本記事は、効率良く、最短時間で情報処理安全確保支援士の合格を目指す人に向けた記事です。
情報処理安全確保支援士 午前Ⅱの”情報セキュリティ管理&評価”の分野である過去問の中から丸暗記すれば正解できる38問を厳選して紹介します!
試験本番と同じく4択で出題しており、正解と思う記号を選択すれば正解 or 不正解か直ぐに確認できます。
情報処理安全確保支援士試験 午前Ⅱ 情報セキュリティ管理・評価|過去問&解答
経済産業省とIPAが策定した”サイバーセキュリティ経営ガイドライン(Ver2.0)”の説明はどれか。
【ア】企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
【イ】経営者が情報セキュリティについて方針を示し,マネジメントシステムの要求事項を満たすルールを定め,組織が保有する情報資産をCIAの観点から維持管理し,継続的に見直すためのプロセス及び管理策を体系的に規定したもの
【ウ】事業体のITに関する経営者の活動を,大きくITガバナンス(統制)とITマネジメント(管理)に分割し,具体的な目標と工程として40のプロセスを定義したもの
【エ】世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して,企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
政府情報システムのためのセキュリティ評価制度に用いられる”ISMAP管理基準”が基礎としているものはどれか。
【ア】FIPS 140-3(暗号モジュールのセキュリティ要求事項)
【イ】ISO/IEC 27018:2019(個人識別情報(PII)プロセッサとして作動するパブリッククラウドにおけるPIIの保護のための実施基準)
【ウ】JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)
【エ】日本セキュリティ監査協会”クラウド情報セキュリティ管理基準(平成28年度版)”
CSIRTの説明として,適切なものはどれか。
【ア】IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。
【イ】インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。
【ウ】国レベルや企業・組織内に設置され,コンピュータセキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。
【エ】情報技術を利用し,信教や政治的な目標を達成するという目的をもった人や組織の総称である。
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
【ア】コンピュータで必要なセキュリティ設定項目を識別するための識別子
【イ】脆弱性を利用して改ざんされたWebサイトのスクリーンショットを識別するための識別子
【ウ】製品に含まれる脆弱性を識別するための識別子
【エ】セキュリティ製品を識別するための識別子
サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。
【ア】サイバー攻撃対策に関する情報セキュリティ監査を参加組織間で相互に実施して,監査結果を共有する取組み
【イ】参加組織がもつデータを相互にバックアップして,サイバー攻撃から保護する取組み
【ウ】セキュリティ製品のサイバー攻撃に対する有効性に関する情報を参加組織が取りまとめ,その情報を活用できるように公開する取組み
【エ】標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み
個人情報の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
【ア】情報の重要性と対策費用を勘案し,あえて対策をとらない。
【イ】個人情報の保管場所に外部の者が侵入できないように,入退室をより厳重に管理する。
【ウ】個人情報を含む情報資産を外部のデータセンターに預託する。
【エ】収集済みの個人情報を消去し,新たな収集を禁止する。
JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。
【ア】脅威とは,一つ以上の要因によって付け込まれる可能性がある,資産又は管理策の弱点のことである。
【イ】脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。
【ウ】リスク対応とは,リスクの大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
【エ】リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
JIS Q 27002:2014には記載されていないが,JIS Q 27017:2016において記載されている管理策はどれか。
【ア】クラウドサービス固有の情報セキュリティ管理策
【イ】事業継続マネジメントシステムにおける管理策
【ウ】情報セキュリティガバナンスにおける管理策
【エ】制御システム固有のサイバーセキュリティ管理策
リスク対策をリスクコントロールとリスクファイナンスに分けた場合,リスクファイナンスに該当するものはどれか。
【ア】システムが被害を受けた場合を想定して保険をかけた。
【イ】システム被害につながるリスクの発生を抑える対策に資金を投入した。
【ウ】システムを復旧するのに掛かった費用を金融機関から借り入れた。
【エ】リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入した。
ISMSにおけるリスク分析手法の一つである”詳細リスク分析”で行う作業はどれか。
【ア】情報セキュリティポリシーの作成
【イ】セーフガードの選択
【ウ】リスクの評価
【エ】リスクの容認
不適合への対応のうちJIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)の”是正処置”の定義はどれか。
【ア】不適合によって起こった結果に対処するための処置
【イ】不適合の原因を除去し,再発を防止するための処置
【ウ】不適合の性質及び対応結果について文書化するための処置
【エ】不適合を除去するための処置
経済産業省が”サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)”を策定した主な目的の一つはどれか。
【ア】ICTを活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと
【イ】新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること
【ウ】クラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること
【エ】データセンターの利用者と事業者に対して”データセンターの適切なセキュリティ”とは何かを考え,共有すべき知見を提供すること
JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。
【ア】脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
【イ】脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
【ウ】リスクの特定では,脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。
【エ】リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
