暗記メーカー

暗記メーカー

ログイン
セキュリティ
100問 • 4ヶ月前
  • akari
    • 通報

    問題一覧

  • 1

    情報セキュリティに関する対策a~dのうち、マルウェアに感染することを防止するための対策として、適切なものだけを全て挙げたものはどれか

    マルウェア対策ソフトの導入, セキュリティバッチ(修正モジュール)の適用

  • 2

    マルウェア対策ソフトの適切な運用方法はどれか。

    導入後もマルウェア定義ファイルの更新を継続して行う。

  • 3

    セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり、外出で使用したPCを会社に持ち帰った際に、マルウェアに感染していないことなどを確認するために利用するものはどれか。

    検疫ネットワーク

  • 4

    職場でのパスワードの取り扱いに関する記述a~dのうち、適切なものだけを全て挙げたものはどれか。

    個人用パスワードはシステム管理者にも教えない。, パスワードを第三者に知られた可能性がある場合には、すぐに変更する。, 付与された初期パスワードは、最初にログインした時に変更する。

  • 5

    電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術として、適切なものはどれか。

    アクセス制御

  • 6

    デジタルフォレンジックスの活動に含まれるものはどれか。

    インシデントの原因究明に必要となるデータの収集と保全

  • 7

    ネットワークにおいて、外部からの不正アクセスを防ぐために内部ネットワークと外部ネットワークの間に置かれるものはどれか。

    ファイアウォール

  • 8

    無線LANの通信は電波で行われる、適切なセキュリティ対策が欠かせない。無線LANのセキュリティ対策のうち、無線LANアクセスポイントで行うセキュリティ対策ではないものはどれか。

    パーソナルファイアウォールを導入する。

  • 9

    家庭内で、ブロードバンドルータのIPマスカレード機能を利用してPCをインターネットに接続するとき、期待できるセキュリティ上の効果の記述のうち、適切なものはどれか。

    インターネットからの不正侵入に対する防止効果

  • 10

    ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。

    運用担当者のセキュリティ意識が低い。

  • 11

    会社や団体が、自組織の従業員に貸与するスマートフォンに対して、セキュリティポリシーに従った一元的な設定をしたり、業務アプリケーションを配信したりして、スマートフォンの利用状などを一元管理する仕組みはどれか。

    MDM (Mobile Device Management)

  • 12

    生体認証による入退室管理システムに全社員を登録し、社内の各部屋に入室を許可する社員を設定した。体質は管理していない。a~dの記述のうち、この入退室管理システムで実現出来ることだけをすべて挙げたものはどれか。

    権限のある社員だけに入室を許可する。, 入室を試みて、拒否された社員を記録する。

  • 13

    SSLに関する記述のうち、適切なものはどれか。

    通信の暗号化を行うことによって、通信経路上での通信内容の漏洩を防ぐ。

  • 14

    SMTP-AUTH(SMTP Service Extention for Authentication)における認証の動作を説明したものはどれか。

    SMTPサーバは、クライアントがアクセスしてきた場合に利用者認証を行い、認証が成功した時電子メールを受け付ける。

  • 15

    WAF(Web Application Firewall)を利用する目的はどれか。

    Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。

  • 16

    情報セキュリティ基本方針、又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており、企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。

    情報セキュリティポリシー

  • 17

    情報セキュリティの基本方針に関する記述のうち、適切なものはどれか。

    情報セキュリティに対する組織の取組みを示すもので、経営層が承認する。

  • 18

    JPCERT-CCの説明はどれか。

    特定の政府機関や企業から独立した組織であり、国内のコンピュータセキュリティインシデントに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止策の検討や助言を行っている。

  • 19

    組織の活動に関する記述a~dのうち,ISMSの特徴として、適切なものだけを全て挙げたもの はどれか。

    一過性の活動でなく改善と活動を継続する。, 導入及び活動は経営層を頂点とした組織的な取組みである。

  • 20

    情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、点検フェーズで実施するものはどれか。

    ISMSの監視及びレビュー

  • 21

    ISMS 適合性評価制度において、ISMS認証機関が認証の基準として用いる ISMS の管理目的及び管理策を規定したものはどれか。

    ISO/IEC 27001 (JIS Q 27001)

