暗記メーカー

暗記メーカー

ログイン

情報セキュリティマネジメント 令和元年秋 午前問題

情報セキュリティマネジメント 令和元年秋 午前問題
49問 • 2年前
  • ユーザ名非公開
    • 通報

    問題一覧

  • 1

    BEC(Business E-mail Compromise)に該当するものはどれか。

    巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送り,金銭をだまし取る。

  • 2

    参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を,IPAが情報ハブになって集約し,参加組織間で共有する取組はどれか。

    J-CSIP

  • 3

    JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。

    受容するリスクについては,リスク所有者が承認すること

  • 4

    退職する従業員による不正を防ぐための対策のうち,IPA"組織における内部不正防止ガイドライン(第4版)"に照らして,適切なものはどれか。

    退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

  • 5

    JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)において,不適合が発生した場合にその原因を除去し,再発を防止するためのものとして定義されているものはどれか。

    是正処置

  • 6

    ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。

    TCP23番ポートはIoT機器の操作用プロトコルで使用されており,そのプロトコルを用いると,初期パスワードを使って不正ログインが容易に成功し,不正にIoT機器を操作できることが多いから

  • 7

    SPF(Sender Policy Framework)の仕組みはどれか。

    電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。

  • 8

    A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。新たなシステムを導入し,DMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバにPCからログインし,インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照するように変更する。この変更によって期待できるセキュリティ上の効果はどれか。

    インターネット上のWebサイトから,内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。

  • 9

    JIS Q 27002:2014には記載されていないが,JIS Q 27017:2016において記載されている管理策はどれか。

    クラウドサービス固有の情報セキュリティ管理策

  • 10

    シャドーITに該当するものはどれか。

    IT部門の許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービス

  • 11

    ステガノグラフィはどれか。

    画像などのデータの中に,秘密にしたい情報を他者に気付かれることなく埋め込む。

  • 12

    セキュアハッシュ関数SHA-256を用いてファイルA及びファイルBのハッシュ値を算出すると,どちらも全く同じ次に示すハッシュ値n(16進数で示すと64桁)となった。この結果から考えられることとして,適切なものはどれか。 ハッシュ値n:86620f2f 152524d7 dbed4bcb b8119bb6 d493f734 0b4e7661 88565353 9e6d2074

    ファイルAの内容とファイルBの内容は同じである。

  • 13

    インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。

    利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。

  • 14

    WAFにおけるフォールスポジティブに該当するものはどれか。

    HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。

  • 15

    ボットネットにおいてC&Cサーバが担う役割はどれか。

    遠隔操作が可能なマルウェアに,情報収集及び攻撃活動を指示する。

  • 16

    攻撃者が用意したサーバXのIPアドレスが,A社WebサーバのFQDNに対応するIPアドレスとして,B社DNSキャッシュサーバに記憶された。これによって,意図せずサーバXに誘導されてしまう利用者はどれか。ここで,A社,B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。

    A社WebサーバにアクセスしようとするB社従業員

  • 17

    PCとサーバとの間でIPsecによる暗号化通信を行う。通信データの暗号化アルゴリズムとしてAESを使うとき,用いるべき鍵はどれか。

    PCとサーバで共有された共通鍵

  • 18

    WPA3はどれか。

    無線LANのセキュリティ規格

  • 19

    リバースブルートフォース攻撃に該当するものはどれか。

    パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。

  • 20

    デジタル署名に用いる鍵の組みのうち,適切なものはどれか。

  • 21

    情報セキュリティにおいてバックドアに該当するものはどれか。

    アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに,当該手続を経ないでアクセス可能なURL

  • 22

    マルウェアの動的解析に該当するものはどれか。

    検体をサンドボックス上で実行し,その動作や外部との通信を観測する。

  • 23

    メッセージが改ざんされていないかどうかを確認するために,そのメッセージから,ブロック暗号を用いて生成することができるものはどれか。

    メッセージ認証符号

  • 24

    リスクベース認証に該当するものはどれか。

    利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

  • 25

    攻撃者が,多数のオープンリゾルバに対して,"あるドメイン"の実在しないランダムなサブドメインを多数問い合わせる攻撃(ランダムサブドメイン攻撃)を仕掛け,多数のオープンリゾルバが応答した。このときに発生する事象はどれか。

