1 |
平成31年春期 情報セキュリティマネジメント試験 |
|
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして,適切なものはどれか。
|
詳細
|
1.
2.
3.
4.
|
|
2 |
平成31年春期 情報セキュリティマネジメント試験 |
|
JPCERT/CC "CSIRTガイド(2015年11月26日)" では,CSIRTを活動とサービス対象によって六つに分類しており,その一つにコーディネーションセンターがある。コーディネーションセンターの活動とサービス対象の組合せとして,適切なものはどれか。
|
詳細
|
1.
2.
3.
4.
|
|
3 |
平成31年春期 情報セキュリティマネジメント試験 |
|
CRYPTRECの役割として,適切なものはどれか。
|
詳細
|
1. 外国為替及び外国貿易法で規制されている暗号装置の輸出許可申請を審査,承認する。
2. 政府調達においてIT関連製品のセキュリティ機能の適切性を評価,認証する。
3. 電子政府での利用を推奨する暗号技術の安全性を評価,監視する。
4. 民間企業のサーバに対するセキュリティ攻撃を監視,検知する。
|
電子政府での利用を推奨する暗号技術の安全性を評価,監視する。
|
4 |
平成31年春期 情報セキュリティマネジメント試験 |
|
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)の"サポートユーティリティ"に関する例示に基づいて,サポートユーティリティと判断されるものはどれか。
|
詳細
|
1. サーバ室の空調
2. サーバの保守契約
3. 特権管理プログラム
4. ネットワーク管理者
|
サーバ室の空調
|
5 |
平成31年春期 情報セキュリティマネジメント試験 |
|
リスク対応のうち,リスクファイナンシングに該当するものはどれか。
|
詳細
|
1. システムが被害を受けるリスクを想定して,保険を掛ける。
2. システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。
3. リスクが大きいと評価されたシステムを廃止し,新たなセキュアなシステムの構築に資金を投入する。
4. リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。
|
システムが被害を受けるリスクを想定して,保険を掛ける。
|
スポンサー
|
6 |
平成31年春期 情報セキュリティマネジメント試験 |
|
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における"リスクレベル"の定義はどれか。
|
詳細
|
1. 脅威によって付け込まれる可能性のある,資産又は管理策の弱点
2. 結果とその起こりやすさの組合せとして表現される,リスクの大きさ
3. 対応すべきリスクに付与する優先順位
4. リスクの重大性を評価するために目安とする条件
|
結果とその起こりやすさの組合せとして表現される,リスクの大きさ
|
7 |
平成31年春期 情報セキュリティマネジメント試験 |
|
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。
|
詳細
|
1. 監査員
2. トップマネジメント
3. 利害関係者
4. リスク所有者
|
リスク所有者
|
8 |
平成31年春期 情報セキュリティマネジメント試験 |
|
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,情報セキュリティ目的をどのように達成するかについて計画するとき,"実施事項","責任者","達成期限"のほかに,決定しなければならない事項として定められているものはどれか。
|
詳細
|
1. 必要な資源"及び"結果の評価方法
2. 必要な資源"及び"適用する管理策
3. 必要なプロセス"及び"結果の評価方法
4. 必要なプロセス"及び"適用する管理策
|
必要な資源"及び"結果の評価方法
|
9 |
平成31年春期 情報セキュリティマネジメント試験 |
|
組織での情報資産管理台帳の記入方法のうち,IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に照らして,適切なものはどれか。
|
詳細
|
1. 様々な情報が混在し,重要度を一律に評価できないドキュメントファイルは,企業の存続を左右しかねない情報や個人情報を含む場合だけ台帳に記入する。
2. 時間経過に伴い重要度が変化する情報資産は,重要度が確定してから,又は組織で定めた未記入措置期間が経過してから,台帳に記入する。
3. 情報資産を紙媒体と電子データの両方で保存している場合は,いずれか片方だけを台帳に記入する。
4. 利用しているクラウドサービスに保存している情報資産を含めて,台帳に記入する。
|
利用しているクラウドサービスに保存している情報資産を含めて,台帳に記入する。
|
10 |
平成31年春期 情報セキュリティマネジメント試験 |
|
DNSキャッシュポイズニングに該当するものはどれか。
|
詳細
|
1. HTMLメールの本文にリンクを設定し,表示文字列は,有名企業のDNSサーバに登録されているドメイン名を含むものにして,実際のリンク先は攻撃者のWebサイトに設定した上で,攻撃対象に送リ,リンク先を開かせる。
2. PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって,偽のドメイン情報を注入する。
3. Unicodeを使って偽装したドメイン名をDNSサーバに登録しておき,さらに,そのドメインを含む情報をインターネット検索結果の上位に表示させる。
4. WHOISデータベースサービスを提供するサーバをDoS攻撃して,WHOISデータベースにあるドメインのDNS情報を参照できないようにする。
|
PCが問合せを行うDNSキャッシュサーバに偽のDNS応答を送ることによって,偽のドメイン情報を注入する。
|
スポンサー
|
11 |
平成31年春期 情報セキュリティマネジメント試験 |
|
SPF(Sender Policy Framework)を利用する目的はどれか。
|
詳細
|
1. HTTP通信の経路上での中間者攻撃を検知する。
2. LANへのPCの不正接続を検知する。
3. 内部ネットワークへの不正侵入を検知する。
4. メール送信者のなりすましを検知する。
|
メール送信者のなりすましを検知する。
|
12 |
平成31年春期 情報セキュリティマネジメント試験 |
|
ファイルの属性情報として,ファイルに対する読取り,書込み,実行の権限を独立に設定できるOSがある。この3種類の権限は,それぞれに1ビットを使って許可,不許可を設定する。この3ビットを8進数表現0~7の数字で設定するとき,次の試行結果から考えて,適切なものはどれか。
〔試行結果〕
① 0を設定したら,読取り,書込み,実行ができなくなってしまった。
② 3を設定したら,読取りと書込みはできたが,実行ができなかった。
③ 7を設定したら,読取り,書込み,実行ができるようになった。
|
詳細
|
1. 2を設定すると,読取りと実行ができる。
2. 4を設定すると,実行だけができる。
3. 5を設定すると,書込みだけができる。
4. 6を設定すると,読取りと書込みができる。
|
4を設定すると,実行だけができる。
|
13 |
平成31年春期 情報セキュリティマネジメント試験 |
|
入室時と退室時にIDカードを用いて認証を行い,入退室を管理する。このとき,入室時の認証に用いられなかったIDカードでの退室を許可しない,又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みはどれか。
|
詳細
|
1. TPMOR(Two Person Minimum Occupancy Rule)
2. アンチパスバック
3. インターロックゲート
4. パニックオープン
|
アンチパスバック
|
14 |
平成31年春期 情報セキュリティマネジメント試験 |
|
PCI DSSv3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか。ここで,用語の定義は次のとおりとする。
〔用語の定義〕
加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
|
詳細
|
1.
2.
3.
4.
|
|
15 |
平成31年春期 情報セキュリティマネジメント試験 |
|
IPSの説明はどれか。
|
詳細
|
1. Webサーバなどの負荷を軽減するために,暗号化や復号の処理を高速に行う専用ハードウェア
2. サーバやネットワークへの侵入を防ぐために,不正な通信を検知して遮断する装置
3. システムの脆弱性を見つけるために,疑似的に攻撃を行い侵入を試みるツール
4. 認可されていない者による入室を防ぐために,指紋,虹彩などの生体情報を用いて本人認証を行うシステム
|
サーバやネットワークへの侵入を防ぐために,不正な通信を検知して遮断する装置
|
スポンサー
|
16 |
平成31年春期 情報セキュリティマネジメント試験 |
|
特定のサービスやシステムから流出した認証情報を攻撃者が用いて,認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻撃はどれか。
|
詳細
|
1. パスワードリスト攻撃
2. ブルートフォース攻撃
3. リバースブルートフォース攻撃
4. レインボー攻撃
|
パスワードリスト攻撃
|
17 |
平成31年春期 情報セキュリティマネジメント試験 |
|
社内PCからインターネットに通信するとき,パケット中にある社内PCのプライベートIPアドレスとポート番号の組合せを,ファイアウォールのインターネット側のIPアドレスとポート番号の組合せに変換することによって,インターネットからは分からないように社内PCのプライベートIPアドレスを隠蔽することが可能なものはどれか。
|
詳細
|
1. BGP
2. IPマスカレード
3. OSPF
4. フラグメンテーション
|
IPマスカレード
|
18 |
平成31年春期 情報セキュリティマネジメント試験 |
|
ペネトレーションテストに該当するものはどれか。
|
詳細
|
1. 検査対象の実行プログラムの設計書,ソースコードに着目し,開発プロセスの各工程にセキュリティ上の問題がないかどうかをツールや目視で確認する。
2. 公開Webサーバの各コンテンツファイルのハッシュ値を管理し,定期的に各ファイルから生成したハッシュ値と一致するかどうかを確認する。
3. 公開Webサーバや組織のネットワークの脆弱性を探索し,サーバに実際に侵入できるかどうかを確認する。
4. 内部ネットワークのサーバやネットワーク機器のIPFIX情報から,各PCの通信に異常な振る舞いがないかどうかを確認する。
|
