セキュリティ管理のプロフェッショナルを育成

情報セキュリティ管理士認定試験

サンプル問題

【お知らせ】

【オンラインライブ検定とは】下記の項目をクリックして下さい(該当箇所にジャンプします)



Ⅰ.情報セキュリティ総論

問題1.
情報セキュリティの対応に関する記述のうち、情報セキュリティの要素の一つである「機密性」を直接的に高める具体的な例はどれか。
ア.アクセス権を制限してアクセスできる人や機器を特定する。
イ.Webサーバのデータの改ざんや破壊が行われていないことや、機器の設定内容が不正に書き換えられていないことをチェックする。
ウ.バックアップの機器やデータを用意しておき、脅威が起こった時には切り替えて対応できるようにする。
エ.機密情報を保存しているハードディスクを二重化する。

解答:ア

肢イは「完全性」を高める例であり、肢ウ及び肢エは「可用性」を高める例である。


問題2.
以下の文章を読み、(  )に当てはまる最も適切なものを、選択肢(ア~エ)から1つ選びなさい。

(ア:COO イ:CFO ウ:CPO エ:CTO)とは、個人情報取扱事業者において、個人データの安全管理の実施及び運用に関する責任及び権限を有する者として任命される、個人情報保護管理者のことである。

解答:ウ

CPOとは、個人情報取扱事業者において、個人データの安全管理の実施及び運用に関する責任及び権限を有する者として任命される、個人情報保護管理者のことである。


問題3.
「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)における「不正アクセス行為を助長する行為」に該当する行為はどれか。
ア.コンピュータプログラムの不備をついて、アクセスを試みる
イ.他人のユーザID・パスワードなどを無断で正規のユーザ以外に提供する
ウ.電子メールによりユーザID・パスワードなどを詐取しようとする
エ.スタンドアロンのパソコンのログインパスワードを解読する

解答:イ

コンピュータプログラムの不備をついて、アクセスを試みる行為や、電子メールによりユーザID・パスワードなどを詐取しようとする行為(フィッシングなどを想定)は、「不正アクセス行為」に該当する。また、スタンドアロン(ネットワーク回線に接続されていない)コンピュータに対する不正使用等は、「不正アクセス行為」及び「不正アクセス行為を助長する行為」には該当しない。


問題4.
以下の文章を読み、(  )内のそれぞれに入る最も適切な語句の組合せを、選択肢(ア~エ)から1つ選びなさい。

JIS Q 27000:2019において、「リスク」は「(   )」と定義されている。

ア.目的に対する不確かさの影響
イ.一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点
ウ.システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因
エ.ある一連の周辺状況の出現又は変化

解答:ア

JIS Q 27000:2019において、「リスク」は「目的に対する不確かさの影響」と定義されている。
なお、肢イは「ぜい弱性」肢ウは「脅威」、肢エは「事象」の定義である。


Ⅱ.情報資産に対する脅威と対策①

■モバイル機器利用に関する脅威

問題5.
以下の文章は、モバイル機器利用に関する脅威に関する知識を述べたものである。正しい場合には○、誤っている場合には×としなさい。

スマートフォンは、購入時にインストールされているアプリのみを利用していれば、ウイルス感染などの脅威は発生しない。また、これらのアプリは極めて安全性が高いため、アップデートの通知があった際は、すぐにアップデートを実施しなくても、暫くの間は安全性が保たれるようになっている。

解答:×

スマートフォンは、購入時にインストールされているアプリのみを利用していたとしても、メールに記載されている不正なWebサイトのURLをクリックしたり、不正なWebサイトからデータをダウンロードすることなどにより、ウイルス感染などの脅威が発生する。なお、これらのアプリは、ベンダーなどが提供していないアプリと比較すると安全性が高いといえるが、アップデートの通知があった際は、適宜アップデートを実施しないと、正常に動作しなくなる場合もあり、ウイルス感染などの被害にあいやすくなる。


