問題一覧
1
公開鍵認証基盤(PKI)に関して、誤った記述を以下の選択肢から選択してください
公開鍵、秘密鍵は使用者が自由に作成できる
2
セキュリティホールになる事柄を、以下の選択肢からすべて選択してください(複数回答)
管理部門に指示されたWindowsUpdateを行っていない, 導入したウイルス対策ソフトの契約期間が切れている, 管理部門の許可を得ずに、私物のスマホを社内Wi-Fiに接続している, 出勤時に、入室用のIDカードを忘れたので、同僚に入室した際に一緒に入室した
3
守秘義務(confidentiality)に違反する行為の記述を以下の選択肢からすべて選択してください(複数回答)
久しぶりに会った知人に近況として、訪問した顧客(芸能事務所)での出来事を話した, 事務所の入っているビルのエレベーター内にて、ほかのフロアー勤務者がいる状態で、同僚と訪問先顧客での出来事を小声で話した
4
PKI(PersonalIdentificationNumber:個人識別番号)の使用場面で、適切な記述を以下の選択肢から選択してください
使用しているPCの使用開始で、PINコードを入力する
5
デフォルトアカウントの説明について適切な記述を、以下の記述から選択してください
一つのアプリで、複数のアカウントを使用している場合で、明示しなかった場合に、優先的に利用されるアカウントの事である
6
情報漏洩時(PC紛失)のインシデント対応として、一番最初に行う行動を、以下の選択肢から選択してください
報告 RJの場合は1時間以内に上司へ報告
7
持ち出しPCの情報漏洩対策として、適切な記述を、以下の選択肢から選択してください
セキュリティチップによるファイルの暗号化を行う
8
パスワード解析攻撃の手法として、適切な記述を以下の選択肢から、すべて選択してください(複数回答)
パスワードリスト攻撃, ブルートフォース攻撃, 辞書攻撃
9
不注意による重要情報の情報漏洩に対して、被害の早期検知として、適切な記述を、以下の選択肢から選択してください
問題発生時の内部報告体制の整備, 外部からの連絡窓口の設置
10
物理的脅威対策について、適切な記述をすべて、以下の選択肢から選択してください(複数回答)
セキュリティワイヤーの活用, データセンターの利用, クラウドバックアップの導入
11
情報セキュリティ対策を考える際に、対応すべきリスクを策定し、どの情報をセキュリティの対策対象とするか、合理的な判断が必要となります。受容範囲とできるリスクの小さいものは、次のうちのどれですか。適切な記述を、以下の選択肢から選択してください
発売後の製品パンフレットの盗難
12
人的脅威の対策として、適切な記述を、以下の選択肢から選択してください(複数回答)
監視カメラの導入, 従業員教育, 資産管理ソフトの導入
13
「予期せぬIT基盤の障害に伴う業務停止」の脅威に対して、被害前の対策として、適切な記述を、以下の選択肢から選択してください
復旧対策としてのデータバックアップ
14
フィッシング詐欺の手口として、有名企業のウェブサイトを模したフィッシングサイトを作成し、そのサイトへ誘導するために、宛先や本文を本物の有名企業と信じさせる内容のメールを不特定多数に送信するものがあります。 そういったメールをメールサーバーで排除するのに役立つセキュリティ対策として最も適切な記述を、以下の選択肢から選択してください
メールフィルタリング
15
下記の記述を読み、正しい場合には〇を、誤ってる場合には×を選択してください 実行すべき「重要7項目の取組」 1、情報セキュリティに関する組織全体の対応方針を定める 2、情報セキュリティ対策のため予算や人材などを確保する 3、必要と考えられる対策を検討させて実行を指示する 4、情報セキュリティ対策に関する適宜の見直しを指示する 5、緊急時の対応や復旧のための体制を整備する 6、委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 7、情報セキュリティに関する最新動向を収集する
〇
16
下記の、説明を読み、正しい場合には〇を、誤っている場合には×を選択してください 「情報セキュリティの用語として、バックドアとは、悪意を持った攻撃者がターゲットとなるコンピュータに不正に侵入するための入り口のことである」
〇
17
情報セキュリティ分野で、「認証」とは、捜査しているユーザが本人であることを識別することです。認証に該当する記述を以下の選択肢から全て選択してください(複数回答)