  • 22

    リスクマネジメントに含まれる四つのプロセスであるリスク対応,リスク特定、リスク評価。 リスク分析を実施する順番として、適切なものはどれか。

    リスク分析→リスク特定→リスク対応→リスク評価

  • 23

    リスクアセスメントに関する記述のうち,適切なものはどれか。

    以前に洗い出された全てのリスクへの対応が完了する前に、リスクアセスメントを実施することは避ける。

  • 24

    ISMSにおけるセキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。

    セキュリティ対策を行って、問題発生の可能性を下げた。

  • 25

    物理的セキュリティ対策の不備が原因となって発生する情報セキュリティインシデントの例と して、最も適切なものはどれか。

    Dos攻撃を受け、サーバが停止する。

  • 26

    “情報セキュリティ管理基準”に基づいて策定された雇用契約に関する規定として、適切でな いものはどれか。

    定められた守秘責任を果たさなかった場合、相応の処置がとられることを、雇用契約に定めている。

  • 27

    社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。

    脂弱性検査ソールを利用して、サーバの脆弱性を確認する

  • 28

    サイバーセキュリティ基本法に関する記述として、適切なものはどれか。

    国民に対し、サイバーセキュリティの重要性につき関心と理解を深め、その確保に必要な注意を払うよう務めることを求める規定がある。

  • 29

    不正アクセス禁止法で禁止されている行為はどれか。

    電気通回線を通じてアクセス制御されたコンピュータを不正利用する行為

  • 30

    刑法における、マルウェアに関する罪となるものはどれか。

    他人が作成したマルウェアを発見し、後日これを第三者のコンピュータで助させる目的で保管した。

  • 31

    ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。

    TCP23番ポートはIoT機器の操作用プロトコルで使用されており、そのプロトコルを用いると、初期パスワードを使って不正ログインが容易に成功し、不正にIoT機器を操作できることが多いから

  • 32

    シャドーITに該当するものはどれか。

    IT部門の許可を得ずに、従業員又は部門が業務に利 用しているデバイスやクラウドサービス

  • 33

    BYODの説明、及びその情報セキュリティリスクに関する記述のうち、適切なものはどれか。

    従業員が私的に保有する情報端末を業務に利用することであり、セキュリティ設定の不備に起因するウイルス感染などの情報セキュリティリスクが増大する。

  • 34

    CRYPTRECの役割として、適切なものはどれか。

    電子政府での利用を推奨する暗号技術の安全性を評価,監視する。

  • 35

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における、トップマネジメントに関する記述として、適切なものはどれか。

    組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよい。

  • 36

    IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)に記載されている,基本方針,対策基準、実施手順から成る組織の情報セキュリティポリシーに関する記述のうち、適切なものはどれか。

    組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。

  • 37

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)では、リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいる

    リスク所有者

  • 38

    A社は、情報システムの運用をB社に委託している。当該情報システムで発生した情報セキュリティインシデントについての対応のうち、適切なものはどれか。

    情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために、あらかじめ定めた連絡経路に従ってB社から連絡した。

  • 39

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における"リスクレベル"の定義はどれか。

    結果とその起こりやすさの組合せとして表現される,リスクの大きさ

  • 40

    a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか

    リスクによって引き起こされる事象, リスクによって引き起こされる事象の原因及び起こり得る結果, リスクを顕在化させる可能性をもつリスク源

  • 41

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)におけるリスク評価についての説明として、適切なものはどれか。

    リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス

  • 42

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)に従ったリスク評価において、情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するものはどれか。

    組織の情報セキュリティのリスク基準

  • 43

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,リスクを受容するプロセスに求められるものはどれか。

    受容するリスクについては、リスク所有者が承認すること

  • 44

    リスク対応のうち、リスクファイナンシングに該当するものはどれか。

    システムが被害を受けるリスクを想定して、保険を掛ける。

  • 45

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において、情報セキュリティ目的をどのように達成するかについて計画するとき、"実施事項","責任者","達成期限”のほかに、決定しなければならない事項として定められているものはどれか。

    "必要な資源"及び"結果の評価方法"

  • 46

    JIS Q 27000:2019(情報セキュリティマネジメントシステムー用語)において、不適合が発生した場合にその原因を除去し、再発を防止するためのものとして定義されているものはどれか。

    是正処置

  • 47

    情報セキュリティ管理を推進する取組みa~dのうち、|PA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"において、経営者がリーダーシップを発揮し自ら行うべき取組みとして示されているものだけを全て挙げた組合せはどれか。

    情報セキュリティ対策の有効性を維持するために、対策を定期又は随時に見直す。, 情報セキュリティ対策を組織的に実施する意思を明確に示すために、方針を定める。, 情報セキュリティの新たな脅威に備えるために、最新動向を収集する。

  • 48

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。

  • 49

    JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち、適切なものはどれか。

    情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

  • 50

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の"サポートユーティリティに関する例示に基づいて、サポートユーティリティと判断されるものはどれか。

    サーバ室の空調

  • 51

    JPCERTICC "CSIRTガイド(2015年11月26日)では、CSIRTを活動とサービス対象によって六つに分類しており、その一つにコーディネーションセンターがある。 コーディネーションセンターの活動とサービス対象の組合せとして,適切なものはどれか。

  • 52

    参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を、IPAが情報ハブになって集約し、参加組織間で共有する取組はどれか。

