情報セキュリティマネジメント午前平成29年春

情報セキュリティマネジメント午前平成29年春

(作成中)


 JIS Q 27001:2014 (情報セキュリティマネジメントシステム − 要求事項) に

おいて、ISMS に関するリーダーシップ及びコミットメントをトップマネジメント

が実証する上で行う事項として挙げられているものはどれか。

 ア ISMS の有効性に寄与するよう人々を指揮し、支援する。

 イ ISMS を組織の他のプロセスと分けて運営する。

 ウ 情報セキュリティ方針に従う。

 エ 情報セキュリティリスク対応計画を策定する

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問01

 ア ISMS の有効性に寄与するよう人々を指揮し、支援する。


------------------------------------------------------------------------

 経済産業省と IPA が策定した “サイバーセキュリティ経営ガイドライン (Ver.1) ”

が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策は

どれか。

 ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策

 イ 自社に出資している株主が行うセキュリティ対策

 ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

 エ 自社の事業所近隣の地域社会が行うセキュリティ対策

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問02

 ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策

------------------------------------------------------------------------

 組織的なインシデント対応体制の構築を支援する目的で JPCERT/CC が作成した

ものはどれか。

 ア CSIRT マテリアル

 イ ISMSユーザーズガイドライン

 ウ 証拠保全ガイドライン

 エ 組織における内部不正防止ガイドライン

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問03

 ア CSIRT マテリアル

------------------------------------------------------------------------

 ディザスタリカバリを計画する際の検討項目の一つである PRO (Recovery Point

Objective) はどれか。

 ア 業務の継続性を維持するために必要な人員計画と要求される交代要員のスキル

  を示す指標

 イ 災害発生時からどのくらいの時間以内にシステムを再稼働しなければなら

  ないかを示す指標

 ウ 災害発生時に業務を代替する遠隔地のシステム環境と,通常稼働している

  システム環境との設備投資の比率を示す指標

 エ システムが再稼働したときに,災害発生前のどの時点の状態までデータ

  復旧しなければならないかを示す指標

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問04

 エ システムが再稼働したときに,災害発生前のどの時点の状態までデータ

  復旧しなければならないかを示す指標

------------------------------------------------------------------------

 JIS Q 31000:2010 (リスクマネジメント-原則及び指針)において,

リスクマネジメントを効果的なものにするために,組織が順守することが望ま

しいこととして挙げられている原則はどれか。

 ア リスクマネジメントは,静的であり、変化が生じたときに終了する。

 イ リスクマネジメントは,組織に合わせて作られる。

 ウ リスクマネジメントは,組織の主要なプロセスから分離した単独の活動である。

 エ リスクマネジメントは,リスクが顕在化した場合を対象とする。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問05

 イ リスクマネジメントは、組織に合わせて作られる。

------------------------------------------------------------------------

 JIS Q 31000:2010 (リスクマネジメントー原則及び指針) において,

リスクマネジメントは,"リスクについて組織を指揮統制するための調整された活動"