WindowsPCで、ユーザIDとパスワードを入力する, スマートフォンで、指紋でログインする, 銀行のATMで暗証番号を入力する, ネットショッピングの際に、ユーザ名とパスワード入力する
18
アカウントとは、インターネット上のサービスやWindowsパソコンにログインする際に利用する( )と( )の組み合わせのことです。( )の中に入る、適切な記述を、以下の選択肢から選択してください(複数回答)
ユーザID, パスワード
19
情報セキュリティの分野にて、「侵入」とは、システムへ不正にアクセスすることです。 侵入には該当しない記述を、以下の選択肢から選択してください
企業のホームページを閲覧する
20
S/MIMEとは、電子メールの内容の暗号化と電子署名を付加できる規格の1つです。メールの本文を暗号化して送信し、受け手は本文を復号化し元の本文を読むことができます。これは( )に役立つ機能です
メールの転送中に、改ざんや盗み見の防止
21
情報セキュリティ5か条について、誤っている記述を以下の選択肢から選択してください
パスワードは専用ソフトで保管しよう
22
取引先になりすましたビジネスメール詐欺の対策について、顧客より相談を受けました。対策として誤っている記述を以下の選択肢から選択してください
暗号化したファイルとパスワードは同じメールで送信する
23
なりすましメールについて、適切な記述を、以下の選択肢から選択してください
金銭などを目的とした悪意のある第三者が、企業や団体の名前を装い送信するメールを指します
24
下記の説明を読み、正しい場合には〇を、誤っている場合には×を選択してください 「情報セキュリティの用語として、エクスプロイトとは、ソフトウェアやシステムが持つセキュリティの脆弱性を攻撃するプログラムを指します」
〇
25
企業や個人あてに日々送られてくる迷惑メールの対策として、誤っている記述を以下の選択肢から選択してください
メール内に記載されているURLからメールの配信の停止を行う
26
組織関係者による不正行為の対策として、適切な記述を、以下の選択肢から選択してください
アクセス権の設定
27
情報セキュリティ対策の決定において、①リスクを低減する、②リスクを保有する、③リスクを回避する、④リスクを移転するといった対策の区分があります。 ②リスクを保有するの意味として、正しい記述を以下の選択肢から選択してください
事故が発生しても受容できる、あるいは対策にかかる費用が損害額を上回る場合に対策を講じず、現状を維持する
28
不正アクセスや攻撃など情報漏洩や不正操作があったことの原因究明や証明するための手段や技術を、何というか、正しい記述を以下の選択肢から選択してください
デジタルフォレンジック
29
お客様より、テレワークを行う際の情報セキュリティ対策の相談を受けました。適切ではない記述を以下の選択肢から選択してください
社内アクセスポイントの集中管理を行う
30
社会環境の変化を踏まえ、「改正個人情報保護法」は2017年に全面施行されました。改正内容として、正しい記述を以下の選択肢から選択してください
適用対象として、「個人情報をデータベース化して事業に利用している事業者」すべてとなった
31
企業における情報セキュリティ対策に関して、誤っている記述を以下の選択肢から選択してください
中小企業においては、罰則規定が無いので、情報セキュリティ対策にコストをかける必要はない
32
アクセス制御 以下の設問から、アクセス制御として該当しない機能を以下の選択肢から選択してください
コンピュータに接続する「接続管理」
33
企画、設計の段階でセキュリティ対策を組み込み、セキュリティを確保する考え方を何というか。正しい記述を以下の選択肢から選択してください
セキュリティバイデザイン
34
なりすましメールの対策について、最も適切な記述を以下の選択肢から選択してください
送信ドメイン認証の使用
35
SSHの機能で誤っている記述を以下の選択肢から選択してください
バージョン1はバージョン2の下位互換でバージョン2と通信ができる
36
企業が構成するサプライチェーンの中でのセキュリティ対策が手薄な関連組織を狙う、サプライチェーン攻撃の手口として、正しい記述を以下の選択肢から選択してください
標的となる企業に直接攻撃するのではなく、セキュリティの手薄な関連会社や取引企業を通じて不正に侵入する
37
可用性 以下の設問から可用性の正しい意味を以下の選択肢から選択してください
使用したいときに使用できること
38
IDSの正しい機能を以下の選択肢から選択してください
