過去問52

80問 • 2年前

問題一覧

JIS Q 27000:2019において、「ぜい弱性」は、一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点と定義されている

◯

「個人情報の保護に関する法律」(個人情報保護法)における「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいい、国の機関は該当しないが、地方公共団体や独立行政法人等、地方独立行政法人は該当する。

情報セキュリティポリシーの構成要素の一つである「情報セキュリティ対策基準」は、情報セキュリティ対策に対する根本的な考え方を表すものであり、情報セキュリティ対策の目的、対象範囲などを盛り込み、組織の情報セキュリティに対する基本的な考え方を定めている。

保証型の監査は、情報セキュリティ対策が適切かどうかを監査人が保証することを目的とする監査であり、助言型の監査は、情報セキュリティ対策の改善のために監査人が助言を行うことを目的とする監査である。また、この2つを同時に目的とした監査を行うことも可能である。

◯

リスクマネジメントとは、PDCAサイクルに沿ってリスクアセスメントなどを実施していくことであり、リスクアセスメントとは、リスク特定、リスク分析、リスク対応のプロセスを順に行うものである

リスク対応を、リスクファイナンスとリスクコントロールに分類した場合、リスクファイナンスの具体例の一つとして、サイバー攻撃による事故や情報漏えいによって発生する損害を補償する保険に加入することが挙げられる。

◯

「刑法」における「電磁的記録不正作出罪」は、いわゆるコンピュータウイルス罪であり、コンピュータウイルスを含むマルウェアの作成・提供・供用,取得・保管行為が罰せられる

サイバーセキュリティ基本法」は、インターネットなどにおいてのサイバーセキュリティ戦略の施策を総合的かつ効率的に推進するための基本理念を定めて、国の責務などを明確にすることで、サイバーセキュリティ戦略の策定や当該施策の基本となる事項が規定されている

◯

技術やノウハウなどの情報が「営業秘密」として「不正競争防止法」で保護されるためには、秘密管理性・新規性の2つの要件を満たす必要がある。

「著作権法」において、著作物の例として「プログラムの著作物」が挙げられているが、「著作権法」上の保護は、プログラムを作成するために用いるプログラム言語、規約、解法には及ばないと規定されている。

◯

JIS Q 27000:2019は、ISMSファミリ規格で共通して用いている用語及び定義について規定しているものである。例えば、情報セキュリティの要素については、次のとおり定義されている。 (a)エンティティは、それが主張するとおりのものであるという特性。 (b)主張された事象又は処置の発生、及びそれらを引き起こしたエンティティを証明する能力。 (c)認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

エ:(a)真正性(b)否認防止(c)可用性

「(a)」とは、(b)、考案、植物の新品種、意匠、著作物その他の人間の創造的活動により生み出されるものであり、商標、商号その他事業活動に用いられる商品又は役務を表示するもの及び営業秘密その他の事業活動に有用な技術上又は営業上の情報をいう。また、「(a) 権」とは、特許権、実用新案権、育成者権、意匠権、著作権、商標権その他の (a) に関して法令により定められた権利又は法律上保護される利益に係る権利をいう。例えば、「特許権」とは、(b)を保護する権利であり、「特許法」では、(b)、すなわち、自然法則を利用した技術的思想の創作のうち高度のものを保護の対象としている。なお、これらのうち、特許権、実用新案権、意匠権及び商標権の4つを「 ( c ) 権」といい、特許庁が所管している。

イ:(a)知的財産(b)発明(c)産業財産

JIS Q 27000: 2019において、( )を、望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものと定義している。

イ: 情報セキュリティインシデント

継続的にISMSを推進していく手法であるPDCAサイクルにおいて、Check プロセスでは、情報セキュリティ監査や ( )などを行う。

ウ:代表者によるレビュー

OECDプライバシー・ガイドラインの8原則のうち、「収集制限の原則」では、( )としている。

イ: 個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである

一般的に、情報セキュリティポリシーの策定手順として、まず、組織と体制の確立を行い、次に情報セキュリティ基本方針の策定を行う。続いて( )を行い、その後リスク分析を行う。

イ: 情報資産の洗い出しと分類

リスク対応を、リスクコントロールとリスクファイナンスに分類した場合、リスクコントロールの手法の一つである「リスク最適化」とは、( ) 手法である。

ア: ぜい弱性に対して対策を講じることで脅威の発生の可能性を下げる

「個人情報保護法」における「要配慮個人情報」とは、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、政令で定める記述等が含まれる個人情報のことである。例えば、本人の人種や病歴などは該当するが、( )などは該当しない。