と定義されている。そのプロセスを構成する活動の実行順序として,適切なもの

はどれか。

 ア リスク特定 → リスク対応 → リスク分析 → リスク評価

 イ リスク特定 → リスク分析 → リスク評価 → リスク対応

 ウ リスク評価 → リスク特定 → リスク分析 → リスク対応

 エ リスク評価 → リスク分析 → リスク特定 → リスク対応

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問06

 イ リスク特定 → リスク分析 → リスク評価 → リスク対応

------------------------------------------------------------------------

 JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語) におけ

る " リスクレベル ” の定義はどれか。

 ア 脅威によって付け込まれる可能性のある,資産又は管理策の弱点

 イ 結果とその起こりやすさの組合せとして表現される,リスクの大きさ

 ウ 対応すべきリスクに付与する優位順位

 エ リスクの重大性を評価するために目安とする条件

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問07



------------------------------------------------------------------------

 A 社は、情報システムの運用を B 社に委託している。当該情報システムで発生

した情報セキュリティインシデントについての対応のうち、適切なものはどれか。

 ア 情報セキュリティインシデント管理を一元化するために,委託契約継続可否

  及び再発防止策の決定を B 社に任せた。

 イ 情報セキュリティインシデントに迅速に対応するために,

  サービスレベル合意書 (SAL) に緊急時のセキュリティ手続を記載せず、B 社

  の裁量に任せた。

 ウ 情報セキュリティインシデントの発生を A 社及び B 社の関係者に迅速に

  連絡するために,あらかじめ定めた連絡経路に従って B 社から連絡した。

 エ 迅速に対応するために,特定の情報セキュリティインシデントの一次対応

  においては,事前に定めた対応手順よりも,経験豊かな B 社担当者の判断を

  優先した。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問08

 ウ 情報セキュリティインシデントの発生を A 社及び B 社の関係者に迅速に

  連絡するために,あらかじめ定めた連絡経路に従って B 社から連絡した。

------------------------------------------------------------------------

 暗号の危殆化(きたいか)に該当するものはどれか。

 ア 暗号化通信を行う前に,データ伝送速度や,暗号設定情報などを交換

  すること

 イ 考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータ

  の性能の飛躍的な向上などによって,解読されやすい状態になること

 ウ 自身が保有する鍵を使って,暗号化されたデータから元のデータを復元す

  ること

 エ 元のデータから一定の計算手順に従って疑似乱数を求め,元のデータをそ

  の疑似乱数に置き換えること

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問09

 イ 考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータ

  の性能の飛躍的な向上などによって,解読されやすい状態になること

------------------------------------------------------------------------

 情報セキュリティにおけるタイムスタンプサービスの説明はどれか。

  ア 公式の記録において使われる全世界共通の日時情報を,暗号化通信を用い

   て安全に表示する Web サービス

  イ 指紋,声紋,静脈パターン,網膜,虹彩(こうさい)などの生体情報を,

   認証システムに登録した日時を用いて認証するサービス

  ウ 電子データが,ある日時に確かに存在していたこと,及びその日時以降

   に改ざんされていないことを証明するサービス

  エ ネットワーク上の PC やサーバの時計を合わせるための日時情報を途中

   で改ざんされないように通知するサービス

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問10

  ウ 電子データが,ある日時に確かに存在していたこと,及びその日時以降

   に改ざんされていないことを証明するサービス

------------------------------------------------------------------------

 JIS Q 27001:2014 (情報セキュリティマネジメントシステムー要求事項)にお

いて組織の管理下で働く人々が認識をもたなければならないとされているのは,

"ISMS の有効性に対する自らの貢献" 及び "ISMS 要求事項に適合しないことの

意味" と,もう一つはどれか。

 ア 情報セキュリティ適用宣言書

 イ 情報セキュリティ内部監査結果

 ウ 情報セキュリティ方針

 エ 情報セキュリティリスク対応計画

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問11

 ウ 情報セキュリティ方針

------------------------------------------------------------------------

 情報セキュリティ管理を行う上での情報の収集源の一つとして JVN が挙げら

れる。JVN が主として提供する情報はどれか。

 ア 工業製品などに関する術上の評価や製品事故に関する事故情報及び

  品質情報

 イ 国家や重要インフラに影響を及ぼすような情報セキュリティ事件・事故と

  その対応情報

 ウ ソフトウェアなどの脆弱性関連情報や対策情報

 エ 日本国内で発生した情報セキュリティインシデントの相談窓口に関する情報

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問12

 ウ ソフトウェアなどの脆弱性関連情報や対策情報

------------------------------------------------------------------------

 NIDS (ネットワーク型 IDS) を導入する目的はどれか。

 ア 管理下のネットワークへの侵入の試みを検知し,管理者に通知する。

 イ 実際にネットワークを介して Web サイトを攻撃し,侵入できるかどうか

  を検査する。

 ウ ネットワークからの攻撃が防御できないときの損害の大きさを判定する。

 エ ネットワークに接続されたサーバに格納されているファイルが改ざんされ

  たかどうかを判定する。


キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問13

 ア 管理下のネットワークへの侵入の試みを検知し,管理者に通知する。

------------------------------------------------------------------------

 内部不正による重要なデータの漏えいの可能性を早期に発見するために有効な

対策はどれか。

 ア アクセスログの定期的な確認と解析