    "あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

  • 26

    手順に示す電子メールの送受信によって得られるセキュリテイ上の効果はどれか。 〔手順〕 送信者は,電子メールの本文を共通鍵暗号方式で暗号化し(暗号文),その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で暗号化する(共通鍵の暗号化データ)。 送信者は,暗号文と共通鍵の暗号化データを電子メールで送信する。 受信者は,受信した電子メールから取り出した共通鍵の暗号化データを,自分の秘密鍵を用いて公開鍵暗号方式で復号し,得た共通鍵で暗号文を復号する。

    電子メールの本文の内容の漏えいの防止

  • 27

    クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたものはどれか。

    PCI DSS

  • 28

    電子メールをドメインAの送信者がドメインBの宛先に送信するとき,送信者をドメインAのメールサーバで認証するためのものはどれか。 ア APOP イ POP3S ウ S/MIME エ SMTP-AUTH

  • 29

    ハニーポットの説明はどれか。

    わざと侵入しやすいように設定した機器やシステムをインターネット上に配置することによって,攻撃手法やマルウェアの振る舞いなどの調査と研究に利用する。

  • 30

    Webサーバの検査におけるポートスキャナーの利用目的はどれか。

    Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。

  • 31

    企業において業務で使用されているコンピュータに,記憶媒体を介してマルウェアを侵入させ,そのコンピュータのデータを消去した者がいたとき,その者を処罰の対象とする法律はどれか。

    刑法

  • 32

    シュリンクラップ契約において,ソフトウェアの使用許諾契約が成立するのはどの時点か。

    ソフトウェアの入ったDVD-ROMの包装を解いた時点

  • 33

    A社は,B社と著作物の権利に関する特段の取決めをせず,A社の要求仕様に基づいて,販売管理システムのプログラム作成をB社に委託した。この場合のプログラム著作権の原始的帰属に関する記述のうち,適切なものはどれか。

    B社に帰属する。

  • 34

    A社は,A社で使うソフトウェアの開発作業をB社に実施させる契約を,B社と締結した。締結した契約が労働者派遣であるものはどれか。

    A社監督者が,B社の雇用する労働者に,業務遂行に関する指示を行い,A社の開発作業を行わせる。

  • 35

    常時10名以上の従業員を有するソフトウェア開発会社が,社内の情報セキュリティ管理を強化するために,秘密情報を扱う担当従業員の扱いを見直すこととした。労働法に照らし,適切な行為はどれか。

    就業規則に業務上知り得た秘密の漏えい禁止の一般的な規定があるときに,担当従業員の職務に即して秘密の内容を特定する個別合意を行う。

  • 36

    入出金管理システムから出力された入金データファイルを,売掛金管理システムが読み込んでマスタファイルを更新する。入出金管理システムから売掛金管理システムヘ受け渡されたデータの正確性及び網羅性を確保するコントロールはどれか。

    入金額及び入金データ件数のコントロールトータルのチェック

  • 37

    金融庁"財務報告に係る内部統制の評価及び監査の基準(令和元年)"に基づいて,内部統制の基本的要素を,統制環境,リスクの評価と対応,統制活動,情報と伝達,モニタリング,ITへの対応の六つに分類したときに,統制活動に該当するものはどれか。

    発注業務と検収業務をそれぞれ別の者に担当させること

  • 38

    データの生成から入力,処理,出力,活用までのプロセス,及び組み込まれているコントロールを,システム監査人が書面上で又は実際に追跡する技法はどれか。

    ウォークスルー法

  • 39

    アクセス制御を監査するシステム監査人の行為のうち,適切なものはどれか。

    データに関するアクセス制御の管理規程を閲覧した。

  • 40

    ITサービスマネジメントにおいて,"サービスに対する計画外の中断","サービスの品質の低下",又は"顧客へのサービスにまだ影響していない事象"を何というか。

    インシデント

  • 41

    ヒューマンエラーに起因する障害を発生しにくくする方法に,エラープルーフ化がある。運用作業におけるエラープルーフ化の例として,最も適切なものはどれか。

    画面上の複数のウィンドウを同時に使用する作業では,ウィンドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

