企業情報管理士認定試験 サンプル問題
第2回(平成20年10月12日実施)の試験からの抜粋問題となります。
抜粋問題は50問ですが、実際の試験は100問です。
課題T 経営情報化戦略
- 問題3.
- 以下の文章は、エンタープライズアーキテクチャに関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
企業の経営戦略に沿って効率的にITを活用するために、企業の業務活動における手順や情報システムを標準化し、適切な体制を整えること、あるいはその体制や組織構造のことをエンタープライズアーキテクチャ(EA)という。企業がエンタープライズアーキテクチャを導入するためには、経営戦略に沿った業務活動、情報システムやそこで扱う情報などの複数の要素を階層化して明らかにし、現在の状況と将来の目標を設定する。
エンタープライズアーキテクチャを構成する要素は、基本的に「ビジネス」「( a )」「( b )」「( c )」の4つに分類される。ビジネスとは、実際の業務のことである。ワークフロー図などを利用して、業務に必要な手順を明らかにすることができる。作成したワークフロー図をもとに、E-R図などを活用してモデル化することで、企業内で活用する(a)がわかる。一方、(b)とは、企業内で利用している情報システムのことである。また、情報システムで利用しているOSやソフトウェアなどを洗い出すことで、企業内で用いられている(c)を把握する。
| ア. | a.アプリケーション | b.データ | c.プロセス |
|---|
| イ. | a.技術 | b.プロセス | c.アプリケーション |
|---|
| ウ. | a.プロセス | b.技術 | c.アプリケーション |
|---|
| エ. | a.データ | b.アプリケーション | c.技術 |
|---|
正解:エ
エンタープライズアーキテクチャに関する記述は、次のとおりである。
企業の経営戦略に沿って効率的にITを活用するために、企業の業務活動における手順や情報システムを標準化し、適切な体制を整えること、あるいはその体制や組織構造のことをエンタープライズアーキテクチャ(EA)という。企業がエンタープライズアーキテクチャを導入するためには、経営戦略に沿った業務活動、情報システムやそこで扱う情報などの複数の要素を階層化して明らかにし、現在の状況と将来の目標を設定する。
エンタープライズアーキテクチャを構成する要素は、基本的に「ビジネス」「データ」「アプリケーション」「技術」の4つに分類される。ビジネスとは、実際の業務のことである。ワークフロー図などを利用して、業務に必要な手順を明らかにすることができる。作成したワークフロー図をもとに、E-R図などを活用してモデル化することで、企業内で活用するデータがわかる。一方、アプリケーションとは、企業内で利用している情報システムのことである。また、情報システムで利用しているOSやソフトウェアなどを洗い出すことで、企業内で用いられている技術を把握する。
エンタープライズアーキテクチャ(EA:Enterprise Architecture)とは、経営戦略に沿って効率的にITを活用するために、企業の業務の手順や情報システムを標準化して、適切な体制を整えること、あるいはその体制や組織構造のことである。エンタープライズアーキテクチャは、基本的に「ビジネス」「データ」「アプリケーション」「技術」という4つの要素から構成される。
| a. | E-R図は、業務に用いるデータを、実体とその関連によって表してモデル化する手法である。また、「企業内で活用する」という文より、「データ」が該当することがわかる。 |
| b. | エンタープライズアーキテクチャの要素である「アプリケーション」は、企業内で利用している情報システムのことである。 |
| c. | エンタープライズアーキテクチャの要素である「技術」は、情報システムで利用するOSやソフトウェアなど、企業内で活用している技術のことを指す。 |
- 問題5.
- 以下の文章を読み、PMBOKの説明として、適切なものを1つ選びなさい。
| ア. | プロジェクトにおいて必要となる作業をすべて洗い出し、詳細な構成図を作成する手法。 |
|---|
| イ. | プロジェクトだけでなくプログラムを視野に入れて、プロジェクトを管理するためのフレームワーク。 |
|---|
| ウ. | スコープ、スケジュール、コストなどの項目により、プロジェクトを統合的に管理するためのフレームワーク。 |
|---|
| エ. | コストとスケジュールという項目から、プロジェクトの進行を定量的に評価して管理するためのフレームワーク。 |
|---|
正解:ウ
PMBOK(the Project Management Body Of Knowledge)は、米国プロジェクトマネジメント協会が提唱したプロジェクトマネジメントのためのフレームワークである。PMBOKでは、プロジェクトにおいて「スコープ」「スケジュール」「コスト」「品質」「人的資源」「コミュニケーション」「リスク」「調達」という8個の項目を統合的にマネジメントする。
| ア. | WBS(Work Breakdown Structure)の記述である。 |
|---|
| イ. | P2Mの記述である。 |
|---|
| ウ. | 正しい記述である。 |
|---|
| エ. | EVM(Earned Value Management)の記述である。 |
|---|
▲ページのトップへ戻る
課題U コンプライアンス
- 問題7.
- 以下の文章は、不正競争行為に対する差止請求に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
不正競争により営業上の利益を侵害され、またはそのおそれがある者は、その侵害の停止または( a )を請求できる。これを差止請求権という。この請求をするときには、例えば、他人の営業秘密である技術情報を用いて製作された商品の廃棄を請求できる。
差止請求権は、不正競争行為によって営業上の利益を侵害され、またはそのおそれがある者が、不当競争行為の事実や行為者を知ったときから( b )のうちに請求しない場合には、( c )によって消滅する。また、その行為の開始のときから( d )を経過したときも、同様に消滅する。
| ア. | a.予防 | b.5年間 | c.除斥 | d.10年間 |
|---|
| イ. | a.防止 | b.3年間 | c.時効 | d.20年間 |
|---|
| ウ. | a.予防 | b.3年間 | c.時効 | d.10年間 |
|---|
| エ. | a.防止 | b.5年間 | c.除斥 | d.20年間 |
|---|
正解:ウ
不正競争行為に対する差止請求に関する記述は、次のとおりである。
不正競争により営業上の利益を侵害され、またはそのおそれがある者は、その侵害の停止または予防を請求できる。これを差止請求権という。この請求をするときには、例えば、他人の営業秘密である技術情報を用いて製作された商品の廃棄を請求できる。
差止請求権は、不正競争行為によって営業上の利益を侵害され、またはそのおそれがある者が、不当競争行為の事実や行為者を知ったときから3年間のうちに請求しない場合には、時効によって消滅する。また、その行為の開始のときから10年間を経過したときも、同様に消滅する。
- 問題9.
- 以下の文章を読み、営業秘密の不正取得による不正競争に該当しない行為を1つ選びなさい。
| ア. | 詐欺や強迫などの不正の手段によって取得された営業秘密を使用し、もしくは開示する行為。 |
|---|
| イ. | 不正の手段によって取得された営業秘密について、不正に取得されたものであることを知らないで営業秘密を取得した行為。 |
|---|
| ウ. | 不正の手段によって取得された営業秘密について、不正に取得されたものであることを重大な過失により知らないで開示する行為。 |
|---|
| エ. | 営業秘密を取得した後に、その営業秘密について不正取得行為が介在していたことを知って、その取得した営業秘密を開示する行為。 |
|---|
正解:イ
| ア. | 窃取、詐欺、強迫その他不正の手段により営業秘密を取得する行為、または不正取得行為によって取得した営業秘密を使用し、もしくは開示する行為は不正競争に該当する(不正競争防止法第2条1項4号)。 |
|---|
| イ. | 該当しない。営業秘密について、不正取得行為が介在したことを知って、もしくは重大な過失で知らないで営業秘密を取得した行為は不正競争の類型1つである(同法同条同項5号)。知らないことに重大な過失がなければ、不正競争とはならない。 |
|---|
| ウ. | 重大な過失により知らないで営業秘密を取得し、または、その取得した営業秘密を使用し、若しくは開示する行為は、不正競争に該当する(同法同条同項5号)。 |
|---|
| エ. | 取得した後にその営業秘密について不正取得行為が介在したことを知って、または重大な過失により知らないでその取得した営業秘密を使用し、または開示する行為は、不正競争に該当する(同法同条同項6号)。 |
|---|
- 問題11.
- 以下の文章は、知的財産権に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
知的財産基本法第2条1項では、「知的財産」とは、( a )、考案 植物の新品種、意匠、著作物その他の人間の( b )により生み出されるもの、商標、商号その他( c )に用いられる商品または役務を表示するもの及び営業秘密その他の(c)に有用な技術上または営業上の情報をいうと規定している。さらに、同法同条2項では、「知的財産権」とは、特許権、実用新案権、育成者権、意匠権、著作権、商標権その他の知的財産に関して法令により定められた権利または法律上保護される利益に係る権利をいうと規定している。
この知的財産権は、特許権や著作権などの創作的意欲の促進を目的したものと、商標権や商号などの使用者の( d )を目的したものとに分けられる。
| ア. | a.発明 | b.事業活動 | c.創造的活動 | d.権利保護 |
|---|
| イ. | a.発明 | b.創造的活動 | c.事業活動 | d.信用維持 |
|---|
| ウ. | a.実用新案 | b.事業活動 | c.創造的活動 | d.信用維持 |
|---|
| エ. | a.実用新案 | b.創造的活動 | c.事業活動 | d.権利保護 |
|---|
正解:イ
知的財産権に関する記述は、次のとおりである。
知的財産基本法第2条1項では、「知的財産」とは、発明、考案 植物の新品種、意匠、著作物その他の人間の創造的活動により生み出されるもの、商標、商号その他事業活動に用いられる商品または役務を表示するもの及び営業秘密その他の事業活動に有用な技術上または営業上の情報をいうと規定している。さらに、同法同条2項では、「知的財産権」とは、特許権、実用新案権、育成者権、意匠権、著作権、商標権その他の知的財産に関して法令により定められた権利または法律上保護される利益に係る権利をいうと規定している。
この知的財産権は、特許権や著作権などの創作的意欲の促進を目的したものと、商標権や商号などの使用者の信用維持を目的したものとに分けられる。
- 問題13.