インターネットからの不正侵入を検知し、管理者へ通知する
39
Kerberos認証の機能・使用目的ではない記述を以下の選択肢から選択してください
WEBサーバとブラウザで使用される
40
認証の3要素として誤っている記述を以下の選択肢から選択してください
組織情報:所属組織など
41
パッチの役割ではない記述を以下の選択肢から選択してください
新バージョンへのアップデート
42
多層防御の考え方において出口対策は、外部への情報漏洩を防ぐ対策です。 適切な記述を以下の選択肢から選択してください
セキュリティホール対策
43
組織的な情報セキュリティ対策の開始時行うべきものとして、誤っている記述を以下の選択肢から選択してください
点検と改善
44
詳細リスク分析についての記述として、正しい記述を以下の選択肢から選択してください
情報資産の洗い出しでは、どのような情報資産があるか洗い出し、重要度を判断します
45
クラウドの利用や、テレワークを用いた働き方改革により、アクセス元もアクセス先も社外の場合があります。従来のファイアウォールによる内部の情報資産を守るという考え方では十分なセキュリティを保てなくなりつつあります。 そこで、「すべてを信頼できない」という考え方を基本とし、組織の外部・内部のすべてのアクセスにおいて検査やログの取得を行います。このセキュリティモデルを何と呼びますか
ゼロトラストネットワーク
46
組織の従業員による内部不正への対策として、有効な対策の記述をすべて、以下の選択肢から選択してください(複数回答)
外部記憶媒体(USBメモリ、HDD、DVD等)の利用を制限し、管理する, 重要情報へのシステム操作履歴の保管や監視を行う, コンプライアンス教育による従業員の意識向上と懲戒処分を規定した就業規則の整備を行う
47
バッファオーバーフロー攻撃への対策について、正しい記述を以下の選択肢から選択してください
コンピュータのバッファの脆弱性を解消するためにセキュリティアップデートを行う
48
SQLインジェクションについて、適切な記述を以下の選択肢から選択してください
攻撃対象のWebサイトに不正な「SQL」の明利を「注入(インジェクション)」し、データベースを不正に操作する手法である
49
ペネトレーションテストの実施目的として正しい記述を以下の選択肢から選択してください
システムの侵入耐性をテストする
50
多層防御の考え方において入口対策は、社内への不正侵入を防ぐ対策です。誤っている記述を以下の選択肢から選択してください
通信の暗号化を導入する
51
syslog機能の説明として誤っている記述を以下の選択肢から選択してください
syslogで、通信機器のファームウエアアップデートができる
52
近年、人的脅威として内部から情報漏洩する事例が多数発生しています。 その原因として、正しい記述をすべて、以下の選択肢から選択してください(複数回答)
情報機器の廃棄ルールの認識不足, 私有情報機器の使用
53
IDS/IPSのアノマリ検知方式の特徴として誤っている記述を以下の選択肢から選択してください
既存の異常に関して正確に検知できる
54
ゼロトラストネットワークについて、適切な記述を以下の選択肢から選択してください
「すべて信頼できない」という性悪説に基づいた考え方を取り入れたセキュリティモデルである
55
認証局(CA)に関する説明で誤っている記述を以下の選択肢から選択してください
認証局(CA)は、企業・団体の要求により、無償で「デジタル証明書」を発行します
56
完全性の正しい意味を以下の選択肢から選択してください
情報が正確であること
57
Dos/DDos攻撃の説明として正しい記述を以下の選択肢から選択してください
対象サーバのサービスを妨害する
58
次のマルウエア対策技術の説明文を読み、最も適切な用語を以下の選択肢から選択してください 「マルウエアは新型や亜種が次々と出現しますが、この検知技術では、従来のウイルス定義ファイルでは対応できなかった未知のウイルスへの対策が可能となり、亜種を利用したゼロデイ攻撃などへの対応にも効果がある」
機械学習型マルウエア検知
59
情報セキュリティ対策の作成時の考え方として、正しい場合には〇、誤っている場合には×を選択してください 「事故が起きる可能性が大きい、あるいは事故が起きると大きな被害になるなど、リスクが大きいものを優先して対策し、事故が起きる可能性が小さいか、発生しても被害が軽微なものは現状のままにする」
正
60