  • 42

    プロジェクトライフサイクルの一般的な特性はどれか。

    リスクは,プロジェクトが完了に近づくにつれて減少する。

  • 43

    あるプロジェクトの日程計画をアローダイアグラムで示す。クリティカルパスはどれか。

    B,E,F

  • 44

    Webシステムの性能指標のうち,応答時間の説明はどれか。

    Webブラウザに表示された問合せボタンが押されてから,Webブラウザが結果を表示し始めるまでの時間

  • 45

    データベースのトランザクションに関する記述のうち,適切なものはどれか。

    複数のトランザクション間でデッドロックが発生したので,トランザクションをDBMSがロールバックした。

  • 46

    PCが,Webサーバ,メールサーバ,他のPCなどと通信を始める際に,通信相手のIPアドレスを問い合わせる仕組みはどれか。

    DNS(Domain Name System)

  • 47

    RPAを活用することによって業務の改善を図ったものはどれか。

    事務職員が人手で行っていた定型的かつ大量のコピー&ペースト作業をソフトウェアによって自動化し,作業時間の短縮と作業精度の向上を実現させた。

  • 48

    情報システムを取得するための提案依頼書(RFP)の作成と提案依頼に当たって,取得者であるユーザー企業側の対応のうち,適切なものはどれか。

    複数の要求事項がある場合,重要な要求とそうでない要求の区別がつくようにRFP作成時点で重要度を設定しておく。

  • 49

    アンケートの自由記述欄に記入された文章における単語の出現頻度などを分析する手法はどれか。

    テキストマイニング

    • 情報セキュリティマネジメント 平成30年秋 午前問題

    情報セキュリティマネジメント 平成30年秋 午前問題

    ユーザ名非公開 · 3回閲覧 · 50問 · 2年前

    情報セキュリティマネジメント 平成30年秋 午前問題

    情報セキュリティマネジメント 平成30年秋 午前問題

    3回閲覧 • 50問 • 2年前
    ユーザ名非公開

    問題一覧

  • 1

    BEC(Business E-mail Compromise)に該当するものはどれか。

    巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送り,金銭をだまし取る。

  • 2

    参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を,IPAが情報ハブになって集約し,参加組織間で共有する取組はどれか。

    J-CSIP

  • 3

    JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。

    受容するリスクについては,リスク所有者が承認すること

  • 4

    退職する従業員による不正を防ぐための対策のうち,IPA"組織における内部不正防止ガイドライン(第4版)"に照らして,適切なものはどれか。

    退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。

  • 5

    JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)において,不適合が発生した場合にその原因を除去し,再発を防止するためのものとして定義されているものはどれか。

    是正処置

  • 6

    ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。

    TCP23番ポートはIoT機器の操作用プロトコルで使用されており,そのプロトコルを用いると,初期パスワードを使って不正ログインが容易に成功し,不正にIoT機器を操作できることが多いから

  • 7

    SPF(Sender Policy Framework)の仕組みはどれか。

    電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。

  • 8

    A社では現在,インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。新たなシステムを導入し,DMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバにPCからログインし,インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照するように変更する。この変更によって期待できるセキュリティ上の効果はどれか。

    インターネット上のWebサイトから,内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。

  • 9

    JIS Q 27002:2014には記載されていないが,JIS Q 27017:2016において記載されている管理策はどれか。

    クラウドサービス固有の情報セキュリティ管理策

  • 10

    シャドーITに該当するものはどれか。

    IT部門の許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービス

  • 11

    ステガノグラフィはどれか。

    画像などのデータの中に,秘密にしたい情報を他者に気付かれることなく埋め込む。

  • 12

    セキュアハッシュ関数SHA-256を用いてファイルA及びファイルBのハッシュ値を算出すると,どちらも全く同じ次に示すハッシュ値n(16進数で示すと64桁)となった。この結果から考えられることとして,適切なものはどれか。 ハッシュ値n:86620f2f 152524d7 dbed4bcb b8119bb6 d493f734 0b4e7661 88565353 9e6d2074

