情報セキュリティマネジメント 平成28年度秋期 NOカテゴリ問題解説問1テクノロジICカードとPINを用いた利用者認証における適切な運用はどれか。◯問2テクノロジリスクの顕在化に備えて地震保険に加入するという対応は、JIS Q 31000:2010に示されているリスク対応のうち、どれに分類されるか。◯問3テクノロジJPCERT/CCの説明はどれか。◯問4テクノロジJVN(Japan Vulnerability Notes)はどれか。◯問5テクノロジファイルサーバについて、情報セキュリティにおける"可用性"を高めるための管理策として、適切なものはどれか。◯問6テクノロジ情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。◯問7テクノロジ組織の所属者全員に利用者IDが発行されるシステムがある。利用者IDの発行・削除は申請に基づき行われているが、申請漏れや申請内容のシステムへの反映漏れがある。資料A、Bの組合せのうち、資料Aと資料Bを突き合わせて確認することによって、退職者に発行されていた利用者IDの削除漏れが最も確実に発見できるものはどれか。◯問8テクノロジJIS Q 27000におけるリスク評価はどれか。◯問9テクノロジJIS Q 31000:2010における、残留リスクの定義はどれか。◯問10テクノロジ情報セキュリティ意識向上のための教育の実施状況をJIS Q 27002に従ってレビューした。情報セキュリティを強化する観点から、改善が必要な状況はどれか。◯問11テクノロジシステム管理者に対する施策のうち、IPA"組織における内部不正防止ガイドライン"に照らして、内部不正防止の観点から適切なものはどれか。◯問12テクノロジボットネットにおけるC&Cサーバの役割はどれか。◯問13テクノロジ会社や団体が、自組織の従業員に貸与するスマートフォンに対して、セキュリティポリシに従った一元的な設定をしたり、業務アプリケーションを配信したりして、スマートフォンの利用状況などを一元管理する仕組みはどれか。◯問14テクノロジサーバにバックドアを作り、サーバ内で侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージはどれか。◯問15テクノロジSIEM(Security Information and Event Management)の機能として、最も適切なものはどれか。◯問16テクノロジSPF(Sender Policy Framework)を利用する目的はどれか。◯問17テクノロジ次の電子メールの環境を用いて、秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい。その際のファイルの添付方法、及びその添付方法を使う理由として、適切なものはどれか。 〔電子メールの環境〕 ・電子メールは、Webフラウザから利用できる電子メールシステム(Webメール)を用いて送信する。 ・WebブラウザとWebメールのサーバとの通信はHTTP over TLS(HTTPS)で行う。 ・社外の宛先ドメインのメールサーバはSMTPとPOP3を使用している。IP層以下は暗号化していない。◯問18テクノロジウイルス検出におけるビヘイビア法に分類されるものはどれか。◯問19テクノロジインターネットと社内サーバの間にファイアウォールが設置されている環境で、時刻同期の通信プロトコルを用いて社内サーバがもつ時計をインターネット上の時刻サーバの正確な時刻に同期させる。このとき、ファイアウォールで許可すべき時刻サーバとの間の通信プロトコルはどれか。◯問20テクノロジ人間には読み取ることが可能でも、プログラムでは読み取ることが難しいという差異を利用して、ゆがめたり一部を隠したりした画像から文字を判読して入力させることによって、プログラムによる自動入力を排除するための技術はどれか。◯問21テクノロジ情報の"完全性"を脅かす攻撃はどれか。◯問22テクノロジクロスサイトスクリプティングの手口はどれか。◯問23テクノロジ内閣は、2015年9月にサイバーセキュリティ戦略を定め、その目的達成のための施策の立案及び実施に当たって、五つの基本原則に従うべきとした。その基本原則に含まれるものはどれか。◯問24テクノロジスクリプトキディの典型的な行為に該当するものはどれか。◯問25テクノロジ緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は、どれに分類されるか。◯問26テクノロジパスワードリスト攻撃に該当するものはどれか。◯問27テクノロジランサムウェアに分類されるものはどれか。◯問28テクノロジなりすましメールでなく、EC(電子商取引)サイトから届いたものであることを確認できる電子メールはどれか。◯問29テクノロジPKI(公開鍵基盤)の認証局が果たす役割はどれか。◯問30テクノロジ情報技術セキュリティ評価のための国際標準であり、コモンクライテリア(CC)と呼ばれるものはどれか。◯問31ストラテジプロバイダ責任制限法において、損害賠償責任が制限されるプロバイダの行為に該当するものはどれか。ここで、"利用者"とはプロバイダに加入してサービスを利用している者とする。◯問32ストラテジ刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。◯問33ストラテジ"特定個人情報ファイル"の取扱いのうち、国の個人情報保護委員会が制定した"特定個人情報の適正な取扱いに関するガイドライン(事業者編)"で、認められているものはどれか。◯問34ストラテジ広告宣伝の電子メールを送信する場合、特定電子メール法に照らして適切なものはどれか。◯問35ストラテジ不正アクセス禁止法による処罰の対象となる行為はどれか。◯問36ストラテジ準委任契約の説明はどれか。◯問37マネジメントJIS Q 27001に準拠してISMSを運用している場合、内部監査について順守すべき要求事項はどれか。◯問38マネジメントインシデントの調査やシステム監査にも利用できる、証拠を収集し保全する技法はどれか。◯問39マネジメント事業継続計画(BCP)について監査を実施した結果、適切な状況と判断されるものはどれか。◯問40マネジメント"情報セキュリティ監査基準"に関する記述のうち、最も適切なものはどれか。◯問41マネジメントシステムの移行テストを実施する主要な目的はどれか。◯問42マネジメントあるデータセンタでは、受発注管理システムの運用サービスを提供している。次の"受発注管理システムの運用中の事象"において、インシデントに該当するものはどれか。 〔受発注管理システムの運用中の事象〕 夜間バッチ処理において、注文トランザクションデータから注文書を出力するプログラムが異常終了した。異常終了を検知した運用担当者から連絡を受けた保守担当者は、緊急出社してサービスを回復し、後日、異常終了の原因となったプログラムの誤りを修正した。◯問43マネジメントメールサーバのディスクに障害が発生して多数の電子メールが消失した。消失した電子メールの復旧を試みたが、2週間ごとに行っている磁気テープへのフルバックアップしかなかったので、最後のフルバックアップ以降1週間分の電子メールが回復できなかった。そこで、今後は前日の状態までには復旧できるようにしたい。対応策として、適切なものはどれか。◯問44マネジメントプロジェクトに関わるステークホルダの説明のうち、適切なものはどれか。◯問45テクノロジクライアントサーバシステムを構築する。Webブラウザによってクライアント処理を行う場合、専用のアプリケーションによって行う場合と比較して、最も軽減される作業はどれか。◯問46テクノロジE-R図に関する記述として、適切なものはどれか。◯問47テクノロジIPアドレスの自動設定をするためにDHCPサーバが設置されたLAN環境の説明のうち、適切なものはどれか。◯問48ストラテジBPOを説明したものはどれか。◯問49ストラテジ共通フレームによれば、企画プロセスにおいて明確にするものはどれか。◯問50ストラテジマトリックス組織を説明したものはどれか。◯