情報セキュリティマネジメント平成30年度秋期

NO	カテゴリ	問題	解説
問1	テクノロジ	組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものはどれか。	◯
問2	テクノロジ	JIS Q 27000:2014(情報セキュリティマネジメントシステム−用語)における、トップマネジメントに関する記述として、適切なものはどれか。	◯
問3	テクノロジ	JlS Q 27017:2016(JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範)が提供する"管理策及び実施の手引"の適用に関する記述のうち、適切なものはどれか。	◯
問4	テクノロジ	安全・安心なIT社会を実現するために創設された制度であり、IPA"中小企業の情報セキュリティ対策ガイドライン"に沿った情報セキュリティ対策に取り組むことを中小企業が自己宣言するものはどれか。	◯
問5	テクノロジ	SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち、適切なものはどれか。	◯
問6	テクノロジ	JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)では、組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている。適用宣言書の作成に関する記述のうち、適切なものはどれか。	◯
問7	テクノロジ	JIS Q 27000:2014(情報セキュリティマネジメントシステム−用語)におけるリスク分析の定義はどれか。	◯
問8	テクノロジ	JIS Q 27014:2015(情報セキュリティガバナンス)における、情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち、適切なものはどれか。	◯
問9	テクノロジ	IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に記載されている、基本方針、対策基準、実施手順から成る組織の情報セキュリティポリシに関する記述のうち、適切なものはどれか。	◯
問10	テクノロジ	情報セキュリティ管理を推進する取組みa〜dのうち、IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"において、経営者がリーダシップを発揮し自ら行うべき取組みとして示されているものだけを全て挙げた組合せはどれか。〔情報セキュリティ管理を推進する取組み〕 a. 情報セキュリティ監査の目的を有効かつ効率的に達成するために、監査計画を立案する。 b. 情報セキュリティ対策の有効性を維持するために、対策を定期又は随時に見直す。 c. 情報セキュリティ対策を組織的に実施する意思を明確に示すために、方針を定める。 d. 情報セキュリティの新たな脅威に備えるために、最新動向を収集する。	◯
問11	テクノロジ	情報の取扱基準の中で、社外秘情報の持出しを禁じ、周知した上で、従業員に情報を不正に持ち出された場合に、"社外秘情報とは知らなかった"という言い訳をさせないことが目的の一つになっている対策はどれか。	◯
問12	テクノロジ	軽微な不正や犯罪を放置することによって、より大きな不正や犯罪が誘発されるという理論はどれか。	◯
問13	テクノロジ	ゼロデイ攻撃の特徴はどれか。	◯
問14	テクノロジ	ボットネットにおけるC&Cサーバの役割として、適切なものはどれか。	◯
問15	テクノロジ	マルウェア Wanna Cryptor(WannaCry) に関する記述として、適切なものはどれか。	◯
問16	テクノロジ	業務への利用には、会社の情報システム部門の許可が本来は必要であるのに、その許可を得ずに勝手に利用されるデバイスやクラウドサービス、ソフトウェアを指す用語はどれか。	◯
問17	テクノロジ	セキュアブートの説明はどれか。	◯
問18	テクノロジ	インターネットと社内サーバの間にファイアウォールが設置されている環境で、時刻同期の通信プロトコルを用いて社内サーバの時刻をインターネット上の時刻サーバの正確な時刻に同期させる。このとき、ファイアウォールで許可すべき時刻サーバとの間の通信プロトコルはどれか。	◯
問19	テクノロジ	利用者PCがボットに感染しているかどうかをhostsファイルの改ざんの有無で確認するとき、hostsファイルが改ざんされていないと判断できる設定内容はどれか。ここで、hostsファイルの設定内容は1行だけであり、利用者及びシステム管理者は、これまでにhostsファイルを変更していないものとする。	◯
問20	テクノロジ	公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組合せの組みのうち、適切なものはどれか。	◯
問21	テクノロジ	APTの説明はどれか。	◯
問22	テクノロジ	A社のWebサーバは、サーバ証明書を使ってTLS通信を行っている。PCからA社のWebサーバへのTLSを用いたアクセスにおいて、当該PCがサーバ証明書を入手した後に、認証局の公開鍵を利用して行う動作はどれか。	◯