 イ ウイルス対策ソフトの導入

 ウ 重要なデータのバックアップ

 エ ノート PC の HDD 暗号

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問14

 ア アクセスログの定期的な確認と解析

------------------------------------------------------------------------

 ディジタルフォレンジックスの説明として,適切なものはどれか。

 ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メール

  をフィルタリングすること

 イ 外部からの攻撃や不正なアクセスからサーバを防御すること

 ウ 磁気ディスクなどの書換え可能な記憶媒体を廃棄する前に、単に初期化す

  るだけではデータを復元できる可能性があるので,任意のデータ列で上書き

  すること

 エ 不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性

  を確保できるように,原因究明に必要なデータの保全,収集,分析をするこ

  と

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問15

 エ 不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性

  を確保できるように,原因究明に必要なデータの保全,収集,分析をするこ

  と

------------------------------------------------------------------------

 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその

対策の組合せのうち,適切なものはどれか。

┌─┬─────────┬─────────┬──────────┐

│ │ 辞書攻撃 │ スニッフィング │ブルートフォース攻撃

├─┼─────────┼─────────┼──────────┤

│ │推測されにくいパスパスワード暗号化│ログインの試行回数 │

│ア│ワードを設定する。│して送信する。 │に制限を設ける。 │

├─┼─────────┼─────────┼──────────┤

│ │推測されにくいパスログインの試行回数│パスワード暗号化 │

│イ│ワードを設定する。│に制限を設ける。 │して送信する。 │

├─┼─────────┼─────────┼──────────┤

│ │パスワード暗号化│ログインの試行回数│推測されにくいパス

│ウ│して送信する。 │に制限を設ける。 │ワードを設定する。 │

├─┼─────────┼─────────┼──────────┤

│ │ログインの試行回数│推測されにくいパスパスワード暗号化 │

│エ│に制限を設ける。 │ワードを設定する。│して送信する。 │

└─┴─────────┴─────────┴──────────┘

斎藤注:等倍フォントでご覧ください。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問16

┌─┬─────────┬─────────┬──────────┐

│ │ 辞書攻撃 │ スニッフィング │ブルートフォース攻撃

├─┼─────────┼─────────┼──────────┤

│ │推測されにくいパスパスワード暗号化│ログインの試行回数 │

│ア│ワードを設定する。│して送信する。 │に制限を設ける。 │

└─┴─────────┴─────────┴──────────┘

------------------------------------------------------------------------

 1 のファイアウォールによって,外部セグメントDMZ,内部セグメントの三つ

セグメントに分割されたネットワークがある。このネットワークにおいて,

Web サーバと、重要なデータをもつデータベースサーバから成るシステムを使っ

て,利用者向けのサービスをインターネットに公開する場合,インターネット

らの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,

最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメント

DMZ との間及び DMZ と内部セグメントとの間の通信は特定のプロトコルだけを

許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないもの

とする。

 ア Web サーバとデータベースサーバを DMZ に設置する。

 イ Web サーバとデータベースサーバを内部セグメントに設置する。

 ウ Web サーバを DMZ に、データベースサーバを内部セグメントに設置する。

 エ Web サーバを外部セグメントに、データベースサーバを DMZ に設置する

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問17

 ウ Web サーバを DMZ に、データベースサーバを内部セグメントに設置する。

------------------------------------------------------------------------

 2 要素認証に該当する組みはどれか。

 ア クライアント証明書,ハードウェアトークン

 イ 静脈認証,指紋認証

 ウ パスワード認証,静脈認証

 エ パスワード認証,秘密の質問の答え

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問18

 ウ パスワード認証,静脈認証

------------------------------------------------------------------------

 二者間で商取引のメッセージを送受信するときに,送信者のディジタル証明書

を使用して行えることはどれか。

 ア 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,

  送信者の購入しようとした商品名が間違いなく明記されていることを確認す

  る。

 イ 受信者が,受信した暗号文を送信者の公開鍵で復号することによって,

  メッセージの盗聴を検知する。

 ウ 受信者が,受信したディジタル署名を検証することによって,メッセージ

  がその送信者からのものであることを確認する。

 エ 送信者が,メッセージに送信者のディジタル証明書を添付することによっ

  て,メッセージの盗聴を防止する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問19

 ウ 受信者が,受信したディジタル署名を検証することによって,メッセージ

  がその送信者からのものであることを確認する。

------------------------------------------------------------------------

 ディジタル署名などに用いるハッシュ関数の特徴はどれか。

 ア 同じメッセージダイジェストを出力する二つの異なるメッセージは容易に

  求められる。

 イ メッセージが異なっていても,メッセージダイジェストは全て同じである。

 ウ メッセージダイジェストからメッセージを復元することは困難である。

 エ メッセージダイジェストの長さはメッセージの長さによって異なる。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問20

