1 / 2 ページ
| No. | 問題集 | 詳細No. | 内容 | 操作 |
|---|---|---|---|---|
| 1 | 平成28年秋期 情報セキュリティマネジメント試験 | ICカードとPINを用いた利用者認証における適切な運用はどれか。 | 詳細 | |
|
1. ICカードによって個々の利用者を識別できるので,管理負荷を軽減するために全利用者に共通のPINを設定する。 2. ICカード紛失時には,新たなICカードを発行し,PINを再設定した後で,紛失したICカードの失効処理を行う。 3. PINには,ICカードの表面に刻印してある数字情報を組み合わせたものを設定する。 4. PINは,ICカードには同封せず,別経路で利用者に知らせる。 |
PINは,ICカードには同封せず,別経路で利用者に知らせる。 |
|||
| 2 | 平成28年秋期 情報セキュリティマネジメント試験 | リスクの顕在化に備えて地震保険に加入するという対応は,JIS Q 31000:2010に示されているリスク対応のうち,どれに分類されるか。 | 詳細 | |
|
1. ある機会を追求するために,そのリスクを取る又は増加させる。 2. 一つ以上の他者とそのリスクを共有する。 3. リスク源を除去する。 4. リスクを生じさせる活動を開始又は継続しないと決定することによって,リスクを回避する。 |
一つ以上の他者とそのリスクを共有する。 |
|||
| 3 | 平成28年秋期 情報セキュリティマネジメント試験 | JPCERT/CCの説明はどれか | 詳細 | |
|
1. 工業標準化法に基づいて経済産業省に設置されている審議会であり,工業標準化全般に関する調査・審議を行っている。 2. 電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり,総務省及び経済産業省が共同で運営する暗号技術検討会などで構成される。 3. 特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。 4. 内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。 |
特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。 |
|||
| 4 | 平成28年秋期 情報セキュリティマネジメント試験 | JVN(Japan Vulnerability Notes)はどれか。 | 詳細 | |
|
1. 情報システムに存在する脆弱性の深刻度を評価する手法 2. 製品に存在する脆弱性に対して採番された識別子 3. 脆弱性対策情報などを提供するポータルサイト 4. 組織内の情報セキュリティ問題を専門に扱うインシデント対応チーム |
脆弱性対策情報などを提供するポータルサイト |
|||
| 5 | 平成28年秋期 情報セキュリティマネジメント試験 | ファイルサーバについて,情報セキュリティにおける"可用性"を高めるための管理策として,適切なものはどれか。 | 詳細 | |
|
1. ストレージを二重化し,耐障害性を向上させる。 2. ディジタル証明書を利用し,利用者の本人確認を可能にする。 3. ファイルを暗号化し,情報漏えいを防ぐ。 4. フォルダにアクセス権を設定し,部外者の不正アクセスを防止する。 |
ストレージを二重化し,耐障害性を向上させる。 |
|||
|
スポンサー |
||||
| 6 | 平成28年秋期 情報セキュリティマネジメント試験 | 情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。 | 詳細 | |
|
1. 基準とする望ましい対策と組織の現状における対策とのギャップを分析する。 2. 現場担当者の経験や考え方によって検討結果が左右されやすい。 3. 情報資産ごとにリスクを分析する。 4. 複数のアプローチを併用して分析作業の効率化や分析精度の向上を図る。 |
基準とする望ましい対策と組織の現状における対策とのギャップを分析する。 |
|||
| 7 | 平成28年秋期 情報セキュリティマネジメント試験 |
組織の所属者全員に利用者IDが発行されるシステムがある。利用者IDの発行・削除は申請に基づき行われているが,申請漏れや申請内容のシステムへの反映漏れがある。資料A,Bの組合せのうち,資料Aと資料Bを突き合わせて確認することによって,退職者に発行されていた利用者IDの削除漏れが最も確実に発見できるものはどれか。 |
詳細 | |
|
1. 2. 3. 4. |
|
|||
| 8 | 平成28年秋期 情報セキュリティマネジメント試験 | JIS Q 27000におけるリスク評価はどれか。 | 詳細 | |
|
1. 対策を講じることによって,リスクを修正するプロセス 2. リスクが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス 3. リスクの特質を理解し,リスクレベルを決定するプロセス 4. リスクの発見,認識及び記述を行うプロセス |
リスクが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス |
|||
| 9 | 平成28年秋期 情報セキュリティマネジメント試験 | JIS Q 31000:2010における,残留リスクの定義はどれか。 | 詳細 | |
|
1. 監査手続を実施しても監査人が重要な不備を発見できないリスク 2. 業務の性質や本来有する特性から生じるリスク 3. 利益を生む可能性に内在する損失発生の可能性として存在するリスク 4. リスク対応後に残るリスク |
リスク対応後に残るリスク |
|||
