者として警備室にアラートが飛んで、入室の経緯などを確認します。 まれな例として、入室の際に認証をうっかり忘れてしまい、結果的に共連れになってしまったケースも考えられます。また、共連れの逆のパターンとして「すれ違い」もあります。誰かが退室するのを待ち、そのタイミングで入室する方法です。これも入室の記録がないため、退出が許されません。 アンチパスバック以外の共連れ防止策 アンチパスバックで完全に共連れを防止できるわけではありません。共連れで入室したのと同じように、共連れで退出できるからです。すれ違いで退出することも可能です。

  • 74

    コンピュータシステムの信頼性の評価指標について。「RASIS」とは、信頼性、可用性、保守性、保全・完全性、機密性の5要素を頭文字であらわしたもの。これらのうち、信頼性(Reliability)とは、○○や○○である。また、可用性(Availability)とは、システムがどの程度正常に稼働しているかを割合で示した稼働率のことであり、稼働率=○○÷(平均故障間隔+平均修復時間)で算出できる。 なお、RASISのなかでも、信頼性・可用性・○○は重要視されており、RASとして評価指標にされることも多い。

    故障・障害の発生しにくさ, 安定性の程度, 平均故障間隔, 保守性

  • 75

    携帯端末の管理の仕組みについて。MDM、MAM、MCMとは何かをこたえよ。

    MDMは、Mobile Device Managementのことであり、日本語で言うと「モバイルデバイス管理」。モバイル端末本体からの情報漏えいを防ぐ方法です。 すなわち、盗難や紛失によって他人に端末に保存したデータを見られることを防ぐというものが中心となります。 具体的な方法としては、アプリを使用して画面のキャプチャや録画をすることやクリップボード履歴を保存することを禁止して、紛失や盗難があったときに遠隔操作で端末を使用できない状態にする「リモートロック」や「リモートワイプ」の導入が欠かせないものとなります。 MAMはMobile Application Managementのことであり、日本語で言うと「モバイルアプリケーション管理」。 モバイル端末を業務に使用する場合に業務にかかわるアプリケーションとデータを適切に管理することを指します。 MAMの方法として代表的なものが「ラッピング」です。これはアプリケーションに対してアクセス制限やデータ保護の設定を行うものであり、個人のデータとは分離して、業務に必要なアプリケーションだけに対策を施すことができます。 また、端末には一切の情報を保存せず、仮想デスクトップなどを利用するMAMの方法もあります。 MCMはMobile Contents Managementの略であり、「モバイルコンテンツ管理」などとも呼ばれ、端末全体を管理するのではなく、業務に必要なコンテンツだけを管理するものです。 個人利用の端末を業務に利用する際に問題となることのひとつが、個人向けのクラウドストレージサービスからの情報漏えいです。とはいえ、全面的にこれらのサービスを禁止することは業務効率を考えると現実的ではないでしょう。 そのため、MCMではセキュリティを重視したクラウドサービスや、電子カタログの閲覧に特化してタブレットなどでの利便性を高めたMCMなどもあります。

  • 76

    デジタル署名とタイムスタンプについて、正しくないものはどれか。

    デジタル署名の要件として、電子文書の作者を示すために行われたものであること、作成された電子文書に対する改ざんが特定の時刻以降に行われていないことを確認できるものであること の2つを満たす必要がある。

  • 77

    ファイアーウォールについて正しくないものを選べ。

    パケットフィルタリングは、IP偽装には効果があるが、ログがIPパケット以外の情報も取得するため、処理速度が遅くなり、通信速度の減衰を招くことがある。

  • 78

    プライバシーマーク制度の運営体制のうち、正しいものを選べ。

    プライバシーマーク付与機関, プライバシーマーク指定審査機関, プライバシーマーク指定研修機関

  • 79

    匿名加工情報を作成する個人情報取扱事業者が遵守する義務について正しくないものを選べ。

    個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名校情報に含まれる個人に関する情報の項目を公表するよう努めなければならない。

  • 80

    不正アクセス行為の禁止等に関する法律、不正アクセス禁止法において、不正アクセス剤が成立するための要件に該当しないものをえらべ。

    情報の不正入手を目的として行われたものであること。

  • 81

    情報セキュリティにおける組織体について。 インシデントが発生した際に対応する組織体であり、脆弱性情報などの収集、分析、インシデント発生時の対応、組織内外との情報の共有、連携などを行う。事前の検知や対策に重点を置くSOC(セキュリティオペレーションセンター)とは異なり、事後の対策を中心に行う。なお、このような業務を担う人材には高度なセキュリティ知識が求められるため、社内組織として構成するのではなく、この組織体そのものをアウトソースするケースも増えている。

    CSIRT

  • 82

    携帯端末の紛失や盗難への対策に関して、間違っているものを選べ。

    ローカルブレイクアウトとは、利用者認証やロック解除などの操作を一定回数誤った際に自動的に端末が初期化され、内部のデータが自動的に消去される機能のこと。

  • 83

    事業継続マネジメントについて適切な語句を選べ。 経済産業省が策定した「情報セキュリティ継続」において、組織は、情報セキュリティの継続が事業継続マネジメントプロセスまたは災害復旧管理プロセスに折り込まれているか否かを判断すると示されている。ここでの「事業継続マネジメント」は○○とも呼ばれ、「災害復旧管理」は○○とも呼ばれる。また、事業継続および災害復旧に関する正式な計画が策定されていない場合において、情報セキュリティ要求事項が変わらず存続すると定められない場合には、情報セキュリティの側面について事業影響度分析を実施し、通常の業務状況とは異なる困難な状況に適用できる情報セキュリティ要求事項を定めると示されている。ここでの「事業影響度分析」は○○などとも呼ばれる。

    BCM, DRM, BIA

  • 84

    情報セキュリティ 真正性とは?

