平成30年秋期 情報セキュリティマネジメント試験 | 解答一覧


No. 問題集 詳細No. 内容 操作
1 平成30年秋期 情報セキュリティマネジメント試験 組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。 詳細

1. CSIRTマテリアル

2. ISMSユーザーズガイド

3. 証拠保全ガイドライン

4. 組織における内部不正防止ガイドライン

CSIRTマテリアル

2 平成30年秋期 情報セキュリティマネジメント試験 JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における,トップマネジメントに関する記述として,適切なものはどれか。 詳細

1. ISMS適用範囲から独立した立場であることが求められる。

2. 企業の場合,ISMS適用範囲にかかわらず代表取締役でなければならない。

3. 情報システム部門の長でなければならない。

4. 組織を指揮し,管理する人々の集まりとして複数名で構成されていてもよい。

組織を指揮し,管理する人々の集まりとして複数名で構成されていてもよい。

3 平成30年秋期 情報セキュリティマネジメント試験 JlS Q 27017:2016(JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範)が提供する"管理策及び実施の手引"の適用に関する記述のうち,適切なものはどれか。 詳細

1. 外部のクラウドサービスを利用し,かつ,別のクラウドサービスを他社に提供する事業者だけに適用できる。

2. 外部のクラウドサービスを利用する事業者と,クラウドサービスを他社に提供する事業者とのどちらにも適用できる。

3. 外部のクラウドサービスを利用するだけであり,自らはクラウドサービスを他社に提供しない事業者には適用できない。

4. 支圧接合とは、ボルト軸部のせん断力と部材の支圧によって応力を伝える接合方法である。

外部のクラウドサービスを利用する事業者と,クラウドサービスを他社に提供する事業者とのどちらにも適用できる。

4 平成30年秋期 情報セキュリティマネジメント試験 安全・安心なIT社会を実現するために創設された制度であり,IPA"中小企業の情報セキュリティ対策ガイドライン"に沿った情報セキュリティ対策に取り組むことを中小企業が自己宣言するものはどれか。 詳細

1. ISMS適合性評価制度

2. ITセキュリティ評価及び認証制度

3. MyJVN

4. SECURITY ACTION

SECURITY ACTION

5 平成30年秋期 情報セキュリティマネジメント試験 SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち,適切なものはどれか。 詳細

1. システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。

2. システムのアクセス管理を行わずに済み,パスワードの初期化の手続や複雑性の要件を満たすパスワードポリシの検討が不要である。

3. システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である。

4. システムの情報セキュリティ管理を行わずに済み,情報セキュリティ管理規定の策定や管理担当者の設置が不要である。

システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である。


スポンサー

6 平成30年秋期 情報セキュリティマネジメント試験 JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)では,組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち,適切なものはどれか。 詳細

1. 承認された情報セキュリティリスク対応計画を基に,適用宣言書を作成する。

2. 情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に,適用宣言書を作成する。

3. 適用宣言書を作成後,その内容を基に情報セキュリティリスク対応の選択肢を選定する。

4. 適用宣言書を作成後,その内容を基に情報セキュリティリスクを特定する。

情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014附属書Aと比較した結果を基に,適用宣言書を作成する。

7 平成30年秋期 情報セキュリティマネジメント試験 JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク分析の定義はどれか。 詳細

1. 適切な管理策を採用し,リスクを修正するプロセス

2. リスクが受容可能か又は許容可能かを決定するために,リスク及びその大きさをリスク基準と比較するプロセス

3. リスクの特質を理解し,リスクレベルを決定するプロセス

4. リスクを発見,認識及び記述するプロセス

リスクの特質を理解し,リスクレベルを決定するプロセス

8 平成30年秋期 情報セキュリティマネジメント試験 JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち,適切なものはどれか。 詳細

1. 情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

2. 情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複せず,それぞれが独立している。

3. 情報セキュリティガバナンスの範囲はITガバナンスの範囲に包含されている。

4. 情報セキュリティガバナンスの範囲はITガバナンスの範囲を包含している。

情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。

9 平成30年秋期 情報セキュリティマネジメント試験 IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する記述のうち,適切なものはどれか。 詳細

1. 基本方針と対策基準は適用範囲を経営者とし,実施手順は適用範囲を経営者を除く従業員として策定してもよい。

2. 組織の規模が小さい場合は,対策基準と実施手順を併せて1階層とし,基本方針を含めて2階層の文書構造として策定してもよい。

3. 組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は,その違いに応じて,複数の基本方針,対策基準及び実施手順を策定する。

4. 初めに具体的な実施手順を策定し,次に実施手順の共通原則を対策基準としてまとめて,最後に,対策基準の運用に必要となる基本方針を策定する。

組織の規模が小さい場合は,対策基準と実施手順を併せて1階層とし,基本方針を含めて2階層の文書構造として策定してもよい。

10 平成30年秋期 情報セキュリティマネジメント試験 情報セキュリティ管理を推進する取組みa~dのうち,IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"において,経営者がリーダシップを発揮し自ら行うべき取組みとして示されているものだけを全て挙げた組合せはどれか。