    J-CSIP

  • 53

    サイバーセキュリティ基本法に基づき、内閣官房に設置された機関はどれか。

    NCO

  • 54

    情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。

    ソフトウェアなどの脆弱性関連情報や対策情報

  • 55

    ソフトウェア製品の弱性を第三者が発見し、その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、"情報セキュリティ早期戒パートナーシップガイドライン(2019年5月)”に照らして適切なものはどれか。

    脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する。

  • 56

    PCIDSSv3.2.1において、取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち、適切なものはどれか。ここで、用語の定義は次のとおりとする。

  • 57

    共通弱性評価システム(CVSS)の特徴として、適切なものはどれか。

    情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない評価方法を提供する。

  • 58

    マルウェアの動的解析に該するものはどれか。

    検体をサンドボックス上で実行し、その動作や外部との通信を観測する。

  • 59

    ステガノグラフィはどれか。

    画像などのデータの中に、秘密にしたい情報を他者に気付かれることなく埋め込む。

  • 60

    SIEM(Security Information and Event Management) の機能はどれか。

    様々な機器から集められたログを総合的に分析し、管理者による分析を支援する。

  • 61

    A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。 新たなシステムを導入し、DMZ上に用意したVDI(VirtuaIDesktop Infrastructure)サーバにPCからログインし、インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照するように変更する。この変更によって期待できるセキュリティ上の効果はどれか。

    インターネット上のWebサイトから、内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。

  • 62

    UPSの導入によって期待できる情報セキュリティ対策としての効果はどれか。

    電源の瞬断に起因するデータの破損を防ぐ

  • 63

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。

    システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う。

  • 64

    退職する従業員による不正を防ぐための対策のうち、IPA"組織における内部不正防止ガイドライン(第4版)”に照らして,適切なものはどれか。

    退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

  • 65

    OSI基本参照モデルのネットワーク層で動作し、"認証ヘッダー(AH)"と"暗号ペイロード(ESP)"の二つのプロトコルを含むものはどれか。

    IPsec

  • 66

    HTTP over TLS(HTTPS)を用いて実現できるものはどれか。

    デジタル証明書によるサーバ認証

  • 67

    SPF(Sender Policy Framework)を利用する目的はどれか。

    メール送信者のドメインのなりすましを検知する。

  • 68

    電子メールをドメインAの送信者がドメインBの宛先に送するとき、送者をドメインAのメールサーバで認証するためのものはどれか。

    SMTP-AUTH

  • 69

    PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通を行う場合に、宛先ポートとして使用されるTCPポート番号80に関する記述のうち、適切なものはどれか。

    Webサイトの閲覧に使用されることから、通がファイアウォールで許可されている可能性が高い。

  • 70

    侵入者やマルウェアの挙動を調査するために、意図的に脆弱性をもたせたシステム又はネットワークはどれか。

    ハニーポット

  • 71

    Webサーバの検査におけるポートスキャナーの利用目的はどれか。

    Webサーバで稼働しているサービスを列挙して、不要なサービスが稼働していないことを確認する。

  • 72

    Webサーバを使ったシステムにおいて、インターネット経由でアクセスしてくるクライアントから受け取ったリクエストをWebサーバに中継する仕組みはどれか。

    リバースプロキシ

  • 73

    データベースの監査ログを取得する目的として、適切なものはどれか。

    問題のあるデータベース操作を事後に調査する。

  • 74

    Webページの著作権に関する記述のうち、適切なものはどれか。

    特定の分野ごとにWebページのURLを収集し、独自の解釈を付けたリンク集は、著作権法で保護され得る。

  • 75

    A社は、B社と著作物の権利に関する特段の取決めをせず、A社の要求仕様に基づいて、販売管理システムのプログラム作成をB社に委託した。この場合のプログラム著作権の原始的帰属に関する記述のうち、適切なものはどれか。

    B社に帰属する。

  • 76

    A社が著作権を保有しているプログラムで実現している機能と、B社のプログラムが同じ機能をもっとき、A社に対するB社の著作権侵害に関する記述のうち、適切なものはどれか。

    A社のソースコードを無断で使用していると、著作権の存続期間内は、著作権侵害となる

  • 77

    不正競争防止法で禁止されている行為はどれか。

    広く知られた他人の商品の表示に、自社の商品の表示を類似させ、他人の商品と誤認させて商品を販売する。

  • 78

    内閣は、2015年9月にサイバーセキュリティ戦略を定め、その目的達成のための施策の立案及び実施に当たって,五つの基本原則に従うべきとした。その基本原則に含まれるものはどれか。

    サイバー空間が一部の主体に占有されることがあってはならず、常に参加を求める者に開かれたものでなければならない。

  • 79

    不正アクセス禁止法で規定されている、"不正アクセス行為を助長する行為の禁止"規定によって規制される行為はどれか。

    正な理由なく他人の利用者IDとパスワードを第三者に提供する。

  • 80

    JIS Q 15001:2017(個人情報保護マネジメントシステム一要求事項)に関する記述のうち、適切なものはどれか。

    本人から書面に記載された個人情報を直接取得する場合には、利用目的などをあらかじめ書面によって本人に明示し、同意を得なければならないと定められている。

  • 81

    個人情報保護委員会"特定個人情報の適正な取扱いに関するガイドライン(事業者編)平成30年9月28日最終改正"及びその"Q&Aによれば,事業者によるファイル作成が禁止されている場合はどれか。 なお、"Q&A"とば「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A平成30年9月28日更新"のことである。

