情報セキュリティマネジメント

48問 • 2年前

jay jayci

通報

問題一覧

JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語)において、“エンティティは、それが主張するとおりのものであるという特性"と定義されているものはどれか。

真正性

JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語)において定義されている情報セキュリティの特性に関する記述のうち、否認防止の特性に関する記述はどれか。

ある利用者があるシステムを利用したという事実が証明可能である。

攻撃者に脆弱性に関する専門の知識がなくても OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。

Exploit Kit

ルートキットの特徴はどれか。

OSなどに不正に組み込んだツールを隠蔽する。

SEOポイズニングの説明はどれか。

Web検索サイトの順位付けアルゴリズムを悪用して、検索結果の上位に悪意のある Webサイトを意図的に表示させる。

仮想通貨環境において報酬を得るために行われるクリプトジャッキングはどれか？

他人のPC又はサーバに侵入して計算資源を不正に利用し、台帳への追記の計算を行う

AES256で暗号化されていることが分かっている暗号文が与えられているとき、ブルートフォース攻撃で鍵とした平文を得るまでに必要な試行回数の最大値はどれか

2**256

パスワードを用いて利用者を認証する方法のうち、適切なものはどれか。

パスワードをハッシュ値に変換して登録しておき、認証時に入力されたパスワードをハッシュ関数で変換して比較する

メッセージにRSA方式のディジタル署名を付与して2者間で送受信する。そのときのディジタル署名の検証鍵と使用方法はどれか。

送信者の公開鍵であり、受信者がディジタル署名からメッセージダイジェストを算出する際に使用する。

ディジタル証明書をもつA氏が, B商店に対して電子メールを使って商品を注文するときに、A氏は自分の秘密鍵を用いてディジタル署名を行い、 B商店はA 氏の公開鍵を用いて署名を確認する。この手法によって実現できることはどれか。ここでA氏の秘密鍵はA氏だけが使用できるものとする。

B商店に届いた注文が、A氏からの注文であることを確認できる。

所有者と公開鍵の対応付けをするのに必要なポリシや技術の集合によって実現される基盤はどれか。

PKI

TLSのクライアント認証における次の処理a~cについて、適切な順序はどれか。 a クライアントが、サーバにクライアント証明書を送付する。 b サーバが、クライアントにサーバ証明書を送付する。 c サーバが、クライアントを認証する。

b→a→c

生体認証システムを導入するときに考慮すべき点として、最も適切なものはどれか。

本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。

IPA "中小企業の情報セキュリティ対策ガイドライン(第2.1版)に記載されている基本方針対策基準実施手順から成る組織の情報セキュリティポリシに関する記述のうち, 適切なものはどれか。

組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。

a〜dのうち、リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか。 a リスク対応に掛かる費用 b リスクによって引き起こされる事象 c リスクによって引き起こされる事象の原因及び起こり得る結果 d リスクを顕在化させる可能性をもつリスク源

b,c,d

JIS Q 31000:2010における残留リスクの定義はどれか。

リスク対応後に残るリスク

組織が JIS Q 27001:2014 (情報セキュリティマネジメントシステム要求事項) への適合を宣言するとき、要求事項及び管理策の適用要否の考え方として、適切なものはどれか。

要求事項　全て適用が必要である。管理策　妥当な理由があれば適用除外できる。

JISQ 27001:2014 (情報セキュリティマネジメントシステム-要求事項)では、組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち、適切なものはどれか。

情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に、適用宣言書を作成する。

不適合への対応のうち, JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語)の”是正処置"の定義はどれか。

不適合の原因を除去し、再発を防止するための処置

JWNなどの脆弱性対策情報ポータルサイトで採用されているCVE (Common Vulnerabilities and　Exposures) 識別子の説明はどれか。

製品に含まれる脆弱性を識別するための識別子

情報技術セキュリティ評価のための国際標準であり、コモンクライテリア (CC) と呼ばれるものはどれか。

ISO/IEC 15408

情報セキュリティマネジメントにおける、脅威と脆弱性に関する記述のうち、最も適切なものはどれか。

脅威が存在しないと判断できる場合、脆弱性に対処する必要性は低い。

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン (Ver2.0)"の説明はどれか

企業が活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの

内部不正による重要なデータの漏えいの可能性を早期に発見するために有効な対策はどれか。

アクセスログの定期的な確認と解析

組織の所属者全員に利用者IDが発行されるシステムがある。利用者IDの発行・削除は申請に基づき行われているが、申請漏れや申請内容のシステムへの反映漏れがある。資料A. Bの組合せのうち、資料Aと資料Bを突き合わせて確認することによって、退職者に発行されていた利用者IDの削除漏れが最も確実に発見できるものはどれか。

