JIS Q 27000:2019において、「ぜい弱性」は、一つ以上の脅威によって付け込まれる可能性のある、 資産又は管理策の弱点と定義されている

「個人情報の保護に関する法律」(個人情報保護法)における「個人情報取扱事業者」とは、個人情 報データベース等を事業の用に供している者をいい、国の機関は該当しないが、地方公共団体や独立行政法人等、地方独立行政法人は該当する。

情報セキュリティポリシーの構成要素の一つである「情報セキュリティ対策基準」は、情報セキュ リティ対策に対する根本的な考え方を表すものであり、情報セキュリティ対策の目的、対象範囲な どを盛り込み、組織の情報セキュリティに対する基本的な考え方を定めている。

保証型の監査は、情報セキュリティ対策が適切かどうかを監査人が保証することを目的とする監査 であり、助言型の監査は、情報セキュリティ対策の改善のために監査人が助言を行うことを目的と する監査である。また、この2つを同時に目的とした監査を行うことも可能である。

リスクマネジメントとは、PDCAサイクルに沿ってリスクアセスメントなどを実施していくことで あり、リスクアセスメントとは、リスク特定、リスク分析、リスク対応のプロセスを順に行うもの である

リスク対応を、リスクファイナンスとリスクコントロールに分類した場合、リスクファイナンスの 具体例の一つとして、サイバー攻撃による事故や情報漏えいによって発生する損害を補償する保険に加入することが挙げられる。

「刑法」における「電磁的記録不正作出罪」は、いわゆるコンピュータウイルス罪であり、コンピュー タウイルスを含むマルウェアの作成・提供・供用,取得・保管行為が罰せられる

サイバーセキュリティ基本法」 は、インターネットなどにおいてのサイバーセキュリティ戦略の施策を総合的かつ効率的に推進するための基本理念を定めて、国の責務などを明確にすることで、サ イバーセキュリティ戦略の策定や当該施策の基本となる事項が規定されている

技術やノウハウなどの情報が「営業秘密」として「不正競争防止法」で保護されるためには、秘密管 理性・新規性の2つの要件を満たす必要がある。

「著作権法」において、著作物の例として「プログラムの著作物」が挙げられているが、「著作権 法」 上の保護は、プログラムを作成するために用いるプログラム言語、規約、解法には及ばないと規定されている。

JIS Q 27000:2019は、ISMSファミリ規格で共通して用いている用語及び定義について規定してい るものである。例えば、情報セキュリティの要素については、次のとおり定義されている。 (a)エンティティは、それが主張するとおりのものであるという特性。 (b)主張された事象又は処置の発生、及びそれらを引き起こしたエンティティを証明する能力。 (c)認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

「(a)」とは、(b)、考案、植物の新品種、意匠、著作物その他の人間の創造的活動により生み出されるものであり、商標、商号その他事業活動に用いられる商品又は役務を表示するもの及び営業秘密その他の事業活動に有用な技術上又は営業上の情報をいう。また、「(a) 権」とは、特許権、実用新案権、育成者権、意匠権、著作権、商標権その他の (a) に関して法令により定められた権利又は法律上保護される利益に係る権利をいう。例えば、「特許権」とは、(b)を保護する権利であり、「特許法」では、(b)、すなわち、自然法則を利用した技術的思想の創作 のうち高度のものを保護の対象としている。 なお、これらのうち、特許権、実用新案権、意匠権及び商標権の4つを 「 ( c ) 権」といい、特許庁が所管している。

JIS Q 27000: 2019において、( )を、望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものと定義している。

継続的にISMSを推進していく手法であるPDCAサイクルにおいて、Check プロセスでは、情報セ キュリティ監査や ( )などを行う。

OECDプライバシー・ガイドラインの8原則のうち、「収集制限の原則」では、( )としている。

一般的に、情報セキュリティポリシーの策定手順として、まず、組織と体制の確立を行い、次に情 報セキュリティ基本方針の策定を行う。続いて( )を行い、その後リスク分析を行う。