    従業員の個人番号を利用して業務成績を管理するファイルを作成する場合

  • 82

    企業において業務で使用されているコンピュータに、記憶媒体を介してマルウェアを侵入させ、そのコンピュータのデータを消去した者がいたとき、その者を処罰の対象とする法律はどれか。

    刑法

  • 83

    企業が、"特定電子メールの送の適正化等に関する法律”における特定電子メールに該する広告宣伝メールを送する場合に関する記述のうち、適切なものはどれか。

    原則としてオプトイン方式を利用する。

  • 84

    組織での情報資産管理台帳の記入方法のうち、IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に照らして、適切なものはどれか。

    利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する。

  • 85

    常時10名以上の従業員を有するソフトウェア開発会社が、社内の情報セキュリティ管理を強化するために、秘密情報を扱う担従業員の扱いを見直すこととした。労働法に照らし、適切な行為はどれか。

    就業規則に業務上知り得た密の漏えい禁止の一般的な規定があるときに、担当従業員の職務に即して移密の内容を特定する個別合意を行う。

  • 86

    技術者の活動に関係する法律のうち、罰則規定のないものはどれか。

    公益通報者保護法

  • 87

    シュリンクラップ契約において、ソフトウェアの使用許諾契約が成立するのはどの時点か。

    ソフトウェアの入ったDVD-ROMの包装を解いた時点

  • 88

    社内ネットワークからインターネットへのアクセスを中継し、Webコンテンツをキャッシュすることによってアクセスを高速にする仕組みで、セキュリティの確保にも利用されるものはどれか。

    プロキシサーバ

  • 89

    PCが,Webサーバ、メールサーバ,他のPCなどと通信を始める際に、通相手のIPアドレスを問い合わせる仕組みはどれか。

    DNS(Domain Name System)

  • 90

    電子メールのヘッダーフィールドのうち、SMTPでメッセージが転送される過程で削除されるものはどれか。

    Bcc

  • 91

    PCからWebサーバにHTTPでアクセスしようとしたところ、HTTPレスポンスのステータスコードが404、説明文字列が"Not Found"のエラーとなった。このエラーの説明として、適切なものはどれか。

    Webサーバ内に、URLで指定したページが見つからなかった。

  • 92

    SLAに記載する内容として、適切なものはどれか。

    サービス及びサービス目標を特定した、サービス提供者と顧客との間の合意事項

  • 93

    ITサービスマネジメントにおいて、SMS(サービスマネジメントシステム)の効果的な計画立案,運用及び管理を確実にするために、SLAやサービスカタログを文書化し、維持しなければならないのは誰か。

    サービス提供者

  • 94

    システムの利用部門の利用者と情報システム部門の運用者が合同で,システムの運用テストを実施する。利用者が優先して確認すべき事項はどれか。

    決められた業務手順どおりに、システムが稼働すること

  • 95

    ヒューマンエラーに起因する障害を発生しにくくする方法に、エラープルーフ化がある。運用作業におけるエラープルーフ化の例として、最も適切なものはどれか。

    画面上の複数のウインドウを同時に使用する作業では、ウインドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

  • 96

    あるデータセンターでは、受発注管理システムの運用サービスを提供している。次の受発注管理システムの運用中の事象において、インシデントに該当するものはどれか。

    プログラムの異常終了

  • 97

    システム運用におけるデータの取扱いに関する記述のうち、最も適切なものはどれか。

    入力データのエラー検出は、データを処理する段階で行うよりも、入力段階で行った方が検出及び修正の作業効率が良い。

  • 98

    ファシリティマネジメントの説明として、適切なものはどれか。

    コンピュータや周辺機器が設置されている施設、及びそれらを利用する人々の環境全体が、常に安全で最適な状態に保たれるように管理する。

  • 99

    外部委託管理の監査に関する記述のうち、最も適切なものはどれか。

    請負契約においては、委託側の事務所で作業を行っている受託側要員のシステムへのアクセスについて、アクセス管理が妥当かどうかを、委託側が監査できるように定める。

  • 100

    アクセス制御を監査するシステム監査人の行為のうち,適切なものはどれか。

    データに関するアクセス制御の管理規程を閲覧した。

    • セキュリティ

    セキュリティ

    akari · 30問 · 8ヶ月前

    セキュリティ

    セキュリティ

    30問 • 8ヶ月前
    akari

    セキュリティ

    セキュリティ

    akari · 64問 · 4ヶ月前

    セキュリティ

    セキュリティ

    64問 • 4ヶ月前
    akari

    問題一覧

  • 1

    情報セキュリティに関する対策a~dのうち、マルウェアに感染することを防止するための対策として、適切なものだけを全て挙げたものはどれか

    マルウェア対策ソフトの導入, セキュリティバッチ(修正モジュール)の適用

  • 2

    マルウェア対策ソフトの適切な運用方法はどれか。

    導入後もマルウェア定義ファイルの更新を継続して行う。

  • 3

    セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり、外出で使用したPCを会社に持ち帰った際に、マルウェアに感染していないことなどを確認するために利用するものはどれか。