    ファイルAの内容とファイルBの内容は同じである。

  • 13

    インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。

    利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。

  • 14

    WAFにおけるフォールスポジティブに該当するものはどれか。

    HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。

  • 15

    ボットネットにおいてC&Cサーバが担う役割はどれか。

    遠隔操作が可能なマルウェアに,情報収集及び攻撃活動を指示する。

  • 16

    攻撃者が用意したサーバXのIPアドレスが,A社WebサーバのFQDNに対応するIPアドレスとして,B社DNSキャッシュサーバに記憶された。これによって,意図せずサーバXに誘導されてしまう利用者はどれか。ここで,A社,B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。

    A社WebサーバにアクセスしようとするB社従業員

  • 17

    PCとサーバとの間でIPsecによる暗号化通信を行う。通信データの暗号化アルゴリズムとしてAESを使うとき,用いるべき鍵はどれか。

    PCとサーバで共有された共通鍵

  • 18

    WPA3はどれか。

    無線LANのセキュリティ規格

  • 19

    リバースブルートフォース攻撃に該当するものはどれか。

    パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。

  • 20

    デジタル署名に用いる鍵の組みのうち,適切なものはどれか。

  • 21

    情報セキュリティにおいてバックドアに該当するものはどれか。

    アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに,当該手続を経ないでアクセス可能なURL

  • 22

    マルウェアの動的解析に該当するものはどれか。

    検体をサンドボックス上で実行し,その動作や外部との通信を観測する。

  • 23

    メッセージが改ざんされていないかどうかを確認するために,そのメッセージから,ブロック暗号を用いて生成することができるものはどれか。

    メッセージ認証符号

  • 24

    リスクベース認証に該当するものはどれか。

    利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

  • 25

    攻撃者が,多数のオープンリゾルバに対して,"あるドメイン"の実在しないランダムなサブドメインを多数問い合わせる攻撃(ランダムサブドメイン攻撃)を仕掛け,多数のオープンリゾルバが応答した。このときに発生する事象はどれか。

    "あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

  • 26

    手順に示す電子メールの送受信によって得られるセキュリテイ上の効果はどれか。 〔手順〕 送信者は,電子メールの本文を共通鍵暗号方式で暗号化し(暗号文),その共通鍵を受信者の公開鍵を用いて公開鍵暗号方式で暗号化する(共通鍵の暗号化データ)。 送信者は,暗号文と共通鍵の暗号化データを電子メールで送信する。 受信者は,受信した電子メールから取り出した共通鍵の暗号化データを,自分の秘密鍵を用いて公開鍵暗号方式で復号し,得た共通鍵で暗号文を復号する。

    電子メールの本文の内容の漏えいの防止

  • 27

    クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたものはどれか。

    PCI DSS

  • 28

    電子メールをドメインAの送信者がドメインBの宛先に送信するとき,送信者をドメインAのメールサーバで認証するためのものはどれか。 ア APOP イ POP3S ウ S/MIME エ SMTP-AUTH

  • 29

    ハニーポットの説明はどれか。

    わざと侵入しやすいように設定した機器やシステムをインターネット上に配置することによって,攻撃手法やマルウェアの振る舞いなどの調査と研究に利用する。

  • 30

    Webサーバの検査におけるポートスキャナーの利用目的はどれか。

    Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。

  • 31

    企業において業務で使用されているコンピュータに,記憶媒体を介してマルウェアを侵入させ,そのコンピュータのデータを消去した者がいたとき,その者を処罰の対象とする法律はどれか。