 ウ メッセージダイジェストからメッセージを復元することは困難である。

------------------------------------------------------------------------


 ソーシャルエンジニアリングに該当するものはどれか。

 ア オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織

  に関する重要情報を盗み出す。

 イ キー入力を記録するソフトウェアを、不特定多数が利用する PC で動作さ

  せて,利用者 IDパスワードを窃取する。

 ウ 日本人の名前や日本語単語が登録された辞書を用意して,プログラム

  よってパスワードを解読する。

 エ 利用者 IDパスワードの対応リストを用いて,プログラムによって

  Web サイトへのログインを自動的かつ連続的に試みる。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問21

 ア オフィスから廃棄された紙ごみを,清掃員を装って収集して,企業や組織

  に関する重要情報を盗み出す。

------------------------------------------------------------------------


 ディジタル署名に用いる鍵の組みのうち,適切なものはどれか。

  ┌────────┬────────┐

  │ディジタル署名の│ディジタル署名の│

  │ 作成に用いる鍵 │ 検証に用いる鍵 │

┌─┼────────┼────────┤

│ア│共通鍵 │秘密鍵 │

├─┼────────┼────────┤

│イ│公開鍵 │秘密鍵 │

├─┼────────┼────────┤

│ウ│秘密鍵 │共通鍵 │

├─┼────────┼────────┤

│エ│秘密鍵 │公開鍵 │

└─┴────────┴────────┘

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問22

  ┌────────┬────────┐

  │ディジタル署名の│ディジタル署名の│

  │ 作成に用いる鍵 │ 検証に用いる鍵 │

┌─┼────────┼────────┤

│エ│秘密鍵 │公開鍵 │

└─┴────────┴────────┘

------------------------------------------------------------------------


 ディレクトリトラバーサル攻撃に該当するものはどれか。

 ア 攻撃者が,Web アプリケーションの入力データとしてデータベースへの命令文

  を構成するデータを入力し,管理者の意図していない SQL 文を実行させる。

 イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイル

  を不正に閲覧する。

 ウ 攻撃者が,利用者を Web サイトに誘導した上で,Web アプリケーションに

  よる HTML 出力のエスケープ処理の欠陥を悪用し,利用者Web ブラウザ

  悪意のあるスクリプトを実行させる。

 エ セッション ID によってセッションが管理されるとき,攻撃者がログイン中

  の利用者セッション ID を不正に取得し,その利用者になりすましてサーバ

  にアクセスする

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問23

 イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイル

  を不正に閲覧する。


------------------------------------------------------------------------

 JIS Q 27000:2014 (情報セキュリティマネジメントシステム用語)における

真正性及び信頼性に対する定義 a ~ d の組みのうち,適切なものはどれか。

〔定義〕

 a 意図する行動と結果とが一貫しているという特性

 b エンティティは,それが主張するとおりのものであるという特性

 c 認可されたエンティティが要求したときに,アクセス及び使用が可能である

  という特性

 d 認可されていない個人、エンティティ又はプロセスに対して、情報を使用さ

  せず,また,開示しないという特性

  ┌───┬───┐

  │真正性│信頼性│

┌─┼───┼───┤

│ア│ a │ c │

├─┼───┼───┤

│イ│ b │ a │

├─┼───┼───┤

│ウ│ b │ d │

├─┼───┼───┤

│エ│ d │ a │

└─┴───┴───┘

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問24

  ┌───┬───┐

  │真正性│信頼性│

┌─┼───┼───┤

│ウ│ b │ d │

└─┴───┴───┘

------------------------------------------------------------------------


 何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータはど

れか。

 ア CA

 イ CP

 ウ CPS

 エ CRL

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問25

  エ CRL

------------------------------------------------------------------------

 クレジットカードなどのカード会員データセキュリティ強化を目的として制定

され,術面及び運用面の要件を定めたものはどれか。

 ア ISMS 適合性評価制度

 イ PCI DSS

 ウ 特定個人情報保護評価

 エ プライバシーマーク制度

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問26

 イ PCI DSS

------------------------------------------------------------------------


 不正が発生する際には "不正のトライアングル" の 3 要素全てが存在すると

考えられている。“不正のトライアングル”の構成要素の説明として,適切なもの

はどれか。

 ア "機会" とは,情報システムなどの術や物理的な環境,組織のルールな

  ど,内部者による不正行為の実行を可能又は容易にする環境の存在である。

 イ "情報と伝達" とは,必要な情報が識別,把握及び処理され,組織内外及び

  関係者相互に正しく伝えられるようにすることである。

 ウ "正当化" とは,ノルマによるプレッシヤなどのことである。