下記の記述が正しい場合には〇、誤っている場合には×を選択してください 「レンタルサーバやクラウド(paaS)を利用してWebサイトの構築・運用を行う場合には、ネットワークやサーバの情報セキュリティ対策は外部サービスが行い、Webサイトの構築・運用にかかわる情報セキュリティ対策のみ自社で行う必要がある」
正
61
テレワークなどのニューノーマルな働き方を狙った攻撃として、適切な記述を以下の選択肢から選択してください
VPN製品の脆弱性を悪用しVPNのパスワードを窃取する
62
WAFについて、適切な記述を以下の選択肢から選択してください
Webアプリケーションの保護に特化したセキュリティ対策製品である
63
スパムの説明について、適切な記述を以下の選択肢から選択してください
事前登録していない宛先から届くが、受信者に有益になるメール, 事前登録をしていない宛先から届く無用・不要なメール
64
標的型攻撃メールの対策として、有効な記述のすべてを以下の選択肢から選択してください(複数回答)
メールアドレスの確認, 従業員に対するセキュリティ教育の実施, ユーザのアクセス権の最小化と管理の強化
65
バッファオーバーランの説明について、適切な記述を以下の選択肢から選択してください
データ処理を行うバッファメモリーに、データが入りすぎてあふれてしまうこと
66
アプリケーションゲートウェイの説明について、適切な記述を以下の選択肢から選択してください
インターネットを社内LAN側のPCが利用する際にPCアプリケーションの動作を代行して通信を中継します
67
日本政府として情報セキュリティ対策の推進、総合的な調整を行うために内閣官房に設置された組織の名称として適切な記述を以下の選択肢から選択してください
内閣サイバーセキュリティーセンター
68
辞書攻撃の説明について、適切な記述を以下の選択肢から選択してください
一般的な単語や人物名、あるいはそれらの組み合わせや派生語を、パスワード候補の文字列として辞書に登録して用いる
69
クラッカーについての説明で適切な記述を以下の選択肢から選択してください
コンピュータについての高度な知識や技能を有し悪用する技術者
70
ランサムウェアの侵入経路・手口として、誤っている記述を以下の選択肢から選択してください
DDos攻撃で、ターゲットPCへ侵入する
71
バウンス攻撃の説明について、適切な記述を以下の選択肢から選択してください
セキュリティの弱いホストに侵入し、さらに上位のホストへ攻撃する
72
SQLインジェクションの根本対策について、適切な記述を以下の選択肢から選択してください
Webアプリケーションを修正し、脆弱性をなくす
73
下記の記述が正しい場合には〇、誤っている場合には×を選択してください 「ASP型・モール型を利用してウェブサイト(ショッピングサイト)の運営を行う場合には、コンテンツのみ自社で準備する。外部サービスを利用するための認証情報を含めて、外部サービスが情報セキュリティ対策を行う」
正
74
サプライチェーン攻撃の説明について適切な記述を以下の選択肢から選択してください
標的とする企業の取引先に侵入して、そこから標的企業への攻撃を行う, マネージドサービスシステムに侵入して、その契約企業へ攻撃を行う, ソフトウェアの開発企業へ侵入して、開発ソフトウェアを改ざんし、そのソフトウェアを購入した企業へ攻撃を行う
75
情報セキュリティ対策の対象として、リスクが低いと判断するものとして、適切な記述を以下の選択肢から選択してください
複合機の故障で半日修理待ち
76
WAFの説明について適切な記述を以下の選択肢から選択してください
Webアプリケーションの脆弱性を利用した攻撃を防御する
77
修正プログラムフィックス、パッチの説明で誤っている記述を以下の選択肢から選択してください
新バージョンへのアップデートを行う
78
パーソナルファイアウォールの機能として、適切な記述を以下の選択肢から選択してください
機能しているPC1台だけを保護する, クライアントPCで使用するセキュリティ機能である
79
ランサムウェアからデータを保護するための対策として、誤っている記述を以下の選択肢から選択してください
ファイルサーバのレプリケーションを行う
80
証拠をみつけるための鑑識調査や情報解析に伴う手順や技術を指す用語として適切な記述を以下の選択肢から選択してください
フォレンジック
81
デジタル署名に関する説明で適切な記述を以下の選択肢から選択してください
データの改ざん防止に有効である
82
