1 / 2 ページ
| No. | 問題集 | 詳細No. | 内容 | 操作 |
|---|---|---|---|---|
| 1 | 平成29年春期 情報セキュリティマネジメント試験 | JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,ISMSに関するリーダーシップ及びコミットメントをトップマネジメントが実証する上で行う事項として挙げられているものはどれか。 | 詳細 | |
|
1. ISMSの有効性に寄与するよう人々を指揮し,支援する。 2. ISMSを組織の他のプロセスと分けて運営する。 3. 情報セキュリティ方針に従う。 4. 情報セキュリティリスク対応計画を策定する。 |
ISMSの有効性に寄与するよう人々を指揮し,支援する。 |
|||
| 2 | 平成29年春期 情報セキュリティマネジメント試験 | 経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。 | 詳細 | |
|
1. 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策 2. 自社に出資している株主が行うセキュリティ対策 3. 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策 4. 自社の事業所近隣の地域社会が行うセキュリティ対策 |
自社のサプライチェーンのビジネスパートナが行うセキュリティ対策 |
|||
| 3 | 平成29年春期 情報セキュリティマネジメント試験 | 組織的なインシデント対応体制の構築を支援する目的でJPCERT/CCが作成したものはどれか。 | 詳細 | |
|
1. CSIRTマテリアル 2. ISMSユーザーズガイド 3. 証拠保全ガイドライン 4. 組織における内部不正防止ガイドライン |
CSIRTマテリアル |
|||
| 4 | 平成29年春期 情報セキュリティマネジメント試験 | ディザスタリカバリを計画する際の検討項目の一つであるRPO(Recovery Point Objective)はどれか。 | 詳細 | |
|
1. 業務の継続性を維持するために必要な人員計画と交代要員の要求スキルを示す指標 2. 災害発生時からどのくらいの時間以内にシステムを再稼働しなければならないかを示す指標 3. 災害発生時に業務を代替する遠隔地のシステム環境と,通常稼働しているシステム環境との設備投資の比率を示す指標 4. システムが再稼働したときに,災害発生前のどの時点の状態までデータを復旧しなければならないかを示す指標 |
システムが再稼働したときに,災害発生前のどの時点の状態までデータを復旧しなければならないかを示す指標 |
|||
| 5 | 平成29年春期 情報セキュリティマネジメント試験 | JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントを効果的なものにするために,組織が順守することが望ましいこととして挙げられている原則はどれか。 | 詳細 | |
|
1. リスクマネジメントは,静的であり,変化が生じたときに終了する。 2. リスクマネジメントは,組織に合わせて作られる。 3. リスクマネジメントは,組織の主要なプロセスから分離した単独の活動である。 4. リスクマネジメントは,リスクが顕在化した場合を対象とする。 |
リスクマネジメントは,組織に合わせて作られる。 |
|||
|
スポンサー |
||||
| 6 | 平成29年春期 情報セキュリティマネジメント試験 | JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントは,"リスクについて組織を指揮統制するための調整された活動"と定義されている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。 | 詳細 | |
|
1. リスク特定→リスク対応→リスク分析→リスク評価 2. リスク特定→リスク分析→リスク評価→リスク対応 3. リスク評価→リスク特定→リスク分析→リスク対応 4. リスク評価→リスク分析→リスク特定→リスク対応 |
リスク特定→リスク分析→リスク評価→リスク対応 |
|||
| 7 | 平成29年春期 情報セキュリティマネジメント試験 | JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における"リスクレベル"の定義はどれか。 | 詳細 | |
|
1. 脅威によって付け込まれる可能性のある,資産又は管理策の弱点 2. 結果とその起こりやすさの組合せとして表現される,リスクの大きさ 3. 対応すべきリスクに付与する優先順位 4. リスクの重大性を評価するために目安とする条件 |
結果とその起こりやすさの組合せとして表現される,リスクの大きさ |
|||
| 8 | 平成29年春期 情報セキュリティマネジメント試験 | A社は,情報システムの運用をB社に委託している。当該情報システムで発生した情報セキュリティインシデントについての対応のうち,適切なものはどれか。 | 詳細 | |
|
1. 情報セキュリティインシデント管理を一元化するために,委託契約継続可否及び再発防止策の決定をB社に任せた。 2. 情報セキュリティインシデントに迅速に対応するためにサービスレベル合意書(SLA)に緊急時のセキュリティ手続を記載せず,B社の裁量に任せた。 3. 情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために,あらかじめ定めた連絡経路に従ってB社から連絡した。 4. 迅速に対応するために,特定の情報セキュリティインシデントの一次対応においては,事前に定めた対応手順よりも,経験豊かなB社担当者の判断を優先した。 |
