リスクコントロールとは、リスクが発生してしまった場合にその損失金額を小さくするための財務的な対策のことである。

ISMSを継続的に推進していく手法であるPDCAサイクルにおいて、Actプロセスでは、システムの見直し・改善、情報セキュリティポリシーの評価・見直しなどを行う。

内部統制とは、「業務の有効性、効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵 守」、「資産の保全」 の4つの目的が達成されているとの合理的な保証を得るために、業務に組み 込まれ、組織内のすべての者によって遂行されるプロセスをいう。

JIS Q 27000:2019において、「ぜい弱性」は、システム又は組織に損害を与える可能性がある、望 ましくないインシデントの潜在的な原因と定義されている。

「個人情報の保護に関する法律」(以下、「個人情報保護法」)における「個人情報」 の具体例とし て、本人の氏名や、生年月日・連絡先(住所・居所・電話番号・メールアドレス) ・会社における職 位または所属に関する情報について、それらと本人の氏名を組み合わせた情報や、特定の個人を識 別できるメールアドレスなどが挙げられるが、本人が判別できる情報であっても、映像情報や音声 録音情報は該当しない。

情報セキュリティポリシーとは、組織が所有する情報資産の情報セキュリティ対策について総合的、 体系的、かつ具体的に取りまとめたもののことであり、情報セキュリティ管理者や組織内の情報セキュリティ委員会などが策定する。

保証型の監査は、情報セキュリティ対策が適切かどうかを監査人が保証することを目的とする監査 であり、助言型の監査は、情報セキュリティ対策の改善のために監査人が助言を行うことを目的と する監査である。また、この2つを同時に目的とした監査を行うことも可能である。

プライバシーマーク制度は、「JISQ15001 個人情報保護マネジメントシステム要求事項」に適 合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度である。

リスクマネジメントプロセスにおいて、リスクアセスメントは、リスクを特定した後にリスクの評価を行い、その結果を踏まえてリスクを分析する。

「不正アクセス行為の禁止等に関する法律」 (不正アクセス禁止法) における不正アクセス行為と は、アクセス制限がなされているコンピュータに対して、他人のユーザID・パスワードを悪用した り、コンピュータプログラムの不備をつくことにより、本来アクセスする権限のないコンピュータ を利用する行為のことである。

一般的に、情報セキュリティポリシーの策定は、以下の図のような手順で行う。

技術やノウハウ等の情報が 「営業秘密」 として「不正競争防止法」で保護されるためには、次の3 つの要件をすべて満たす必要がある。 ●(a)管理性 (a)として管理されている情報であり、その情報に触れることができる者を制限することや、情 報に触れた者にそれが (a) であると認識できることが必要である。 ●(b)性 (b)な営業上または技術上の情報であり、(b) 性が認められるためには、その情報が客観的に(b) であることが必要である。 ● 非公知性 公然と知られていないことであり、非公知性が認められるためには、(c) ことが必要である。

( )とは、株主や銀行、 債権者、取締役、従業員などの企業を取り巻くさまざまな利害関係者が企業活動を監視して、健全 で効率的な企業経営を規律するための仕組みのことである。

「特許法」においては、技術的思想の創作である 「(　　　)」が保護の対象となる。

情報セキュリティの3要素の一つである 「完全性」 の具体例として、( ) ことが挙げられる。

OECDプライバシー・ガイドラインの8原則のうち、「( )」では、データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証すべきであるとしている。

リスク対応を、リスクコントロールとリスクファイナンシングに分類した場合、リスクコントロー ルの手法の一つである 「リスク低減」 とは、( ) 手法である。

「個人情報保護法」における「要配慮個人情報」とは、本人に対する不当な差別、偏見その他の不利 益が生じないように、その取扱いに特に配慮を要するものとして、政令で定める記述等が含まれる 個人情報のことである。例えば、本人の人種や病歴などは該当するが、( )などは該当しない。

「個人情報保護法」における民間事業者の個人情報の取扱いに関する記述のうち、誤っているもの はどれか。

「刑法」に規定されている犯罪行為に関する記述のうち、誤っているものはどれか。

複合機の不正利用による情報漏えいを防ぐため、パスワードやIDカードなどの認証により利用制限 をかけたり、利用者がいつ・誰が何を印刷したのかの履歴を取得したりする。また、地紋印刷機能などのセキュリティ機能を利用する。

オフィス内での書類などの紛失や盗難の対策として、クリアデスクの原則に従い、退室する際は、 使用していた重要な書類は所定のキャビネットなどで保管・施錠することが挙げられる。

商品開発室や重要資料保管室などのセキュリティレベルが高い部屋の出入り口は、部署ごとに配付 されている複数人で共有するカードキーを用いて、施錠・解錠をすることが望ましい。

バイオメトリクスによる認証方式の一つである静脈認証は、低解像度のカメラの利用でも対応でき るが、湿度や外的な要因などによって正しく認証されない場合がある。

来客者への対策として、来訪の際には氏名・所属、訪問先・訪問の目的などを所定の用紙に記入し てもらい、記入が済んだ来客者にゲスト用IDカードを貸与し、入退室を管理する。