- 以下の文章を読み、著作者人格権に含まれないものを1つ選びなさい。
| ア. | 著作物(映画を除く)を、その原作品または複製物(映画の複製物を除く)の譲渡により公衆に提供する権利。 |
|---|
| イ. | 著作物の原作品に、またはその著作物を公衆へ提供または提示する際に、著作者名を表示する権利、または表示しない権利。 |
|---|
| ウ. | 著作物を公表するか否か、仮に公表するとしたらいつ公表するか、どのような方法で公表するかなどを決定する権利。 |
|---|
| エ. | 著作物の内容などの改変は、著作者のみが行うことができ、他人がこれを行うことを許さないとする権利。 |
|---|
正解:ア
| ア. | 含まれない。
これは譲渡権である。著作財産権(著作権)の1つである。 |
|---|
| イ. | 含まれる。
これは氏名表示権である。著作者人格権の1つである。 |
|---|
| ウ. | 含まれる。
これは公表権である。著作者人格権の1つである。 |
|---|
| エ. | 含まれる。
これは同一性保持権である。著作者人格権の1つである。 |
|---|
- 問題15.
- 以下の文章は、産業財産権(工業所有権)に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
特許法は、発明の保護及び利用を図ることにより、発明を奨励し、産業の発達に寄与することを目的としている。発明は、( a )を利用した( b )の創作のうち、高度なものとされている。
実用新案法は、物品の形状、構造または組合せに係る考案の保護及び利用を図ることにより、その考案を奨励し、産業の発達に寄与することを目的としている。考案も、(a)を利用した (b)の創作をいうが、高度なものでなくてもよい。
特許権の存続期間は、特許の登録出願の日から( c )で、実用新案権の存続期間は、実用新案の登録出願の日から( d )でそれぞれ終了する。
| ア. | a.物理法則 | b.科学的思想 | c.10年 | d.20年 |
|---|
| イ. | a.自然法則 | b.科学的思想 | c.20年 | d.10年 |
|---|
| ウ. | a.物理法則 | b.技術的思想 | c.10年 | d.20年 |
|---|
| エ. | a.自然法則 | b.技術的思想 | c.20年 | d.10年 |
|---|
正解:エ
産業財産権(工業所有権)に関する記述は、次のとおりである。
特許法は、発明の保護及び利用を図ることにより、発明を奨励し、産業の発達に寄与することを目的としている。発明は、自然法則を利用した技術的思想の創作のうち、高度なものとされている。
実用新案法は、物品の形状、構造または組合せに係る考案の保護及び利用を図ることにより、その考案を奨励し、産業の発達に寄与することを目的としている。考案も、自然法則を利用した技術的思想の創作をいうが、高度なものでなくてもよい。
特許権の存続期間は、特許の登録出願の日から20年で、実用新案権の存続期間は、実用新案の登録出願の日から10年でそれぞれ終了する。
- 問題17.
- 以下の文章は、個人情報保護法の目的に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
個人情報保護法は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、( a )の責務等を明らかにするとともに、( b )の遵守すべき義務等を定めることにより、個人情報の( c )に配慮しつつ、個人の( d )を保護することを目的としている。
個人情報を取り扱う際には、個人情報の保護と活用のバランスを図ることが重要であるが、(b)による個人情報の適正な取扱いのルールを遵守させることで、個人の(d)の侵害を未然に防止することにもねらいがある。
| ア. | a.国及び地方公共団体 | b.個人情報取扱事業者 | c.可用性 | d.プライバシー権 |
|---|
| イ. | a.国及び地方公共団体 | b.個人情報取扱事業者 | c.有用性 | d.権利利益 |
|---|
| ウ. | a.個人情報取扱事業者 | b.国及び地方公共団体 | c.有用性 | d.プライバシー権 |
|---|
| エ. | a.個人情報取扱事業者 | b.国及び地方公共団体 | c.可用性 | d.権利利益 |
|---|
正解:イ
個人情報保護法の目的に関する記述は、次のとおりである。
個人情報保護法は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報取扱事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としている。
個人情報を取り扱う際には、個人情報の保護と活用のバランスを図ることが重要であるが、個人情報取扱事業者による個人情報の適正な取扱いのルールを遵守させることで、個人の権利利益の侵害を未然に防止することにもねらいがある。
- 問題19.
- 以下の文章を読み、「個人情報保護法」及び「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省ガイドライン)」における個人情報の利用目的の特定や利用目的の制限について、誤っているものを1つ選びなさい。
| ア. | 個人情報を利用する場合には、あらかじめ、どのような利用目的で利用するかを特定しなければならず、「サービスの向上のため」など、できる限り特定した記述が必要である。 |
|---|
| イ. | 個人情報の利用目的が特定されていて、利用目的の達成に必要な範囲内で利用する場合でも、その内容がほかの法律で許されていなければ利用できない。 |
|---|
| ウ. | 個人情報の利用目的を変更する場合には、変更された利用目的を本人に通知するか、またはその内容を公表しなければならない。 |
|---|
| エ. | 合併による事業の承継にともなって、個人情報取扱事業者が個人情報を取得した場合には、承継前の利用目的の範囲内であれば、特別の措置を講じていなくても利用できる。 |
|---|
正解:ア
| ア. | 誤った記述である。
利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱事業者において、最終的にどのような目的で個人情報を利用するかをできる限り具体的に特定する必要がある(経済産業省ガイドライン)。「事業活動のため」「サービス向上のため」では、できる限り特定したことにはならない。 |
|---|
| イ. | 正しい記述である。
個人情報取扱事業者は、特定された利用目的の達成に必要な範囲で個人情報を取り扱うことができる。しかし、利用目的が特定されていて、利用目的の達成に必要な範囲内で利用する場合でも、その内容がほかの法律で許されていなければ利用できない。 |
|---|
| ウ. | 正しい記述である。
利用目的を変更する場合には、変更された利用目的を本人に通知するか、または公表しなければならない。さらに目的外利用の場合には、利用する前にあらかじめ本人の同意を得る必要がある。 |
|---|
| エ. | 正しい記述である。
個人情報取扱事業者が、合併、分社化などによって、ほかの個人情報取扱事業者から事業の承継にともなって、個人情報を取得した場合は、承継前の利用目的内であれば特に措置を講じていなくても、その利用が可能である。 |
|---|
- 問題21.
- 以下の文章を読み、個人情報保護法における個人データの第三者提供の例外として、あらかじめ本人の同意がなくても、第三者に個人データを提供できる場合に該当しないものを1つ選びなさい。ただし、本人の同意を得ることが困難であるときを前提とする。
| ア. | 公衆衛生や児童の健全育成に必要な場合。 |
|---|
| イ. | 警察などから刑事訴訟法にもとづく捜査関係事項の照会があった場合。 |
|---|
| ウ. | 事業者の業務の適正な実施に支障を及ぼすおそれがある場合。 |
|---|
| エ. | 大規模災害などの緊急時に、患者の家族などから医療機関に対して患者に関する情報提供をする場合。 |
|---|
正解:ウ
| ア. | 該当する記述である。 |
|---|
| イ. | 該当する記述である。
法令にもとづく場合である。警察や検察などから刑事訴訟法にもとづく捜査関係事項の照会があった場合などがある。 |
|---|
| ウ. | 該当しない記述である。
保有個人データの開示が不要な場合の例である。 |
|---|
| エ. | 該当する記述である。
人の生命、身体、財産の保護に必要な場合である。 |
|---|
- 問題24.
- 以下の文章は、情報セキュリティ対策の制度に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
( a )制度とは、( b )(財団法人日本情報処理開発協会)がはじめたもので、わが国における情報セキュリティ全体の向上に貢献し、諸外国から信頼される情報セキュリティレベルを達成することを目的としている。この制度の認証を受けるメリットの1つとして、運用により、従業者の情報セキュリティに対する意識の向上や責任の明確化が進み、企業の( c )の向上にもつながる。
また、この制度の運営機関である(b)は、制度の運用と維持管理に加えて、認証機関及び( d )の認定などの業務を行う。
| ア. | a.ISMS適合性評価 | b.JIPDEC | c.コンプライアンス | d.要員認証機関 |
|---|
| イ. | a.NISM資格 | b.JIS | c.サービス | d.認定機関 |
|---|
| ウ. | a.NISM資格 | b.JIPDEC | c.コンプライアンス | d.認定機関 |
|---|
| エ. | a.ISMS適合性評価 | b.JIS | c.サービス | d.要員認証機関 |
|---|
正解:ア
情報セキュリティ対策の制度に関する記述は、次のとおりである。
ISMS適合性評価制度とは、JIPDEC(財団法人日本情報処理開発協会)がはじめたもので、わが国における情報セキュリティ全体の向上に貢献し、諸外国から信頼される情報セキュリティレベルを達成することを目的としている。この制度の認証を受けるメリットの1つとして、運用により、従業者の情報セキュリティに対する意識の向上や責任の明確化が進み、企業のコンプライアンスの向上にもつながる。
また、この制度の運営機関であるJIPDECは、制度の運用と維持管理に加えて、認証機関及び要員認証機関の認定などの業務を行う。
- 問題25.
- 以下の文章は、コンピュータ犯罪に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
刑法第234条の2は、人の業務に使用する電子計算機もしくはその用に供する電磁的記録を損壊し、もしくは人の業務に使用する電子計算機に( a )もしくは( b )を与え、またはその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、または使用目的に反する動作をさせて、人の業務を妨害した者は、( c )の懲役または( d )の罰金に処すると規定している。これは、コンピュータを損壊したり、コンピュータに(a)や(b)を与える行為によって、人がコンピュータを用いて行う業務を妨害する行為を処罰するものである。
| ア. | a.虚偽の情報 | b.虚偽の指令 | c.10年以下 | d.100万円以下 |
|---|
| イ. | a.不正の情報 | b.不正な指令 | c.5年以下 | d.50万円以下 |
|---|
| ウ. | a.虚偽の情報 | b.不正な指令 | c.5年以下 | d.100万円以下 |
|---|
| エ. | a.不正の情報 | b.虚偽の指令 | c.10年以下 | d.50万円以下 |
|---|
正解:ウ
コンピュータ犯罪に関する記述は、次のとおりである。
刑法第234条の2は、人の業務に使用する電子計算機もしくはその用に供する電磁的記録を損壊し、もしくは人の業務に使用する電子計算機に虚偽の情報もしくは不正な指令を与え、またはその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、または使用目的に反する動作をさせて、人の業務を妨害した者は、5年以下の懲役または100万円以下の罰金に処すると規定している。これは、コンピュータを損壊したり、コンピュータに虚偽の情報や不正な指令を与える行為によって、人がコンピュータを用いて行う業務を妨害する行為を処罰するものである。
- 問題27.