 エ "動機" とは,良心のかしゃくを乗り越える都合の良い解釈や他人への

  責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付け

  である。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問27

 ア "機会" とは,情報システムなどの術や物理的な環境,組織のルールな

  ど,内部者による不正行為の実行を可能又は容易にする環境の存在である。

------------------------------------------------------------------------

 OSI 基本参照モデルネットワーク層で動作し,"認証ヘッダ (AH)"と

"暗号ペイロード (ESP)" の二つのプロトコルを含むものはどれか。

 ア IPsec

 イ S/MIME

 ウ SSH

 エ XML 暗号

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問28

 ア IPsec

------------------------------------------------------------------------

 WAFWeb Application Firewall)におけるブラックリスト又はホワイトリスト

の説明のうち,適切なものはどれか。

 ア ブラックリストは,脆弱性がある Web サイトIP アドレスを登録するも

  のであり,該当する通信を遮断する。

 イ ブラックリストは,問題がある通信データパターンを定義したものであり,

  該当する通信を遮断又は無害化する。

 ウ ホワイトリストは、暗号化された受信データをどのように復号するかを定義

  したものであり、復号鍵が登録されていないデータを遮断する。

 エ ホワイトリストは,脆弱性がない Web サイトFQDN を登録したものであ

  り,登録がない Web サイトへの通信を遮断する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問29

 イ ブラックリストは,問題がある通信データパターンを定義したものであり,

  該当する通信を遮断又は無害化する。

------------------------------------------------------------------------

 Web サーバの検査におけるポートスキャナの利用目的はどれか。

 ア Web サーバで稼働しているサービスを列挙して,不要なサービスが稼働し

  ていないことを確認する。

 イ Web サーバの利用者 ID の管理状況を運用者に確認して,情報セキュリティ

  ポリシとの相違を調べる。

 ウ Web サーバへのアクセス履歴を解析して,不正利用を検出する。

 エ 正規の利用者 IDログインし,Web サーバのコンテンツを直接確認して,

  コンテンツの脆(ぜい)弱性を検出する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問30

  基本情報技術者午前平成29年春問45

  基本情報技術者午前平成26年秋問45

 ア Web サーバで稼働しているサービスを列挙して,不要なサービスが稼働し

  ていないことを確認する。

------------------------------------------------------------------------

 電子署名法に関する記述のうち、適切なものはどれか。

 ア 電子署名には、電磁的記録以外で、コンピュータ処理の対象とならないものも

  含まれる。

 イ 電子署名には、民事訴訟法における押印と同様の効力が認められる。

 ウ 電子署名の認証業務を行うことができるのは、政府が運営する認証局に限られ

  る。

 エ 電子署名は共通鍵暗号術によるものに限られる。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問31

  イ 電子署名には、民事訴訟法における押印と同様の効力が認められる。

------------------------------------------------------------------------

 インターネットショッピングで商品を購入するとき、売買契約が成立するのは

どの時点か。

 ア 消費者からの購入申込みが事業者に到達した時点

 イ 事業者が消費者宛に承諾の通知を発信した時点

 ウ 事業者からの承諾の通知が消費者に到達した時点

 エ 商品が消費者の手元に到達した時点

解答:ウ

------------------------------------------------------------------------

 不正競争防止法で保護されるものはどれか。

 ア 特許権を取得した発明

 イ 頒布されている自社独自のシステム開発手順書

 ウ 秘密として管理していない,自社システムを開発するための重要な設計書

 エ 秘密として管理している,事業活動用の非公開の顧客名簿

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問33

 エ 秘密として管理している、事業活動用の非公開の顧客名簿

------------------------------------------------------------------------



 著作権法による保護の対象となるものはどれか。

 ア ソースプログラムそのもの

 イ データ通信のプロトコル

 ウ プログラムに組み込まれたアイディア

 エ プログラムのアルゴリズム

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問34

 ア ソースプログラムそのもの

------------------------------------------------------------------------

 時間外労働に関する記述のうち,労働基準法に照らして適切なものはどれか。

 ア 裁量労働制を導入している場合,法定労働時間外の労働は従業員の自己管理

  としてよい。

 イ 事業場外労働が適用されている営業担当者には時間外手当の支払はない。

 ウ 年俸制が適用される従業員には時間外手当の支払はない。

 エ 法定労働時間外の労働を労使協定(36協定)なしで行わせるのは違法であ

  る。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問35

 エ 法定労働時間外の労働を労使協定(36協定)なしで行わせるのは違法であ

  る。

------------------------------------------------------------------------

出題まだ

 特権 ID (システム設定データの操作,それらの権限の設定が可能な ID)