経済産業省とIPAが策定した”サイバーセキュリティ経営ガイドライン(Ver2.0)”に関する記述のうち,適切なものはどれか。
【ア】経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
【イ】経営者が認識すべきサイバーセキュリティに関する原則と,経営者がリーダーシップを発揮して取り組むべき項目を取りまとめたものである。
【ウ】事業の規模やビジネスモデルによらず,全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
【エ】製造業のサプライチェーンを構成する小規模事業者の経営者が,サイバー攻撃を受けた際に行う事後対応をまとめたものである。
総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施している取組”NOTICE”に関する記述のうち,適切なものはどれか。
【ア】NICTが運用するダークネット観測網において,マルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し,国内での必要な対策を促す。
【イ】国内のグローバルIPアドレスを有するIoT機器に対して,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,ンターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。
【ウ】国内の利用者からの申告に基づき,利用者の所有するIoT機器に対して無料でリモートから,侵入テストやOSの既知の脆弱性の有無の調査を実施し,結果を通知するとともに,利用者が自ら必要な対処ができるよう支援する。
【エ】製品のリリース前に,不要にもかかわらず開放されているポートの存在,パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し,市場に流通するIoT機器のセキュリティ向上を目指す
安全・安心なIT社会を実現するために創設された制度であり,IPA”中小企業の情報セキュリティ対策ガイドライン”に沿った情報セキュリティ対策に取り組むことを中小企業が自己宣言するものはどれか。
【ア】ISMS適合性評価制度
【イ】ITセキュリティ評価及び認証制度
【ウ】MyJVN
【エ】SECURITY ACTION
NIST”サイバーセキュリティフレームワーク:重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版”における”フレームワークコア”を構成する機能はどれか。
【ア】観察,状況判断,意思決定,行動
【イ】識別,防御,検知,対応,復旧
【ウ】準備,検知と分析,封じ込め/根絶/復旧,事件後の対応
【エ】責任,戦略,パフォーマンス,適合,人間行動
2011年に経済産業省が公表した”クラウドサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的について述べたものはどれか。
【ア】JIS Q 27002の管理策を補完し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
【イ】クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
【ウ】クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。
【エ】セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。
経済産業省告示の”ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。
【ア】Webアプリケーションの脆弱性についての情報を受けた受付機関は,発見者の氏名・連絡先をWebサイト運営者に通知する。
【イ】Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は,当該脆弱性に起因する個人情報の漏えいなどが発生した場合,事実関係を公表しない。
【ウ】受付機関は,Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら,それを速やかに発見者に通知する。
【エ】受付機関は,一般利用者に不安を与えないために,Webアプリケーションの脆弱性関連情報の届出状況は,受付機関の中で管理し,公表しない。
表に示すテーブルX,Yへのアクセス要件に関して,JIS Q 27001:2006(ISO/IEC 27001:2005)が示す”完全性”の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。
| テーブル | アクセス要件 |
|---|---|
| X(注文テーブル) | ① 調達課の利用者Aが注文データを入力するために、又は内容を確認するためにアクセスする。 ② 管理課の利用者Bはアクセスしない。 |
| Y(仕入れ先マスタテーブル) | ① 調達課の利用者Aが仕入れ先データを紹介する目的だけでアクセスする。 ② 管理課の利用者Bが仕入れ先データのマスタメンテナンス作業を行うためにアクセスする。 |
【ア】GRANT INSERT ON Y TO A
【イ】GRANT INSERT ON Y TO B
【ウ】GRANT SELECT ON X TO A
【エ】GRANT SELECT ON X TO B
CRYPTRECの主な活動内容はどれか。
【ア】暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。
【イ】情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ政策の推進に係る企画などを行う。
【ウ】組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
【エ】認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。
NISTの定義によるクラウドコンピューティングのサービスモデルにおいて,パブリッククラウドサービスの利用企業のシステム管理者が,仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を実施可か実施不可かの組合せのうち,適切なものはどれか。
| 選択肢 | IaaS | PaaS | SaaS |
|---|---|---|---|
| 【ア】 | 実施可 | 実施不可 | 実施不可 |
| 【イ】 | 実施可 | 実施不可 | 実施不可 |
| 【ウ】 | 実施不可 | 実施可 | 実施不可 |
| 【エ】 | 実施不可 | 実施不可 | 実施可 |
“サイバー情報共有イニシアティブ(J-CSIP)”の説明はどれか。
【ア】暗号技術の調査を行い,電子政府における調達のために参照すべき暗号のリストを公表するためのプロジェクト
【イ】検知したサイバー攻撃の情報を公的機関に集約し,高度なサイバー攻撃対策につなげていく取組み
【ウ】制御システムにおけるセキュリティマネジメントシステムの認証制度
【エ】脆弱性関連情報の発見から公表に至るまでの対処プロセス
経済産業省”ソフトウェア管理ガイドライン”に定められた,ソフトウェアを使用する法人,団体などが実施すべき基本的事項の記述のうち,適切なものはどれか。
【ア】ウイルスからソフトウェアを保護するため,関係法令や使用許諾契約などについて利用者の教育啓発を行う。
【イ】セキュリティ対策に責任を負うセキュリティ管理責任者を任命し,適切な管理体制を整備する。
【ウ】ソフトウェアの違法複製などの有無を確認するため,すべてのソフトウェアを対象として,その使用状況についての監査を実施する。