| 10 | 平成28年秋期 情報セキュリティマネジメント試験 | 情報セキュリティ意識向上のための教育の実施状況をJIS Q 27002に従ってレビューした。情報セキュリティを強化する観点から,改善が必要な状況はどれか。 | 詳細 | |
|
1. 従業員の受講記録を分析し,教育計画を見直していた。 2. 従業員の職務内容や職制に応じた内容の教育を実施していた。 3. 出張中で受講できなかった従業員を対象に,追加の教育を実施していた。 4. 正規従業員と同様の業務に従事している派遣従業員を除いて,教育を実施していた。 |
正規従業員と同様の業務に従事している派遣従業員を除いて,教育を実施していた。 |
|||
|
スポンサー |
||||
| 11 | 平成28年秋期 情報セキュリティマネジメント試験 | システム管理者に対する施策のうち,IPA"組織における内部不正防止ガイドライン"に照らして,内部不正防止の観点から適切なものはどれか。 | 詳細 | |
|
1. システム管理者間の会話・情報交換を制限する。 2. システム管理者の操作履歴を本人以外が閲覧することを制限する。 3. システム管理者の長期休暇取得を制限する。 4. 夜間・休日のシステム管理者の単独作業を制限する。 |
夜間・休日のシステム管理者の単独作業を制限する。 |
|||
| 12 | 平成28年秋期 情報セキュリティマネジメント試験 | ボットネットにおけるC&Cサーバの役割はどれか。 | 詳細 | |
|
1. Webサイトのコンテンツをキャッシュし,本来のサーバに代わってコンテンツを利用者に配信することによって,ネットワークやサーバの負荷を軽減する。 2. 遠隔地からインターネットを経由して社内ネットワークにアクセスする際に,CHAPなどのプロトコルを用いることによって,利用者認証時のパスワードの盗聴を防止する。 3. 遠隔地からインターネットを経由して社内ネットワークにアクセスする際に,チャレンジレスポンス方式を採用したワンタイムパスワードを用いることによって,利用者認証時のパスワードの盗聴を防止する。 4. 侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。 |
侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。 |
|||
| 13 | 平成28年秋期 情報セキュリティマネジメント試験 | 会社や団体が,自組織の従業員に貸与するスマートフォンに対して,セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組みはどれか。 | 詳細 | |
|
1. BYOD(Bring Your Own Device) 2. ECM(Enterprise Contents Management) 3. LTE(Long Term Evolution) 4. MDM(Mobile Device Management) |
MDM(Mobile Device Management) |
|||
| 14 | 平成28年秋期 情報セキュリティマネジメント試験 | サーバにバックドアを作り,サーバ内で侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージはどれか。 | 詳細 | |
|
1. RFID 2. rootkit 3. TKIP 4. web beacon |
rootkit |
|||
| 15 | 平成28年秋期 情報セキュリティマネジメント試験 | SIEM(Security Information and Event Management)の機能として,最も適切なものはどれか。 | 詳細 | |
|
1. 機密情報を自動的に特定し,機密情報の送信や出力など,社外への持出しに関連する操作を検知しブロックする。 2. サーバやネットワーク機器などのログデータを一括管理,分析して,セキュリティ上の脅威を発見し,通知する。 3. 情報システムの利用を妨げる事象を管理者が登録し,各事象の解決・復旧までを管理する。 4. ネットワークへの侵入を試みるパケットを検知し,通知する。 |
サーバやネットワーク機器などのログデータを一括管理,分析して,セキュリティ上の脅威を発見し,通知する。 |
|||
|
スポンサー |
||||
| 16 | 平成28年秋期 情報セキュリティマネジメント試験 | SPF(Sender Policy Framework)を利用する目的はどれか。 | 詳細 | |
|
1. HTTP通信の経路上での中間者攻撃を検知する。 2. LANへのPCの不正接続を検知する。 3. 内部ネットワークへの不正侵入を検知する。 4. メール送信元のなりすましを検知する。 |
メール送信元のなりすましを検知する。 |
|||
| 17 | 平成28年秋期 情報セキュリティマネジメント試験 |
次の電子メールの環境を用いて,秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい。その際のファイルの添付方法,及びその添付方法を使う理由として,適切なものはどれか。 〔電子メールの環境〕 電子メールは,Webブラウザから利用できる電子メールシステム(Webメール)を用いて送信する。 WebブラウザとWebメールのサーバとの通信はHTTP over TLS(HTTPS)で行う。 社外の宛先ドメインのメールサーバはSMTPとPOP3を使用している。 IP層以下は暗号化していない。 |
詳細 | |
|
1. WebブラウザからWebメールのサーバまでの通信が暗号化されているので,ファイルは平文のままでメールに添付する。 2. WebブラウザからWebメールのサーバまでの通信は暗号化されるが,その後の通信が暗号化されないこともあるので,ファイルを暗号化してメールに添付する。 3. Webブラウザから宛先の利用者がメールを受信するPCまで,全ての通信は暗号化されるので,ファイルは平文のままでメールに添付する。 4. Webメールのサーバから宛先ドメインのメールサーバまでの通信は暗号化されないが,サーバ間の通信はBase64形式でエンコードすれば盗聴できないので,ファイルはBase64形式でエンコードしてメールに添付する。 |