情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために,あらかじめ定めた連絡経路に従ってB社から連絡した。 |
|||
| 9 | 平成29年春期 情報セキュリティマネジメント試験 | 暗号の危殆(たい)化に該当するものはどれか。 | 詳細 | |
|
1. 暗号化通信を行う前に,データの伝送速度や,暗号の設定情報などを交換すること 2. 考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータの性能の飛躍的な向上などによって,解読されやすい状態になること 3. 自身が保有する鍵を使って,暗号化されたデータから元のデータを復元すること 4. 元のデータから一定の計算手順に従って疑似乱数を求め,元のデータをその疑似乱数に置き換えること |
考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータの性能の飛躍的な向上などによって,解読されやすい状態になること |
|||
| 10 | 平成29年春期 情報セキュリティマネジメント試験 | 情報セキュリティにおけるタイムスタンプサービスの説明はどれか。 | 詳細 | |
|
1. 公式の記録において使われる全世界共通の日時情報を,暗号化通信を用いて安全に表示するWebサービス 2. 指紋,声紋,静脈パターン,網膜,虹彩などの生体情報を,認証システムに登録した日時を用いて認証するサービス 3. 電子データが,ある日時に確かに存在していたこと,及びその日時以降に改ざんされていないことを証明するサービス 4. ネットワーク上のPCやサーバの時計を合わせるための日時情報を途中で改ざんされないように通知するサービス |
電子データが,ある日時に確かに存在していたこと,及びその日時以降に改ざんされていないことを証明するサービス |
|||
|
スポンサー |
||||
| 11 | 平成29年春期 情報セキュリティマネジメント試験 | JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,組織の管理下で働く人々が認識をもたなければならないとされているのは,"ISMSの有効性に対する自らの貢献"及び"ISMS要求事項に適合しないことの意味"にもう一つはどれか。 | 詳細 | |
|
1. 情報セキュリティ適用宣言書 2. 情報セキュリティ内部監査結果 3. 情報セキュリティ方針 4. 情報セキュリティリスク対応計画 |
情報セキュリティ方針 |
|||
| 12 | 平成29年春期 情報セキュリティマネジメント試験 | 情報セキュリティ管理を行う上での情報の収集源の一つとしてJVNが挙げられる。JVNが主として提供する情報はどれか。 | 詳細 | |
|
1. 工業製品などに関する技術上の評価や製品事故に関する事故情報及び品質情報 2. 国家や重要インフラに影響を及ぼすような情報セキュリティ事件・事故とその対応情報 3. ソフトウェアなどの脆弱性関連情報や対策情報 4. 日本国内で発生した情報セキュリティインシデントの相談窓口に関する情報 |
ソフトウェアなどの脆弱性関連情報や対策情報 |
|||
| 13 | 平成29年春期 情報セキュリティマネジメント試験 | NIDS(ネットワーク型IDS)を導入する目的はどれか。 | 詳細 | |
|
1. 管理下のネットワーク内への不正侵入の試みを検知し,管理者に通知する。 2. 実際にネットワークを介してWebサイトを攻撃し,不正に侵入できるかどうかを検査する。 3. ネットワークからの攻撃が防御できないときの損害の大きさを判定する。 4. ネットワークに接続されたサーバ上に格納されているファイルが改ざんされたかどうかを判定する。 |
管理下のネットワーク内への不正侵入の試みを検知し,管理者に通知する。 |
|||
| 14 | 平成29年春期 情報セキュリティマネジメント試験 | 内部不正による重要なデータの漏えいの可能性を早期に発見するために有効な対策はどれか。 | 詳細 | |
|
1. アクセスログの定期的な確認と解析 2. ウイルス対策ソフトの導入 3. 重要なデータのバックアップ 4. ノートPCのHDD暗号化 |
アクセスログの定期的な確認と解析 |
|||
| 15 | 平成29年春期 情報セキュリティマネジメント試験 | ディジタルフォレンジックスの説明として,適切なものはどれか。 | 詳細 | |
|
1. あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること 2. 外部からの攻撃や不正なアクセスからサーバを防御すること 3. 磁気ディスクなどの書換え可能な記憶媒体を廃棄する前に,単に初期化するだけではデータを復元できる可能性があるので,任意のデータ列で上書きすること 4. 不正アクセスなどコンピュータに関する犯罪に対して法的な証拠性を確保できるように,原因究明に必要な情報の保全,収集,分析をすること |
不正アクセスなどコンピュータに関する犯罪に対して法的な証拠性を確保できるように,原因究明に必要な情報の保全,収集,分析をすること |
|||
|
スポンサー |
||||
| 16 | 平成29年春期 情報セキュリティマネジメント試験 |
サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち,適切なものはどれか。 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 17 | 平成29年春期 情報セキュリティマネジメント試験 | 1台のファイアウォールによって,外部セグメント,DMZ,内部ネットワークの三つのセグメントに分割されたネットワークがある。このネットワークにおいて,Webサーバと,重要なデータをもつDBサーバから成るシステムを使って,利用者向けのサービスをインターネットに公開する場合,インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメントとDMZ間及びDMZと内部ネットワーク間の通信は特定のプロトコルだけを許可し,外部セグメントと内部ネットワーク問の通信は許可しないものとする。 | 詳細 | |
