1 / 2 ページ
| No. | 問題集 | 詳細No. | 内容 | 操作 |
|---|---|---|---|---|
| 1 | 平成30年春期 情報セキュリティマネジメント試験 | サイバーレスキュー隊(J-CRAT)に関する記述として,適切なものはどれか。 | 詳細 | |
|
1. サイバーセキュリティ基本法に基づき内閣官房に設置されている。 2. 自社や顧客に関係した情報セキュリティインシデントに対応する企業内活動を担う。 3. 情報セキュリティマネジメントシステム適合性評価制度を運営する。 4. 標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を担う。 |
標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を担う。 |
|||
| 2 | 平成30年春期 情報セキュリティマネジメント試験 | リスク対応のうち,リスクの回避に該当するものはどれか。 | 詳細 | |
|
1. リスクが顕在化する可能性を低減するために,情報システムのハードウェア構成を冗長化する。 2. リスクの顕在化に伴う被害からの復旧に掛かる費用を算定し,保険を掛ける。 3. リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。 4. リスクレベルが小さいので特別な対応をとらないという意思決定をする。 |
リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。 |
|||
| 3 | 平成30年春期 情報セキュリティマネジメント試験 | JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク評価についての説明として,適切なものはどれか。 | 詳細 | |
|
1. 対策を講じることによって,リスクを修正するプロセス 2. リスクとその大きさが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス 3. リスクの特質を理解し,リスクレベルを決定するプロセス 4. リスクの発見,認識及び記述を行うプロセス |
リスクとその大きさが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス |
|||
| 4 | 平成30年春期 情報セキュリティマネジメント試験 | 退職する従業員による不正を防ぐための対策のうち,IPA"組織における内部不正防止ガイドライン(第4版)"に照らして,適切なものはどれか。 | 詳細 | |
|
1. 在職中に知り得た重要情報を退職後に公開しないように,退職予定者に提出させる秘密保持誓約書には,秘密保持の対象を明示せず,重要情報を客観的に特定できないようにしておく。 2. 退職後,同業他社に転職して重要情報を漏らすということがないように,職業選択の自由を行使しないことを明記した上で,具体的な範囲を設定しない包括的な競業避止義務契約を入社時に締結する。 3. 退職者による重要情報の持出しなどの不正行為を調査できるように,従業員に付与した利用者IDや権限は退職後も有効にしておく。 4. 退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。 |
退職間際に重要情報の不正な持出しが行われやすいので,退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。 |
|||
| 5 | 平成30年春期 情報セキュリティマネジメント試験 | JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)における情報セキュリティ事象と情報セキュリティインシデントの関係のうち,適切なものはどれか。 | 詳細 | |
|
1. 情報セキュリティ事象と情報セキュリティインシデントは同じものである。 2. 情報セキュリティ事象は情報セキュリティインシデントと無関係である。 3. 単独又は一連の情報セキュリティ事象は,情報セキュリティインシデントに分類され得る。 4. 単独又は一連の情報セキュリティ事象は,全て情報セキュリティインシデントである。 |
単独又は一連の情報セキュリティ事象は,情報セキュリティインシデントに分類され得る。 |
|||
|
スポンサー |
||||
| 6 | 平成30年春期 情報セキュリティマネジメント試験 |
IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"を参考に,次の表に基づいて,情報資産の機密性を評価した。機密性が評価値2とされた情報資産とその判断理由として,最も適切な組みはどれか。 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 7 | 平成30年春期 情報セキュリティマネジメント試験 | JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。 | 詳細 | |
|
1. 許可を受けた営業担当者が,社外から社内の営業システムにアクセスし,業務を行う。 2. 経営者が,機密性の高い経営情報にアクセスし,経営の意思決定に生かす。 3. システム管理者が,業務システムのプログラムにアクセスし,バージョンアップを行う。 4. 来訪者が,デモンストレーション用のシステムにアクセスし,システム機能の確認を行う。 |
システム管理者が,業務システムのプログラムにアクセスし,バージョンアップを行う。 |
|||
| 8 | 平成30年春期 情報セキュリティマネジメント試験 | JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)において,"エンティティは,それが主張するとおりのものであるという特性"と定義されているものはどれか。 | 詳細 | |
|
1. 真正性 2. 信頼性 3. 責任追跡性 4. 否認防止 |
真正性 |
|||
| 9 | 平成30年春期 情報セキュリティマネジメント試験 | ネットワーク障害の発生時に,その原因を調べるために,ミラーポート及びLANアナライザを用意して,LANアナライザを使用できるようにしておくときに,留意することはどれか。 | 詳細 | |
|
1. LANアナライザがパケットを破棄してしまうので,測定中は測定対象外のコンピュータの利用を制限しておく必要がある。 2. LANアナライザはネットワークを通過するパケットを表示できるので,盗聴などに悪用されないように注意する必要がある。 3. 障害発生に備えて,ネットワーク利用者に対してLANアナライザの保管場所と使用方法を周知しておく必要がある。 4. 測定に当たって,LANケーブルを一時的に抜く必要があるので,ネットワーク利用者に対して測定日を事前に知らせておく必要がある。 |
LANアナライザはネットワークを通過するパケットを表示できるので,盗聴などに悪用されないように注意する必要がある。 |
|||
| 10 | 平成30年春期 情報セキュリティマネジメント試験 | SPF(Sender Policy Framework)の仕組みはどれか。 | 詳細 | |
|
1. 電子メールを受信するサーバが,電子メールに付与されているディジタル署名を使って,送信元ドメインの詐称がないことを確認する。 2. 電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。 3. 電子メールを送信するサーバが,送信する電子メールの送信者の上司からの承認が得られるまで,一時的に電子メールの送信を保留する。 4. 電子メールを送信するサーバが,電子メールの宛先のドメインや送信者のメールアドレスを問わず,全ての電子メールをアーカイブする。 |
電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。 |
|||
|
スポンサー |
||||
| 11 | 平成30年春期 情報セキュリティマネジメント試験 | UPSの導入によって期待できる情報セキュリティ対策としての効果はどれか。 | 詳細 | |
|
1. PCが電力線通信(PLC)からマルウェアに感染することを防ぐ。 2. サーバと端末間の通信における情報漏えいを防ぐ。 3. 電源の瞬断に起因するデータの破損を防ぐ。 4. 電子メールの内容が改ざんされることを防ぐ。 |
電源の瞬断に起因するデータの破損を防ぐ。 |
|||
| 12 | 平成30年春期 情報セキュリティマネジメント試験 | WAFの説明はどれか。 | 詳細 | |
|
1. Webサイトに対するアクセス内容を監視し,攻撃とみなされるパターンを検知したときに当該アクセスを遮断する。 2. Wi-Fiアライアンスが認定した無線LANの暗号化方式の規格であり,AES暗号に対応している。 3. 様々なシステムの動作ログを一元的に蓄積,管理し,セキュリティ上の脅威となる事象をいち早く検知,分析する。 4. ファイアウォール機能を有し,マルウェア対策機能,侵入検知機能などの複数のセキュリティ機能を連携させ,統合的に管理する。 |
Webサイトに対するアクセス内容を監視し,攻撃とみなされるパターンを検知したときに当該アクセスを遮断する。 |
|||
| 13 | 平成30年春期 情報セキュリティマネジメント試験 | サーバへの侵入を防止するのに有効な対策はどれか。 | 詳細 | |
|