- 以下の文章を読み、不正アクセス行為の禁止等に関する法律について、最も適切なものを1つ選びなさい。
| ア. | アクセス管理者が不正アクセス行為を受けたときに、経済産業大臣に援助を申し込み、必要と認められた場合には、不正アクセス行為の再発防止のための援助措置を受けられる。 |
|---|
| イ. | 他人のIDやパスワードを本人に無断で第三者に電子メールで開示することは、アクセス制御機能によって制限されている特定利用できる状態にする不正アクセス行為である。 |
|---|
| ウ. | アクセス制御機能を有する特定電子計算機に電気通信回線を通じて、アクセス制御機能による特定利用の制限を免れる情報を入力して、制限されている特定利用できる状態にすることは不正アクセス行為である。 |
|---|
| エ. | アクセス管理者は、IDやパスワードなどの識別符号の適正な管理に努め、常にアクセス制御機能の有効性を検証する義務を負っている。 |
|---|
正解:ウ
| ア. | 誤った記述である。
経済産業大臣ではなく、都道府県公安委員会に援助を申し込み、必要と認められれば、不正アクセス行為の再発防止のための援助措置を受けられる。 |
|---|
| イ. | 誤った記述である。
他人のIDやパスワードを電子メールで教えることは、それを利用して誰でも容易に不正アクセス行為を行うことができるようになるので、不正アクセス行為を助長する行為の禁止に該当する。 |
|---|
| ウ. | 適切な記述である。 |
|---|
| エ. | 誤った記述である。
アクセス管理者は、常にアクセス制御機能の有効性を検証し、必要に応じてアクセス制御機能の高度化などの措置を講ずるように努めることが求められるが、義務はない。 |
|---|
- 問題29.
- 以下の文章を読み、内部統制の基本的要素に関して、誤っているものを1つ選びなさい。
| ア. | 統制活動の方針は、全社的な職務分掌規程やシステム管理規程などの、全体にわたって標準的かつ統一的に定めるべき方針と、業務マニュアルやシステム運用のマニュアルなどのような組織内の各部門や活動ごとに定めるべき方針とに大きく分けられる。 |
|---|
| イ. | IT環境とは、組織の活動に必然的にかかわる内外のITの利用状況のことであって、このIT環境を適切に理解し、ITの利用及び統制について適切な対応を行わなければならない。 |
|---|
| ウ. | 統制環境とは、通常の業務から独立した視点で、定期的または随時に行われる内部統制の評価であって、経営者や監査役などが維持するものである。 |
|---|
| エ. | 企業活動では、必要な情報が特定される必要があり、適時かつ適切に職務の遂行に必要な情報を識別し、情報の内容及び信頼性を把握し、利用可能な形式にして整理することが重要となる。 |
|---|
正解:ウ
| ア. | 正しい記述である。
統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続きのことであり、特に職務の分掌によって相互に牽制をさせることが重要である。 |
|---|
| イ. | 正しい記述である。
ITへの対応では、組織の目標を達成するためには、あらかじめ適切な方針及び手続きを定める必要があり、業務の実施において、組織の内外のITに対し、適切に対応しなければならない。 |
|---|
| ウ. | 誤った記述である。
統制環境とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、そのほかの基本的要素の基礎をなし、影響を及ぼすものである。選択肢の記述は、モニタリング(監視活動)の独立的評価の内容である。 |
|---|
| エ. | 正しい記述である。
情報と伝達とは、必要な情報が識別され、把握及び処理され、組織の内外及び関係者相互に正しく伝えられることを確保しなければならないことである。 |
|---|
- 問題31.
- 以下の文章を読み、金融商品取引法にもとづく内部統制に関して、誤っているものを1つ選びなさい。
| ア. | 内部統制報告書には、内部統制の整備及び運用に関する事項、内部統制の有効性に関する評価の範囲、評価時点及び評価手続きなどを記載する必要がある。 |
|---|
| イ. | 内部統制に重要な欠陥があっても金融商品取引法違反にはならず、内部統制報告書の重要な事項に虚偽の記載をした場合にも、罰則の対象とはならない。 |
|---|
| ウ. | 財務報告にかかわる内部統制の有効性に関する経営者の評価を記載した内部統制報告書に対しては、公認会計士や監査法人の監査証明が義務づけられている。 |
|---|
| エ. | 上場有価証券の発行者である企業は、事業年度ごとに内部統制報告書と有価証券報告書を内閣総理大臣に提出しなければならない。 |
|---|
正解:イ
| ア. | 正しい記述である。
内部統制報告書には、ほかに評価結果や付記事項などを記載する。 |
|---|
| イ. | 誤った記述である。
内部統制報告書の重要な事項について虚偽の記載をした場合には、罰則の対象となる。 |
|---|
| ウ. | 正しい記述である。
内部統制報告書に対しては、公認会計士や監査法人の監査証明(内部統制監査)が義務づけられている。 |
|---|
| エ. | 正しい記述である。 |
|---|
- 問題33.
- 以下の文章は、製造物責任法に関する記述である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
製造物責任法は、製造物の( a )により、人の生命、身体などにかかわる被害が生じた場合における製造業者等の損害賠償の責任について定めている。製造業者とは、製造物を業として、製造、加工または( b )した者である。製造業者は、当該製造物を( c )時点における科学または技術に関する知見によっては、当該製造物にその(a)があることを認識できなかったことを証明したときは、賠償の責任を負わない。
また、製造物責任法による損害賠償の請求権は、被害者またはその( d )が損害及び賠償義務者を知った時から3年間行わないときは、時効によって消滅する。
| ア. | a.欠陥 | b.輸出 | c.製造した | d.保佐人 |
|---|
| イ. | a.瑕疵 | b.輸入 | c.引き渡した | d.保佐人 |
|---|
| ウ. | a.欠陥 | b.輸入 | c.引き渡した | d.法定代理人 |
|---|
| エ. | a.瑕疵 | b.輸出 | c.製造した | d.法定代理人 |
|---|
正解:ウ
製造物責任法に関する記述は、次のとおりである。
製造物責任法は、製造物の欠陥により、人の生命、身体などにかかわる被害が生じた場合における製造業者等の損害賠償の責任について定めている。製造業者とは、製造物を業として、製造、加工または輸入した者である。製造業者は、当該製造物を引き渡した時点における科学または技術に関する知見によっては、当該製造物にその欠陥があることを認識できなかったことを証明したときは、賠償の責任を負わない。
また、製造物責任法による損害賠償の請求権は、被害者またはその法定代理人が損害及び賠償義務者を知った時から3年間行わないときは、時効によって消滅する。
- 問題35.
- 以下の文章を読み、労働基準法に関して、誤っているものを1つ選びなさい。
| ア. | 労働関係の当事者は、労働基準法で定める労働条件の基準を理由として労働条件を低下させてはならない。 |
|---|
| イ. | 使用者は、雇入れの日から起算して6ヶ月間継続勤務し、全労働日の8割以上を出勤した労働者に対して、継続し、または分割した10日間の有給休暇を与えなければならない。 |
|---|
| ウ. | 労働条件は、労働者が人たるに値する生活を営むための必要を充たすべきものでなければならない。 |
|---|
| エ. | 使用者は、労働契約の締結に際し、労働者に対して、賃金、労働時間その他の労働条件を明示することまでの必要はない。 |
|---|
正解:エ
| ア. | 正しい記述である。
労働基準法第1条2項。また、労働条件の向上を図るように努めなければならない。 |
|---|
| イ. | 正しい記述である。
労働基準法第39条1項。 |
|---|
| ウ. | 正しい記述である。
労働基準法第1条1項。 |
|---|
| エ. | 誤った記述である。
使用者は明示しなければならない。労働基準法第15条1項。 |
|---|
▲ページのトップへ戻る
課題V リスクマネジメント
- 問題37.
- 以下のリスクの分類に関する文章を読み、誤っているものを1つ選びなさい。
| ア. | リスクは、発生場所によって分類できる。従業者による情報漏えいや企業内の事故などは内的リスク、外部からの不正アクセスや自然災害などは外的リスクに分類される。 |
|---|
| イ. | リスクは、発生時の損失の有無によって分類できる。新規事業や新商品開発などは純粋リスク、災害や事故などは投機的リスクに分類される。 |
|---|
| ウ. | リスクは、企業活動にもとづいて分類できる。業務における情報システム障害や機械の故障などはオペレーショナルリスク、株の暴落や不良債権などは財務リスクに分類される。 |
|---|
| エ. | リスクは、人為的要素の有無によって分類できる。自然災害などは静的リスク、犯罪やテロなどは動的リスクに分類される。 |
|---|
正解:イ
リスクにはさまざまな分類方法がある。リスクによる損失の有無で、純粋リスクと投機リスクに分類される。純粋リスクは、損失のみが発生するリスクのことで、災害や事故などが原因として挙げられる。情報セキュリティでは、純粋リスクを扱う。一方、投機的リスクは、損失だけでなく、利益を得られる可能性があるリスクのことである。新規事業や新商品開発などは、投機的リスクに分類される。
- 問題38.
- 経済産業省が公表した「リスク新時代の内部統制〜リスクマネジメントと一体となって機能する内部統制の指針〜」では、リスクを事業機会に関連するリスクと事業活動の遂行に関連するリスクに分類している。以下のリスクのうち、事業活動の遂行に関連するリスクに分類されないものを1つ選びなさい。
| ア. | 法令違反など、コンプライアンスに関するリスク。 |
|---|
| イ. | ネットワーク障害など、情報システムに関するリスク。 |
|---|
| ウ. | 工場廃液処理による汚染や自然災害など、モノや環境などに関するリスク。 |
|---|
| エ. | 新製品開発の成否など、商品開発戦略に関するリスク。 |
|---|
正解:エ
経済産業省は、2003年に「リスク新時代の内部統制〜リスクマネジメントと一体となって機能する内部統制の指針〜」を公表している。この指針では、リスクを「企業が将来生み出す収益に対して影響を与えると考えられる事象発生の不確実性」と定義し、事業機会に関連するリスクと事業活動の遂行に関連するリスクに分類している。
事業活動の遂行に関連するリスクとは、文字どおり、事業活動を行ううえで発生する可能性のリスクのことである。前述の指針では、例として次のものが挙げられている。
・コンプライアンスに関するリスク
・財務報告に関するリスク
・商品の品質に関するリスク
・情報システムに関するリスク
・事務手続きに関するリスク
・モノ、環境等に関するハザードリスク
選択肢エの「新製品開発の成否など、商品開発戦略に関するリスク」は、商品開発という新しい事業に関するリスクである。そのため、事業機会に関連するリスクに分類される。
- 問題39.