|
1. WebサーバとDBサーバをDMZに設置する。 2. WebサーバとDBサーバを内部ネットワークに設置する。 3. WebサーバをDMZに,DBサーバを内部ネットワークに設置する。 4. Webサーバを外部セグメントに,DBサーバをDMZに設置する。 |
WebサーバをDMZに,DBサーバを内部ネットワークに設置する。 |
|||
| 18 | 平成29年春期 情報セキュリティマネジメント試験 | 2要素認証に該当する組みはどれか。 | 詳細 | |
|
1. クライアント証明書,ハードウェアトークン 2. 静脈認証,指紋認証 3. パスワード認証,静脈認証 4. パスワード認証,秘密の質問の答え |
パスワード認証,静脈認証 |
|||
| 19 | 平成29年春期 情報セキュリティマネジメント試験 | 二者間で商取引のメッセージを送受信するときに,送信者のディジタル証明書を使用して行えることはどれか。 | 詳細 | |
|
1. 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,送信者の購入しようとした商品名が間違いなく明記されていることを確認する。 2. 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,メッセージの盗聴を検知する。 3. 受信者が,受信したディジタル署名を検証することによって,メッセージがその送信者からのものであることを確認する。 4. 送信者が,メッセージに送信者のディジタル証明書を添付することによって,メッセージの盗聴を防止する。 |
受信者が,受信したディジタル署名を検証することによって,メッセージがその送信者からのものであることを確認する。 |
|||
| 20 | 平成29年春期 情報セキュリティマネジメント試験 | ディジタル署名などに用いるハッシュ関数の特徴はどれか。 | 詳細 | |
|
1. 同じメッセージダイジェストを出力する二つの異なるメッセージは容易に求められる。 2. メッセージが異なっていても,メッセージダイジェストは全て同じである。 3. メッセージダイジェストからメッセージを復元することは困難である。 4. メッセージダイジェストの長さはメッセージの長さによって異なる。 |
メッセージダイジェストからメッセージを復元することは困難である。 |
|||
|
スポンサー |
||||
| 21 | 平成29年春期 情報セキュリティマネジメント試験 | ソーシャルエンジニアリングに該当するものはどれか。 | 詳細 | |
|
1. オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織に関する重要情報を盗み出す。 2. キー入力を記録するソフトウェアを,不特定多数が利用するPCで動作させて,利用者IDやパスワードを窃取する。 3. 日本人の名前や日本語の単語が登録された辞書を用意して,プログラムによってパスワードを解読する。 4. 利用者IDとパスワードの対応リストを用いて,プログラムによってWebサイトへのログインを自動的かつ連続的に試みる。 |
オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織に関する重要情報を盗み出す。 |
|||
| 22 | 平成29年春期 情報セキュリティマネジメント試験 |
ディジタル署名に用いる鍵の組みのうち,適切なものはどれか。 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 23 | 平成29年春期 情報セキュリティマネジメント試験 | ディレクトリトラバーサル攻撃に該当するものはどれか。 | 詳細 | |
|
1. 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。 2. 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。 3. 攻撃者が,利用者をWebサイトに誘導した上で,WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。 4. セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。 |
攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。 |
|||
| 24 | 平成29年春期 情報セキュリティマネジメント試験 |
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義a~dの組みのうち,適切なものはどれか。 〔定義〕 a 意図する行動と結果とが一貫しているという特性 b エンティティは,それが主張するとおりのものであるという特性 c 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性 d 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しないという特性  |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 25 | 平成29年春期 情報セキュリティマネジメント試験 | 何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータはどれか。 | 詳細 | |
|
1. CA 2. CP 3. CPS 4. CRL |
CRL |
|||
|
スポンサー |
||||
1 / 2 ページ
学習時間記録ツール