イ:年収、借金、借入記録

情報セキュリティの3要素の一つである「信頼性」の具体例に該当するものはどれか。

イ: 不具合を起こさないようなシステムの設計・構築をする。

リスク対応の手法の一つである「リスクの移転」の具体例に該当するものはどれか。

ウ: 社内システムの運用業務を、専門業者にアウトソーシングすることになった。

重要度が高い情報が含まれる媒体を、宅配便などを利用して取引先に移送する際、配達伝票(送り状)の宛先の記入は、個人情報保護の観点から社名のみとして、担当者の部署名や個人名は記入するべきではない。

入退管理システムにおいて、バイオメトリクス認証方式の一つである指紋認証方式は、比較的古くから採用されている方式であり、導入コストが低いという特徴をもつ。ただし、認証の際は、汚れの付着や湿度などの外的要因の影響を受けやすい。

◯

情報セキュリティに関する教育及び訓練は、正社員だけではなく、長期にわたり雇用する契約社員も対象とする。ただし、パートやアルバイト、短期雇用の契約社員については、教育及び訓練は希望者のみに対して行うようにして、これらの受講を義務付けなくてもよい。

来訪者への対策として、来訪の際には氏名・所属、訪問先・訪問の目的などを所定の用紙に記入してもらい、記入が済んだ来訪者にゲスト用IDカードを貸与し、入退室を管理する。

◯

スマートフォンの盗難・紛失対策として、SIMカードの不正利用を防ぐために、CDEコードによる・ロックを行う。

スマートフォンの盗難・紛失対策の一つであるマスターリセットとは、通信事業者やソフトウェアベンダーなどが提供しているサービスであり、データを遠隔地から通信回線経由で消去したり、無効化したりする仕組みである。

GPS機能が搭載されているスマートフォンやデジタルカメラで撮影した写真には、設定によってはExif情報が自動登録される。そのような画像データを安易にSNSに投稿すると、自宅や居住地域、生活パターンなどが、第三者に特定されやすくなる。

◯

Webサービスとして提供されている短縮URLサービスを利用することにより、URLをアルファベット数文字程度に短くすることができる。便利な反面、一見しただけでは、どのようなWebサイトにリンクされているか判断がつきにくいというデメリットがある。

◯

SNS認証バッジとは、SNSアカウント名と一緒に表示されるマークであり、SNS提供者に審査を申請して取得するため、認証済みアカウントであることが明確となることから、なりすましのアカウントとは区別することが可能となる。

◯

落雷の影響によって、その周辺に短時間で一時的に過電圧が発生する場合がある。これを雷サージといい、電源線や通信線を伝って建物内に侵入し、電子機器や通信機器を故障させることもある。

◯

オフィス内のセキュリティ対策として、クリアスクリーンの原則に従い、離席時には ( a ) する。また、離席が長時間にわたらない場合や、作業の内容によって(a)することなどが困難な場合は、表示内容の盗み見や第三者による操作などを防ぐため、スクリーンロックやスクリーンセーバの起動、(b) への切り替えなどの設定を行う。また、これらの機能は、(c)設定にする必要がある。

エ :(a) システムからログオフ(b) スリープモード(c) 解除する際にパスワードの入力などが求められる

( a ) とは、パスワードや個人情報などの重要な情報を、技術的な攻撃をしかけずに不正に収集する手法であり、その多くは、人の心理的・社会的な弱点や盲点を利用する。代表的な手法として、なりすましや ( b )、(c)などがある。 (b)は、パスワードや個人情報などを入力している画面を背後から盗み見ることによって、その内容を不正に入手する手法である。一方、(c)は、ごみとして廃棄されている書類やメモなどから、ネットワークの構成図や内線表、サーバやルータの設定情報などを収集する手法である。

エ: (a) ソーシャルエンジニアリング(b)ショルダーハッキング(c) トラッシング

( )とは、認証によって入室を許可された人の後ろについて、認証を受けずに入室することであり、共連れとも呼ばれる。

エ: ピギーバック

守秘義務契約とは、知り得た重要な情報を第三者に漏えいさせないことなどを約束させる目的で取り交わされるものであり、非開示契約や( ) などとも呼ばれる。

ウ: NDA

オフィス内での対策として、情報セキュリティにおけるクリアデスクの原則に従い、( )ようにする。

イ:業務終了後に帰宅する際は、使用していた重要な書類は所定のキャビネットなどで保管・施錠することにより、紛失や盗難を防ぐ

入室者の特定を行うには、入退管理システムを導入して認証を行い、( )、入室を許可する人の制限を行う。

エ : セキュリティレベルに応じて

スマートフォンに対してルート化やジェイルブレイクを行うことにより、( )。

ア: 不正プログラム感染の危険性が高まる

バックアップサイトの一つであるコールドサイトは、( ) 形態である。

エ: 必要最低限の機材と空調や電気などの設備環境のみの

次の図は、あるオフィスのレイアウトの一部を表したものである。この図における物理的対策に関する記述のうち、不適切なものはどれか。なお、図中の「引き戸」は、鍵のかからない手動の扉を表すものとする。