1. サーバ上にあるファイルのフィンガプリントを保存する。 2. サーバ上の不要なサービスを停止する。 3. サーバのバックアップを定期的に取得する。 4. サーバを冗長化して耐故障性を高める。 |
サーバ上の不要なサービスを停止する。 |
|||
| 14 | 平成30年春期 情報セキュリティマネジメント試験 | セキュリティバイデザインの説明はどれか。 | 詳細 | |
|
1. 開発済みのシステムに対して,第三者の情報セキュリティ専門家が,脆弱性診断を行い,システムの品質及びセキュリティを高めることである。 2. 開発済みのシステムに対して,リスクアセスメントを行い,リスクアセスメント結果に基づいてシステムを改修することである。 3. システムの運用において,第三者による監査結果を基にシステムを改修することである。 4. システムの企画・設計段階からセキュリティを確保する方策のことである。 |
システムの企画・設計段階からセキュリティを確保する方策のことである。 |
|||
| 15 | 平成30年春期 情報セキュリティマネジメント試験 | A社では,インターネットを介して提供される複数のクラウドサービスを,共用PCから利用している。共用PCの利用者IDは従業員の間で共用しているが,クラウドサービスの利用者IDは従業員ごとに異なるものを使用している。クラウドサービスのパスワードの管理方法のうち,本人以外の者による不正なログインの防止の観点から,適切なものはどれか。 | 詳細 | |
|
1. 各従業員が指紋認証で保護されたスマートフォンをもち,スマートフォン上の信頼できるパスワード管理アプリケーションに各自のパスワードを記録する。 2. 各従業員が複雑で推測が難しいパスワードを一つ定め,どのクラウドサービスでも,そのパスワードを設定する。 3. パスワードを共用PCのWebブラウザに記憶させ,次回以降に自動入力されるように設定する。 4. パスワードを平文のテキストファイル形式で記録し,共用PCのOSのデスクトップに保存する。 |
各従業員が指紋認証で保護されたスマートフォンをもち,スマートフォン上の信頼できるパスワード管理アプリケーションに各自のパスワードを記録する。 |
|||
|
スポンサー |
||||
| 16 | 平成30年春期 情報セキュリティマネジメント試験 | ワームの検知方式の一つとして,検査対象のファイルからSHA-256を使ってハッシュ値を求め,既知のワーム検体ファイルのハッシュ値のデータベースと照合する方式がある。この方式によって,検知できるものはどれか。 | 詳細 | |
|
1. ワーム検体と同一のワーム 2. ワーム検体と特徴あるコード列が同じワーム 3. ワーム検体とファイルサイズが同じワーム 4. ワーム検体の亜種に当たるワーム |
ワーム検体と同一のワーム |
|||
| 17 | 平成30年春期 情報セキュリティマネジメント試験 | A社では,利用しているソフトウェア製品の脆弱性に対して,ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内のPCやサーバについて,セキュリティパッチの適用漏れを防ぎたい。そのために有効なものはどれか。 | 詳細 | |
|
1. ソフトウェア製品の脆弱性の概要や対策の情報が蓄積された脆弱性対策情報データベース(JVN iPedia) 2. ソフトウェア製品の脆弱性の特性や深刻度を評価するための基準を提供する共通脆弱性評価システム(CVSS) 3. ソフトウェア製品のソースコードを保存し,ソースコードへのアクセス権と変更履歴を管理するソースコード管理システム 4. ソフトウェア製品の名称やバージョン,それらが導入されている機器の所在,IPアドレスを管理するIT資産管理システム |
ソフトウェア製品の名称やバージョン,それらが導入されている機器の所在,IPアドレスを管理するIT資産管理システム |
|||
| 18 | 平成30年春期 情報セキュリティマネジメント試験 |
社内ネットワークとインターネットの接続点に,ステートフルインスペクション機能をもたない,静的なパケットフィルタリング型のファイアウォールを設置している。このネットワーク構成において,社内のPCからインターネット上のSMTPサーバに電子メールを送信できるようにするとき,ファイアウォールで通過を許可するTCPパケットのポート番号の組合せはどれか。ここで,SMTP通信には,デフォルトのポート番号を使うものとする。 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 19 | 平成30年春期 情報セキュリティマネジメント試験 | 内閣は,2015年9月にサイバーセキュリティ戦略を定め,その目的達成のための施策の立案及び実施に当たって,五つの基本原則に従うべきとした。その基本原則に含まれるものはどれか。 | 詳細 | |
|