〔情報セキュリティ管理を推進する取組み〕

情報セキュリティ監査の目的を有効かつ効率的に達成するために,監査計画を立案する。

情報セキュリティ対策の有効性を維持するために,対策を定期又は随時に見直す。

情報セキュリティ対策を組織的に実施する意思を明確に示すために,方針を定める。

情報セキュリティの新たな脅威に備えるために,最新動向を収集する。


詳細

1. a,b,c

2. a,b,d

3. a,c,d

4. b,c,d

b,c,d


スポンサー

11 平成30年秋期 情報セキュリティマネジメント試験 情報の取扱基準の中で,社外秘情報の持出しを禁じ,周知した上で,従業員に情報を不正に持ち出された場合に,"社外秘情報とは知らなかった"という言い訳をさせないことが目的の一つになっている対策はどれか。 詳細

1. 権限がない従業員が文書にアクセスできないようにするペーパレス化

2. 従業員との信頼関係の維持を目的にした職場環境の整備

3. 従業員に対する電子メールの外部送信データ量の制限

4. 情報の管理レベルについてのラベル付け

情報の管理レベルについてのラベル付け

12 平成30年秋期 情報セキュリティマネジメント試験 軽微な不正や犯罪を放置することによって,より大きな不正や犯罪が誘発されるという理論はどれか。 詳細

1. 環境設計による犯罪予防理論

2. 日常活動理論

3. 不正のトライアングル理論

4. 割れ窓理論

割れ窓理論

13 平成30年秋期 情報セキュリティマネジメント試験 ゼロデイ攻撃の特徴はどれか。 詳細

1. 脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃する。

2. 特定のWebサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。

3. 特定のターゲットに対し,フィッシングメールを送信して不正サイトに誘導する。

4. 不正中継が可能なメールサーバを見つけて,それを踏み台にチェーンメールを大量に送信する。

脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃する。

14 平成30年秋期 情報セキュリティマネジメント試験 ボットネットにおけるC&Cサーバの役割として,適切なものはどれか。 詳細

1. Webサイトのコンテンツをキャッシュし,本来のサーバに代わってコンテンツを利用者に配信することによって,ネットワークやサーバの負荷を軽減する。

2. 外部からインターネットを経由して社内ネットワークにアクセスする際に,CHAPなどのプロトコルを用いることによって,利用者認証時のパスワードの盗聴を防止する。

3. 外部からインターネットを経由して社内ネットワークにアクセスする際に,チャレンジレスポンス方式を採用したワンタイムパスワードを用いることによって,利用者認証時のパスワードの盗聴を防止する。

4. 侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。

侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。

15 平成30年秋期 情報セキュリティマネジメント試験 マルウェア Wanna Cryptor(WannaCry) に関する記述として,適切なものはどれか。 詳細

1. SMBv1の脆弱性を悪用するなどして感染し,PC内のデータを暗号化してデータの復号のための金銭を要求したり,他のPCに感染を拡大したりする。

2. ファイル共有など複数の感染経路を使って大量のPCに感染を拡大し,さらにPC内の電子メールアドレスを収集しながらインターネット経由で感染を拡大する。

3. ランダムにIPアドレスを選んでデータベースの脆弱性を悪用した攻撃を行うことによって多数のPCに感染を拡大し,ネットワークトラフィックを増大させる。

4. 利用者が電子メールに添付されたVBScriptファイルを実行すると感染し,PC内のパスワードを攻撃者のWebサイトへ送信したり,マルウェア付きの電子メールを他者へばらまいたりする。

SMBv1の脆弱性を悪用するなどして感染し,PC内のデータを暗号化してデータの復号のための金銭を要求したり,他のPCに感染を拡大したりする。


スポンサー

16 平成30年秋期 情報セキュリティマネジメント試験 業務への利用には,会社の情報システム部門の許可が本来は必要であるのに,その許可を得ずに勝手に利用されるデバイスやクラウドサービス,ソフトウェアを指す用語はどれか。 詳細