    検疫ネットワーク

  • 4

    職場でのパスワードの取り扱いに関する記述a~dのうち、適切なものだけを全て挙げたものはどれか。

    個人用パスワードはシステム管理者にも教えない。, パスワードを第三者に知られた可能性がある場合には、すぐに変更する。, 付与された初期パスワードは、最初にログインした時に変更する。

  • 5

    電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術として、適切なものはどれか。

    アクセス制御

  • 6

    デジタルフォレンジックスの活動に含まれるものはどれか。

    インシデントの原因究明に必要となるデータの収集と保全

  • 7

    ネットワークにおいて、外部からの不正アクセスを防ぐために内部ネットワークと外部ネットワークの間に置かれるものはどれか。

    ファイアウォール

  • 8

    無線LANの通信は電波で行われる、適切なセキュリティ対策が欠かせない。無線LANのセキュリティ対策のうち、無線LANアクセスポイントで行うセキュリティ対策ではないものはどれか。

    パーソナルファイアウォールを導入する。

  • 9

    家庭内で、ブロードバンドルータのIPマスカレード機能を利用してPCをインターネットに接続するとき、期待できるセキュリティ上の効果の記述のうち、適切なものはどれか。

    インターネットからの不正侵入に対する防止効果

  • 10

    ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。

    運用担当者のセキュリティ意識が低い。

  • 11

    会社や団体が、自組織の従業員に貸与するスマートフォンに対して、セキュリティポリシーに従った一元的な設定をしたり、業務アプリケーションを配信したりして、スマートフォンの利用状などを一元管理する仕組みはどれか。

    MDM (Mobile Device Management)

  • 12

    生体認証による入退室管理システムに全社員を登録し、社内の各部屋に入室を許可する社員を設定した。体質は管理していない。a~dの記述のうち、この入退室管理システムで実現出来ることだけをすべて挙げたものはどれか。

    権限のある社員だけに入室を許可する。, 入室を試みて、拒否された社員を記録する。

  • 13

    SSLに関する記述のうち、適切なものはどれか。

    通信の暗号化を行うことによって、通信経路上での通信内容の漏洩を防ぐ。

  • 14

    SMTP-AUTH(SMTP Service Extention for Authentication)における認証の動作を説明したものはどれか。

    SMTPサーバは、クライアントがアクセスしてきた場合に利用者認証を行い、認証が成功した時電子メールを受け付ける。

  • 15

    WAF(Web Application Firewall)を利用する目的はどれか。

    Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する。

  • 16

    情報セキュリティ基本方針、又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており、企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。

    情報セキュリティポリシー

  • 17

    情報セキュリティの基本方針に関する記述のうち、適切なものはどれか。

    情報セキュリティに対する組織の取組みを示すもので、経営層が承認する。

  • 18

    JPCERT-CCの説明はどれか。

    特定の政府機関や企業から独立した組織であり、国内のコンピュータセキュリティインシデントに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止策の検討や助言を行っている。

  • 19

    組織の活動に関する記述a~dのうち,ISMSの特徴として、適切なものだけを全て挙げたもの はどれか。

    一過性の活動でなく改善と活動を継続する。, 導入及び活動は経営層を頂点とした組織的な取組みである。

  • 20

    情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、点検フェーズで実施するものはどれか。

    ISMSの監視及びレビュー

  • 21

    ISMS 適合性評価制度において、ISMS認証機関が認証の基準として用いる ISMS の管理目的及び管理策を規定したものはどれか。

    ISO/IEC 27001 (JIS Q 27001)