- リスクマネジメントシステムの構築のための指針であるJIS Q 2001:2001で規定されている7つの原則のうち、組織の最高経営者が行うとされているものを1つ選びなさい。
| ア. | リスクマネジメントシステム方針を実行するために計画を策定すること。 |
|---|
| イ. | リスクマネジメントのパフォーマンスの測定、監視、評価を行い、リスクマネジメントシステムの有効性を評価すること。 |
|---|
| ウ. | パフォーマンスや有効性の評価にもとづいて、リスクマネジメントシステムを構成する要素の是正や改善を行うこと。 |
|---|
| エ. | 全体的なリスクマネジメントのパフォーマンスを改善するために、リスクマネジメントを見直し、継続的に改善すること。 |
|---|
正解:エ
JIS Q 2001:2001(「リスクマネジメントシステム構築のための指針」)では、リスクマネジメントシステムを構築するための7つの原則を規定している。このうち、原則6は「組織の最高経営者によるレビュー」を行うことを定めたものであり、「全体的なリスクマネジメントパフォーマンスを改善する目的で、そのリスクマネジメントを見直し、継続的に改善することが望ましい」としている。
- 問題41.
- 以下のリスク分析に関する文章を読み、最も適切なものを1つ選びなさい。
| ア. | リスク分析は、TR Q 0008:2003において、「リスク因子を特定するための、及びリスクを算定するための系統的使用」と定義されており、具体的にはリスク因子の特定、リスク算定、リスクの受容を行う。 |
|---|
| イ. | リスク因子とは、情報資産の脅威とぜい弱性を組み合わせたもので、クライシスともいう。また、リスク因子の特定とは、具体的には、情報資産に対する脅威とぜい弱性を特定して評価することである。 |
|---|
| ウ. | 情報資産を洗い出し、脅威、ぜい弱性を特定した後に、それぞれの評価基準を定める。情報資産については、その価値について機密性、完全性、可用性の観点からレベルを設定する。 |
|---|
| エ. | リスク分析の手法は、定性的リスク分析と定量的リスク分析に大別される。リスク対策の予算を決定するために、すべてのリスクについて定量的リスク分析を必ず行わなければならない。 |
|---|
正解:ウ
リスク分析では、情報資産を洗い出し、脅威、ぜい弱性を特定した後に、それぞれの評価基準を定める。情報資産の価値については、機密性、完全性、可用性の観点からレベルを設定する。
| ア. | 誤った記述である。
TR Q 0008:2003の定義では、リスク分析には、リスク因子の特定とリスク算定が含まれる。 |
|---|
| イ. | 誤った記述である。
リスク因子は脅威とぜい弱性を組み合わせたもので、ハザードとも呼ぶ。 |
|---|
| ウ. | 正しい記述である。 |
|---|
| エ. | 誤った記述である。
リスク分析にはさまざまな手法があり、組織の規模や情報資産の量などに応じて必要な手法を利用すればよい。定量的リスク分析手法を必ず利用しなければならないという決まりはない。 |
|---|
- 問題43.
- 以下の文章は、リスク分析手法のベースラインアプローチに関する内容である。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
ISO/IEC TR 13335では、定性的リスク分析手法として4つの手法を規定している。
その1つであるベースラインアプローチでは、まず、セキュリティ関連の基準やガイドラインにもとづいて、独自にセキュリティ対策基準(ベースライン)を策定する。ベースラインが( a )すぎると、組織のセキュリティが( b )なる可能性がある。次に、情報資産のリスク分析を行い、ベースラインとどれだけ乖離しているか、ギャップ分析を行う。
ベースラインアプローチは、情報資産ごとにリスクを細かく評価するわけではない。時間やコストがあまりかからないというメリットがあるが、情報資産の量が多く、高いレベルの情報セキュリティ対策を要求される状況では、十分に要件を満たさないこともある。そのため、ISO/IEC TR 13335では、ベースラインアプローチと( c )を併用する( d )を推奨している。
| ア. | a.低 | b.不十分に | c.詳細リスク分析 | d.組合せアプローチ |
|---|
| イ. | a.低 | b.厳格に | c.組合せアプローチ | d.非形式的アプローチ |
|---|
| ウ. | a.高 | b.実現可能に | c.詳細リスク分析 | d.組合せアプローチ |
|---|
| エ. | a.高 | b.低水準に | c.非形式的アプローチ | d.詳細リスク分析 |
|---|
正解:ア
リスク分析手法のベースラインアプローチに関する内容は、次のとおりである。
ISO/IEC TR 13335では、定性的リスク分析手法として4つの手法を規定している。
その1つであるベースラインアプローチでは、まず、セキュリティ関連の基準やガイドラインにもとづいて、独自にセキュリティ対策基準(ベースライン)を策定する。ベースラインが低すぎると、組織のセキュリティが不十分になる可能性がある。次に、情報資産のリスク分析を行い、ベースラインとどれだけ乖離しているか、ギャップ分析を行う。
ベースラインアプローチは、情報資産ごとにリスクを細かく評価するわけではない。時間やコストがあまりかからないというメリットがあるが、情報資産の量が多く、高いレベルの情報セキュリティ対策を要求される状況では、十分に要件を満たさないこともある。そのため、ISO/IEC TR 13335では、ベースラインアプローチと詳細リスク分析を併用する組合せアプローチを推奨している。
ISO/IEC TR 13335(TR X 0036)、通称GMITS(Guidelines for the Management of IT Security)で規定している4つのリスク分析手法について問う問題である。ベースラインアプローチ、詳細リスク分析、組合せアプローチ、非形式的アプローチのそれぞれの特徴を理解しておきたい。
ベースラインアプローチは、セキュリティ関連の基準やガイドラインにもとづいて、独自のセキュリティ対策基準(ベースライン)を策定し、それに沿ってリスク分析を行う方法である。設定したベースラインが高すぎると、セキュリティ対策が実現不可能なものになったり、低すぎるとセキュリティが不十分になったりする可能性がある。
ISO/IEC TR 13335では、ベースラインアプローチと詳細リスク分析を組み合わせて行う組合せアプローチが推奨されている。
- 問題45.
- 以下のリスクの受容に関する文章を読み、最も適切なものを1つ選びなさい。
| ア. | リスク評価では、リスク算定で算出するリスク値をリスク受容基準と比較し、受容可能なリスクかどうかを判断する。そのため、リスク分析後にその結果にもとづいてリスク受容基準を定めなければならない。 |
|---|
| イ. | リスク受容基準は、情報システム部門だけでなく、各部門の意見を取り入れたうえで決定する必要がある。また、最終的に、情報セキュリティ責任者の承認を得なければならない。 |
|---|
| ウ. | リスク受容基準は、組織における情報セキュリティ対策方針の1つである。一度決めたら変更することは難しいため、なるべく多くの人が時間をかけて決定すべきである。 |
|---|
| エ. | 受容可能と判断されたリスクについては、それがリスク受容基準以下であるかどうかを定期的に確認する必要がある。リスク受容基準を超えている場合には、再度リスク評価などのアセスメントを行う。 |
|---|
正解:エ
リスクに対して具体的な対策を講じないことを、リスクの受容という。
ISMSでは、Planフェーズにおいてリスクアセスメントに対する取組み方を定義する際に、リスク受容基準を設定し、受容可能レベルを設定する。リスク分析後、リスクを評価する際に、リスク算定によって算出されたリスク値をリスク受容基準と比較し、受容可能なリスクなのかを判断する。受容するリスクについては、定期的にリスク受容基準以下であるかどうかを確認し、リスク受容基準を超えている場合には再度リスク評価などのアセスメントを行う必要がある。
| ア. | 誤った記述である。
リスク受容基準は、リスク分析を行う前に、リスクアセスメントの取組み方を定義する際に定める。 |
|---|
| イ. | 誤った記述である。
リスクの受容は経営者の意思決定により行わなければならないため、情報セキュリティ責任者ではなく、経営者による承認が必要である。 |
|---|
| ウ. | 誤った記述である。
リスクマネジメントは、PDCAサイクルに沿って継続的に改善しながら運用していかなければならない。そのため、リスク受容可能なレベルも、組織、技術、事業の目的とプロセス、脅威などの変化を考慮してレビューし、状況に応じて変えていく必要がある。 |
|---|
| エ. | 正しい記述である。 |
|---|
- 問題47.
- 一般的に、リスク対応はリスクコントロールとリスクファイナンスに大別される。以下の事例のうち、リスクファイナンスの事例には分類されないものを1つ選びなさい。
| ア. | データセンターの設備やシステムへの被害に備えて、保険会社と地震デリバティブ契約を結んだ。 |
|---|
| イ. | 情報システムが停止すると業務に多大な損害が発生するため、コンピュータ保守保険に加入した。 |
|---|
| ウ. | ある業務で立ち上げたWebサイトには不正侵入のリスクがあるが、リスク受容基準未満であるため、万が一発生したときの調査費用を年度予算に計上した。 |
|---|
| エ. | あるプロジェクトにおいて、まったく予期せぬ情報漏えいが発生し、取引先企業に賠償金を支払うことになった。 |
|---|
正解:エ
リスクファイナンスとは、リスクが発生したときの損害を経済的に補償する対応のことである。リスクの保有や、保険などによるリスクの移転がリスクファイナンスに分類される。
この問題では、選択肢アとイは「保険」という用語から、リスク対応として保険によるリスク移転を選択していることがわかる。また、選択肢ウでは、「リスク受容基準未満」「予算に計上」という記述から、リスク対応としてリスクの保有を選択していると判断できる。これらはリスクファイナンスの事例である。
選択肢エは「予期せぬ情報漏えい」による損失であり、保険や予算などの経済的な対応策で補填されるものではないため、リスクファイナンスの事例とはいえない。
- 問題50.