A 利用者IDとそれが発行されている者の一覧 B 組織の現在の所属者の名簿

不正が発生する際には "不正のトライアングル”の3要素全てが存在すると考えられている。不正のトライアングル”の構成要素の説明として、適切なものはどれか。

"機会"とは、情報システムなどの技術や物理的な環境。組織のルールなど、内部者による不正行為の実行を可能又は容易にする環境の存在である。

システム管理者による内部不正を防止する対策として、適切なものはどれか。

システム管理者の作業を本人以外の者に監視させる。

利用者情報を格納しているデータベースから利用者情報を検索して表示する機能だけをもつアプリケーションがある。このアプリケーションがデータベースにアクセスするときに用いるアカウントに与えるデータベースへのアクセス権限として、情報セキュリティ管理上、適切なものはどれか。ここで、権限の名称と権限の範囲は次のとおりとする。（権限の名称と権限の範囲) 参照権限レコードの参照が可能更新権限レコードの登録、変更、削除が可能管理者権限テーブルの参照、登録、変更、削除が可能

参照権限

サンドボックスの仕組みに関する記述のうち、適切なものはどれか。

プログラムの影響がシステム全体に及ばないように、プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。

ウイルス対策ソフトでの、フォールスネガティブに該当するものはどれか。

ウイルスに感染しているファイルを、ウイルスに感染していないと判断する。

セキュアブートの説明はどれか。

PCの起動時にOSやドライバのディジタル署名を検証し、許可されていないものを実行しないようにすることによって, OS起動前のマルウェアの実行を防ぐ技術

不正競争防止法において、営業秘密となる要件は、 "秘密として管理されていること”、“事業活動に有用な技術上又は経営上の情報であること"と、もう一つはどれか。

公然と知られていないこと

個人情報保護委員会 "個人情報の保護に関する法律についてのガイドライン(通則編) 平成28年11月 (平成29年3月一部改正)によれば、個人情報に該当しないものはどれか。

匿名加工情報に加工された利用者アンケート情報

「国の個人情報保護委員会が制定した "特定個人情報の適正な取扱いに関するガイドライン (事業者編) "は、特定個人情報に関する安全管理措置を、組織的安全管理措置、人的安全管理措置、物理的安全管理措置及び技術的安全管理措置に分けて例示している。組織的安全管理に該当するものはどれか。

特定個人情報の取扱状況が分かる記録を保存する。

MPEG-4などに存在するパテントプールの説明として、適切なものはどれか。

複数の企業が自社の特許権をもち寄り、特許権を一括して管理する仕組み

A社は顧客管理システムの開発を、情報システム子会社であるB社に委託し、B 社は要件定義を行った上で、設計・プログラミング・テストまでを、協力会社であるC社に委託した。 C社ではD社員にその作業を担当させた。このとき、開発したプログラムの著作権はどこに帰属するか。ここで、関係者の間には、著作権の帰属に関する特段の取決めはないものとする。

C社

発注者と受注者の間でソフトウェア開発における請負契約を締結した。ただし、発注者の事業所で作業を実施することになっている。この場合、指揮命令権と雇用契約に関して、適切なものはどれか。

指揮命令権は発注者になく、受注者に所属する作業者は、新たな雇用契約を発注者と結ぶことなく、発注者の事業所で作業を実施する。

情報システムの設計の例のうち、フェールソフトの考え方を適用した例はどれか。

ハードウェアの障害時に、パフォーマンスは低下するが、構成を縮小して運転を続けられるようにする。

トランザクションTはチェックポイント取得後に完了したが、その後にシステム障害が発生した。トランザクションTの更新内容をその終了直後の状態にするために用いられる復旧技法はどれか。ここで、チェックポイントの他に、トランザクションログを利用する。

ロールフォワード

インターネットに接続された利用者のPCから DMZ上の公開 Webサイトにアクセスし、利用者の個人情報を入力すると、その個人情報が内部ネットワークのデータベース (DB) サーバに蓄積されるシステムがある。このシステムにおいて、利用者個人のディジタル証明書を用いたTLS通信を行うことによって期待できるセキュリティ上の効果はどれか。

PCとWeb サーバ間の通信データを暗号化するとともに、利用者を認証することができるようになる。

システム監査人の行為のうち、適切なものはどれか。

調査によって発見した問題点について、改善指摘を行った。

外部保管のために専門業者に機密情報を含むバックアップ媒体を引き渡す際の安全性について情報セキュリティ監査を実施した。その結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。

委託元担当者が、バックアップ媒体を段ボール箱に入れ、それを専門業者に引き渡している。

情報システム部が開発して経理部が運用している会計システムの運用状況を経営者からの指示で監査することになった。この場合におけるシステム監査人についての記述のうち、最も適切なものはどれか。

独立性を担保するために、システム監査人は情報システム部にも経理部にも所属しない者とする。

SOAを説明したものはどれか。

サービスというコンポーネントからソフトウェアを構築することによって、ビジネス変化に対応しやすくする。

社内カンパニー制を説明したものはどれか。

事業分野ごとの仮想企業を作り、経営資源配分の効率化、意思決定の迅速化、創造性の発揮を促進する。

BI (Business Intelligence) の活用事例として、適切なものはどれか。

業績の評価や経営戦略の策定を行うために、業務システムなどに蓄積された膨大なデータを分析する。

セル生産方式の利点が生かせる対象はどれか。

多種類かつフレキシブルな生産が求められるもの

ロングテールの説明はどれか。

インターネットショッピングで、売上の全体に対して、あまり売れない商品群の売上合計が無視できない割合になっていること

情報セキュリティマネジメント　科目B

jay jayci · 7問 · 2年前