    TREND MICRO SaaS・プロダクトポータルサイト サイバー攻撃対策 情報セキュリティの7要素とは? CIAに続く真正性、信頼性、責任追及性、否認防止 法人のお客さまに起こりがちな状況 情報セキュリティを高めるために必要なことは?と聞かれたときに、よく出てくるのが「ISMS」です。 機密性、完全性、可用性の3要素は多くの人が知っていて、その重要性については疑う余地がありません。 しかし、そこには続きがあることをご存じでしょうか? 今回は、情報セキュリティの3要素と、そこに続いて記載されている追加の4要素についてご説明いたします。 ISMSの規格に記載されている情報セキュリティの定義 ISMSで重要なことは?と聞かれるとパッと出てくるのは何でしょうか? 多くの人は「機密性」「完全性」「可用性」の3つの要素をバランスよく維持すること、と回答すると思います。 この3つは正しくはISO/IEC 27000に記載されている情報セキュリティ(information security)の定義で、ここでは「情報の機密性,完全性及び可用性を維持すること。」と定められています。 実はこの定義には注記があるのをご存じでしょうか? そこには「さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持することを含めることもある。」と記載されています。 3要素ほどは知られてはいませんが、情報セキュリティの重要性が高まる中ではこの注記部分に記載されている4要素も意識していかなければならない状況になってきています。 機密性、完全性、可用性のCIA 情報セキュリティに重要な3要素について、改めての解説です。 <機密性(confidentiality)> 機密性とは、情報へのアクセス権限を設定し保護することを指します。アクセス難易度が上がればその分外部からの侵入が難しくなり、情報漏洩や破損する可能性を下げることが可能になります。 機密性を高める方法として、具体的には以下のような対策が考えられます。 物理的なアクセスができないよう、鍵をかけた部屋に保管したりデータセンターに保管したりする 強力なパスワードを設定する 該当データの保存フォルダにアクセス権限を設定する データへアクセス可能な端末を限定し、その端末自体を限られた人しか入れない部屋に設置する <完全性(integrity)> 完全性は該当する情報が常に正確な情報を維持している状態を指します。情報がいくら機密性の高い状態を維持していたとしても、その中身が書き換えられていたり過不足があったりするのであればまともに使用することができず、信頼性の低いデータとして利用価値がない状態となってしまいます。 具体的には以下のような対策で完全性の維持を行います。 バックアップを取る 変更履歴やアクセス履歴を残す <可用性(availability)> 可用性は、対象となる情報を利用する必要がある人間が必要なタイミングでいつでも使える状態を維持することを指します。いくらデータがあっても停電や事業所外からのアクセスなどで使えなければ情報としての価値はありません。可用性を高めることで、実務としての価値が出てくることになります。 具体的には以下のような対策で可用性を維持します。 UPS(無停電電源装置)の導入 クラウドストレージサービスの利用 システムの多重化 この3つの要素は頭文字を取って「CIA」と呼ばれることがあります。 また、この要素はそれぞれ他の要素に対して影響を与えることがあります。 例えば機密性を高めるために個人情報のデータは本社の立ち入り制限された部屋の端末にローカルデータとして保存するルールにしてしまうと完全性や可用性の観点では非常に危うい状態となります。実際の運用の中では自社の実情に照らし合わせながらそれぞれの情報に対して事業運営に支障がない(少ない)範囲で3要素をできるだけ高める、という意識と仕組みを考えることが重要となります。 拡張定義としての真正性、責任追及性、否認防止、信頼性 情報セキュリティの定義で注記として存在する4つの要素は、情報セキュリティを高めるための考え方として現在注目度が上がってきている内容です。主に情報を活用する際に、どのようにすればインシデントを発生させずに済むのかを考えるために重要になるのがこの4要素と言えます。 <真正性(Authenticity)> 真正性は対象の情報に対してアクセスする人間が「本当にアクセスするべき人かどうか」を担保することを指します。関係ない外部の人間がアクセスしてしまうと情報漏洩やデータの破壊につながる可能性があるため、重要な要素です。単純なパスワードでは簡単に突破され、正規な認証方法でアクセスすべきではない人がアクセスしてしまう可能性があるため、認証方法の強化が重要です。 対策としては以下のようなものがあります。 多要素認証 デジタル署名 <責任追及性(Accountability)> 責任追及性は対象の情報へのアクセスがどのような手順によって行われたのかを追跡できるようにすることを指します。インシデント発生時に手順を追えるようにすることで、誰が行ったどのプロセスのどの手順が要因なのかを判別していきます。 対策としては以下のようなものがあります。 ログイン履歴 アクセスログ 操作ログ <否認防止(non-repudiation)> 否認防止はインシデント発生後、その原因となった人物や対象から該当の行動を否定されないように証拠を残すことを指します。問題行動を指摘したとしても、証拠が残っていなければ水掛け論に終始してしまうため、しっかりと保存しておくことが重要です。 対策としては以下のようなものがあります。 ログイン履歴の保存 アクセスログの保存 操作ログの保存 <信頼性(Reliability)> 信頼性はデータに対する操作が意図したとおりに動くことを指します。