- 下図は、トレッドウェイ委員会組織委員会が2004年に発表した、全社的リスクマネジメントのためのフレームワークの構造を示したものであり、4つの目的、8つの構成要素、4つの事業体が立方体を形成するようなイメージで表される。図中のaに入るものを1つ選びなさい。
| ア. | コンプライアンス | イ. | 戦略 | ウ. | 統制活動 | エ. | 事業単位 |
|---|
正解:ウ
全社的リスクマネジメント(ERM:Enterprise Risk Management)とは、企業の業務活動に関するあらゆるリスクについて、企業が全体的な視点で統合的かつ戦略的にリスクマネジメントを行うことである。
2004年、トレッドウェイ委員会組織委員会(COSO:Committee of Sponsoring Organizations of the Treadway Commission)は、全社的リスクマネジメントのフレームワークとして、COSO ERMを発表した。COSO ERMの構造は、4つの目的、8つの構成要素、4つの事業体から形成される立方体で表される。
選択肢ア「コンプライアンス」と選択肢イ「戦略」はCOSO ERMにおける目的に、選択肢エ「事業単位」は事業体に含まれる。
▲ページのトップへ戻る
課題W 安全管理措置対策
- 問題51.
- 以下の表は、JIS Q 13335における、情報セキュリティの3要素とその内容を示したものである。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
| 要素 | 内容 |
|---|
| ( a )性 | 資産の正確さ及び(a)さを保護する特性のことである。 |
|---|
| ( b )性 | 認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可または非公開にする特性のことである。 |
|---|
| ( c )性 | 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性のことである。 |
|---|
| ア. | a.機密 | b.可用 | c.完全 |
|---|
| イ. | a.完全 | b.機密 | c.可用 |
|---|
| ウ. | a.完全 | b.可用 | c.機密 |
|---|
| エ. | a.機密 | b.完全 | c.可用 |
|---|
正解:イ
JIS Q 13335における、情報セキュリティの3要素とその内容は、次の表のとおりである。
| 要素 | 内容 |
|---|
| 完全性 | 資産の正確さ及び完全さを保護する特性のことである。 |
|---|
| 機密性 | 認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可または非公開にする特性のことである。 |
|---|
| 可用性 | 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性のことである。 |
|---|
- 問題53.
- 以下の情報セキュリティマネジメントシステム(ISMS)に関する文章を読み、誤っているものを1つ選びなさい。
| ア. | ISMSとは、情報セキュリティを確保・維持するための技術、管理、運用のことであり、JIS Q 27002においては、マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実績、手順、プロセス及び経営資源が含まれるとしている。 |
|---|
| イ. | ISMSを企業のリスクマネジメントの一部としてとらえると、許容されるコストで、情報システムに影響を及ぼす可能性があるリスクを識別、管理し、最小限に抑えて除去する過程を指す。 |
|---|
| ウ. | ISMSを全社的に行うためには、経営者を頂点とするのではなく、それぞれの部門の従業者によってボトムアップし、組織的に情報セキュリティ対策に取り組む必要がある。 |
|---|
| エ. | ISMSは、情報セキュリティを対象とする経営管理活動の一環であるため、一過性のセキュリティ対策では不十分であり、継続的に取り組まなければならない。 |
|---|
正解:ウ
JIS Q 27002:2006において、ISMS(情報セキュリティマネジメントシステム)とは「マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分」としている。
| ア. | 正しい記述である。 |
|---|
| イ. | 正しい記述である。 |
|---|
| ウ. | 誤った記述である。
ISMSを全社的に行うためには、経営者を頂点としてトップダウン方式によって、組織的に情報セキュリティ対策に取り組む必要がある。 |
|---|
| エ. | 正しい記述である。 |
|---|
- 問題55.
- 以下の情報セキュリティ対策に関する文章を読み、適切なものを1つ選びなさい。
| ア. | 事前対策とは、リスク発生の可能性がある、あるいはぜい弱性が認められる情報資産に対し、直接的に対策を実施するため、確実性が高い。 |
|---|
| イ. | 抑制策とは、リスク発生の可能性がある、あるいはぜい弱性が認められる情報資産に対し、物理的・環境的対策として広く採用されている。 |
|---|
| ウ. | 事前対策の一例として、来訪者を装った不正侵入を防ぐため、ゲストカードの記入を必須とする対策が挙げられる。 |
|---|
| エ. | 抑制策の一例として、業者を装った不正侵入を防ぐため、オフィスの入り口に入退管理装置を設置することが挙げられる。 |
|---|
正解:ア
情報セキュリティに関し、目的や行動で分類される対策として、事前対策と抑制策がある。
| ア. | 適切な記述である。 |
|---|
| イ. | 誤った記述である。
抑制策とは、リスク発生の可能性がある、あるいはぜい弱性が認められる情報資産に対し、直接的に対策を講じることができない、あるいは対策の実施が困難である場合、間接的または代替的に講じる対策を指すものである。主に、人的セキュリティの対策として、広く採用されている。 |
|---|
| ウ. | 誤った記述である。
事前対策の一例として、従業者や来訪者などを装った不正侵入を防ぐため、オフィスの入り口に入退管理装置を設置することが挙げられる。 |
|---|
| エ. | 誤った記述である。
抑制策の一例として、来訪者を装った不正侵入を防ぐため、ゲストカードの記入を必須とする対策が挙げられる。 |
|---|
- 問題57.
- 一般的な情報セキュリティ委員会の機能や役割として、該当しないものを1つ選びなさい。
| ア. | 情報セキュリティポリシーの策定、承認、見直し |
|---|
| イ. | 最高情報セキュリティ責任者が必要と認める事項の検討 |
|---|
| ウ. | 個人情報の本人からの苦情・相談の対応窓口 |
|---|
| エ. | 対外的な情報セキュリティ対策に関する連携や協力 |
|---|
正解:ウ
一般的な情報セキュリティ委員会の機能や役割として、次の事項が挙げられる。
・情報セキュリティポリシーの策定、承認、見直し
・最高情報セキュリティ責任者が必要と認める事項の検討
・対外的な情報セキュリティ対策に関する連携や協力
・情報セキュリティポリシーに規定された対策の推進と運用状況の点検
・緊急時に置ける対策の検討 など
なお、個人情報の本人からの苦情・相談の対応窓口については、個人情報取扱事業者における個人情報保護の推進体制で、実務を担う仕組みの一部となる。
- 問題59.
- 以下の表は、規程文書の種類とその内容を示したものである。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
| 種類 | 内容 |
|---|
情報セキュリティ
( a ) | 情報セキュリティの目標や、それを達成するためにとるべき行動を、企業の内外に宣言するものである。また、(b)などで規定されていないケースが生じた場合に、(a)を判断基準として対応する。 |
|---|
情報セキュリティ
( b ) | (a)で策定した目的のために、何を実施しなければならないのか、具体的な規程やルールを記述するものであり、情報セキュリティポリシーの根幹を形成するものである。 |
|---|
情報セキュリティ
( c ) | (b)で規定した管理策を実施するにあたり、どのように実施すべきか、その詳細を記述するものである。つまり、マニュアル的な位置づけでもあるため、(a)や(b)に規定されているもののうち、特に強調すべき箇所については、解説書として抜き出すと効果的である。 |
|---|
| ア. | a.対策基準 | b.基本方針 | c.実施手順 |
|---|
| イ. | a.基本方針 | b.実施手順 | c.対策基準 |
|---|
| ウ. | a.実施手順 | b.対策基準 | c.基本方針 |
|---|
| エ. | a.基本方針 | b.対策基準 | c.実施手順 |
|---|
正解:エ
情報セキュリティ対策に関する規程文書の種類とその内容は、次の表のとおりである。
| 種類 | 内容 |
|---|
情報セキュリティ
基本方針 | 情報セキュリティの目標や、それを達成するためにとるべき行動を、企業の内外に宣言するものである。また、対策基準などで規定されていないケースが生じた場合に、基本方針を判断基準として対応する。 |
|---|
情報セキュリティ
対策基準 | 基本方針で策定した目的のために、何を実施しなければならないのか、具体的な規程やルールを記述するものであり、情報セキュリティポリシーの根幹を形成するものである。 |
|---|
情報セキュリティ
実施手順 | 対策基準で規定した管理策を実施するにあたり、どのように実施すべきか、その詳細を記述するものである。つまり、マニュアル的な位置づけでもあるため、基本方針や対策基準に規定されているもののうち、特に強調すべき箇所については、解説書として抜き出すと効果的である。 |
|---|
- 問題61.
- 以下の文章は、情報資産の洗い出しに関する内容である。( )に入る最も適切な語句の組合せを、ア〜エで答えなさい。
情報セキュリティを確保するためには、情報資産を明確にする必要がある。情報資産を把握するために、情報資産の洗い出し、分類、( a )を行う。さらに、生成・利用・保存・廃棄の4つのプロセスで情報をとらえる情報の( b )に沿って、情報資産を適切に管理しなければならない。
なお、JIS Q 27002では、情報資産の洗い出しを行う際は、情報のオーナーである情報の( c )の設置を推奨している。(c)の役割として、情報資産の評価、(a)の指定、取扱いの制限や開示範囲を決定することなどが挙げられる。
| ア. | a.格付け | b.リフレッシュサイクル | c.利用者 |
|---|
| イ. | a.排他制御 | b.ライフサイクル | c.利用者 |
|---|
| ウ. | a.格付け | b.ライフサイクル | c.管理責任者 |
|---|
| エ. | a.排他制御 | b.リフレッシュサイクル | c.管理責任者 |
|---|
正解:ウ
情報セキュリティ対策において、情報資産の洗い出しに関する内容は、次のとおりである。
情報セキュリティを確保するためには、情報資産を明確にする必要がある。情報資産を把握するために、情報資産の洗い出し、分類、格付けを行う。さらに、生成・利用・保存・廃棄の4つのプロセスで情報をとらえる情報のライフサイクルに沿って、情報資産を適切に管理しなければならない。
なお、JIS Q 27002では、情報資産の洗い出しを行う際は、情報のオーナーである情報の管理責任者の設置を推奨している。管理責任者の役割として、情報資産の評価、格付けの指定、取扱いの制限や開示範囲を決定することなどが挙げられる。
- 問題63.