  • 22

    リスクマネジメントに含まれる四つのプロセスであるリスク対応,リスク特定、リスク評価。 リスク分析を実施する順番として、適切なものはどれか。

    リスク分析→リスク特定→リスク対応→リスク評価

  • 23

    リスクアセスメントに関する記述のうち,適切なものはどれか。

    以前に洗い出された全てのリスクへの対応が完了する前に、リスクアセスメントを実施することは避ける。

  • 24

    ISMSにおけるセキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。

    セキュリティ対策を行って、問題発生の可能性を下げた。

  • 25

    物理的セキュリティ対策の不備が原因となって発生する情報セキュリティインシデントの例と して、最も適切なものはどれか。

    Dos攻撃を受け、サーバが停止する。

  • 26

    “情報セキュリティ管理基準”に基づいて策定された雇用契約に関する規定として、適切でな いものはどれか。

    定められた守秘責任を果たさなかった場合、相応の処置がとられることを、雇用契約に定めている。

  • 27

    社内のISMS活動の一環として、サーバのセキュリティについて監査を行うことになった。最初に実施することとして、適切なものはどれか。

    脂弱性検査ソールを利用して、サーバの脆弱性を確認する

  • 28

    サイバーセキュリティ基本法に関する記述として、適切なものはどれか。

    国民に対し、サイバーセキュリティの重要性につき関心と理解を深め、その確保に必要な注意を払うよう務めることを求める規定がある。

  • 29

    不正アクセス禁止法で禁止されている行為はどれか。

    電気通回線を通じてアクセス制御されたコンピュータを不正利用する行為

  • 30

    刑法における、マルウェアに関する罪となるものはどれか。

    他人が作成したマルウェアを発見し、後日これを第三者のコンピュータで助させる目的で保管した。

  • 31

    ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。

    TCP23番ポートはIoT機器の操作用プロトコルで使用されており、そのプロトコルを用いると、初期パスワードを使って不正ログインが容易に成功し、不正にIoT機器を操作できることが多いから

  • 32

    シャドーITに該当するものはどれか。

    IT部門の許可を得ずに、従業員又は部門が業務に利 用しているデバイスやクラウドサービス

  • 33

    BYODの説明、及びその情報セキュリティリスクに関する記述のうち、適切なものはどれか。

    従業員が私的に保有する情報端末を業務に利用することであり、セキュリティ設定の不備に起因するウイルス感染などの情報セキュリティリスクが増大する。

  • 34

    CRYPTRECの役割として、適切なものはどれか。

    電子政府での利用を推奨する暗号技術の安全性を評価,監視する。

  • 35

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における、トップマネジメントに関する記述として、適切なものはどれか。

    組織を指揮し、管理する人々の集まりとして複数名で構成されていてもよい。

  • 36

    IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)に記載されている,基本方針,対策基準、実施手順から成る組織の情報セキュリティポリシーに関する記述のうち、適切なものはどれか。

    組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。

  • 37

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)では、リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいる

    リスク所有者

  • 38

    A社は、情報システムの運用をB社に委託している。当該情報システムで発生した情報セキュリティインシデントについての対応のうち、適切なものはどれか。

    情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために、あらかじめ定めた連絡経路に従ってB社から連絡した。

  • 39

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における"リスクレベル"の定義はどれか。

    結果とその起こりやすさの組合せとして表現される,リスクの大きさ

  • 40

    a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか

    リスクによって引き起こされる事象, リスクによって引き起こされる事象の原因及び起こり得る結果, リスクを顕在化させる可能性をもつリスク源

  • 41

    JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)におけるリスク評価についての説明として、適切なものはどれか。

    リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス

  • 42

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)に従ったリスク評価において、情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するものはどれか。

    組織の情報セキュリティのリスク基準

  • 43

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,リスクを受容するプロセスに求められるものはどれか。

    受容するリスクについては、リスク所有者が承認すること

  • 44

    リスク対応のうち、リスクファイナンシングに該当するものはどれか。

    システムが被害を受けるリスクを想定して、保険を掛ける。

  • 45

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において、情報セキュリティ目的をどのように達成するかについて計画するとき、"実施事項","責任者","達成期限”のほかに、決定しなければならない事項として定められているものはどれか。

    "必要な資源"及び"結果の評価方法"

  • 46

    JIS Q 27000:2019(情報セキュリティマネジメントシステムー用語)において、不適合が発生した場合にその原因を除去し、再発を防止するためのものとして定義されているものはどれか。

    是正処置

  • 47

    情報セキュリティ管理を推進する取組みa~dのうち、|PA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"において、経営者がリーダーシップを発揮し自ら行うべき取組みとして示されているものだけを全て挙げた組合せはどれか。

    情報セキュリティ対策の有効性を維持するために、対策を定期又は随時に見直す。, 情報セキュリティ対策を組織的に実施する意思を明確に示すために、方針を定める。, 情報セキュリティの新たな脅威に備えるために、最新動向を収集する。

  • 48

    JIS Q 27001:2014(情報セキュリティマネジメントシステムー要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。

  • 49

    JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち、適切なものはどれか。

    情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

  • 50

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の"サポートユーティリティに関する例示に基づいて、サポートユーティリティと判断されるものはどれか。

    サーバ室の空調

  • 51

    JPCERTICC "CSIRTガイド(2015年11月26日)では、CSIRTを活動とサービス対象によって六つに分類しており、その一つにコーディネーションセンターがある。 コーディネーションセンターの活動とサービス対象の組合せとして,適切なものはどれか。

