情報セキュリテマネジメント午前平成31年春過去問（解説なし）

問1　JIS Q 27001:2014（情報セキュリティマネジメントシステム-要求事項）において，トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして，適切なものはどれか。

問2　JPCERT/CC “CSIRTガイド（2015年11月26日）”では，CSIRTを活動とサービス対象によって六つに分類しており，その一つにコーディネーションセンターがある。コーディネーションセンターの活動とサービス対象の組合せとして，適切なものはどれか。

問3　CRYPTRECの役割として，適切なものはどれか。

問4　JIS Q 27002:2014（情報セキュリティ管理策の実践のための規範）の“サポートユーティリティ”に関する例示に基づいて，サポートユーティリティと判断されるものはどれか。

問5　リスク対応のうち，リスクファイナンシングに該当するものはどれか。

問6　JIS Q 27000:2014（情報セキュリティマネジメントシステム-用語）における“リスクレベル”の定義はどれか。

問7　JIS Q 27000:2014（情報セキュリティマネジメントシステムー用語）では，リスクを運用管理することについて，アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。

問8　JIS Q 27001:2014（情報セキュリティマネジメントシステム-要求事項）において，情報セキュリティ目的をどのように達成するかについて計画するとき，“実施事項”，“責任者”，“達成期限”のほかに，決定しなければならない事項として定められているものはどれか。

問9　組織での情報資産管理台帳の記入方法のうち，IPA“中小企業の情報セキュリティ対策ガイドライン（第2.1版）”に照らして，適切なものはどれか。

問12　ファイルの属性情報として，ファイルに対する読取り，書込み，実行の権限を独立に設定できるOSがある。この3種類の権限は，それぞれに1　ビットを使って許可，不許可を設定する。この3ビットを8進数表現　0～7の数字で設定するとき，次の試行結果から考えて，適切なものはどれか。

[試行結果]

① 0を設定したら、読取り，書込み，実行ができなくなってしまった。

② 3を設定したら，読取りと書込みはできたが，実行ができなかった。

③ 7を設定したら，読取り，書込み，実行ができるようになった。

問13　入室時と退室時にIDカードを用いて認証を行い，入退室を管理する。このとき，入室時の認証に用いられなかったIDカードでの退室を許可しない，又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みはどれか。

問14　PCI DSS v3.2.1において，取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち，適切なものはどれか。ここで，用語の定義は次のとおりとする。

[用語の定義]

加盟店とは，クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。

サービスプロバイダとは，他の事業体の委託でカード会員データの処理，保管，伝送に直接関わる事業体をいう。イシュア（クレジットカード発行や発行サービスを行う事業体）は除く。

カードセキュリティコードには，カード表面又は署名欄に印字されている，3桁又は4桁の数値がある。

問16　特定のサービスやシステムから流出した認証情報を攻撃者が用いて，認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻撃はどれか。

問17　社内PCからインターネットに通信するとき、パケット中にある社内PCのプライベートIPアドレスとポート番号の組合せを，ファイアウォールのインターネット側のIPアドレスとポート番号の組合せに変換することによって，インターネットからは分からないように社内PCのプライベートIPアドレスを隠蔽することが可能なものはどれか。

問19　PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に，宛先ポートとして使用されるTCPポート番号80に関する記述のうち，適切なものはどれか

問20　無線LANを利用できる者を限定したいとき，アクセスポイントへの第三者による無断接続の防止に最も効果があるものはどれか。

問22　利用者PCの内蔵ストレージが暗号化されていないとき、攻撃者が利用者PCから内蔵ストレージを抜き取り、攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。

問25　データベースのアカウントの種類とそれに付与する権限の組合せのうち，情報セキュリティ上，適切なものはどれか。

問29　利用者PC上のSSHクライアントからサーバに公開鍵認証方式でSSH接続するとき，利用者のログイン認証時にサーバが使用する鍵とSSHクライアントが使用する鍵の組みはどれか。

問30　侵入者やマルウェアの挙動を調査するために、意図的に脆弱性をもたせたシステム又はネットワークはどれか。

問31　JIS Q 15001:2017（個人情報保護マネジメントシステム-要求事項）に関する記述のうち，適切なものはどれか。

問32　“政府機関等の情報セキュリティ対策のための統一基準（平成30年度版）”に関する説明として，適切なものはどれか。

問33　企業が，“特定電子メールの送信の適正化等に関する法律”における特定電子メールに該当する広告宣伝メールを送信する場合に関する記述のうち，適切なものはどれか。

問34　個人情報保護委員会“特定個人情報の適正な取扱いに関するガイドライン（事業者編）平成30年9月28日最終改正”及びその“Q&A”によれば、事業者によるファイル作成が禁止されている場合はどれか。

　なお，“Q&A”とは“「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」及び「（別冊）金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A平成30年9月28日更新”のことである。

問36　図は，企業と労働者の関係を表している。企業Bと労働者Cの関係に関する記述のうち，適切なものはどれか。

問37　経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置として，最も適切なものはどれか。

問38　ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について，JIS Q 27001:2014（情報セキュリティマネジメントシステム-要求事項）の附属書Aの管理策に照らして監査を行った。判明した状況のうち，監査人が監査報告書に指摘事項として記載すべきものはどれか。

問40　経済産業省“情報セキュリティ監査基準　実施基準ガイドライン（Ver1.0）”における，情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査（保証型の監査）と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査（助言型の監査）の実施に関する記述のうち，適切なものはどれか。

問41　あるデータセンタでは、受発注管理システムの運用サービスを提供している。次の受発注管理システムの運用中の事象において，インシデントに該当するものはどれか。

【受発注管理システムの運用中の事象】

夜間バッチ処理において，注文トランザクションデータから注文書を出力するプログラムが異常終了した。異常終了を検知した運用担当者から連絡を受けた保守担当者は，緊急出社してサービスを回復し，後日，異常終了の原因となったプログラムの誤りを修正した。

問43　組織が実施する作業を、プロジェクトと定常業務の二つに類別するとき，プロジェクトに該当するものはどれか。

問45　トランザクションT₁が更新中のデータを，トランザクションT₂が参照しようとしたとき，更新と参照の処理結果を矛盾させないようにするためのDBMSの機能はどれか。

問46　PC　を使って電子メールの送受信を行う際に，電子メールの送信とメールサーバからの電子メールの受信に使用するプロトコルの組合せとして，適切なものはどれか。

問48　2種類のIT機器a，bの購入を検討している。それぞれの耐用年数を考慮して投資の回収期間を設定し，この投資で得られる利益の全額を投資額の回収に充てることにした。a，bそれぞれにおいて，設定した回収期間で投資額を回収するために最低限必要となる年間利益に関する記述のうち，適切なものはどれか。ここで，年間利益は毎年均等とし，回収期間における利率は考慮しないものとする。

問49　RFIに回答した各ベンダに対してRFPを提示した。今後のベンダ選定に当たって，公正に手続を進めるためにあらかじめ実施しておくことはどれか。