- 以下の表は、JIS Q 13335-1における脅威の分類とその例を示したものである。( )に入る最も適切な用語の組合せを、ア〜エで答えなさい。
| 人間 | ( c ) |
|---|
| ( a ) | ( b ) |
|---|
盗聴
情報の改ざん
システムのハッキング
悪意のあるコード
盗難 | 誤り及び手抜かり
ファイルの削除
不正な経路
物理的事故 | 地震
火災
洪水
落雷 |
| ア. | a.組織的 | b.意図的 | c.環境 |
|---|
| イ. | a.意図的 | b.偶発的 | c.環境 |
|---|
| ウ. | a.技術的 | b.組織的 | c.偶発的 |
|---|
| エ. | a.物理的 | b.技術的 | c.偶発的 |
|---|
正解:イ
JIS Q 13335-1における脅威の分類とその例は、次の表のとおりである。
| 人間 | 環境 |
|---|
| 意図的 | 偶発的 |
|---|
盗聴
情報の改ざん
システムのハッキング
悪意のあるコード
盗難 | 誤り及び手抜かり
ファイルの削除
不正な経路
物理的事故 | 地震
火災
洪水
落雷 |
- 問題65.
- 以下の電話によるなりすましへの対策に関する文章を読み、最も不適切なものを1つ選びなさい。
| ア. | 支社の担当者を名乗る者から、開発中の製品に関する問合せがあった場合、本人確認をした後に一旦電話を切り、相手の身元を確認した後、所属長の指示に従い回答する。 |
|---|
| イ. | 取引先を名乗る者から、所属長の連絡先に関する問合せがあった場合は、相手の連絡先を確認した後に一旦電話を切り、所属長本人から相手に連絡を入れるようにする。 |
|---|
| ウ. | アウトソーシングしているシステム管理会社の担当者を名乗る者から、システムにログインするパスワードに関する問合せがあった場合、連絡先を確認した後に一旦電話を切り、相手から聞き出した電話番号にかけ直してから回答する。 |
|---|
| エ. | 支社の担当者を名乗る者から、システムにログインするパスワードに関する問合せがあった場合、社内ルールに従い、電話での回答は禁止されている旨を告げ、その場では回答を行わないようにする。 |
|---|
正解:ウ
| ア. | 適切な記述である。 |
|---|
| イ. | 適切な記述である。 |
|---|
| ウ. | 不適切な記述である。
アウトソーシングしているシステム管理会社の担当者を名乗る者から、システムにログインするパスワードに関する問合せがあった場合、本人の身元を確認した後に一旦電話を切り、アウトソーシングを委託した際の契約書などに記載されている電話番号や、一般的な電話帳から調べた番号にかけ直す。その際、所属長などの指示を仰ぐことが望ましい。
なお、相手から聞き出した電話番号にかけ直しても、その電話番号の信憑性は保証されていないため、危険性が高い対応となる。 |
|---|
| エ. | 適切な記述である。 |
|---|
- 問題67.
- 以下の文章は、非開示契約に関する内容である。( )に入る最も適切な語句の組合せを、ア〜エで答えなさい。
非開示契約とは、秘密保持契約、守秘義務契約、( a )と同義で用いられることが多く、個人情報などの機密性の高い情報を、許可なく第三者に開示させない旨を遵守させる契約である。従業者は非開示契約締結の対象となり、機密情報を取り扱う業務を委託する際は、委託先をその対象として含める( b )。
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」においては、個人情報保護に関する契約と営業秘密に関する秘密保持契約など、取扱いの範囲が異なる情報については峻別することが望ましいと記載されている。その際、それぞれの契約は、( c )としている。
| ア. | a.NDA | b.必要はない | c.別書面であることが必須 |
|---|
| イ. | a.RFP | b.必要はない | c.別書面であるか否かは問わない |
|---|
| ウ. | a.RFP | b.必要がある | c.別書面であることが必須 |
|---|
| エ. | a.NDA | b.必要がある | c.別書面であるか否かは問わない |
|---|
正解:エ
非開示契約に関する内容は、次のとおりである。
非開示契約とは、秘密保持契約、守秘義務契約、NDAと同義で用いられることが多く、個人情報などの機密性の高い情報を、許可なく第三者に開示させない旨を遵守させる契約である。従業者は非開示契約締結の対象となり、機密情報を取り扱う業務を委託する際は、委託先をその対象として含める必要がある。
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」においては、個人情報保護に関する契約と営業秘密に関する秘密保持契約など、取扱いの範囲が異なる情報については峻別することが望ましいと記載されている。その際、それぞれの契約は、別書面であるか否かは問わないとしている。
- 問題69.
- 以下の情報セキュリティ対策における従業者の教育・訓練のカリキュラムに関する文章を読み、不適切なものを1つ選びなさい。
| ア. | 教育・訓練は、企業のセキュリティ方針や、そのねらいを紹介するために設計された研修プロセスから開始すると効果的である。 |
|---|
| イ. | 最近報道されたセキュリティ事件など、実例を挙げた内容を教育に盛り込むことは効果的である。しかし、社内で発生したヒヤリハット事例などを取り上げることにより、従業者に不安を与える場合があるため、社内の事例を教育内容にフィードバックさせるべきではない。 |
|---|
| ウ. | 教育・訓練の内容として、情報システムへのログイン手順や、インターネットの利用を含む情報処理設備の正しい利用、アプリケーションソフトの利用などに関する具体的な内容を盛り込むと効果的である。 |
|---|
| エ. | 教育・訓練の内容は、法令などの新規制定及び改定、社会情勢の変化や技術の進歩、業務フローの変更などに応じて、柔軟に見直すことが望ましい。 |
|---|
正解:イ
情報セキュリティ対策における従業者の教育・訓練の内容については、法令などの新規制定及び改定、社会情勢の変化や技術の進歩、業務フロー変更などに応じて、柔軟に随時見直す必要がある。
| ア. | 適切な記述である。 |
|---|
| イ. | 不適切な記述である。
最近報道されたセキュリティ事件など、実例を挙げた内容を教育に盛り込むことは効果的である。また、社内で発生したヒヤリハット事例や、事故・事件が発生した場合も、教育内容にフィードバックすることが望ましく、再発防止などの効果も併せ持つ。 |
|---|
| ウ. | 適切な記述である。 |
|---|
| エ. | 適切な記述である。 |
|---|
- 問題70.
- 以下のモニタリングに関する文章を読み、誤っているものを1つ選びなさい。
| ア. | モニタリングの実施は、ルール違反を検出するだけではなく、ルールが適正に機能しているかどうかを確認するという目的も併せもつ。 |
|---|
| イ. | モニタリングの実施方法として、情報システムへのアクセスログの取得、Web閲覧記録の取得、電子メールの検閲、ペネトレーションテストの実施などが挙げられる。 |
|---|
| ウ. | モニタリングによって取得した情報は、従業者の個人情報を含む可能性があるため、顧客情報や機密情報などと同等の安全管理措置が求められる。 |
|---|
| エ. | モニタリング実施の際は、その目的を事前に特定して社内規定として定め、事前に従業者に周知する必要がある。 |
|---|
正解:イ
モニタリングの実施方法として、次のような内容が挙げられる。
・入退管理の記録及び監視カメラによる撮影
・情報システムへのアクセスログの取得
・Web閲覧記録の取得
・電子メールの検閲
・電話の発信先の記録及びFAXの送受信の記録
なお、ペネトレーションテストとは、コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の1つであり、システムを実際に攻撃して侵入を試みる手法として、技術的安全管理措置において実施する対策に分類される。
- 問題71.
- 以下の派遣社員や契約社員の受入れに関する文章を読み、誤っているものを1つ選びなさい。
| ア. | 派遣先企業は、派遣社員を受け入れて業務に従事させることにより、他の従業者(社員)と同等の情報セキュリティに関する管理策を実施する必要がある。 |
|---|
| イ. | 契約社員や嘱託社員、派遣社員であっても、社員と同等の情報セキュリティに関する教育・訓練を実施すべきである。 |
|---|
| ウ. | 契約社員や嘱託社員についても、社員と同様にモニタリングを実施すべきであるが、派遣社員については直接雇用の関係にないため、モニタリングを実施してはならない。 |
|---|
| エ. | 派遣社員は、直接雇用の関係にないため、就業規則での罰則が適用されない。そのため、派遣先企業は、派遣元企業との間で、非開示契約を締結しなければならない。 |
|---|
正解:ウ
派遣社員や契約社員、嘱託社員などにおいても、他の従業者(社員)と同様に、情報セキュリティ対策に関する監督を実施しなければならない。また、雇用期間の長さや機密情報に触れる機会が少ない場合であっても、情報セキュリティの教育及び訓練も実施するべきである。
| ア. | 正しい記述である。 |
|---|
| イ. | 正しい記述である。 |
|---|
| ウ. | 誤った記述である。
直接雇用の有無に関わらず、派遣社員についても、他の従業者と同様にモニタリングを実施する必要がある。 |
|---|
| エ. | 正しい記述である。 |
|---|
- 問題75.