WebブラウザからWebメールのサーバまでの通信は暗号化されるが,その後の通信が暗号化されないこともあるので,ファイルを暗号化してメールに添付する。 |
|||
| 18 | 平成28年秋期 情報セキュリティマネジメント試験 | ウイルス検出におけるビヘイビア法に分類されるものはどれか。 | 詳細 | |
|
1. あらかじめ検査対象に付加された,ウイルスに感染していないことを保証する情報と,検査対象から算出した情報とを比較する。 2. 検査対象と安全な場所に保管してあるその原本とを比較する。 3. 検査対象のハッシュ値と既知のウイルスファイルのハッシュ値とを比較する。 4. 検査対象をメモリ上の仮想環境下で実行して,その挙動を監視する。 |
検査対象をメモリ上の仮想環境下で実行して,その挙動を監視する。 |
|||
| 19 | 平成28年秋期 情報セキュリティマネジメント試験 | インターネットと社内サーバの間にファイアウォールが設置されている環境で,時刻同期の通信プロトコルを用いて社内サーバがもつ時計をインターネット上の時刻サーバの正確な時刻に同期させる。このとき,ファイアウォールで許可すべき時刻サーバとの間の通信プロトコルはどれか。 | 詳細 | |
|
1. FTP(TCP,ポート番号21) 2. NTP(UDP,ポート番号123) 3. SMTP(TCP,ポート番号25) 4. SNMP(TCP及びUDP,ポート番号161及び162) |
NTP(UDP,ポート番号123) |
|||
| 20 | 平成28年秋期 情報セキュリティマネジメント試験 | 人間には読み取ることが可能でも,プログラムでは読み取ることが難しいという差異を利用して,ゆがめたり一部を隠したりした画像から文字を判読して入力させることによって,プログラムによる自動入力を排除するための技術はどれか。 | 詳細 | |
|
1. CAPTCHA 2. QRコード 3. 短縮URL 4. トラックバックping |
|
|||
|
スポンサー |
||||
| 21 | 平成28年秋期 情報セキュリティマネジメント試験 | 情報の"完全性"を脅かす攻撃はどれか。 | 詳細 | |
|
1. Webページの改ざん 2. システム内に保管されているデータの不正コピー 3. システムを過負荷状態にするDoS攻撃 4. 通信内容の盗聴 |
Webページの改ざん |
|||
| 22 | 平成28年秋期 情報セキュリティマネジメント試験 | クロスサイトスクリプティングの手口はどれか。 | 詳細 | |
|
1. Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。 2. インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざん・破壊を行ったりする。 3. 大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。 4. パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。 |
Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。 |
|||
| 23 | 平成28年秋期 情報セキュリティマネジメント試験 | 内閣は,2015年9月にサイバーセキュリティ戦略を定め,その目的達成のための施策の立案及び実施に当たって,五つの基本原則に従うべきとした。その基本原則に含まれるものはどれか。 | 詳細 | |
|
1. サイバー空間が一部の主体に占有されることがあってはならず,常に参加を求める者に開かれたものでなければならない。 2. サイバー空間上の脅威は,国を挙げて対処すべき課題であり,サイバー空間における秩序維持は国家が全て代替することが適切である。 3. サイバー空間においては,安全確保のために,発信された情報を全て検閲すべきである。 4. サイバー空間においては,情報の自由な流通を尊重し,法令を含むルールや規範を適用してはならない。 |
サイバー空間が一部の主体に占有されることがあってはならず,常に参加を求める者に開かれたものでなければならない。 |
|||
| 24 | 平成28年秋期 情報セキュリティマネジメント試験 | スクリプトキディの典型的な行為に該当するものはどれか。 | 詳細 | |
|
1. PCの利用者がWebサイトにアクセスし,利用者IDとパスワードを入力するところを後ろから盗み見して,メモをとる。 2. 技術不足なので新しい攻撃手法を考え出すことはできないが,公開された方法に従って不正アクセスを行う。 3. 顧客になりすまして電話でシステム管理者にパスワードの再発行を依頼し,新しいパスワードを聞き出すための台本を作成する。 4. スクリプト言語を利用してプログラムを作成し,広告や勧誘などの迷惑メールを不特定多数に送信する。 |
技術不足なので新しい攻撃手法を考え出すことはできないが,公開された方法に従って不正アクセスを行う。 |
|||
| 25 | 平成28年秋期 情報セキュリティマネジメント試験 | 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。 | 詳細 | |
|
1. ソーシャルエンジニアリング 2. トロイの木馬 3. 踏み台攻撃 4. ブルートフォース攻撃 |
ソーシャルエンジニアリング |
|||
|
スポンサー |
||||
1 / 2 ページ
学習時間記録ツール