1. シャドーIT

2. ソーシャルエンジニアリング

3. ダークネット

4. バックドア

シャドーIT

17 平成30年秋期 情報セキュリティマネジメント試験 セキュアブートの説明はどれか。 詳細

1. BIOSにパスワードを設定し,PC起動時にBIOSのパスワード入力を要求することによって,OSの不正な起動を防ぐ技術

2. HDDにパスワードを設定し,PC起動時にHDDのパスワード入力を要求することによって,OSの不正な起動を防ぐ技術

3. PCの起動時にOSやドライバのディジタル署名を検証し,許可されていないものを実行しないようにすることによって,OS起動前のマルウェアの実行を防ぐ技術

4. マルウェア対策ソフトをスタートアッププログラムに登録し,OS起動時に自動的にマルウェアスキャンを行うことによって,マルウェアの被害を防ぐ技術

PCの起動時にOSやドライバのディジタル署名を検証し,許可されていないものを実行しないようにすることによって,OS起動前のマルウェアの実行を防ぐ技術

18 平成30年秋期 情報セキュリティマネジメント試験 インターネットと社内サーバの間にファイアウォールが設置されている環境で,時刻同期の通信プロトコルを用いて社内サーバの時刻をインターネット上の時刻サーバの正確な時刻に同期させる。このとき,ファイアウォールで許可すべき時刻サーバとの間の通信プロトコルはどれか。 詳細

1. FTP(TCP,ポート番号21)

2. NTP(UDP,ポート番号123)

3. SMTP(TCP,ポート番号25)

4. SNMP(TCP及びUDP,ポート番号161及び162)

NTP(UDP,ポート番号123)

19 平成30年秋期 情報セキュリティマネジメント試験 利用者PCがボットに感染しているかどうかをhostsファイルの改ざんの有無で確認するとき,hostsファイルが改ざんされていないと判断できる設定内容はどれか。ここで,hostsファイルの設定内容は1行だけであり,利用者及びシステム管理者は,これまでにhostsファイルを変更していないものとする。

詳細

1.

2.

3.

4.

20 平成30年秋期 情報セキュリティマネジメント試験 公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組合せの組みのうち,適切なものはどれか。



詳細

1.

2.

3.

4.


スポンサー

21 平成30年秋期 情報セキュリティマネジメント試験 APTの説明はどれか。 詳細

1. 攻撃者がDoS攻撃及びDDoS攻撃を繰り返し,長期間にわたり特定組織の業務を妨害すること

2. 攻撃者が興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返すこと

3. 攻撃者が特定の目的をもち,標的となる組織の防御策に応じて複数の攻撃手法を組み合わせ,気付かれないよう執拗(よう)に攻撃を繰り返すこと

4. 攻撃者が不特定多数への感染を目的として,複数の攻撃手法を組み合わせたマルウェアを継続的にばらまくこと

攻撃者が特定の目的をもち,標的となる組織の防御策に応じて複数の攻撃手法を組み合わせ,気付かれないよう執拗(よう)に攻撃を繰り返すこと

22 平成30年秋期 情報セキュリティマネジメント試験 A社のWebサーバは,サーバ証明書を使ってTLS通信を行っている。PCからA社のWebサーバへのTLSを用いたアクセスにおいて,当該PCがサーバ証明書を入手した後に,認証局の公開鍵を利用して行う動作はどれか。 詳細

1. 暗号化通信に利用する共通鍵を生成し,認証局の公開鍵を使って復号する。

2. 暗号化通信に利用する共通鍵を生成し,認証局の公開鍵を使って暗号化する。

3. サーバ証明書の正当性を,認証局の公開鍵を使って検証する。

4. 利用者が入力して送付する秘匿データを,認証局の公開鍵を使って暗号化する。

サーバ証明書の正当性を,認証局の公開鍵を使って検証する。

23 平成30年秋期 情報セキュリティマネジメント試験 従量課金制のクラウドサービスにおけるEDoS(Economic Denial of Service,又はEconomic Denial of Sustainability)攻撃の説明はどれか。 詳細

1. カード情報の取得を目的に,金融機関が利用しているクラウドサービスに侵入する攻撃

2. 課金回避を目的に,同じハードウェア上に構築された別の仮想マシンに侵入し,課金機能を利用不可にする攻撃

3. クラウドサービス利用者の経済的な損失を目的に,リソースを大量消費させる攻撃

4. パスワード解析を目的に,クラウド環境のリソースを悪用する攻撃

クラウドサービス利用者の経済的な損失を目的に,リソースを大量消費させる攻撃

24 平成30年秋期 情報セキュリティマネジメント試験 伝達したいメッセージを画像データなどのコンテンツに埋め込み,埋め込んだメッセージの存在を秘匿する技術はどれか。 詳細

1. CAPTCHA

2. クリックジャッキング

3. ステガノグラフィ

4. ストレッチング

ステガノグラフィ

25 平成30年秋期 情報セキュリティマネジメント試験 アプリケーションソフトウェアにディジタル署名を施す目的はどれか。 詳細

1. アプリケーションソフトウェアの改ざんを利用者が検知できるようにする。

2. アプリケーションソフトウェアの使用を特定の利用者に制限する。

3. アプリケーションソフトウェアの著作権が作成者にあることを証明する。

4. アプリケーションソフトウェアの利用者による修正や改変を不可能にする。

アプリケーションソフトウェアの改ざんを利用者が検知できるようにする。


スポンサー


学習時間記録ツール

Google Play で手に入れよう

スポンサー