■モバイル機器の管理

問題6.
以下の文章を読み、(  )内のそれぞれに入る最も適切な語句の組合せを、選択肢(ア~エ)から1つ選びなさい。

( a )とは、企業で利用されるスマートフォンやタブレットなどのモバイル機器に関して、システム設定などを統合的に効率よく管理する手法のことである。また、そのために利用するソフトウェアや情報システムなどを指すこともある。(a)の機能の一つである( b )は、モバイル機器を遠隔操作によって一括管理し、利用の制限をかけるものである。これによって、機器の紛失や盗難の際に、情報漏えいを防ぐことが可能となる。また、紛失や盗難に備え、予め( c )の設定をしておくことによって、第三者の不正使用や、情報漏えいを防ぐことが可能となる。(c)が設定されている機器では、利用者認証やロック解除を連続して一定回数以上失敗した場合、機器内のデータが自動消去される。

ア.(a)MAN (b)リモートロック (c)ローカルスコープ
イ.(a)MAN (b)リモートプロシージャコール (c)ローカルワイプ
ウ.(a)MDM (b)リモートロック (c)ローカルワイプ
エ.(a)MDM (b)リモートプロシージャコール (c)ローカルスコープ

解答:ウ

MDMとは、企業で利用されるスマートフォンやタブレットなどのモバイル機器に関して、システム設定などを統合的に効率よく管理する手法のことである。また、そのために利用するソフトウェアや情報システムなどを指すこともある。MDMの機能の一つであるリモートロックは、モバイル機器を遠隔操作によって一括管理し、利用の制限をかけるものである。これによって、機器の紛失や盗難の際に、情報漏えいを防ぐことが可能となる。また、紛失や盗難に備え、予めローカルワイプの設定をしておくことによって、第三者の不正使用や、情報漏えいを防ぐことが可能となる。ローカルワイプが設定されている機器では、利用者認証やロック解除を連続して一定回数以上失敗した場合、機器内のデータが自動消去される。


■SNSの利用に関する脅威

問題7.
以下の文章は、SNSの利用に関する脅威に関する知識を述べたものである。正しい場合には○、誤っている場合には×としなさい。

ソーシャルメディアにおいて、短縮URLを利用することにより、いわゆる「つぶやき」などでURLを記載する際に文字数を節約できたり、日本語のURLのリンクが途切れないなどのメリットがある。また、短縮URLは、圧縮されているためURLが改ざんされにくく、不正なWebサイトへ転送される危険性が低いため、短縮URLで表示されているサイトは、安全性が高いといえる。

解答:×

ソーシャルメディアにおいて、短縮URLを利用することにより、いわゆる「つぶやき」などでURLを記載する際に文字数を節約できたり、日本語のURLのリンクが途切れないなどのメリットがある。ただし、短縮URLは、一見しただけでどのようなWebサイトにリンクされているか判断しにくいことから、この機能を悪用したフィッシング詐欺やワンクリック詐欺などの、不正なサイトに誘導されてしまう場合がある。
なお、短縮URLとは、WebサイトのURLを短く変換し、少ない文字列に圧縮して表示するサービスである。


■SNS利用の管理

問題8.
企業においてソーシャルメディアを活用する際の対策に関する記述のうち、最も不適切なものはどれか。
ア.業務でSNSを利用できる部門を限定し、情報を管理する。例えば、広報部門、商品企画部門、カスタマーサポート部門などに限定する。
イ.SNSの利用目的とその範囲を明確化する。例えば、顧客からの問合せに対する返信や、新商品やキャンペーンなどの情報の発信などの業務目的に限定し、それ以外での情報発信を禁止するなどの規定を明確にする。
ウ.投稿する内容の検査や精査を、投稿前に行う。例えば、投稿する内容を担当者によるチェックを予め行い、禁止事項などが含まれていないかの確認を行う。
エ.自社の公式アカウントのフォロワーへの対応を、柔軟に行う。例えば、フォロワーからのコメントに充分な注意を払い、随時対応ができるように、特に担当窓口は設けず、すべての従業員が自主的に対応できるようにする。