  • 52

    参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を、IPAが情報ハブになって集約し、参加組織間で共有する取組はどれか。

    J-CSIP

  • 53

    サイバーセキュリティ基本法に基づき、内閣官房に設置された機関はどれか。

    NCO

  • 54

    情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。

    ソフトウェアなどの脆弱性関連情報や対策情報

  • 55

    ソフトウェア製品の弱性を第三者が発見し、その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、"情報セキュリティ早期戒パートナーシップガイドライン(2019年5月)”に照らして適切なものはどれか。

    脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する。

  • 56

    PCIDSSv3.2.1において、取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち、適切なものはどれか。ここで、用語の定義は次のとおりとする。

  • 57

    共通弱性評価システム(CVSS)の特徴として、適切なものはどれか。

    情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない評価方法を提供する。

  • 58

    マルウェアの動的解析に該するものはどれか。

    検体をサンドボックス上で実行し、その動作や外部との通信を観測する。

  • 59

    ステガノグラフィはどれか。

    画像などのデータの中に、秘密にしたい情報を他者に気付かれることなく埋め込む。

  • 60

    SIEM(Security Information and Event Management) の機能はどれか。

    様々な機器から集められたログを総合的に分析し、管理者による分析を支援する。

  • 61

    A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。 新たなシステムを導入し、DMZ上に用意したVDI(VirtuaIDesktop Infrastructure)サーバにPCからログインし、インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照するように変更する。この変更によって期待できるセキュリティ上の効果はどれか。

    インターネット上のWebサイトから、内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。

  • 62

    UPSの導入によって期待できる情報セキュリティ対策としての効果はどれか。

    電源の瞬断に起因するデータの破損を防ぐ

  • 63

    JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。

    システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う。

  • 64

    退職する従業員による不正を防ぐための対策のうち、IPA"組織における内部不正防止ガイドライン(第4版)”に照らして,適切なものはどれか。

    退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

  • 65

    OSI基本参照モデルのネットワーク層で動作し、"認証ヘッダー(AH)"と"暗号ペイロード(ESP)"の二つのプロトコルを含むものはどれか。

    IPsec

  • 66

    HTTP over TLS(HTTPS)を用いて実現できるものはどれか。

    デジタル証明書によるサーバ認証

  • 67

    SPF(Sender Policy Framework)を利用する目的はどれか。

    メール送信者のドメインのなりすましを検知する。

  • 68

    電子メールをドメインAの送信者がドメインBの宛先に送するとき、送者をドメインAのメールサーバで認証するためのものはどれか。

    SMTP-AUTH

  • 69

    PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通を行う場合に、宛先ポートとして使用されるTCPポート番号80に関する記述のうち、適切なものはどれか。

    Webサイトの閲覧に使用されることから、通がファイアウォールで許可されている可能性が高い。

  • 70

    侵入者やマルウェアの挙動を調査するために、意図的に脆弱性をもたせたシステム又はネットワークはどれか。

    ハニーポット

  • 71

    Webサーバの検査におけるポートスキャナーの利用目的はどれか。

    Webサーバで稼働しているサービスを列挙して、不要なサービスが稼働していないことを確認する。

  • 72

    Webサーバを使ったシステムにおいて、インターネット経由でアクセスしてくるクライアントから受け取ったリクエストをWebサーバに中継する仕組みはどれか。

    リバースプロキシ

  • 73

    データベースの監査ログを取得する目的として、適切なものはどれか。

    問題のあるデータベース操作を事後に調査する。

  • 74

    Webページの著作権に関する記述のうち、適切なものはどれか。

    特定の分野ごとにWebページのURLを収集し、独自の解釈を付けたリンク集は、著作権法で保護され得る。

  • 75

    A社は、B社と著作物の権利に関する特段の取決めをせず、A社の要求仕様に基づいて、販売管理システムのプログラム作成をB社に委託した。この場合のプログラム著作権の原始的帰属に関する記述のうち、適切なものはどれか。

    B社に帰属する。

  • 76

    A社が著作権を保有しているプログラムで実現している機能と、B社のプログラムが同じ機能をもっとき、A社に対するB社の著作権侵害に関する記述のうち、適切なものはどれか。

    A社のソースコードを無断で使用していると、著作権の存続期間内は、著作権侵害となる

  • 77

    不正競争防止法で禁止されている行為はどれか。

    広く知られた他人の商品の表示に、自社の商品の表示を類似させ、他人の商品と誤認させて商品を販売する。

  • 78

    内閣は、2015年9月にサイバーセキュリティ戦略を定め、その目的達成のための施策の立案及び実施に当たって,五つの基本原則に従うべきとした。その基本原則に含まれるものはどれか。