スマートフォンの盗難・紛失の際の情報漏えい対策として、スマートフォンを遠隔地から操作して、 端末に保存されているデータを削除するローカルワイプ機能を有効にしておく。

使用しなくなったスマートフォンを廃棄する場合は、個人情報の流出を防ぐため、大手通信キャリ アのショップに持ち込んで、すべてのデータを確実に消去してもらい、端末の物理的な破壊を依頼する。

従業員が、業務上知り得た取引先の公開されていない重要な情報をSNSに投稿した場合、従業員の 個人のアカウントからの投稿であっても、自社に対して損害賠償を請求される可能性がある。

自然災害の脅威の一つである雷サージとは、落雷の際、電線などに瞬間的に高い電圧が発生する現 象であり、過電流が通信ケーブルなどを伝って屋内に侵入し、コンピュータや通信機器などを損傷させる場合もある。

UPSは、無停電電源装置とも呼ばれ、これを設置することにより、停電時でもしばらくの間はコン ピュータやネットワーク機器などに電気を供給することができ、利用者は安全にシステムの終了を行うことができる

情報漏えいの対策として、重要な情報をFAXで送信する際には、送信相手を間違えたりしないよう に、FAXの ( a ) 授受確認を行い、相手に確実に届いていることを確認する。 また、重要な書類がごみとして捨てられていた場合、悪意のある人がごみをあさって機密情報を探し出す ( b ) もあるため、紙媒体は適切に廃棄しなければならない。重要な紙媒体はシュレッ ダーで細断してから廃棄するか、一箇所にまとめてから廃棄するなどの対策が有効である。まとめ て廃棄する場合は、専門の業者に依頼して ( c ) を締結し、廃棄処理後に廃棄証明書などの提 出を求めるようにすることが望ましい。

入退管理において、入退室の正当な権利をもつ人の後ろについて不正に入室してしまう ( a ) の脅威が存在する。そのために、入室した際の記録がない者の退室を認めない ( b ) という仕 組みを採用する。具体的には、サークルゲートや ( c ) などのセキュリティゲートを設置する ことにより、不正な入退室の発生を減らすことができる。

Webサービスとして提供されている ( ) サービスを利用することにより、URLをアルファベット数文字程度に短くすることができる。便利な反面、一見しただけでは、どのようなWebサイトにリンクされているか判断がつきにくいというデメリットがある。

バイオメトリクス認証の方式の一つである( )は、非接触・非拘束での認証や離れた場所からの認証も可能である。認証に用いる装置として一般的なWebカメラも利用可能であり、出入国管理や重要施設の監視、イベント会場での入場管理など、さまざまな場所で導入されている。

ヒューマンエラーの具体例として、( )などが挙げられる。

バックアップサイトの一つであるホットサイトは、( ) 形態である。

コンピュータを利用する際のショルダーハッキングの対策として、( )することが挙げられる。

業務で使用するノートパソコンを外部に持ち出す際は、( ) ことなどにより、耐タンパ性を高めるようにする。

以下の図は、あるオフィスのレイアウトの一部を表したものである。この図における物理的対策に 関する記述のうち、不適切なものはどれか。なお、図中の「引き戸」は、鍵のかからない手動の扉 を表すものとする。 図

スマートフォンroot化 (Jailbreak)に関するのうち最も適切ものはどれか。

パスワードフィルタの規則の具体例として、ユーザIDが含まれるものは許可しないことや、10文字 以上で、英字・数字・記号がそれぞれ1文字以上含まれるものを許可することなどが挙げられる。

シングルサインオンを導入した際の利用者側のメリットの一つとして、複数のユーザで1つのアカウントを共有することによる利便性の向上が挙げられる。

差分バックアップは、フルバックアップを行った後に変更されたデータのみをバックアップの対象とするため、フルバックアップと比較するとバックアップ時間は短くなる。

使い勝手のよいフリーソフトヴェアを利用することにより、業務効率の向上が期待できるのであれば、業務で使用するコンピュータにそのフリーソフトウェアを自己の判断でインストールしてもよい。

ルータやHDDレコーダ、スマートスピーカーなどの機器は、ネットワークに常時接続していても、 不正アクセスや不正プログラムに感染するなどの危険性はない。

USBメモリを利用する場合は、USBポート経由でマルウェアに感染しないための対策として、出所 不明のUSBメモリを接続しないことや、OSの設定でUSBメモリの自動再生機能を無効にすることなどが挙げられる。

リロード攻撃とは、Webブラウザの再読込み機能を何度も連続して行うことにより大量のページ送 信要求を送り、Webサーバに過大な負荷をかけて停止させるなどの攻撃である。

プロキシサーバの機能の一つであるURLフィルタリング機能は、設定したURLへのアクセスを禁止したり、設定したURLへのアクセスだけを許可し、他のURLへのアクセスをすべて禁止したりすることができる。