解答:エ

ア.適切な記述である。業務でSNSを利用できる部門を限定し、情報を管理する。例えば、広報部門、商品企画部門、カスタマーサポート部門などに限定する。
イ.適切な記述である。SNSの利用目的とその範囲を明確化する。例えば、顧客からの問合せに対する返信や、新商品やキャンペーンなどの情報の発信などの業務目的に限定し、それ以外での情報発信を禁止するなどの規定を明確にする。
ウ.適切な記述である。投稿する内容の検査や精査を、投稿前に行う。例えば、投稿する内容を担当者によるチェックを予め行い、禁止事項などが含まれていないかの確認を行う。
エ.不適切な記述である。自社の公式アカウントのフォロワーへの対応を、適切に行う。例えば、フォロワーからのコメントに充分な注意を払い、適切な対応ができるように、担当窓口を明確にする。
なお、従業員の自主性に委ねてしまうと、対応に矛盾が生じたり、対応に一貫性がなくなる危険性が高まる。その場合は、マイナスのイメージをフォロワーに与えることになるので、対応方針や対応ルールを定め、担当窓口を明確にしておく必要がある。

Ⅳ.コンピュータの一般知識

■データベース

問題9.
データベースの種類のうち、データを網の目の形で表し、多対多の関係性を表すために、関係性のあるデータをノードでつなげていくものは、次のうちどれか。
ア.ハイパーテキスト型イ.階層型
ウ.ネットワーク型エ.リレーショナル型

解答:ウ

ネットワーク型データベースは、データは網の目の形で表し、多対多の関係性を表すために、関係性のあるデータをノードでつなげていく。
なお、ハイパーテキスト型データベースは、複数の文書を相互にリンクさせる形式であり、階層型データベースは、ツリー構造でデータを表すものであり、1つのデータが他の複数のデータに対して、親子の関係をもつ。ただし、データは常に一対多の親子関係ではなく、多対多や多対一の場合もある。また、リレーショナル型データベースは、データを行と列から構成する2次元のテーブルで表すものであり、複数のテーブルは、それぞれのテーブル内の列によって関係づけられる。リレーショナル型データベースは関係型データベースとも呼ばれ、現在主流となっている。


問題10.
SQLを利用して操作した際、以下のSELECTコマンドを実行して得られる正しい結果は、次のうちどれか。

SELECT エリア,店舗名 FROM 店舗テーブル WHERE 従業員数 > 30

解答:エ

SQLを利用して操作した際、以下のSELECTコマンドを実行して得られる正しい結果は、次のとおりである。

SELECT エリア,店舗名 FROM 店舗テーブル WHERE 従業員数 > 30

SELECT:抽出する列の名前を指定する。ここでは、「エリア」と「店舗名」である。
FROM:対象となるテーブル名を指定する。ここでは、「店舗テーブル」である。
WHERE:抽出する条件を指定する。ここでは、「従業員数」が「30より大きい」という条件である。
つまり、ここでは、「従業員数」が「30より大きい」という条件を満たすレコードの、「エリア」と「店舗名」を、「店舗テーブル」から取り出すということになる。


■スマートデバイス

問題11.
以下の文章は、情報通信技術の活用に関する記述です。(  )内のそれぞれに入る最も適切な語句の組合せは、次のうちどれか。

一般的に、( a )とは、スマートフォンやタブレットPCなどの、携帯性が高く、機能や用途が固定されておらず、ネットワークに接続でき、いつでもどこでも利用できるコンピュータ製品の総称である。
(a)を業務に用いることにより、電子発注システムのEOSや、サプライチェーン管理のSCM、営業活動を支援する( b )などの業務システムに、外出先からアクセスして、業務を効率的に進めることができるようになる。さらに、部門や社内のメンバー間などで情報共有やコミュニケーションを取るために、(a)を利用して、社内の( c )に、いつでもどこでもアクセスすることができる。(c)には、日程の調整や確認などのスケジュール機能や、プロジェクトの進捗の管理や決裁・承認などワークフロー機能、業務に関する文書ファイルなどを共有できるドキュメント共有機能などがある。