リスク対応を、リスクコントロールとリスクファイナンスに分類した場合、リスクコントロールの手法の一つである 「リスク最適化」とは、( ) 手法である。

「個人情報保護法」 における「要配慮個人情報」とは、本人に対する不当な差別、偏見その他の不 利益が生じないようにその取扱いに特に配慮を要するものとして、政令で定める記述等が含まれる 個人情報のことである。例えば、本人の人種や病歴などは該当するが、( )などは該当しな い。

情報セキュリティの3要素の一つである 「信頼性」の具体例に該当するものはどれか。

リスク対応の手法の一つである 「リスクの移転」の具体例に該当するものはどれか。

重要度が高い情報が含まれる媒体を、宅配便などを利用して取引先に移送する際、配達伝票(送り 状)の宛先の記入は、個人情報保護の観点から社名のみとして、担当者の部署名や個人名は記入す るべきではない。

入退管理システムにおいて、バイオメトリクス認証方式の一つである指紋認証方式は、比較的古くから採用されている方式であり、導入コストが低いという特徴をもつ。ただし、認証の際は、汚れの付着や湿度などの外的要因の影響を受けやすい。

情報セキュリティに関する教育及び訓練は、正社員だけではなく、長期にわたり雇用する契約社員 も対象とする。ただし、パートやアルバイト、短期雇用の契約社員については、教育及び訓練は希 望者のみに対して行うようにして、これらの受講を義務付けなくてもよい。

来訪者への対策として、来訪の際には氏名・所属、訪問先・訪問の目的などを所定の用紙に記入し てもらい、記入が済んだ来訪者にゲスト用IDカードを貸与し、入退室を管理する。

スマートフォンの盗難・紛失対策として、SIMカードの不正利用を防ぐために、CDEコードによる・ ロックを行う。

スマートフォンの盗難・紛失対策の一つであるマスターリセットとは、通信事業者やソフトウェアベンダーなどが提供しているサービスであり、データを遠隔地から通信回線経由で消去したり、無効化したりする仕組みである。

GPS機能が搭載されているスマートフォンやデジタルカメラで撮影した写真には、設定によってはExif情報が自動登録される。そのような画像データを安易にSNSに投稿すると、自宅や居住地域、生活パターンなどが、第三者に特定されやすくなる。

Webサービスとして提供されている短縮URLサービスを利用することにより、URLをアルファベッ ト数文字程度に短くすることができる。便利な反面、一見しただけでは、どのようなWebサイトに リンクされているか判断がつきにくいというデメリットがある。

SNS認証バッジとは、SNSアカウント名と一緒に表示されるマークであり、SNS提供者に審査を申 請して取得するため、認証済みアカウントであることが明確となることから、なりすましのアカウ ントとは区別することが可能となる。

落雷の影響によって、その周辺に短時間で一時的に過電圧が発生する場合がある。これを雷サージ といい、電源線や通信線を伝って建物内に侵入し、電子機器や通信機器を故障させることもある。

オフィス内のセキュリティ対策として、クリアスクリーンの原則に従い、離席時には ( a ) す る。また、離席が長時間にわたらない場合や、作業の内容によって(a)することなどが困難な場合は、表示内容の盗み見や第三者による操作などを防ぐため、スクリーンロックやスクリーンセーバの起動、(b) への切り替えなどの設定を行う。また、これらの機能は、(c)設定にする必要がある。

( a ) とは、パスワードや個人情報などの重要な情報を、技術的な攻撃をしかけずに不正に収 集する手法であり、その多くは、人の心理的・社会的な弱点や盲点を利用する。代表的な手法とし て、なりすましや ( b )、(c)などがある。 (b)は、パスワードや個人情報などを入力している画面を背後から盗み見ることによって、その 内容を不正に入手する手法である。一方、(c)は、ごみとして廃棄されている書類やメモなどか ら、ネットワークの構成図や内線表、サーバやルータの設定情報などを収集する手法である。