    サイバー空間が一部の主体に占有されることがあってはならず、常に参加を求める者に開かれたものでなければならない。

  • 79

    不正アクセス禁止法で規定されている、"不正アクセス行為を助長する行為の禁止"規定によって規制される行為はどれか。

    正な理由なく他人の利用者IDとパスワードを第三者に提供する。

  • 80

    JIS Q 15001:2017(個人情報保護マネジメントシステム一要求事項)に関する記述のうち、適切なものはどれか。

    本人から書面に記載された個人情報を直接取得する場合には、利用目的などをあらかじめ書面によって本人に明示し、同意を得なければならないと定められている。

  • 81

    個人情報保護委員会"特定個人情報の適正な取扱いに関するガイドライン(事業者編)平成30年9月28日最終改正"及びその"Q&Aによれば,事業者によるファイル作成が禁止されている場合はどれか。 なお、"Q&A"とば「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A平成30年9月28日更新"のことである。

    従業員の個人番号を利用して業務成績を管理するファイルを作成する場合

  • 82

    企業において業務で使用されているコンピュータに、記憶媒体を介してマルウェアを侵入させ、そのコンピュータのデータを消去した者がいたとき、その者を処罰の対象とする法律はどれか。

    刑法

  • 83

    企業が、"特定電子メールの送の適正化等に関する法律”における特定電子メールに該する広告宣伝メールを送する場合に関する記述のうち、適切なものはどれか。

    原則としてオプトイン方式を利用する。

  • 84

    組織での情報資産管理台帳の記入方法のうち、IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に照らして、適切なものはどれか。

    利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入する。

  • 85

    常時10名以上の従業員を有するソフトウェア開発会社が、社内の情報セキュリティ管理を強化するために、秘密情報を扱う担従業員の扱いを見直すこととした。労働法に照らし、適切な行為はどれか。

    就業規則に業務上知り得た密の漏えい禁止の一般的な規定があるときに、担当従業員の職務に即して移密の内容を特定する個別合意を行う。

  • 86

    技術者の活動に関係する法律のうち、罰則規定のないものはどれか。

    公益通報者保護法

  • 87

    シュリンクラップ契約において、ソフトウェアの使用許諾契約が成立するのはどの時点か。

    ソフトウェアの入ったDVD-ROMの包装を解いた時点

  • 88

    社内ネットワークからインターネットへのアクセスを中継し、Webコンテンツをキャッシュすることによってアクセスを高速にする仕組みで、セキュリティの確保にも利用されるものはどれか。

    プロキシサーバ

  • 89

    PCが,Webサーバ、メールサーバ,他のPCなどと通信を始める際に、通相手のIPアドレスを問い合わせる仕組みはどれか。

    DNS(Domain Name System)

  • 90

    電子メールのヘッダーフィールドのうち、SMTPでメッセージが転送される過程で削除されるものはどれか。

    Bcc

  • 91

    PCからWebサーバにHTTPでアクセスしようとしたところ、HTTPレスポンスのステータスコードが404、説明文字列が"Not Found"のエラーとなった。このエラーの説明として、適切なものはどれか。

    Webサーバ内に、URLで指定したページが見つからなかった。

  • 92

    SLAに記載する内容として、適切なものはどれか。

    サービス及びサービス目標を特定した、サービス提供者と顧客との間の合意事項

  • 93

    ITサービスマネジメントにおいて、SMS(サービスマネジメントシステム)の効果的な計画立案,運用及び管理を確実にするために、SLAやサービスカタログを文書化し、維持しなければならないのは誰か。

    サービス提供者

  • 94

    システムの利用部門の利用者と情報システム部門の運用者が合同で,システムの運用テストを実施する。利用者が優先して確認すべき事項はどれか。

    決められた業務手順どおりに、システムが稼働すること

  • 95

    ヒューマンエラーに起因する障害を発生しにくくする方法に、エラープルーフ化がある。運用作業におけるエラープルーフ化の例として、最も適切なものはどれか。

    画面上の複数のウインドウを同時に使用する作業では、ウインドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

  • 96

    あるデータセンターでは、受発注管理システムの運用サービスを提供している。次の受発注管理システムの運用中の事象において、インシデントに該当するものはどれか。

    プログラムの異常終了

  • 97

    システム運用におけるデータの取扱いに関する記述のうち、最も適切なものはどれか。

    入力データのエラー検出は、データを処理する段階で行うよりも、入力段階で行った方が検出及び修正の作業効率が良い。

  • 98

    ファシリティマネジメントの説明として、適切なものはどれか。

    コンピュータや周辺機器が設置されている施設、及びそれらを利用する人々の環境全体が、常に安全で最適な状態に保たれるように管理する。

  • 99

    外部委託管理の監査に関する記述のうち、最も適切なものはどれか。

    請負契約においては、委託側の事務所で作業を行っている受託側要員のシステムへのアクセスについて、アクセス管理が妥当かどうかを、委託側が監査できるように定める。

  • 100

    アクセス制御を監査するシステム監査人の行為のうち,適切なものはどれか。

    データに関するアクセス制御の管理規程を閲覧した。