- 以下の文章は、入退管理装置などに関する内容である。( )に入る最も適切な語句の組合せを、ア〜エで答えなさい。
入退管理の認証には、( a )や( b )などの装置を、各エリアの境界に設置して併用すると効果的である。
(a)とは、ゲート型入退管理装置であり、装置の通過時に1人ずつ認証を行い、不正通行を検知すると警報音が鳴り、ゲートが制御され侵入を阻止する。認証の媒体として、主にICカードを利用し、駅の改札などと同様の仕組みとなっている。
一方、(b)とは、主に回転筒型ドアの構造のものが多く、ゲート内には同時に1人しか入ることのできない入退管理装置である。認証により通過が許可されると、入り口側のゲートを開放し、内部を一旦密室にして、1人であることを確認した後、出口側のゲートを開放する。
また、高度なセキュリティエリアには監視モニターを設置し、不審者の監視などを行う。( c )エリアには、センサーと連動させ、侵入者の関知や警告、追跡などを行い、さらに同時に録画も行う。
| ア. | a.サークルゲート | b.フラッパーゲート | c.常に許可された者が立ち入る |
|---|
| イ. | a.フラッパーゲート | b.サークルゲート | c.通常は無人となる |
|---|
| ウ. | a.チェーンゲート | b.フラッパーゲート | c.通常は無人となる |
|---|
| エ. | a.フラッパーゲート | b.チェーンゲート | c.常に許可された者が立ち入る |
|---|
正解:イ
入退管理装置などに関する内容は、次のとおりである。
入退管理の認証には、フラッパーゲートやサークルゲートなどの装置を、各エリアの境界に設置して併用すると効果的である。
フラッパーゲートとは、ゲート型入退管理装置であり、装置の通過時に1人ずつ認証を行い、不正通行を検知すると警報音が鳴り、ゲートが制御され侵入を阻止する。認証の媒体として、主にICカードを利用し、駅の改札などと同様の仕組みとなっている。
一方、サークルゲートとは、主に回転筒型ドアの構造のものが多く、ゲート内には同時に1人しか入ることのできない入退管理装置である。認証により通過が許可されると、入り口側のゲートを開放し、内部を一旦密室にして、1人であることを確認した後、出口側のゲートを開放する。
また、高度なセキュリティエリアには監視モニターを設置し、不審者の監視などを行う。通常は無人となるエリアには、センサーと連動させ、侵入者の関知や警告、追跡などを行い、さらに同時に録画も行う。
- 問題77.
- 以下のクリアデスクポリシーに関する文章を読み、誤っているものを1つ選びなさい。
| ア. | クリアデスクポリシーとは、BSIが規定する、企業や団体向け情報システムセキュリティ管理ガイドラインであるBS7799で提唱されており、個人の端末におけるセキュリティ管理の概念がもととなっている。 |
|---|
| イ. | クリアデスクポリシーの具体例として、業務で使用したノートパソコンを退出時にキャビネットなどに入れて保管する、離席する際は机の上の書類を引き出しやキャビネットにしまうことなどが挙げられる。 |
|---|
| ウ. | クリアデスクポリシーの徹底により、書類の紛失や盗難を未然に防ぐことができるだけでなく、のぞき見なども防ぐことができる。 |
|---|
| エ. | CDやDVDなどの記憶媒体は、媒体単体では直接的に情報を見ることができないことから、のぞき見の危険はないため、これらはクリアデスクポリシーの対象とはならない。 |
|---|
正解:エ
クリアデスクポリシーとは、BSIが規定する、企業や団体向け情報システムセキュリティ管理ガイドラインであるBS7799で提唱されており、個人の端末におけるセキュリティ管理の概念がもととなっている。具体例として、業務で使用したノートパソコンを退出時にキャビネットなどに入れて保管する、離席する際は机の上の書類を引き出しやキャビネットにしまうことなどが挙げられる。
| ア. | 正しい記述である。 |
|---|
| イ. | 正しい記述である。 |
|---|
| ウ. | 正しい記述である。 |
|---|
| エ. | 誤った記述である。
CDやDVDなどの記憶媒体は、媒体単体では直接的に情報を見ることができないことから、のぞき見の危険は少ないが、紛失や盗難などの危険が考えられる。そのため、クリアデスクポリシーに則り、書類などと同様に、キャビネットなどに入れて保管する、離席する際は机の引き出しにしまうなどの対策が必要となる。 |
|---|
- 問題79.
- 以下の地震における脅威とその対策に関する文章を読み、適切なものを1つ選びなさい。
| ア. | 大規模な地震が発生した際、建物の倒壊だけではなく、電気やガス、水道の断絶や、交通機関の停止が考えられるが、通信に関してはその影響を受けることはない。 |
|---|
| イ. | 大規模な地震のみに関する対策を講じればよく、ライフラインに関する障害が発生しない限り、頻発する小規模な地震や中規模程度の地震に関しては対策を講じる必要はない。 |
|---|
| ウ. | 大規模な地震に備え、耐震や免震、防震などの構造を採用し、バックアップなどのためにシステムを二重化することが望ましい。 |
|---|
| エ. | 地震発生時にパソコン本体などが転倒してしまった場合は、外観に損傷が見られなければ継続して稼働させても問題はないが、外観の損傷を未然に防ぐため、転倒防止の器具を取り付けることが望ましい。 |
|---|
正解:ウ
| ア. | 不適切な記述である。
大規模な地震が発生した際、建物の倒壊だけではなく、電気やガス、水道、通信などの断絶や、交通機関の停止など、ライフラインへの甚大な影響が生じることが予測される。 |
|---|
| イ. | 不適切な記述である。
地震に関する脅威は、大規模な地震のみならず、中規模程度の地震であっても存在する。特に、ネットワーク機器や什器の転倒などの物理的な損壊、電気や通信などのインフラに関する障害の発生を考慮に入れるべきである。 |
|---|
| ウ. | 適切な記述である。 |
|---|
| エ. | 不適切な記述である。
地震対策として、サーバやサーバラック、パソコンなどの機器の転倒や落下防止のために、機器に転倒防止の器具を取り付ける。地震発生時にパソコン本体などが転倒してしまった際は、外観に損傷が見られなくても、衝撃により内部にダメージを受けている場合があるため、ハードディスクなどの交換を検討することが望ましい。 |
|---|
- 問題81.
- 以下の文章は、事故や災害などの緊急時における事業継続に関する内容である。( )に入る最も適切な語句の組合せを、ア〜エで答えなさい。
( a )の策定において、事故や火災などの種類にかかわらず、業務を中断させない、あるいは、万が一業務が中断した場合であっても、短期間で回復させるような内容とする必要がある。
そのため、事故や災害が発生した場合の手順や体制、資産などを含む対応計画を策定し、業務プロセスにおける脅威とぜい弱性の分析である( b )を行ったうえで、事業存続のために最も( c )業務プロセスを選定し、対応計画を策定する。
また、( d )においては、(a)を実効性のあるものとするために、復旧時間を設定した教育や訓練の結果を検証し、(a)の策定、導入、運用、見直し、継続的改善などを実施するためのPDCAサイクルにもとづいて取り組まなければならない。
| ア. | a.事業継続計画 | b.JRAM | c.費用対効果が期待できる | d.事業継続管理 |
|---|
| イ. | a.事業継続管理 | b.JRAM | c.優先順位が高い | d.事業継続計画 |
|---|
| ウ. | a.事業継続計画 | b.BIA | c.優先順位が高い | d.事業継続管理 |
|---|
| エ. | a.事業継続管理 | b.BIA | c.費用対効果が期待できる | d.事業継続計画 |
|---|
正解:ウ
事故や災害などの緊急時における事業継続に関する内容は、次のとおりである。
事業継続計画の策定において、事故や火災などの種類にかかわらず、業務を中断させない、あるいは、万が一業務が中断した場合であっても、短期間で回復させるような内容とする必要がある。
そのため、事故や災害が発生した場合の手順や体制、資産などを含む対応計画を策定し、業務プロセスにおける脅威とぜい弱性の分析であるBIA(BIA:Business Impact Analysis=ビジネスインパクト分析)を行ったうえで、事業存続のために最も優先順位が高い業務プロセスを選定し、対応計画を策定する。
また、事業継続管理においては、事業継続計画を実効性のあるものとするために、復旧時間を設定した教育や訓練の結果を検証し、事業継続計画の策定、導入、運用、見直し、継続的改善などを実施するためのPDCAサイクルにもとづいて取り組まなければならない。
- 問題85.
- IPAとJNSAのワーキンググループによる共同定義で、以下のとおり示されているプログラムに該当するものを1つ選びなさい。
利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム
| ア. | トロイの木馬 | イ. | スパイウェア | ウ. | アドウェア | エ. | ワーム |
|---|
正解:イ
スパイウェアは、IPAとJNSAのスパイウェア対策啓発ワーキンググループによる共同定義では、次のように示されている。
利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム
- 問題87〜89.
- 以下の用語は、不正プログラムや、利用方法によっては危険をはらんでいるソフトウェアに関するものである。該当する内容を、下の解答群からそれぞれ1つ選びなさい。
問題87.ボット 問題88.キーロガー 問題89.P2P
【87〜89の解答群】
| ア. | インターネットに接続した不特定多数の利用者間で、データファイルの共有を可能にするソフトウェアである。本来は学術機関や企業の支社間などでデータファイルを共有することを目的としており、正当に利用する限りは有益である。しかし、匿名性が高く、音楽や映像などの著作権のあるデータが無断で交換されるなど、著作権侵害の問題が多い。また、不用意にこのソフトウェアをインストールした結果、秘匿すべき情報が公開されてしまう事故や事件も多発している。 |
|---|
| イ. | ウイルスの一種であり、利用者に気づかれないよう、また、ワクチンソフトに検出されないように、データファイルなどに自らを保存する際に隠蔽工作を行うプログラムのことである。感染したファイルのタイムスタンプの改ざんや、ファイルサイズを改変したり、自らに特殊なスクランブルをかけてデータ部分に混入させるなどの手法を駆使するため、利用者はその存在に気づかないことが多い。 |
|---|
| ウ. | ウイルスの一種であり、ターゲットとなるコンピュータへ侵入・感染し、ネットワーク経由で外部の指令サーバから遠隔操作することを目的として作成されたプログラムのことである。感染すると、外部から与えられた指示によって、内蔵された処理を実行してしまう。指令サーバを中心に、このウイルスに感染した複数のコンピュータによって、ネットワークを形成する。このネットワークを通じて、指令サーバは感染したコンピュータと通信し、迷惑メールの大量送信や、DoS攻撃、ぜい弱性のあるコンピュータの検出、ネットワークへの感染拡大などの不正行為を行う。 |
|---|
| エ. | 本来はシステムの動作テストや自動実行のために、キーボードからの入力情報などを記録するプログラムである。正当に利用する限りは有益であるが、収集したデータを送信する機能やリモートアクセス機能と組み合わせ、情報を不正に収集するプログラムとして悪用されることがある。特に、不特定多数の人が利用するネットカフェなどにこのプログラムが仕掛けられていると、IDやパスワードなどの入力情報が盗み出されることがある。 |
|---|
問題87.正解:ウ、問題88.正解:エ、問題89.正解:ア
不正プログラムや、利用方法によっては危険をはらんでいるソフトウェアに関する内容は、次のとおりである。
| ア. | P2P(Peer to Peer)とはファイル交換ソフトとも呼ばれ、インターネットに接続した不特定多数の利用者間で、データファイルの共有を可能にするソフトウェアである。本来は学術機関や企業の支社間などでデータファイルを共有することを目的としており、正当に利用する限りは有益である。しかし、匿名性が高く、音楽や映像などの著作権のあるデータが無断で交換されるなど、著作権侵害の問題が多い。また、不用意にこのソフトウェアをインストールした結果、秘匿すべき情報が公開されてしまう事故や事件も多発している。 |
|---|
| イ. | ステルスウイルスとは、ウイルスの一種であり、利用者に気づかれないよう、また、ワクチンソフトに検出されないように、データファイルなどに自らを保存する際に隠蔽工作を行うプログラムのことである。感染したファイルのタイムスタンプの改ざんや、ファイルサイズを改変したり、自らに特殊なスクランブルをかけてデータ部分に混入させるなどの手法を駆使するため、利用者はその存在に気づかないことが多い。 |
|---|
| ウ. | ボットとは、ウイルスの一種であり、ターゲットとなるコンピュータへ侵入・感染し、ネットワーク経由で外部の指令サーバから遠隔操作することを目的として作成されたプログラムのことである。感染すると、外部から与えられた指示によって、内蔵された処理を実行してしまう。指令サーバを中心に、このウイルスに感染した複数のコンピュータによって、ネットワークを形成する。このネットワークを通じて、指令サーバは感染したコンピュータと通信し、迷惑メールの大量送信や、DoS攻撃、ぜい弱性のあるコンピュータの検出、ネットワークへの感染拡大などの不正行為を行う。 |
|---|
| エ. | キーロガーとは、本来はシステムの動作テストや自動実行のために、キーボードからの入力情報などを記録するプログラムである。正当に利用する限りは有益であるが、収集したデータを送信する機能やリモートアクセス機能と組み合わせ、情報を不正に収集するプログラムとして悪用されることがある。特に、不特定多数の人が利用するネットカフェなどにこのプログラムが仕掛けられていると、IDやパスワードなどの入力情報が盗み出されることがある。 |
|---|
- 問題91.