問23	テクノロジ	従量課金制のクラウドサービスにおけるEDoS(Economic Denial of Service、又はEconomic Denial of Sustainability)攻撃の説明はどれか。	◯
問24	テクノロジ	伝達したいメッセージを画像データなどのコンテンツに埋め込み、埋め込んだメッセージの存在を秘匿する技術はどれか。	◯
問25	テクノロジ	アプリケーションソフトウェアにディジタル署名を施す目的はどれか。	◯
問26	テクノロジ	データベースで管理されるデータの暗号化に用いることができ、かつ、暗号化と復号とで同じ鍵を使用する暗号化方式はどれか。	◯
問27	テクノロジ	暗号方式に関する説明のうち、適切なものはどれか。	◯
問28	ストラテジ	共通脆弱性評価システム(CVSS)の特徴として、適切なものはどれか。	◯
問29	テクノロジ	SSHの説明はどれか。	◯
問30	テクノロジ	WAF(Web Application Firewall)のブラックリスト又はホワイトリストの記述のうち、適切なものはどれか。	◯
問31	ストラテジ	サイバーセキュリティ基本法において定められたサイバーセキュリティ戦略本部は、どの機関に置かれているか。	◯
問32	ストラテジ	不正アクセス禁止法で規定されている、"不正アクセス行為を助長する行為の禁止"規定によって規制される行為はどれか。	◯
問33	ストラテジ	電子署名法に関する記述のうち、適切なものはどれか。	◯
問34	ストラテジ	Webページの著作権に関する記述のうち、適切なものはどれか。	◯
問35	ストラテジ	ボリュームライセンス契約の説明はどれか。	◯
問36	マネジメント	金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(平成23年)"におけるITの統制目標の一つである"信頼性"はどれか。	◯
問37	マネジメント	JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。	◯
問38	マネジメント	外部委託管理の監査に関する記述のうち、最も適切なものはどれか。	◯
問39	マネジメント	システム監査において、電子文書の真正性の検証に電子証明書が利用できる公開鍵証明書取得日、電子署名生成日及び検証日の組合せはどれか。なお、公開鍵証明書の有効期間は4年間とし、当該期間中の公開鍵証明書の更新や失効は考慮しない前提とする。	◯
問40	マネジメント	合意されたサービス提供時間が7:00〜19:00であるシステムにおいて、ある日の16:00にシステム障害が発生し、サービスが停止した。修理は21:00まで掛かり、当日中にサービスは再開できなかった。当日のサービスは予定どおり7:00から開始され、サービス提供の時間帯にサービスの計画停止は行っていない。この日の可用性は何%か。ここで、可用性は小数点以下を切り捨てるものとする。	◯
問41	マネジメント	ITサービスマネジメントにおいて、SMS(サービスマネジメントシステム)の効果的な計画立案、運用及び管理を確実にするために、SLAやサービスカタログを文書化し、維持しなければならないのは誰か。	◯
問42	マネジメント	ITサービスマネジメントにおいて、一次サポートグループが二次サポートグループにインシデントの解決を依頼することを何というか。ここで、一次サポートグループは、インシデントの初期症状のデータを収集し、利用者との継続的なコミュニケーションのための、コミュニケーションの役割を果たすグループであり、二次サポートグループは、専門的技能及び経験をもつグループである。	◯
問43	マネジメント	ソフトウェア開発プロジェクトにおいてWBS(Work Breakdown Structure)を使用する目的として、適切なものはどれか。	◯
問44	テクノロジ	信頼性設計に関する記述のうち、フェールセーフの説明はどれか。	◯
問45	テクノロジ	データベースの監査ログを取得する目的として、適切なものはどれか。	◯
問46	テクノロジ	TCP/IPネットワークのトランスポート層におけるポート番号の説明として、適切なものはどれか。	◯
問47	ストラテジ	データサイエンティストの主要な役割はどれか。	◯
問48	ストラテジ	ディジタルディバイドの解消のために取り組むべきことはどれか。	◯
問49	ストラテジ	企画、要件定義、システム開発、ソフトウェア実装、ハードウェア実装、保守から成る一連のプロセスにおいて、要件定義プロセスで実施すべきものはどれか。	◯
問50	ストラテジ	リーダシップのスタイルは、その組織の状況に合わせる必要がある。組織の状況とリーダシップのスタイルの関係に次のことが想定できるとすると、スポーツチームの監督のリーダシップのスタイルのうち、図中のdと考えられるものはどれか。〔組織の状況とリーダシップのスタイルの関係〕組織は発足当時、構成員や仕組みの成熟度が低いので、リーダが仕事本位のリーダシップで引っ張っていく。成熟度が上がるにつれ、リーダと構成員の人間関係が培われ、仕事本位から人間関係本位のリーダシップに移行していく。更に成熟度が進むと、構成員は自主的に行動できるようになり、仕事本位、人間関係本位のリーダシップがいずれも弱まっていく。	◯