( )とは、認証によって入室を許可された人の後ろについて、認証を受けずに入室することであり、共連れとも呼ばれる。

守秘義務契約とは、知り得た重要な情報を第三者に漏えいさせないことなどを約束させる目的で取 り交わされるものであり、非開示契約や( ) などとも呼ばれる。

オフィス内での対策として、情報セキュリティにおけるクリアデスクの原則に従い、( )ようにする。

入室者の特定を行うには、入退管理システムを導入して認証を行い、( )、入室を許可する人の制限を行う。

スマートフォンに対してルート化やジェイルブレイクを行うことにより、( )。

バックアップサイトの一つであるコールドサイトは、( ) 形態である。

次の図は、あるオフィスのレイアウトの一部を表したものである。この図における物理的対策に関 する記述のうち、不適切なものはどれか。なお、図中の「引き戸」は、鍵のかからない手動の扉を 表すものとする。

ヒューマンエラーの具体例に該当しないものはどれか。

パスワードに対する脅威の1つで、パスワードを固定し、利用者IDを次々に変えてログインを試す ことで、当該パスワードを使用している利用者として不正にログインする攻撃手法を、リバースエンジニアリングという。

電話で「部長の○○だが、システムにログインするIDとパスワードを教えてくれるかね」と問い合わせがあったとしても、ソーシャルエンジニアリングの1つであるスキャベンジングの可能性もあるため、本当に本人かどうか確認するべきである。

SSOとは、関連する複数のサーバやアプリケーションなどにおいて、いずれかで認証手続きを一度 だけ行えば、関連する他のサーバやアプリケーションにもアクセスできること、またはそれを実現 するための機能のことである。

複数のハードディスクを組み合わせてデータの信頼性の向上や高速化を図る方法の 「ストライピン グ」と「ミラーリング」において、1台のハードディスクが故障してもデータの復旧が可能なのは 「ミラーリング」である。

フィッシングの対策として効果が高いのは、パスワードを英数字だけでなく記号を混ぜたり、できるだけ長いものにすることである。

あるWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してロ グインを試行する攻撃を、パスワードリスト攻撃という。

ランサムウェアに感染すると、被害者のパソコン内のファイルを勝手に暗号化したり、パソコンを 操作できなくしたうえで、ファイルなどを“人質”にして被害者を脅迫して元に戻すための代金を払わせようとする。

ワームは、ネットワークを通じて他のコンピュータに伝染することを目的とした不正プログラムで、 メールの添付ファイルとして自動的に自分自身のコピーを拡散させるものやネットワークを利用し て次々に感染していくものなどがある。

磁気テープのLTO規格の第8世代 (LTO8) においては、最大800GBのデータを記録することがで きる。

フラッシュメモリは、読み取りと書き換えが可能であり、電源を切ってもデータが消えない不揮発 性の半導体メモリで、理論上は書き換え回数に制限はなく、何度でも書き換えが可能である。

バックアップ方法には、( a ) バックアップや ( b ) バックアップがある。 (a) バックアップは、システム上のすべてのデータをバックアップすることで、システムで利用しているデータの量によっては、非常に長い時間がかかることがある。 (b) バックアップは、(a) バックアップを行った後に変更されたデータのみをバックアップの対象とする。変更されたデータのみをバックアップするため、(a) バックアップに比べ時間がかからない。 バックアップは、機器の故障や人為的なミスなどでのデータの破損に備えてデータを複製している ので、データの破損の際には復元作業を行う。このように、バックアップしたデータを元に戻すこ とを (c) という。

(a)は、利用者に気づかれないようにひそかにコンピュータに侵入して、何らかのきっかけ により動作する悪質なプログラムの総称で、ワームやトロイの木馬、(b) などが含まれる。 このうち、トロイの木馬は、コンピュータシステムのセキュリティを回避するよう設計されたプロ グラムで、一見無害なプログラムを装う。トロイの木馬には、別のプログラムを装ってセキュリティ 対策を回避したり、プログラムのソースコードのコピーを利用して ( c ) を開けたりセキュリティ侵害を行ったりするものがある。