エ:「社員通用口」の扉は、業務時間中は解錠しておき、業務時間終了後に施錠する。

ヒューマンエラーの具体例に該当しないものはどれか。

ウ: 特定のグループをターゲットにしたチェーンメールの配信

パスワードに対する脅威の1つで、パスワードを固定し、利用者IDを次々に変えてログインを試すことで、当該パスワードを使用している利用者として不正にログインする攻撃手法を、リバースエンジニアリングという。

電話で「部長の○○だが、システムにログインするIDとパスワードを教えてくれるかね」と問い合わせがあったとしても、ソーシャルエンジニアリングの1つであるスキャベンジングの可能性もあるため、本当に本人かどうか確認するべきである。

SSOとは、関連する複数のサーバやアプリケーションなどにおいて、いずれかで認証手続きを一度だけ行えば、関連する他のサーバやアプリケーションにもアクセスできること、またはそれを実現するための機能のことである。

◯

複数のハードディスクを組み合わせてデータの信頼性の向上や高速化を図る方法の「ストライピング」と「ミラーリング」において、1台のハードディスクが故障してもデータの復旧が可能なのは「ミラーリング」である。

◯

フィッシングの対策として効果が高いのは、パスワードを英数字だけでなく記号を混ぜたり、できるだけ長いものにすることである。

あるWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する攻撃を、パスワードリスト攻撃という。

◯

ランサムウェアに感染すると、被害者のパソコン内のファイルを勝手に暗号化したり、パソコンを操作できなくしたうえで、ファイルなどを“人質”にして被害者を脅迫して元に戻すための代金を払わせようとする。

◯

ワームは、ネットワークを通じて他のコンピュータに伝染することを目的とした不正プログラムで、メールの添付ファイルとして自動的に自分自身のコピーを拡散させるものやネットワークを利用して次々に感染していくものなどがある。

◯

磁気テープのLTO規格の第8世代 (LTO8) においては、最大800GBのデータを記録することができる。

フラッシュメモリは、読み取りと書き換えが可能であり、電源を切ってもデータが消えない不揮発性の半導体メモリで、理論上は書き換え回数に制限はなく、何度でも書き換えが可能である。

バックアップ方法には、( a ) バックアップや ( b ) バックアップがある。 (a) バックアップは、システム上のすべてのデータをバックアップすることで、システムで利用しているデータの量によっては、非常に長い時間がかかることがある。 (b) バックアップは、(a) バックアップを行った後に変更されたデータのみをバックアップの対象とする。変更されたデータのみをバックアップするため、(a) バックアップに比べ時間がかからない。バックアップは、機器の故障や人為的なミスなどでのデータの破損に備えてデータを複製しているので、データの破損の際には復元作業を行う。このように、バックアップしたデータを元に戻すことを (c) という。

エ :(a)フル(b)差分(c) リストア

(a)は、利用者に気づかれないようにひそかにコンピュータに侵入して、何らかのきっかけにより動作する悪質なプログラムの総称で、ワームやトロイの木馬、(b) などが含まれる。このうち、トロイの木馬は、コンピュータシステムのセキュリティを回避するよう設計されたプログラムで、一見無害なプログラムを装う。トロイの木馬には、別のプログラムを装ってセキュリティ対策を回避したり、プログラムのソースコードのコピーを利用して ( c ) を開けたりセキュリティ侵害を行ったりするものがある。

エ: (a) マルウェア(b) コンピュータウイルス(c) バックドア

セキュリティソフト (ウイルス対策ソフト) においては、( ) を自動的に更新するようにして、常に最新の状態にしておくことが重要である。

エ:パターンファイル

OSやソフトウェアの修正プログラム提供前のぜい弱性を悪用してウイルス感染させる攻撃を( )という。

ア: ゼロデイ攻撃

ハッシュ値を生成する際などに、パスワードに付加するランダムな文字列のことを( )という。

ア: ソルト

無線端末が接続できるアクセスポイントを識別するために使用する ( )は、暗号化されていないために、盗聴の危険がある。

イ: ESSID

WPAとは、( )である。

エ : WEPのぜい弱性を改良するために作成された、無線LANの暗号規格やプロトコルなどの総称

踏み台とは、大量の迷惑メールやウイルスつきのメールを送る際に、( ) ことである。

ア: 送信元を偽装するためにまったく関係のない第三のメールサーバに中継させる

Cookieの説明に該当するものはどれか。

ア: アクセスを行ったWebサイトからブラウザに送信されるデータのことである。

公開鍵暗号方式に関する記述のうち、誤っているものはどれか。

ア: 公開鍵暗号方式では、暗号化に公開鍵を使い、復号に共通鍵を使うため、複数の送信相手に対して同じ鍵で暗号化を行い、データを送信することができる。

OSとは、多くのアプリケーションソフトウェアで共通して利用される基本機能を提供し、コンピュータシステム全体を管理するソフトウェアのことで、広く利用されているOSとして、Windows やmacOSなどが挙げられる。

