基本情報技術者(科目A)過去問集 - 情報セキュリティ管理
令和7年6月修了試験 問30
サイバー情報共有イニシアティブ(J-CSIP)の説明として,適切なものはどれか。
| ア | サイバー攻撃対策に関する情報セキュリティ監査を参加組織間で相互に実施して,監査結果を共有する取組 |
|---|---|
| イ | 参加組織がもつデータを相互にバックアップして,サイバー攻撃から保護する取組 |
| ウ | セキュリティ製品のサイバー攻撃に対する有効性に関する情報を参加組織が取りまとめ,その情報を活用できるように公開する取組 |
| エ | 標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組 |
答え : エ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和7年1月修了試験 問30
| ア | ISMS適合性評価制度 |
|---|---|
| イ | PCI DSS |
| ウ | 特定個人情報保護評価 |
| エ | プライバシーマーク制度 |
令和7年1月修了試験 問31
| ア | DMZを通過する全ての通信データを監視し,不正な通信を遮断する。 |
|---|---|
| イ | サーバやネットワーク機器のMIB(Management Information Base)情報を分析し,中間者攻撃を遮断する。 |
| ウ | ネットワーク機器のIPFIX(IP Flow Information Export)情報を監視し,攻撃者が他者のPCを不正に利用したときの通信を検知する。 |
| エ | 複数のサーバやネットワーク機器のログを収集分析し,単体では特定困難な不審なアクセスを検知する。 |
令和6年12月修了試験 問60
サイバーセキュリティ基本法において定められたサイバーセキュリティ戦略本部は,どの機関に置かれているか。
| ア | 経済産業省 |
|---|---|
| イ | 国家安全保障会議 |
| ウ | 国会 |
| エ | 内閣 |
答え : エ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和6年7月修了試験 問30
JIS Q 27014:2015(情報セキュリティガバナンス)における,情報セキュリティガバナンスの範囲とITガバナンスの範囲に関する記述のうち,適切なものはどれか。
| ア | 情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。 |
|---|---|
| イ | 情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複せず,それぞれが独立している。 |
| ウ | 情報セキュリティガバナンスの範囲はITガバナンスの範囲に包含されている。 |
| エ | 情報セキュリティガバナンスの範囲はITガバナンスの範囲を包含している。 |
答え : ア
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和6年6月修了試験 問27
軽微な不正や犯罪を放置することによって,より大きな不正や犯罪が誘発されるという理論はどれか。
| ア | 環境設計による犯罪予防理論 |
|---|---|
| イ | 日常活動理論 |
| ウ | 不正のトライアングル理論 |
| エ | 割れ窓理論 |
答え : エ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和6年6月修了試験 問30
| ア | ICTを活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと |
|---|---|
| イ | 新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること |
| ウ | クラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること |
| エ | データセンタの利用者と事業者に対して “データセンタの適切なセキュリティ” とは何かを考え,共有すべき知見を提供すること |
答え : イ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和5年12月修了試験 問32
1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
| ア | WebサーバとデータベースサーバをDMZに設置する。 |
|---|---|
| イ | Webサーバとデータベースサーバを内部セグメントに設置する。 |
| ウ | WebサーバをDMZに,データベースサーバを内部セグメントに設置する。 |
| エ | Webサーバを外部セグメントに,データベースサーバをDMZに設置する。 |
令和5年7月修了試験 問30
サイバーレスキュー隊(J-CRAT)は,どの脅威による被害の低減と拡大防止を活動目的としているか。
| ア | クレジットカードのスキミング |
|---|---|
| イ | 内部不正による情報漏えい |
| ウ | 標的型サイバー攻撃 |
| エ | 無線LANの盗聴 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和5年6月修了試験 問30
リスク対応のうち,リスクの回避に該当するものはどれか。
| ア | リスクが顕在化する可能性を低減するために,情報システムのハードウェア構成を冗長化する。 |
|---|---|
| イ | リスクの顕在化に伴う被害からの復旧に掛かる費用を算定し,保険を掛ける。 |
| ウ | リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。 |
| エ | リスクレベルが小さいので特別な対応をとらないという意思決定をする。 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和5年1月修了試験 問40
| ア | システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。 |
|---|---|
| イ | システムのアクセス管理を行わずに済み,パスワードの初期化の手続や複雑性の要件を満たすパスワードポリシの検討が不要である。 |