の不正使用を発見するコントロールとして,最も有効なものはどれか。

 ア 特権 ID の貸出し及び返却の管理簿と,特権 ID の利用ログを照合する。

 イ 特権 ID の使用を許可された者も,通常の操作では一般利用者 ID を使用

  する。

 ウ 特権 ID の使用を必要とする者は,使用の都度,特権 ID の貸出しを受け

  る。

 エ 特権 ID設定内容や使用範囲を,用途に応じて細分化する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問36

 ア 特権 ID の貸出し及び返却の管理簿と,特権 ID の利用ログを照合する。

------------------------------------------------------------------------



 システムテストの監査におけるチェックポイントのうち、最も適切なものはど

れか。

 ア テスト計画は事前に利用者側の責任者だけで承認されていること

 イ テストは実際に業務が行われている環境で実施されていること

 ウ テストは独立性を考慮して,利用者側の担当者だけで行われていること

 エ 例外ケースや異常ケースを想定したテストが行われていること


キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問37

 エ 例外ケースや異常ケースを想定したテストが行われていること

------------------------------------------------------------------------

 システム監査人が,監査報告書の原案について被監査部門と意見交換を行う目的

として,最も適切なものはどれか。

 ア 監査依頼者に監査報告書を提出する前に,被監査部門に監査報告を行うため

 イ 監査報告書に記載する改善勧告について,被監査部門の責任者の承認を受ける

  ため

 ウ 監査報告書に記載する指摘事項及び改善勧告について,事実誤認がないことを

  確認するため

 エ 監査報告書の記載内容に関して調査が不足している事項を被監査部門に口頭で

  確認することによって,不足事項の追加調査に代えるため

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問38

 ウ 監査報告書に記載する指摘事項及び改善勧告について,事実誤認がないことを

  確認するため

------------------------------------------------------------------------

 システム障害管理の監査で判明した状況のうち,監査人が監査報告書で報告す

べき指摘事項はどれか。

 ア システム障害対応マニュアルが作成され,オペレータへの知が図られて

  いる。

 イ システム障害によってデータベースが被害を受けた場合を想定して,規程

  に従って,データのバックアップをとっている。

 ウ システム障害の種類や発生箇所,影響度合いに関係なく,共通の

  連絡・報告ルートが定められている。

 エ 全てのシステム障害について,障害記録を残し,責任者の承認を得ること

  が定められている。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問39

 ウ システム障害の種類や発生箇所,影響度合いに関係なく,共通の

  連絡・報告ルートが定められている。

------------------------------------------------------------------------


 IT サービスマネジメントにおける問題管理プロセスの目的はどれか。

 ア インシデントの解決を,合意したサービス目標及び時間枠内に達成するこ

  とを確実にする。

 イ インシデントの未知の根本原因を特定し,恒久的な解決策を提案したり,

  インシデントの発生を事前予防的に防止したりする。

 ウ 合意した目標の中で、合意したサービス継続及び可用性のコミットメント

  を果たすことを確実にする。

 エ 全ての変更を制御された方法でアセスメントし,承認し,実施し,レビュー

  することを確実にする。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問42

 イ インシデントの未知の根本原因を特定し,恒久的な解決策を提案したり,

  インシデントの発生を事前予防的に防止したりする。

------------------------------------------------------------------------

問43

(図)