◯

パラレルインタフェースとは、1本の信号線で1bitずつを順次送る直列データ転送方式のことである。一度に転送できるデータ量は少なくなるが、仕組みが単純であるため、データを高速に転送できるという特徴がある。

主記憶装置とは、CPUがプログラムを実行する際に直接使用する記憶装置のことで、アドレス部、記憶部、制御部から構成される。

◯

光ディスクの一種であるBD (Blu-ray Disc) のうち、BD-REはデータの追記が可能であるが、消去や書換えはできない。

EUCとは、ISOとIECが制定した、世界各国の言語体系に対応した文字コードで、各文字にはコードポイントと呼ばれる一意の番号が割り振られ管理されている。

LANのトポロジの一つであるリング型は、中心に交換機のような各回線を集中管理する装置を置き、制御を行う方式である。

関係データベースでは、行と列からなるテーブル形式でデータを表現し、データを操作する際には、SQLなどを利用する。

◯

VRとは、コンピュータが作り出した仮想的な映像などの情報を、現実のカメラ映像に重ねて表示したりすることで、現実そのものを拡張する技術のことである。

スマートデバイスには明確な定義があるわけではなく、一般的にはインターネットに接続でき、さまざまなアプリケーションソフトを利用できる、スマートフォンやタブレット端末といった携帯型の多機能端末を指す。

◯

ビッグデータを特徴付けるものとして、「3つのV (Volume、Variety、Velocity)」という概念が広く知られているが、4つ以上のVが列挙されているケースも見られる。

◯

CPUに内蔵された、小容量で高速に動作する記憶素子は、次のうちどれか。

ア: レジスタ

10進数の「4」を2進数で表したものは、次のうちどれか。

ウ: 0100

静止画像の圧縮方式を策定する組織及びその圧縮方式の名称のことであり、デジタルカメラなどで撮影した写真の保存形式として利用されているのは、次のうちどれか。

ア: JPEG

テキストベースでタグを使って文書の構造や見栄えを指定することができ、ユーザが独自のタグを定義できるため、マークアップ言語を作成するためのメタ言語ともいわれるマークアップ言語は、次のうちどれか。

ウ: XML

赤外線を利用した近距離データ通信として1993年に制定された規格、および規格を制定した団体の名称は、次のうちどれか。

エ: IrDA

縦と横の二方向に情報を記録させたマトリックス型二次元コードで、コンサートやイベントなどの電子チケットや、工場や物流管理などに利用されているのは、次のうちどれか。

エ: QRコード

(a): 複数の処理をまとめて行うときに使われるファイルであり、起動するプログラムを順に列挙したものである。 (b) : 複数のファイルを一つにまとめることであり、これによって送受信の手間を軽減したり、ディスク内のファイル管理を容易にすることなどができる。 (c) : ソフトウェアが作業中のデータの保存のために、一時的に自動生成するファイルであり、一般的に、このファイルはソフトウェア終了と同時に消去される。

イ: (a) バッチファイル(b) アーカイブ(c) テンポラリファイル

( a ): 主に表計算ソフトやデータベースソフトのテキストデータの保存形式として使用されているファイル形式であり、異なるアプリケーションソフト間でのデータの受渡しに利用される。 ( b ) :文字情報だけではなく、フォントや文字のサイズ、文字飾り、埋め込まれた画像などの情報が保存できるファイル形式であり、コンピュータの機種や環境、OSなどに依存せずに、オリジナルとほぼ同じ状態で文章や画像などの閲覧が可能である。 (c ) :広く普及している音声圧縮方式であり、音楽CDに匹敵する音質を保ちながら、大幅に容量を圧縮できるという特徴を持つ。インターネット配信や、携帯音楽プレーヤーなどに保存する際に多く使われる。

ウ:(a) CSV(b) PDF(c) MP3

コンピュータなどで用いられる単位に関する記述のうち、正しいものはどれか。

エ : PVとは、Webサイトまたは特定のWebページにおけるアクセス数の単位の一つであり、どの程度閲覧されているかを測るための一般的な指標である。

【自動認識技術】 ( )とは、物体の識別に必要な情報などが記録されている小型の無線ICチップによって、電波や電磁波で管理システムと情報を送受信する仕組みである。バーコードとは異なり、離れた位置から処理できるほか、複数のタグを同時に認識でき、バーコードと比較すると多くの情報を持つことが可能である。ICタグ、無線タグや電子荷札、電子タグなどとも呼ばれることもある。

ウ: RFID

第8回DX推進アドバイザー認定試験

ちびすけ · 100問 · 1年前

第8回DX推進アドバイザー認定試験