【エ】ソフトウェアの脆弱性を突いた不正アクセスから保護するため,ソフトウェアの使用手順や管理方法などを定めたソフトウェア管理規則を制定する。
JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティを統治するために経営陣が実行するガバナンスプロセスのうちの”モニター”はどれか。
【ア】情報セキュリティの目的及び戦略について,指示を与えるガバナンスプロセス
【イ】戦略的目的の達成を評価することを可能にするガバナンスプロセス
【ウ】独立した立場からの客観的な監査,レビュー又は認証を委託するガバナンスプロセス
【エ】利害関係者との間で,特定のニーズに沿って情報セキュリティに関する情報を交換するガバナンスプロセス
コンティンジェンシープランにおける留意点はどれか。
【ア】企業のすべてのシステムを対象とするのではなく,システムの復旧の重要性と緊急性を勘案して対象を決定する。
【イ】災害などへの対応のために,すぐに使用できるよう,バックアップデータをコンピュータ室内又はセンター内に保存しておく。
【ウ】バックアップの対象は,機密情報の中から機密度を勘案して選択する。
【エ】被害のシナリオを作成し,これに基づく”予防策策定手順”を策定する。
情報システムのリスク分析に関する記述のうち,適切なものはどれか。
【ア】リスクには,投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは,投機的リスクである。
【イ】リスクの予想損失額は,損害予防のために投入されるコスト,復旧に要するコスト,及びほかの手段で業務を継続するための代替コストの合計で表される。
【ウ】リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。
【エ】リスクを金額で測定するリスク評価額は,損害が現実になった場合の1回当たりの平均予想損失額で表される。
総務省及び経済産業省が策定した”電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)”を構成する暗号リストの説明のうち,適切なものはどれか。
【ア】推奨候補暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
【イ】推奨候補暗号リストとは,候補段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
【ウ】電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
【エ】電子政府推奨暗号リストとは,推奨段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
【ア】基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
【イ】製品を識別するためのプラットフォーム名の一覧
【ウ】セキュリティに関連する設定項目を識別するための識別子
【エ】ソフトウェアの脆弱性の種類の一覧
EDSA認証における評価対象と評価項目について,適切な組みはどれか。
| 選択肢 | 評価対象 | 評価項目 |
|---|---|---|
| 【ア】 | 組込み機器である制御機器 | 組込み機器ロバストネス試験 |
| 【イ】 | 組込み機器である制御機器が運用されている施設 | 入退室管理の評価 |
| 【ウ】 | 複数の制御機器から好悪性される制御システム | 脆弱性試験 |
| 【エ】 | 複数の制御機器から構成される制御システムを管理する組織 | セキュリティポリシの評価 |
PCIデータセキュリティ基準(PCI DSS Version2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。
【ア】要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること
【イ】要件3:保存されるカード会員データを保護すること
【ウ】要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
【エ】要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること
FIPS PUB 140-3の記述内容はどれか。
【ア】暗号モジュールのセキュリティ要求事項
【イ】情報セキュリティマネジメントシステムの要求事項
【ウ】デジタル証明書や証明書失効リストの技術仕様
【エ】無線LANセキュリティの技術仕様
ISO/IEC 15408を評価基準とする”ITセキュリティ評価及び認証制度”の説明として,適切なものはどれか。
【ア】暗号モジュールに暗号アルゴリズムが適切に実装され,暗号鍵などが確実に保護されているかどうかを評価及び認証する制度
【イ】主に無線LANにおいて,RADIUSなどと連携することで,認証されていない利用者を全て排除し,認証された利用者だけの通信を通過させることを評価及び認証する制度
【ウ】情報技術に関連した製品のセキュリティ機能の適切性,確実性を第三者機関が評価し,その結果を公的に認証する制度
【エ】情報セキュリティマネジメントシステムが,基準にのっとり,適切に組織内に構築,運用されていることを評価及び認証する制度
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
【ア】機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
【イ】攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
【ウ】脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。
【エ】利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
デジタル庁,総務省及び経済産業省が策定した”電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)”に関する記述のうち,適切なものはどれか。
【ア】CRYPTREC暗号リストにある運用監視暗号リストとは,運用監視システムにおける利用実績が十分であると判断され,電子政府において利用を推奨する暗号技術のリストである。
【イ】CRYPTREC暗号リストにある証明書失効リストとは,政府共用認証局が公開している,危殆化した暗号技術のリストである。
【ウ】CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
【エ】CRYPTREC暗号リストにある電子政府推奨暗号リストとは,互換性維持目的に限った継続利用を推奨する暗号技術のリストである。
問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。
【ア】限界値分析
【イ】実験計画法
【ウ】ファジング
【エ】ロードテスト
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
【ア】CVSS
【イ】ISMS
【ウ】PCI DSS
【エ】PMS
IT製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比較を可能にするための規格はどれか。
【ア】ISO/IEC 15408
【イ】ISO/IEC 27002
【ウ】ISO/IEC 27017
【エ】ISO/IEC 30147
絶対に合格したい人へのメッセージ
さめじん他の参考書や問題集を多くも気になる方は以下記事を参考にしてね!
コメント