------------------------------------------------------------------------

 ホットスタンバイ方式を採用したシステム構成の特徴はどれか。

 ア 現用系が故障すると,現用系に対応した待機系に手動で切り替える。正常時

  には,待機系をバッチジョブに利用できるので,高いシステム稼働率が実現

  できる。

 イ 現用系が故障すると,動作状態にある待機系に自動で迅速に切り替える。

  故障が発生したことを利用者に感じさせないような切替えが実現できる。

 ウ システムを 3 重に冗長化して並列運転し,それらの処理結果の多数決をとっ

  て出力する。高い信頼性が実現できる。

 エ ネットワークが異なる複数台の現用系マシンのいずれかが故障すると、

  1 台の予備機を立ち上げて,ネットワークや制御自動的に切り替える。費用

  を抑えながら高い可用性が実現できる。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問44

 イ 現用系が故障すると、動作状態にある待機系に自動で迅速に切り替える。故障

  が発生したことを利用者に感じさせないような切替えが実現できる。

 ビッグデータの活用例として,大量のデータから統計学的手法などを用いて新た

な知識 (傾向やパターン) を見つけ出すプロセスはどれか。

 ア データウェアハウス

 イ データディクショナリ

 ウ データマイニング

 エ メタデータ

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問45

  ウ データマイニング

------------------------------------------------------------------------

 レスポンスのステータスコードが 404,説明文字列が "Not Found" のエラーと

なった。このエラーの説明として,適切なものはどれか。

 ア Web サーバ内に,URL で指定したページが見つからなかった。

 イ Web サーバのホスト名を DNS で検索したが,見つからなかった。

 ウ Web サーバヘの IP パケットの経路が見つからず,HTTP リクエストが

  タイムアウトになった。

 エ Web サーバヘのログイン時に指定した利用者 ID が見つからず,ログイン

  が拒否された。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問46

 ア Web サーバ内に,URL で指定したページが見つからなかった。

------------------------------------------------------------------------

 情報戦略の立案時に,必ず整合性を取るべきものはどれか。

 ア 新しく登場した情報

 イ 基幹システムの改修計画

 ウ 情報システム部門の年度計画

 エ 中長期の経営計画

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問47

 エ 中長期の経営計画

------------------------------------------------------------------------

 システム企画段階において業務プロセスを抜本的に再設計する際の留意点はど

れか。

 ア 新たな視点から高い目標を設定し,将来的に必要となる最上位の業務機能

  と業務組織のモデルを検討する。

 イ 業務改善を積み重ねるために,ビジネスモデルの将来像にはこだわらず,

  現場レベルのニーズや課題への対応を重視して業務プロセスを再設計する。

 ウ 経営者や管理者による意思決定などの非定型業務ではなく,一般社員によ

  る購買,製造,販売,出荷,サービスといった定型業務を対象とする。

 エ 現行業務に関する組織,術などについての情報を収集し,現行の組織や

  業務手続に基づいて業務プロセスを再設計する。

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問48

 ア 新たな視点から高い目標を設定し,将来的に必要となる最上位の業務機能

  と業務組織のモデルを検討する。

------------------------------------------------------------------------

 受注管理システムにおける要件のうち,非機能要件に該当するものはどれか。

 ア 顧客から注文を受け付けるとき,与信残金額を計算し,結果がマイナスに

  なった場合は,入力画面に警告メッセージを表示できること

 イ 受注管理システムの稼働率を決められた水準に維持するために,障害発生時

  は半日以内に回復できること

 ウ 受注を処理するとき,在庫切れの商品であることが分かるように担当者に

  警告メッセージを出力できること

 エ 商品の出荷は,顧客から受けた注文情報を受注担当者がシステムに入力し,

  営業管理者が受注承認入力を行ったものに限ること

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問49

 ア 顧客から注文を受け付けるとき,与信残金額を計算し,結果がマイナスに

  なった場合は,入力画面に警告メッセージを表示できること

------------------------------------------------------------------------

 企業活動における BCP を説明したものはどれか。

 ア 企業が事業活動を営む上で,社会に与える影響に責任をもち、あらゆる

  ステークホルダからの要求に対し,適切な説明責任を果たすための取組のこ

  と

 イ 形式知だけでなく,暗黙知を含めた幅広い知識を共有して活用することに

  よって、新たな知識を創造しながら経営を実践する経営手法のこと

 ウ 災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の

  継続を可能とするために事前に策定する行動計画のこと

 エ 組織体の活動に伴い発生するあらゆるリスクを,統合的,包括的,戦略的

  に把握,評価,最適化し,価値の最大化を図る手法のこと

キーワード

■解答■

  情報セキュリティマネジメント午前平成29年春問50

 ウ 災害やシステム障害など予期せぬ事態が発生した場合でも、重要な業務の

  継続を可能とするために事前に策定する行動計画のこと

------------------------------------------------------------------------