8章

56問 • 3年前

隣の芝生

通報

問題一覧

情報セキュリティマネジメントの国際規格

ISO/IEC27000シリーズ

情報セキュリティの三要素

機密性, 可用性, 完全性

情報セキュリティの三要素以外に加える要素

真正性, 信頼性, 責任追跡性, 否認防止

資産として価値のある情報のこと

情報資産

情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるもの

脅威

情報資産や管理策に内在している弱点

脆弱性

組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性

リスク

リスクを組織的に管理すること

リスクマネジメント

リスクを分析・評価して、リスク受容基準に照らして対応が必要かどうかを判断していくこと

リスクアセスメント

リスクアセスメントが行うプロセスを順3つ選択

リスク特定, リスク分析, リスク評価

リスク評価を受け、実際にどのようなリスク対応を選択するかを決定すること

リスク対応

リスク対応で、リスクの発生確率や大きさを小さくする方法

リスクコントロール

リスク対応で、損失を補填するために金銭的な手当てをする方法

リスクファイナンシング

リスク対応に含まれる機能

リスク軽減, リスク回避, リスク移転, リスク保有

特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること

ビジネスインパクト分析

情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書のこと

情報セキュリティポリシ

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言すること

情報セキュリティ基本方針

情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されているもの

情報セキュリティ管理基準

組織で扱う個人情報の扱い方

プライバシポリシ

企業や宮内庁などに設けるセキュリティ対策チームのこと

CSIRT

ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度

ISMS適合評価制度

ISMSの規格となっているもの

JIS Q 27000

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威

物理的脅威

操作ミス・紛失・内部関係者による不正使用・怠慢など、人による脅威のこと

人的脅威

人の心理の隙をついて機密情報を入手すること

ソーシャルエンジニアリング

不正行為には機会・動機・正当化の三つの条件がそろったときに行われるという理論

不正のトライアングル理論

不正のトライアングル理論に対する実施者と承認者を別の人にするという対策

職務分掌

コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威

技術的脅威

悪意をもって作成された不正なプログラムの総称

マルウェア

マルウェアの種類の穴埋め(上から順に)

コンピュータウイルス, マクロウイルス, ワーム, ボット, トロイの木馬, スパイウェア, ランサムウェア, キーロガー, ルートキット

個人的に所有するPCやスマートフォンなどの情報端末を業務に利用すること

BYOD

社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組み

MDM

マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称

ウイルス対策ソフト

ウイルス対策ソフトの既知ウイルスのシグネスチャコードを記録したファイル

ウイルス定義ファイル

ウイルス対策ソフトの種類の穴埋め(上から順に)

パターンマッチング方式, ビヘイベア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性のこと

セキュリティホール

ベンダから提供されたら迅速に反映させる修正プログラムのこと

セキュリティパッチ

セキュリティパッチがベンダから提供される前に、セキュリティホールを利用する攻撃

ゼロデイ攻撃

インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行うこと

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われる攻撃

標的型攻撃

標的型攻撃の種類穴埋め(上から順に)

APT攻撃, 水飲み場型攻撃

パスワードを割り出し、解析すること

パスワードクラック

パスワードクラック攻撃の種類穴埋め(上から順に)

辞書攻撃, ブルートフォース攻撃, パスワードリスト攻撃

特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃

Dos攻撃

複数のコンピュータから一斉に攻撃するDos攻撃の名称

DDos攻撃

Dos攻撃、DDosの攻撃の対策として不正な通信を検知して管理者に通報する(x)と、検知だけでなく遮断まで行う(y)が導入されている

x:IDS y:IPS

脆弱なWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、利用者のブラウザで実行させる攻撃

クロスサイトスクリプティング

クロスサイトスクリプティングの対策の1つで有害な入力を無害化する機能(x) (x)の1つとして(y)がある(順に回答)

サニタイジング, エスケープ処理

攻撃者が脆弱のあるWebアプリケーションの入力領域に、悪意のある問合せや、操作を行う命令文を注入することで、管理者の意図していないSQL文を実行させる攻撃

SQLインジェクション

Webアプリケーション専用のファイアウォール

WAF

攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃

なりすまし

なりすましによる攻撃(上から順に)

セッションハイジャック, DNSキャッシュボイズニング, SEOボイズニング, IPスプーフィング

攻撃者が、パス名を使ってファイルに指定し、管理者の意図していないファイルを不正に閲覧する攻撃

デイレクトリトラバーサル

その他の攻撃(上から順に)

