情報セキュリティマネジメント試験
A 社は,飲食店へのコンサルティングを行う従業員 50 名の企業である。A 社の全ての PC では,マルウェア対策ソフト(以下,X ソフトという)が有効にされている。ある日,総務部の情報セキュリティリーダーである C 課長は,部下の D さんから,次の連絡を…
A 社は医療品の販売を行う従業員 100 名の企業である。営業部では,オンプレミスのデータベースに顧客情報を格納している。 営業部では,図 1 に示すバックアップポリシーを順守している。 データベースは毎週日曜日にフルバックアップを,それ以外の日は毎…
A 社は,従業員 100 名の食品製造・販売会社である。A 社では,営業部が取り扱う顧客情報を X 社の SaaS である X 顧客管理サービス(以下,X サービスという)を利用して管理している。また,A 社は,X サービスの不正アクセス対策として,X サービスへのロ…
特性要因図を説明したものはどれか。 原因と結果の関連を魚の骨のような形態に整理して体系的にまとめ,結果に対してどのような原因が関連しているかを明確にする。 時系列的に発生するデータのばらつきを折れ線グラフで表し,管理限界線を利用して客観的に…
全社的な推進体制で RPA を導入するときの留意点として,適切なものはどれか。 各業務部門が連携して,RPA の対象業務に対して業務プロセス全体の可視化と業務プロセスの見直しを行った上で,RPA の導入を行う。 業務フローが固定的で画面の変更が少ない業務…
社内ネットワークからインターネットへのアクセスを中継し,Web コンテンツをキャッシュすることによってアクセスを高速にする仕組みで,セキュリティ確保にも利用されるものはどれか。 DMZ IP マスカレード(NAPT) ファイアウォール プロキシサーバ 解答・…
システムの信頼性指標として RASIS がある。そのうちの A は可用性を表し,システムのサービス時間など,ある一定期間でのシステムの機能を維持する度合いを表している。この A を向上させるものはどれか。 MTBF と MTTR をともに 2 倍にする。 MTBF は変え…
内部統制の基本的要素の一つである“統制活動”に該当するものはどれか。 経営目的を達成するための経営方針及び経営戦略 個人情報保護に関する脅威と脆弱性の分析 受注から出荷に至る業務プロセスに組み込まれた処理結果の検証 定期的に計画して実施する内部…
個人情報保護法が保護の対象としている個人情報に関する記述のうち,適切なものはどれか。 企業が管理している顧客に関する情報に限られる。 個人が秘密にしているプライバシーに関する情報に限られる。 生存する個人に関する情報に限られる。 日本国籍を有…
A 社の Web サーバは,サーバ証明書を使って TLS 通信を行っている。PC から A 社の Web サーバへの TLS を用いたアクセスにおいて,当該 PC がサーバ証明書を入手した後に,認証局の公開鍵を利用して行う動作はどれか。 暗号化通信に利用する共通鍵を,認証…
リスクベース認証の説明として,適切なものはどれか。 機器の画面に表示された点を正しい順序に一筆書きでなぞった場合,認証が成功し,機器のロックが解除される。 通常とは異なる IP アドレス,Web ブラウザなどから認証要求があった場合に,追加の認証を…
サイバーキルチェーンに関する説明として,適切なものはどれか。 委託先の情報セキュリティリスクが委託元にも影響するという考え方を基にしたリスク分析のこと 攻撃者がクライアントとサーバとの間の通信を中継し,あたかもクライアントとサーバが直接通信…
マルウェアの検出方法のうち,検査対象のプログラムを実行する必要があるものはどれか。 コンペア法 チェックサム法 パターンマッチング法 ビヘイビア法 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 ー コンペア法ー チェ…
情報の取扱基準の中で,社外秘情報の持出しを禁じ,周知した上で,従業員に情報を不正に持ち出された場合に,“社外秘情報とは知らなかった”という言い訳をさせないことが目的の一つになっている対策はどれか。 権限がない従業員が文書にアクセスできないよう…
JIS Q 31000:2019(リスクマネジメント-指針)におけるリスクアセスメントを構成するプロセスの組合せはどれか。 リスク特定,リスク評価,リスク受容 リスク特定,リスク分析,リスク評価 リスク分析,リスク対応,リスク受容 リスク分析,リスク評価,リ…