セキュリティソフト (ウイルス対策ソフト) においては、( ) を自動的に更新するようにして、常に最新の状態にしておくことが重要である。

OSやソフトウェアの修正プログラム提供前のぜい弱性を悪用してウイルス感染させる攻撃を( )という。

ハッシュ値を生成する際などに、パスワードに付加するランダムな文字列のことを( )という。

無線端末が接続できるアクセスポイントを識別するために使用する ( )は、暗号化されていないために、盗聴の危険がある。

WPAとは、( )である。

踏み台とは、大量の迷惑メールやウイルスつきのメールを送る際に、( ) ことである。

Cookieの説明に該当するものはどれか。

公開鍵暗号方式に関する記述のうち、誤っているものはどれか。

OSとは、多くのアプリケーションソフトウェアで共通して利用される基本機能を提供し、コン ピュータシステム全体を管理するソフトウェアのことで、広く利用されているOSとして、Windows やmacOSなどが挙げられる。

パラレルインタフェースとは、1本の信号線で1bitずつを順次送る直列データ転送方式のことである。一度に転送できるデータ量は少なくなるが、仕組みが単純であるため、データを高速に転送できるという特徴がある。

主記憶装置とは、CPUがプログラムを実行する際に直接使用する記憶装置のことで、アドレス部、 記憶部、制御部から構成される。

光ディスクの一種であるBD (Blu-ray Disc) のうち、BD-REはデータの追記が可能であるが、消去や書換えはできない。

EUCとは、ISOとIECが制定した、世界各国の言語体系に対応した文字コードで、各文字にはコードポイントと呼ばれる一意の番号が割り振られ管理されている。

LANのトポロジの一つであるリング型は、中心に交換機のような各回線を集中管理する装置を置 き、制御を行う方式である。

関係データベースでは、行と列からなるテーブル形式でデータを表現し、データを操作する際には、SQLなどを利用する。

VRとは、コンピュータが作り出した仮想的な映像などの情報を、現実のカメラ映像に重ねて表示したりすることで、現実そのものを拡張する技術のことである。

スマートデバイスには明確な定義があるわけではなく、一般的にはインターネットに接続でき、さまざまなアプリケーションソフトを利用できる、スマートフォンやタブレット端末といった携帯型の多機能端末を指す。

ビッグデータを特徴付けるものとして、「3つのV (Volume、Variety、Velocity)」という概念が広く知られているが、4つ以上のVが列挙されているケースも見られる。

CPUに内蔵された、小容量で高速に動作する記憶素子は、次のうちどれか。

10進数の 「4」 を2進数で表したものは、次のうちどれか。

静止画像の圧縮方式を策定する組織及びその圧縮方式の名称のことであり、デジタルカメラなどで 撮影した写真の保存形式として利用されているのは、次のうちどれか。

テキストベースでタグを使って文書の構造や見栄えを指定することができ、ユーザが独自のタグを 定義できるため、マークアップ言語を作成するためのメタ言語ともいわれるマークアップ言語は、次のうちどれか。

赤外線を利用した近距離データ通信として1993年に制定された規格、および規格を制定した団体 の名称は、次のうちどれか。

縦と横の二方向に情報を記録させたマトリックス型二次元コードで、コンサートやイベントなどの電子チケットや、工場や物流管理などに利用されているのは、次のうちどれか。

(a): 複数の処理をまとめて行うときに使われるファイルであり、起動するプログラムを順に列挙したものである。 (b) : 複数のファイルを一つにまとめることであり、これによって送受信の手間を軽減したり、ディスク内のファイル管理を容易にすることなどができる。 (c) : ソフトウェアが作業中のデータの保存のために、一時的に自動生成するファイルであり、一般的に、このファイルはソフトウェア終了と同時に消去される。

( a ): 主に表計算ソフトやデータベースソフトのテキストデータの保存形式として使用され ているファイル形式であり、異なるアプリケーションソフト間でのデータの受渡しに利用される。 ( b ) :文字情報だけではなく、フォントや文字のサイズ、文字飾り、埋め込まれた画像などの情報が保存できるファイル形式であり、コンピュータの機種や環境、OSなどに依 存せずに、オリジナルとほぼ同じ状態で文章や画像などの閲覧が可能である。 (c ) :広く普及している音声圧縮方式であり、音楽CDに匹敵する音質を保ちながら、大幅 に容量を圧縮できるという特徴を持つ。インターネット配信や、携帯音楽プレーヤーなどに保存する際に多く使われる。

コンピュータなどで用いられる単位に関する記述のうち、正しいものはどれか。