    刑法

  • 32

    シュリンクラップ契約において,ソフトウェアの使用許諾契約が成立するのはどの時点か。

    ソフトウェアの入ったDVD-ROMの包装を解いた時点

  • 33

    A社は,B社と著作物の権利に関する特段の取決めをせず,A社の要求仕様に基づいて,販売管理システムのプログラム作成をB社に委託した。この場合のプログラム著作権の原始的帰属に関する記述のうち,適切なものはどれか。

    B社に帰属する。

  • 34

    A社は,A社で使うソフトウェアの開発作業をB社に実施させる契約を,B社と締結した。締結した契約が労働者派遣であるものはどれか。

    A社監督者が,B社の雇用する労働者に,業務遂行に関する指示を行い,A社の開発作業を行わせる。

  • 35

    常時10名以上の従業員を有するソフトウェア開発会社が,社内の情報セキュリティ管理を強化するために,秘密情報を扱う担当従業員の扱いを見直すこととした。労働法に照らし,適切な行為はどれか。

    就業規則に業務上知り得た秘密の漏えい禁止の一般的な規定があるときに,担当従業員の職務に即して秘密の内容を特定する個別合意を行う。

  • 36

    入出金管理システムから出力された入金データファイルを,売掛金管理システムが読み込んでマスタファイルを更新する。入出金管理システムから売掛金管理システムヘ受け渡されたデータの正確性及び網羅性を確保するコントロールはどれか。

    入金額及び入金データ件数のコントロールトータルのチェック

  • 37

    金融庁"財務報告に係る内部統制の評価及び監査の基準(令和元年)"に基づいて,内部統制の基本的要素を,統制環境,リスクの評価と対応,統制活動,情報と伝達,モニタリング,ITへの対応の六つに分類したときに,統制活動に該当するものはどれか。

    発注業務と検収業務をそれぞれ別の者に担当させること

  • 38

    データの生成から入力,処理,出力,活用までのプロセス,及び組み込まれているコントロールを,システム監査人が書面上で又は実際に追跡する技法はどれか。

    ウォークスルー法

  • 39

    アクセス制御を監査するシステム監査人の行為のうち,適切なものはどれか。

    データに関するアクセス制御の管理規程を閲覧した。

  • 40

    ITサービスマネジメントにおいて,"サービスに対する計画外の中断","サービスの品質の低下",又は"顧客へのサービスにまだ影響していない事象"を何というか。

    インシデント

  • 41

    ヒューマンエラーに起因する障害を発生しにくくする方法に,エラープルーフ化がある。運用作業におけるエラープルーフ化の例として,最も適切なものはどれか。

    画面上の複数のウィンドウを同時に使用する作業では,ウィンドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

  • 42

    プロジェクトライフサイクルの一般的な特性はどれか。

    リスクは,プロジェクトが完了に近づくにつれて減少する。

  • 43

    あるプロジェクトの日程計画をアローダイアグラムで示す。クリティカルパスはどれか。

    B,E,F

  • 44

    Webシステムの性能指標のうち,応答時間の説明はどれか。

    Webブラウザに表示された問合せボタンが押されてから,Webブラウザが結果を表示し始めるまでの時間

  • 45

    データベースのトランザクションに関する記述のうち,適切なものはどれか。

    複数のトランザクション間でデッドロックが発生したので,トランザクションをDBMSがロールバックした。

  • 46

    PCが,Webサーバ,メールサーバ,他のPCなどと通信を始める際に,通信相手のIPアドレスを問い合わせる仕組みはどれか。

    DNS(Domain Name System)

  • 47

    RPAを活用することによって業務の改善を図ったものはどれか。

    事務職員が人手で行っていた定型的かつ大量のコピー&ペースト作業をソフトウェアによって自動化し,作業時間の短縮と作業精度の向上を実現させた。

  • 48

    情報システムを取得するための提案依頼書(RFP)の作成と提案依頼に当たって,取得者であるユーザー企業側の対応のうち,適切なものはどれか。

    複数の要求事項がある場合,重要な要求とそうでない要求の区別がつくようにRFP作成時点で重要度を設定しておく。

  • 49

    アンケートの自由記述欄に記入された文章における単語の出現頻度などを分析する手法はどれか。

    テキストマイニング