ブロック暗号とは、データを1ビット単位で暗号化または復号する共通鍵暗号方式であり、同期式暗号と非同期式暗号がある。

フィッシングなどの不正なメールでの被害を防ぐための対策の一つとして、送信者欄に表示されて いる送信者は既知のものかや著名な機関のものかどうかを確認し、さらに、メールを開く前にメー ルソフトのプレビュー画面でその内容を確認する。

(　　 )とは、ネット ワーク上のパケットを盗聴する行為のことである。これによって、パケットに含まれるパスワード を不正に読み取ることができてしまう。

( )は、感染した コンピュータのファイルを暗号化してロックをかけ、ロックの解除と引き換えに金銭を要求したり、 コンピュータ内の情報を詐取して、金銭を支払わなければその情報を暴露するなどの脅迫を行う手口もある。

( )とは、不 正侵入や攻撃を受けたコンピュータに仕掛けられた、裏の侵入経路のことであり、侵入者が、その システムに再侵入するために設置する。

( ) とは、公開かぎ暗号方式を利用するための周辺 技術や概念などのことであり、これを利用することによって、なりすましやデータの盗聴・改ざん などを防ぐことができるようになる。

パスワードリスト攻撃に対し、ユーザ側の対策として有効となるのは、( )することである。

メッセージ認証コード (MAC) を利用することにより、( )が可能となる。

リバースブルートフォース攻撃の説明に該当するものはどれか。

暗号方式の種類に関する記述のうち、誤っているものはどれか。

情報リテラシとは、情報を活用できる能力のことであり、業務に必要なデータを検索することや、 分析や改善などの目的に合わせてデータを活用することなどが該当する。

パーマネントファイルとは、ソフトウェアが作業中のデータの保存のために、一時的に自動生成す るものであり、一般的に、このファイルはソフトウェア終了と同時に消去される。

シリアルインタフェースとは、1本の信号線で1ビットずつを順次送る直列データ転送方式のこと であり、一度に送るデータ量は少なくなるが、仕組みが単純であるため、データを高速に転送でき るという特徴をもつ。

主記憶装置とは、CPUがプログラムを実行する際に直接使用する記憶装置であり、一般的にレジス タと呼ばれる。

ロボティクスとは、ロボットの手足を稼働させるための動作機構や、外部の状況を確認するための カメラやセンサ、及びロボットを自律的に動作させるためのソフトウェアや人工知能などを研究す るものである。

組込みシステムとは、家電製品や機械などに組み込まれている特定の機能を処理するマイクロコン ピュータシステムであり、電気炊飯器における火加減調節など、多くの身近な家電にこのシステム が組み込まれている。

クライアントサーバシステムは、垂直機能分散システムに分類され、クライアントとサーバで実行 するOSは同じである必要はなく、1台のコンピュータがサーバとクライアントを兼用することもあ る。

ファットクライアントとは、ハードディスクを持たず、内部にデータを格納できない形式のパソコンなどのことである。キー操作を行うとその内容がネットワーク経由でサーバに届き、仮想OSなどがその操作に応じた処理をサーバ上で実行する。

EC(電子商取引)は、取引主体の類型により、BtoBやB to C、CtoC、BtoG、Bto Eなどに分 類され、例えば、オンラインショッピングやオンラインバンキングなどはB to Eに分類される。

IrDAとは、赤外線を利用した近距離データ通信として制定された規格、及び規格を制定した団体の 名称であり、ノートパソコンやプリンタ、デジタルカメラなどの外部通信機能として利用されている

Windows 環境において、ファイル名に使用できる半角記号は、次のうちどれか。

最も多いデータ容量を表しているのは、次のうちどれか。

ポインティングデバイスに該当しないものは、、次のうちどれか。

コンピュータの電源を切らずに機器やケーブルを装着することであり、USBやIEEE1394、PCカー ドなどのインタフェースが対応しているのは、次のうちどれか。

国際標準規格であり、スマートフォンや携帯電話、ノートパソコン、スピーカー、周辺機器などを、 ケーブルを使わずに接続して、音声データや文字データなどをやりとりする近距離無線通信技術 は、次のうちどれか。

物体の識別に必要な情報などが記録されている小型の無線ICチップによって、電波や電磁波で管 理システムと情報を送受信する仕組みは、次のうちどれか。

(a) : データ通信や回線などにおける情報の通信速度の単位であり、1秒間に送ることがで きるビット数を表すものである。 ( b ) : 画像を構成する最小の単位であり、色調・ 階調・透明度などの色情報を持つ点を意味 するものである。 (c): 1秒間あたりの振動回数を表す周波数の単位であり、CPUの処理性能を表す際の指標 となるクロック周波数の単位として用いられている。

(a ) : メールサーバ間での電子メールの送受信や、クライアントからの電子メールの送信を 行うプロトコルである。 ( b ) : コンピュータ間でファイルを送受信するときに使用するプロトコルである。 ( c ) : IPネットワーク上で、ネットワーク機器の監視と制御を行うためのプロトコルであ る。