1. サイバー空間が一部の主体に占有されることがあってはならず,常に参加を求める者に開かれたものでなければならない。 2. サイバー空間上の脅威は,国を挙げて対処すべき課題であり,サイバー空間における秩序維持は国家が全て代替することが適切である。 3. サイバー空間においては,安全確保のために,発信された情報を全て検閲すべきである。 4. サイバー空間においては,情報の自由な流通を尊重し,法令を含むルールや規範を適用してはならない。 |
サイバー空間が一部の主体に占有されることがあってはならず,常に参加を求める者に開かれたものでなければならない。 |
|||
| 20 | 平成30年春期 情報セキュリティマネジメント試験 | ドメイン名ハイジャックを可能にする手口はどれか。 | 詳細 | |
|
1. PCとWebサーバとの通信を途中で乗っ取り,不正にデータを窃取する。 2. Webサーバに,送信元を偽装したリクエストを大量に送信して,Webサービスを停止させる。 3. Webページにアクセスする際のURLに余分なドットやスラッシュなどを含め,アクセスが禁止されているディレクトリにアクセスする。 4. 権威DNSサーバに登録された情報を不正に書き換える。 |
権威DNSサーバに登録された情報を不正に書き換える。 |
|||
|
スポンサー |
||||
| 21 | 平成30年春期 情報セキュリティマネジメント試験 | ドライブバイダウンロード攻撃に該当するものはどれか。 | 詳細 | |
|
1. PC内のマルウェアを遠隔操作して,PCのハードディスクドライブを丸ごと暗号化する。 2. 外部ネットワークからファイアウォールの設定の誤りを突いて侵入し,内部ネットワークにあるサーバのシステムドライブにルートキットを仕掛ける。 3. 公開Webサイトにおいて,スクリプトをWebページ中の入力フィールドに入力し,Webサーバがアクセスするデータベース内のデータを不正にダウンロードする。 4. 利用者が公開Webサイトを閲覧したときに,その利用者の意図にかかわらず,PCにマルウェアをダウンロードさせて感染させる。 |
利用者が公開Webサイトを閲覧したときに,その利用者の意図にかかわらず,PCにマルウェアをダウンロードさせて感染させる。 |
|||
| 22 | 平成30年春期 情報セキュリティマネジメント試験 | バイオメトリクス認証システムの判定しきい値を変化させるとき,FRR(本人拒否率)と FAR(他人受入率)との関係はどれか。 | 詳細 | |
|
1. FRRとFARは独立している。 2. FRRを減少させると,FARは減少する。 3. FRRを減少させると,FARは増大する。 4. FRRを増大させると,FARは増大する。 |
FRRを減少させると,FARは増大する。 |
|||
| 23 | 平成30年春期 情報セキュリティマネジメント試験 | マルウェアの動的解析に該当するものはどれか。 | 詳細 | |
|
1. 解析対象となる検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。 2. サンドボックス上で検体を実行し,その動作や外部との通信を観測する。 3. ネットワーク上の通信データから検体を抽出し,さらに,逆コンパイルして取得したコードから検体の機能を調べる。 4. ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に,拡張子が偽装された不正なプログラムファイルを検出する。 |
サンドボックス上で検体を実行し,その動作や外部との通信を観測する。 |
|||
| 24 | 平成30年春期 情報セキュリティマネジメント試験 | メッセージが改ざんされていないかどうかを確認するために,そのメッセージから,ブロック暗号を用いて生成することができるものはどれか。 | 詳細 | |
|
1. PKI 2. パリティビット 3. メッセージ認証符号 4. ルート証明書 |
メッセージ認証符号 |
|||
| 25 | 平成30年春期 情報セキュリティマネジメント試験 | リスクベース認証に該当するものはどれか。 | 詳細 | |
|
1. インターネットからの全てのアクセスに対し,トークンで生成されたワンタイムパスワードで認証する。 2. インターネットバンキングでの連続する取引において,取引の都度,乱数表の指定したマス目にある英数字を入力させて認証する。 3. 利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。 4. 利用者の記憶,持ち物,身体の特徴のうち,必ず二つ以上の方式を組み合わせて認証する。 |
利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。 |
|||
|
スポンサー |
||||
1 / 2 ページ
学習時間記録ツール