公開Webサーバや組織のネットワークの脆弱性を探索し,サーバに実際に侵入できるかどうかを確認する。
|
19 |
平成31年春期 情報セキュリティマネジメント試験 |
|
PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に,宛先ポートとして使用されるTCPポート番号80に関する記述のうち,適切なものはどれか。
|
詳細
|
1. DNSのゾーン転送に使用されることから,通信がファイアウォールで許可されている可能性が高い。
2. WebサイトのHTTPS通信での閲覧に使用されることから,マルウェアと指令サーバとの間の通信が侵入検知システムで検知される可能性が低い。
3. Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い。
4. ドメイン名の名前解決に使用されることから,マルウェアと指令サーバとの間の通信が侵入検知システムで検知される可能性が低い。
|
Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い。
|
20 |
平成31年春期 情報セキュリティマネジメント試験 |
|
無線LANを利用できる者を限定したいとき,アクセスポイントへの第三者による無断接続の防止に最も効果があるものはどれか。
|
詳細
|
1. MACアドレスフィルタリングを設定する。
2. SSIDには英数字を含む8字以上の文字列を設定する。
3. セキュリティ方式にWEPを使用し,十分に長い事前共有鍵を設定する。
4. セキュリティ方式にWPA2-PSKを使用し,十分に長い事前共有鍵を設定する。
|
セキュリティ方式にWPA2-PSKを使用し,十分に長い事前共有鍵を設定する。
|
スポンサー
|
21 |
平成31年春期 情報セキュリティマネジメント試験 |
|
Webサイトで利用されるCAPTCHAに該当するものはどれか。
|
詳細
|
1. 人からのアクセスであることを確認できるよう,アクセスした者に応答を求め,その応答を分析する仕組み
2. 不正なSQL文をデータベースに送信しないよう,Webサーバに入力された文字列をプレースホルダに割り当ててSQL文を組み立てる仕組み
3. 利用者が本人であることを確認できるよう,Webサイトから一定時間ごとに異なるパスワードを要求する仕組み
4. 利用者が本人であることを確認できるよう,乱数をWebサイト側で生成して利用者に送り,利用者側でその乱数を鍵としてパスワードを暗号化し,Webサイトに送リ返す仕組み
|
人からのアクセスであることを確認できるよう,アクセスした者に応答を求め,その応答を分析する仕組み
|
22 |
平成31年春期 情報セキュリティマネジメント試験 |
|
利用者PCの内蔵ストレージが暗号化されていないとき,攻撃者が利用者PCから内蔵ストレージを抜き取り,攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。
|
詳細
|
1. 内蔵ストレージにインストールしたOSの利用者アカウントに対して,ログインパスワードを設定する。
2. 内蔵ストレージに保存したファイルの読取り権限を,ファイルの所有者だけに付与する。
3. 利用者PC上でHDDパスワードを設定する。
4. 利用者PCにBIOSパスワードを設定する。
|
利用者PC上でHDDパスワードを設定する。
|
23 |
平成31年春期 情報セキュリティマネジメント試験 |
|
A氏からB氏に電子メールを送る際のS/MIMEの利用に関する記述のうち,適切なものはどれか。
|
詳細
|
1. A氏はB氏の公開鍵を用いることなく,B氏だけが閲覧可能な暗号化電子メールを送ることができる。
2. B氏は受信した電子メールに記載されている内容が事実であることを,公的機関に問い合わせることによって確認できる。
3. B氏は受信した電子メールに記載されている内容はA氏が署名したものであり,第三者による改ざんはないことを確認できる。
4. 万一,マルウェアに感染したファイルを添付して送信した場合にB氏が添付ファイルを開いても,B氏のPCがマルウェアに感染することを防ぐことができる。
|
B氏は受信した電子メールに記載されている内容はA氏が署名したものであり,第三者による改ざんはないことを確認できる。
|
24 |
平成31年春期 情報セキュリティマネジメント試験 |
|
XML署名を利用することによってできることはどれか。
|
詳細
|
1. TLSにおいて,HTTP通信の暗号化及び署名の付与に利用することによって,通信経路上でのXMLファイルの盗聴を防止する。
2. XMLとJavaScriptがもつ非同期のHTTP通信機能を使い,Webページの内容を動的に書き換えた上で署名を付与することによって,対話型のWebページを作成する。
3. XML文書全体に対する単一の署名だけではなく,文書の一部に対して署名を付与する部分署名や多重署名などの複雑な要件に対応する。
4. 隠したい署名データを画像データの中に埋め込むことによって,署名の存在自体を外から判別できなくする。
|
XML文書全体に対する単一の署名だけではなく,文書の一部に対して署名を付与する部分署名や多重署名などの複雑な要件に対応する。
|
25 |
平成31年春期 情報セキュリティマネジメント試験 |
|
データベースのアカウントの種類とそれに付与する権限の組合せのうち,情報セキュリティ上,適切なものはどれか。
|
詳細
|
1.
2.
3.
4.
|
|
スポンサー
|