消費者向けの化粧品販売を行う A 社では,電子メール(以下,メールという)の送受信にクラウドサービスプロバイダ B 社が提供するメールサービス(以下,B サービスという)を利用している。A 社が利用する B サービスのアカウントは,A 社の情報システム部…
A 社は旅行商品を販売しており,業務の中で顧客情報を取り扱っている。A 社が保有する顧客情報は,A 社のファイルサーバ 1 台に保存されている。ファイルサーバは,顧客情報を含むフォルダにある全てのデータを磁気テープに毎週土曜日にバックアップするよう…
A 社は,分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A 社では,図 1 の“情報セキュリティリスクアセスメント手順”に従い,年一度,情報セキュリティリスクアセスメントを行っている。 ・情報資産の機密性…
品質管理において,結果と原因との関連を整理して,魚の骨のような図にまとめたものはどれか。 管理図 特性要因図 パレート図 ヒストグラム 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 管理図管理図は、品質の状態・ばら…
BPM の説明はどれか。 企業活動の主となる生産,物流,販売,財務,人事などの業務の情報を一元管理することによって,経営資源の全体最適を実現する。 業務プロセスに分析,設計,実行,改善のマネジメントサイクルを取り入れ,業務プロセスの改善見直しや…
HTTP の cookie に関する記述のうち,適切なものはどれか。 cookie に含まれる情報は HTTP ヘッダの一部として送信される。 cookie に含まれる情報は Web サーバだけに保存される。 cookie に含まれる情報は Web ブラウザが全て暗号化して送信する。 クライ…
情報システムのインシデント管理に対する監査で判明した状況のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。 インシデント対応手順が作成され,関係者への周知が図られている。 インシデントによってデータベースが被害を受けた場合…
電子署名法に関する記述のうち,適切なものはどれか。 電子署名には,電磁的記録ではなく,かつ,コンピュータで処理できないものも含まれる。 電子署名には,民事訴訟法における押印と同様の効力が認められる。 電子署名の認証業務を行うことができるのは,…
Web アプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち,適切なものはどれか。 OS コマンドインジェクションを防ぐために,Web アプリケーションが発行するセッション ID に推測困難な乱数を使用する。 SQL インジェクションを防ぐ…
迷惑メール対策の SPF(Sender Policy Framework)の仕組みはどれか。 送信側ドメインの管理者が,正規の送信側メールサーバの IP アドレスを DNS に登録し,受信側メールサーバでそれを参照して,IP アドレスの判定を行う。 送信側メールサーバでメッセージ…
セキュアハッシュ関数 SHA-256 を用いてファイル A 及びファイル B のハッシュ値を算出すると,どちらも全く同じ次に示すハッシュ値 n(16 進数で示すと 64 桁)となった。この結果から考えられることとして,適切なものはどれか。 ハッシュ値 n:86620f2f 1…
暗号方式に関する記述のうち,適切なものはどれか。 公開鍵暗号方式,共通鍵暗号方式ともに,大きな合成数の素因数分解が困難であることが安全性の根拠である。 公開鍵暗号方式では原則としてセッションごとに異なる鍵を利用するが,共通鍵暗号方式では一度…
デジタルフォレンジックスの説明はどれか。 サイバー攻撃に関連する脅威情報を標準化された方法で記述し,その脅威情報をセキュリティ対策機器に提供すること 受信メールに添付された実行ファイルを動作させたときに,不正な振る舞いがないかどうかをメール…
入室時と退室時に ID カードを用いて認証を行い,入退室を管理する。このとき,入室時の認証に用いられなかった ID カードでの退室を許可しない,又は退室時の認証に用いられなかった ID カードでの再入室を許可しないコントロールを行う仕組みはどれか。 TP…
情報セキュリティ管理基準(平成 28 年)に関する記述のうち,適切なものはどれか。 “ガバナンス基準”,“管理策基準”及び“マネジメント基準”の三つの基準で構成されている。 JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)及び JIS Q …