ドライブバイダウンロード, フィッシング, バッファオーバフロー攻撃

解放されている攻撃できそうなサービスがあるかを調査する行為

ポートスキャン

USBメモリのデータを複製したり、ネットワークやサーバの監視をして、コンピュータ犯罪の証拠となる電子データを集め、解析すること

ディジタルフォレンジクス

7章

7章

FE 第6章　データベース

FE 第6章　データベース

FE 第5章　システム構成

FE 第5章　システム構成

10章

10章

9章

9章

法学憲法４回目

法学憲法４回目

11章

11章

FE 第3章　基礎理論

FE 第3章　基礎理論

FE 第4章　アルゴリズムとプログラミング

隣の芝生 · 48問 · 3年前

FE 第4章　アルゴリズムとプログラミング

48問 • 3年前

隣の芝生

FE 第2章　ソフトウェアとマルチメディア

隣の芝生 · 37問 · 3年前

FE 第2章　ソフトウェアとマルチメディア

FE 第1章コンピュータ構成要素

FE 第1章コンピュータ構成要素

8章

8章

9章

9章

9章

9章

シス魂　けいさん

シス魂　けいさん

コンシス

コンシス

ネットワーク基礎-確認テストより-

ネットワーク基礎-確認テストより-

7章

7章

7章

7章

9章

9章

11章

11章

9章

9章

10章

10章

8章

8章

9章

9章

9章

9章

9章

9章

9章

9章

シス魂　けいさん

シス魂　けいさん

11章

11章

9章

9章

コンシス

コンシス

ネットワーク基礎-確認テストより-

ネットワーク基礎-確認テストより-

9章

9章

11章

11章

9章

9章

プログラミング

プログラミング

シス魂　けいさん

シス魂　けいさん

プログラミング＿前期期末

プログラミング＿前期期末

8章

8章

コンシス

コンシス

コンシス

コンシス

ネットワーク基礎-確認テストより-

ネットワーク基礎-確認テストより-

8章

8章

7章

7章

法学憲法2回目

法学憲法2回目

無線技術特論B

無線技術特論B

技術者倫理

技術者倫理

無限C

無限C

問題一覧

情報セキュリティマネジメントの国際規格

ISO/IEC27000シリーズ

情報セキュリティの三要素

機密性, 可用性, 完全性

情報セキュリティの三要素以外に加える要素

真正性, 信頼性, 責任追跡性, 否認防止

資産として価値のある情報のこと

情報資産

情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるもの

脅威

情報資産や管理策に内在している弱点

脆弱性

組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性

リスク

リスクを組織的に管理すること

リスクマネジメント

リスクを分析・評価して、リスク受容基準に照らして対応が必要かどうかを判断していくこと

リスクアセスメント

リスクアセスメントが行うプロセスを順3つ選択

リスク特定, リスク分析, リスク評価

リスク評価を受け、実際にどのようなリスク対応を選択するかを決定すること

リスク対応

リスク対応で、リスクの発生確率や大きさを小さくする方法

リスクコントロール

リスク対応で、損失を補填するために金銭的な手当てをする方法

リスクファイナンシング

リスク対応に含まれる機能

リスク軽減, リスク回避, リスク移転, リスク保有

特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること

ビジネスインパクト分析

情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書のこと

情報セキュリティポリシ

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言すること

情報セキュリティ基本方針

情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目が規定されているもの

情報セキュリティ管理基準

組織で扱う個人情報の扱い方

プライバシポリシ

企業や宮内庁などに設けるセキュリティ対策チームのこと

CSIRT

ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度

ISMS適合評価制度

ISMSの規格となっているもの

JIS Q 27000

災害による機器の故障、侵入者による物理的破壊や妨害行為などによる脅威

物理的脅威

操作ミス・紛失・内部関係者による不正使用・怠慢など、人による脅威のこと

人的脅威

人の心理の隙をついて機密情報を入手すること

ソーシャルエンジニアリング

不正行為には機会・動機・正当化の三つの条件がそろったときに行われるという理論

不正のトライアングル理論

不正のトライアングル理論に対する実施者と承認者を別の人にするという対策

職務分掌

コンピュータウイルスやサイバー攻撃などのIT技術を使った脅威

技術的脅威

悪意をもって作成された不正なプログラムの総称

マルウェア

マルウェアの種類の穴埋め(上から順に)

コンピュータウイルス, マクロウイルス, ワーム, ボット, トロイの木馬, スパイウェア, ランサムウェア, キーロガー, ルートキット

個人的に所有するPCやスマートフォンなどの情報端末を業務に利用すること

BYOD

社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組み

MDM

マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称

ウイルス対策ソフト

ウイルス対策ソフトの既知ウイルスのシグネスチャコードを記録したファイル

ウイルス定義ファイル

ウイルス対策ソフトの種類の穴埋め(上から順に)

パターンマッチング方式, ビヘイベア方式

OSやソフトウェアに潜むセキュリティ上の脆弱性のこと

セキュリティホール

ベンダから提供されたら迅速に反映させる修正プログラムのこと

セキュリティパッチ

セキュリティパッチがベンダから提供される前に、セキュリティホールを利用する攻撃

ゼロデイ攻撃

インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行うこと

サイバー攻撃

特定の官公庁や企業など、標的を決めて行われる攻撃

標的型攻撃

標的型攻撃の種類穴埋め(上から順に)

APT攻撃, 水飲み場型攻撃

パスワードを割り出し、解析すること

パスワードクラック

パスワードクラック攻撃の種類穴埋め(上から順に)

辞書攻撃, ブルートフォース攻撃, パスワードリスト攻撃

特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃

Dos攻撃

複数のコンピュータから一斉に攻撃するDos攻撃の名称

DDos攻撃

Dos攻撃、DDosの攻撃の対策として不正な通信を検知して管理者に通報する(x)と、検知だけでなく遮断まで行う(y)が導入されている

x:IDS y:IPS

脆弱なWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、利用者のブラウザで実行させる攻撃

クロスサイトスクリプティング

クロスサイトスクリプティングの対策の1つで有害な入力を無害化する機能(x) (x)の1つとして(y)がある(順に回答)

サニタイジング, エスケープ処理

SQLインジェクション

Webアプリケーション専用のファイアウォール

WAF

攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃

なりすまし

なりすましによる攻撃(上から順に)

セッションハイジャック, DNSキャッシュボイズニング, SEOボイズニング, IPスプーフィング

攻撃者が、パス名を使ってファイルに指定し、管理者の意図していないファイルを不正に閲覧する攻撃

デイレクトリトラバーサル

その他の攻撃(上から順に)

ドライブバイダウンロード, フィッシング, バッファオーバフロー攻撃

解放されている攻撃できそうなサービスがあるかを調査する行為

ポートスキャン

USBメモリのデータを複製したり、ネットワークやサーバの監視をして、コンピュータ犯罪の証拠となる電子データを集め、解析すること

ディジタルフォレンジクス