下記の記述が正しい場合には〇、誤っている場合には×を選択してください 「サーバー自社設置の場合には、すべての情報セキュリティ対策を自社で行う必要がある」
正
83
人的脅威の説明について、適切な記述を以下の選択肢から選択してください
人的脅威とは、盗難・紛失、誤送信、誤廃棄などを指す
84
パケットフィルタリングの機能について述べている記述で、適切な記述を以下の選択肢から選択してください
条件に一致した通信パケットを遮断したり、通過を許可する
85
コンピュータに発見された脆弱性を放置していた場合の危険性を記述をすべて、以下の選択肢から選択してください(複数回答)
マルウエアに感染しやすくなる, インターネットから攻撃を受けやすくなる, コンピュータの処理能力が低下する
86
情報セキュリティ5か条について、誤っている記述を以下の選択肢から選択してください
クラウドサービスを導入しよう
87
企業が持つ営業情報や技術情報などの中には、秘密とすることで差別化や競争力の源泉となる情報もあります。( )では、法的保護を受けるためには、①秘密の管理性、②有効性、③非公知制が求められる。 ( )に当てはまる法律として適切な記述を以下の選択肢から選択してください
不正競争防止法
88
企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織を狙う、サプライチェーン攻撃への対策として、誤っている記述を以下の選択肢から選択してください
サプライチェーン企業間で、VPNを導入する
89
クロスサイトスクリプティング脆弱性の危険性の説明について、適切な記述を以下の選択肢から選択してください
アクセスユーザの情報が盗まれる危険性がある
90
インシデントに分類される適切な記述を以下の選択肢から選択してください(複数回答)
社員が会社貸与のスマホを紛失した, 社員が社員証を紛失した, 社員が業務使用していたUSBメモリを紛失した
91
セキュリティ対策のうち、技術的脅威への対策について、適切な記述をすべて選択してください
ログ監視ツールを導入し、不正アクセスの監視を行う, アクセス制御のできるツール・サービスを導入し、権限管理を行う, ウイルス対策ソフトの導入
92
一般的なバックアップソフトの動作モードで、適切な記述を以下の選択肢からすべて選択してください(複数回答)
差分バックアップ, 増分バックアップ, フルバックアップ, イメージバックアップ
93
攻撃、攻撃者の行動の説明で適切な記述を以下の選択肢からすべて選択してください
対象サーバに不正入手したID、パスワードでログインする, 対象サーバに短時間に大量パケットを送信する
94
ファイアウォールの動作の種類について、適切な記述を以下の選択肢からすべて選択してください(複数回答)
パケットフィルタリング型, アプリケーションゲートウェイ型, サーキットレベルゲートウェイ型
95
( )は、複数の機器やツールを組み合わせて複数の防御層を構築し、1つの層が破られても別の層で守られるという考え方です。 代表的な対策として、社内への不正侵入を防ぐ「入口対策」、侵入後の機密情報へのアクセスを防ぐ「内部対策」、外部への情報漏洩を防ぐ「出口対策」があります。 ( )に当てはまる適切な記述を以下の選択肢から選択してください
多層防御
96
ソフトウェアに脆弱性が発見され、パッチや回避策が公開されたものの、そのパッチを適用するか回避策を講じるまでにはいくらかの時間がかかる。好み対応の時間に存在する脆弱性を何と呼ぶか。
Nデイ脆弱性
97
企業での情報セキュリティを確保するための経営者の役割についての記述として、誤っている記述を以下の選択肢から選択してください
情報セキュリティ対策は、システム担当者のリーダーシップで進める
98
マルウエアの一種であるトロイの木馬のふるまいとして適切な記述を以下の選択肢からすべて選択してください
ユーザのクレジットカード番号を盗み出す, PCの動作を邪魔せず、ひっそりとユーザ情報を盗み出す
99
「予期せぬIT基盤の障害に伴う業務停止」の脅威に対して被害発生後の対応として、適切な記述を以下の選択肢から選択してください
BCPに従った対応を行う
100
ソーシャルエンジニアリングの手法として適切な記述を以下の選択肢からすべて選択してください
パスワードを推測するために、ユーザの誕生日を調べる, パスワードを推測するために、ユーザの飼っているペットの名前を聞き出す, パスワードを推測するために、ユーザの机の周りを調べる, パスワードを推測するために、ユーザの事務所から出るごみを調べる