- 以下の電子メールの利用やその脅威に関する文章を読み、誤っているものを1つ選びなさい。
| ア. | 電子メールの脅威として、スパムメールが挙げられる。これは、受信者の許可なく、一方的に送りつけられるメールのことである。このようなメールが大量に送りつけられた場合は、メールサーバの機能が低下し、業務に支障が出ることがある。 |
|---|
| イ. | 電子メールの脅威として、フィッシング詐欺が挙げられる。これは、実在する金融機関などを装ったメールを送りつけ、偽装したサイトへ受信者を誘導し、そのサイトで受信者自らIDやクレジットカード番号などを入力するようにし向け、個人情報などを不正に入手する詐欺行為である。 |
|---|
| ウ. | 電子メールを送信する際、宛先のアドレスを誤るだけではなく、宛先の指定方法を誤ると、情報漏えいが発生する場合がある。例えば、同報メールを送信する際、秘匿すべき送信先のアドレスを不用意に「BCC」に指定してしまうと、そのアドレスは受信者全員に公開されることとなる。 |
|---|
| エ. | 電子メールのメールメッセージの末尾に記載するシグネチャには、氏名や所属部署、メールアドレスなどを記載するが、必要以上に自身の個人情報を公開することは控えるべきである。 |
|---|
正解:ウ
| ア. | 正しい記述である。 |
|---|
| イ. | 正しい記述である。 |
|---|
| ウ. | 誤った記述である。
電子メールを送信する際、宛先のアドレスを誤るだけではなく、宛先の指定方法を誤ると、情報漏えいが発生する場合がある。例えば、同報メールを送信する際、秘匿すべき送信先のアドレスを不用意に「CC」に指定してしまうと、そのアドレスは受信者全員に公開されることとなる。「CC」で指定する場合は、「TO」よりも優先順位は低いが、参考までに内容を確認して欲しい相手を指定する際に用いる。一方、「BCC」で指定する場合は、「CC」と同様の目的で用いるが、メールを受け取った本人以外には、送信されたことが秘匿される。つまり、他の受信者に送信されたことを伏せる場合などに指定する。 |
|---|
| エ. | 正しい記述である。 |
|---|
- 問題93.
- 以下の文章は、本人認証の技術に関する内容である。( )に入る最も適切な語句の組合せを、ア〜エで答えなさい。
( a )とは、パスワードを毎回( b )して本人認証を行う技術のことである。認証には、1回限りの使い捨てパスワードを利用する。つまり、本人認証を行うたびに有効なパスワードが変わるので、第三者がパスワードをクラッキングしにくいだけではなく、万が一、パスワードが漏えいしても、それを悪用してシステムに侵入することはできない。
また、煩雑になりがちなパスワード( c )の作業が軽減されるといったメリットもある。
| ア. | a.ワンタイムパスワード | b.推測 | c.入力 |
|---|
| イ. | a.シングルサインオン | b.変更 | c.入力 |
|---|
| ウ. | a.ワンタイムパスワード | b.変更 | c.管理 |
|---|
| エ. | a.シングルサインオン | b.推測 | c.管理 |
|---|
正解:ウ
本人認証の技術に関する内容は、次のとおりである。
ワンタイムパスワードとは、パスワードを毎回変更して本人認証を行う技術のことである。認証には、1回限りの使い捨てパスワードを利用する。つまり、本人認証を行うたびに有効なパスワードが変わるので、第三者がパスワードをクラッキングしにくいだけではなく、万が一、パスワードが漏えいしても、それを悪用してシステムに侵入することはできない。
また、煩雑になりがちなパスワード管理の作業が軽減されるといったメリットもある。
- 問題95.
- 以下のログに関する文章を読み、誤っているものを1つ選びなさい。
| ア. | ログとは、サーバアプリケーションや通信機器などの情報システムへのアクセスや、その作業内容などを記録すること、またはその記録そのものを指すものである。ログを取得する対象によっては、その量が膨大になるため、取得する範囲を決めておくことが重要である。 |
|---|
| イ. | 取得すべきログの項目の例として、システムへのログインに成功した利用者のユーザIDと時間、システムからログオフした利用者のユーザIDと時間、対象となる情報にアクセスした利用者のユーザIDとアクセス内容などが挙げられる。 |
|---|
| ウ. | ログを取得する内容によっては、その量が膨大になることから、システムへのログインに失敗した場合はログを取得しない。それによって、必要となるログの取得量を軽減することができる。 |
|---|
| エ. | 悪意をもってシステムに侵入した際、その痕跡を消すためにログの消去や改ざんを行う場合がある。そのため、二重にログを保存する、ログへのアクセス制御を行うなどにより、ログを保護する必要がある。 |
|---|
正解:ウ
ログとは、サーバアプリケーションや通信機器などの情報システムへのアクセスや、その作業内容などを記録すること、またはその記録そのものを指すものである。ログを取得する対象によっては、その量が膨大になるため、取得する範囲を決めておくことが重要である。
| ア. | 正しい記述である。 |
|---|
| イ. | 正しい記述である。 |
|---|
| ウ. | 誤った記述である。
同じ利用者が何度もログインに失敗している場合、第三者がユーザIDを悪用してシステムへの不正侵入を試みている可能性がある。そのため、ログインについては、成功だけではなく、失敗の場合もログを取得する必要がある。 |
|---|
| エ. | 正しい記述である。 |
|---|
- 問題99.
- 以下の文章は、監査の基準と種類に関する内容である。( )に入る最も適切な語句の組合せを、ア〜エで答えなさい。
経済産業省が策定した情報セキュリティ( a )には、保証型監査と助言型監査の導入、情報セキュリティ対策、ISMSとの整合性などの特徴を持つ。また、情報セキュリティ(a)では、情報セキュリティ( b )と情報セキュリティ( c )、3つのガイドライン、2つのモデルに準拠して監査が行われる。
情報セキュリティ(b)は、監査の際の判断尺度となるものである。ただし、企業内の既存の管理規程など、他の基準を盛り込んでカスタマイズすることができる。また、企業や組織が自ら(b)などを規定する際の拠り所となる。一方、情報セキュリティ(c)は、監査人の行動規範を示すものである。
| ア. | a.監査制度 | b.管理基準 | c.監査基準 |
|---|
| イ. | a.監査基準 | b.監査制度 | c.管理基準 |
|---|
| ウ. | a.管理基準 | b.監査制度 | c.監査基準 |
|---|
| エ. | a.監査制度 | b.監査基準 | c.管理基準 |
|---|
正解:ア
監査の基準と種類に関する内容は、次のとおりである。
経済産業省が策定した情報セキュリティ監査制度には、保証型監査と助言型監査の導入、情報セキュリティ対策、ISMSとの整合性などの特徴を持つ。また、情報セキュリティ監査制度では、情報セキュリティ管理基準と情報セキュリティ監査基準、3つのガイドライン、2つのモデルに準拠して監査が行われる。
情報セキュリティ管理基準は、監査の際の判断尺度となるものである。ただし、企業内の既存の管理規程など、他の基準を盛り込んでカスタマイズすることができる。また、企業や組織が自ら管理基準などを規定する際の拠り所となる。一方、情報セキュリティ監査基準は、監査人の行動規範を示すものである。
- 問題100.
- JIS Q 27001において、以下のとおり定義されており、またその報告の目的を以下のとおり示されているものに該当する用語を1つ選びなさい。
【定義】
望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの
【報告の目的】
情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正措置をとることができるやり方で連絡することを確実にするため
| ア. | デジタルデバイド |
|---|
| イ. | 情報セキュリティインシデント |
|---|
| ウ. | ステートフルパケットインスペクション |
|---|
| エ. | リバースソーシャルエンジニアリング |
|---|
正解:イ
JIS Q 27001において、情報セキュリティインシデントは、以下のとおり定義されており、またその報告の目的を以下のとおり示されている。
【定義】
望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの
【報告の目的】
情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正措置をとることができるやり方で連絡することを確実にするため
▲ページのトップへ戻る