ヒューマンエラーやバグによって、手順通りに行ったはずなのに意図しない結果が出力されることがあると正しい情報ではなくなってしまい、情報の価値が失われてしまいます。 対策としては以下のようなものがあります。 システム開発時のしっかりとした設計書レビューやテスト フールプルーフやフェイルセーフを前提とした運用設計 ご紹介したこれらの4要素はCIAの要素と比較して、インシデントを防止するための要素、インシデントが発生してしまった後の対処のための情報としての意味合いが強いことがわかるでしょうか?当然のことですが、情報は使われなければただの文字の羅列となります。同時に、情報を利活用することはインシデント発生の可能性を上げることにも他なりません。現実的な問題としてインシデントの発生率を0にすることは難しいため、発生を前提としてどのような観点で事前準備を行うべきかを示したものがこの4要素と言えます。 ご紹介したこれらの点を意識してソリューションや社内ガイドラインを設定していくことで、抜け漏れのない対策ができるような形になっています。 情報セキュリティ対策には拡張定義を意識したソリューションの導入を ISMSを意識するうえでCIAの3要素が重要とは言われつつ、実務レベルでどのような観点を持って対策を行うべきかは、なかなか見えにくいところでした。 この拡張定義を加えることで、社内の情報セキュリティ体制での抜け漏れがないかどうかを改めて確認できるようになったのではないでしょうか? 再度体制を確認し、不足している点があれば対策しセキュリティレベルを上げていきましょう。特に今回ご紹介した4要素は、全体としてシステムでの対応により負荷軽減できる範囲が多いので、積極的なソリューションの導入が効果的であると考えています。 トレンドマイクロからのアドバイス CIAの3要素と拡張の4要素を意識した情報セキュリティの向上について、その重要性はわかってはいるものの、実際の対応方法については各企業によって実態が異なるため、どのようにしてバランスを取るべきかなかなか判断が難しいところです。しかし一方で、どの情報がどこに保存されており、その利用者は誰であるべきかなどの要素さえしっかりと整理できていれば、セキュリティベンダー各社においてはポイントポイントに対応したソリューションを用意してもいます。 トレンドマイクロでは情報セキュリティソリューションベンダーとして高いセキュリティレベルを維持できるソリューションを取りそろえています。ぜひ自社の状況を整理したうえで、不足している部分に合わせたソリューションの導入をご検討ください。 管理サーバ要らずの「サーバ向けクラウド型セキュリティ」 Trend Micro Cloud One - Workload Security™はWEBサーバ、特にパブリッククラウドへのサイバー攻撃に対してオールラウンドで対応できるソリューションです。 1ライセンスから導入可能で月額課金という料金体系のため、イニシャルコストを抑えやすくスモールスタートが可能となっています。 事前予防と事後対処を実現するエンドポイントセキュリティ Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。 管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。 先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチによりスクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現するほかWebレピュテーション機能によって不正URLへのアクセスをブロックすることでフィッシング被害を抑制することも可能です。 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護 Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。 ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。 ※すべての未知の脅威に対応するものではありません また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。 ご活用いただける環境にありましたらぜひお試しください。 Trend Micro Security Assessment Service™ この課題を解決する製品 法人向け クラウド型総合サーバセキュリティサービス Trend Micro Cloud One - Workload Security™ 法人向け エンドポイントセキュリティプラットフォーム Trend Micro Apex One™ 法人向け クラウドアプリケーションセキュリティ Trend Micro Cloud App Security™ 導入前の製品や購入に 関するお問い合わせ ご担当者様の課題解決を電話やメールで受け付けます。製品や購入に関するご不明点がある方はお気軽にご相談ください。 導入前の製品や購入に関する お問い合わせ オンライン見積り トレンドマイクロのセキュリティ対策製品のお見積りをオンラインでご確認いただけます。 オンライン見積り 課題から探す 事例紹介 特集 お問い合わせ オンライン見積り 製品一覧から探す ウイルスバスター™ ビジネスセキュリティサービス(VBBSS) Trend Micro Apex One™ Trend Micro Cloud One - Workload Security™ Cloud Edge™ Trend Micro Cloud App Security™ ページ先頭へ 特定商取引に関する表記 ご利用条件 個人情報保護方針 プライバシーポリシー Copyright © 2023 Trend Micro Incorporated. All rights reserved.