ア.(a)WDMデバイス (b)POS (c)グループウェア
イ.(a)WDMデバイス (b)SFA (c)ユースウェア
ウ.(a)スマートデバイス (b)POS (c)ユースウェア
エ.(a)スマートデバイス (b)SFA (c)グループウェア

解答:エ

情報通信技術の活用に関する記述は、次のとおりである。

一般的に、スマートデバイスとは、スマートフォンやタブレットPCなどの、携帯性が高く、機能や用途が固定されておらず、ネットワークに接続でき、いつでもどこでも利用できるコンピュータ製品の総称である。
スマートデバイスを業務に用いることにより、電子発注システムのEOSや、サプライチェーン管理のSCM、営業活動を支援するSFAなどの業務システムに、外出先からアクセスして、業務を効率的に進めることができるようになる。さらに、部門や社内のメンバー間などで情報共有やコミュニケーションを取るために、スマートデバイスを利用して、社内のグループウェアに、いつでもどこでもアクセスすることができる。グループウェアには、日程の調整や確認などのスケジュール機能や、プロジェクトの進捗の管理や決裁・承認などワークフロー機能、業務に関する文書ファイルなどを共有できるドキュメント共有機能などがある。

なお、POSとは、POS端末を利用して、商品を販売するたびにその情報を記録し、その結果を在庫の管理やマーケティングに利用するためのシステムである。


■ビッグデータ

問題12.
ビッグデータに関する記述のうち、適切なものはどれか。
ア.「ビッグデータ」の定義は、ISOやJISなどで明確に規定されている。ビッグデータとして扱うデータには、構造化データは含まれるが、半構造化データと非構造化データは含まれていない。
イ.「ビッグデータ」の定義は、明確に規定されていない。ビッグデータとして扱うデータには、構造化データと半構造化データは含まれず、非構造化データのみが含まれている。
ウ.「ビッグデータ」の定義は、ISOやJISなどで明確に規定されている。ビッグデータとして扱うデータには、構造化データは含まれず、半構造化データと非構造化データは含まれている。
エ.「ビッグデータ」の定義は、明確に規定されていない。ビッグデータとして扱うデータには、構造化データだけではなく、半構造化データや非構造化データも含まれている。

解答:エ

「ビッグデータ」の定義は、明確に規定されていない。ビッグデータとして扱うデータには、構造化データだけではなく、半構造化データや非構造化データも含まれている。
なお、構造化データとは、売上データや在庫管理データなど、汎用データベースに収められるように整理されたデータを指すものである。また、半構造化データとは、電子メールのデータやXMLデータなどのデータを指すものであり、非構造化データとは、SNSやブログでの文章・音声・動画、GPS情報、電子書籍などの様々な形式のデータを指すものである。


第40回 情報セキュリティ初級認定試験

連続チャレンジ

キャンペーン

連続して受験すると受験料が10%割り引かれます。また、連続受験では、2回目の合格率が1回目より15%高くなるというデータがあります。
1回で諦めないでください。

申込期限 10月8日(木)

連続して受験すると受験料10%割引

>>お申込みはこちら

会員募集中!!

特典が多数

ビジネス実務士会

詳細はこちら
申請書(個人用)

情報セキュリティ初級認定試験の受験料を会社の経費でご負担頂けるケースも多くあるようです。申請用紙のサンプルがダウンロードできますのでご利用下さい。

学生さんページ

就活に有利!学生さんの試験合格体験談を集めました。

>>詳細はこちら

令和2年12月13日開催

第24回

マイナンバー実務検定

お申込みはこちら

PAGE TOP ▲