| ウ | システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要な情報セキュリティ要件の定義やシステムログの保存容量の設計が不要である。 |
| エ | システムの情報セキュリティ管理を行わずに済み,情報セキュリティ管理規程の策定や管理担当者の設置が不要である。 |
令和5年1月修了試験 問42
| ア | 隔離された仮想環境でファイルを実行して,C&Cサーバへの通信などの振る舞いを監視する。 |
|---|---|
| イ | 様々な機器から集められたログを総合的に分析し,管理者による分析と対応を支援する。 |
| ウ | ネットワーク上の様々な通信機器を集中的に制御し,ネットワーク構成やセキュリティ設定などを変更する。 |
| エ | パケットのヘッダ情報の検査だけではなく,通信先のアプリケーションプログラムを識別して通信を制御する。 |
令和4年7月修了試験 問40
JPCERTコーディネーションセンターの説明はどれか。
| ア | 産業標準化法に基づいて経済産業省に設置されている審議会であり,産業標準化全般に関する調査・審議を行っている。 |
|---|---|
| イ | 電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法運用法を調査・検討するプロジェクトであり,総務省及び経済産業省が共同で運営する暗号技術検討会などで構成される。 |
| ウ | 特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。 |
| エ | 内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和3年12月修了試験 問36
情報の “完全性” を脅かす攻撃はどれか。
| ア | Webページの改ざん |
|---|---|
| イ | システム内に保管されているデータの不正コピー |
| ウ | システムを過負荷状態にするDoS攻撃 |
| エ | 通信内容の盗聴 |
令和3年7月修了試験 問40
| ア | ストレージを二重化し,耐障害性を向上させる。 |
|---|---|
| イ | ディジタル証明書を利用し,利用者の本人確認を可能にする。 |
| ウ | ファイルを暗号化し,情報漏えいを防ぐ。 |
| エ | フォルダにアクセス権を設定し,部外者の不正アクセスを防止する。 |
答え : ア
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年春期 問40
リスク対応のうち,リスクファイナンシングに該当するものはどれか。
| ア | システムが被害を受けるリスクを想定して,保険を掛ける。 |
|---|---|
| イ | システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。 |
| ウ | リスクが大きいと評価されたシステムを廃止し,新たなセキュアなシステムの構築に資金を投入する。 |
| エ | リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。 |
平成31年春期 問41
| ア | 脅威によって付け込まれる可能性のある,資産又は管理策の弱点 |
|---|---|
| イ | 結果とその起こりやすさの組合せとして表現される,リスクの大きさ |
| ウ | 対応すべきリスクに付与する優先順位 |
| エ | リスクの重大性を評価するために目安とする条件 |
答え : イ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年1月修了試験 問41
| ア | ある利用者があるシステムを利用したという事実が証明可能である。 |
|---|---|
| イ | 認可された利用者が要求したときにアクセスが可能である。 |
| ウ | 認可された利用者に対してだけ,情報を使用させる又は開示する。 |
| エ | 利用者の行動と意図した結果とが一貫性をもつ。 |
答え : ア
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年12月修了試験 問43
ISMS適合性評価制度の説明はどれか。
| ア | ISO/IEC 15408に基づき,IT関連製品のセキュリティ機能の適切性・確実性を評価する。 |
|---|---|
| イ | JIS Q 15001に基づき,個人情報について適切な保護措置を講じる体制を整備している事業者などを認定する。 |
| ウ | JIS Q 27001に基づき,組織が構築した情報セキュリティマネジメントシステムの適合性を評価する。 |
| エ | 電子政府推奨暗号リストに基づき,暗号モジュールが適切に保護されていることを認証する。 |
平成30年秋期 問39
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義 a~d の組みのうち,適切なものはどれか。
〔定義〕
a 意図する行動と結果とが一貫しているという特性
b エンティティは,それが主張するとおりのものであるという特性
c 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性
d 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しないという特性
〔定義〕
a 意図する行動と結果とが一貫しているという特性
b エンティティは,それが主張するとおりのものであるという特性
c 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性
d 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しないという特性
| 真正性 | 信頼性 | |
| ア | a | c |
| イ | b | a |
| ウ | b | d |
| エ | d | a |
答え : イ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問40
| ア | CSIRTマテリアル |
|---|---|
| イ | ISMSユーザーズガイド |
| ウ | 証拠保全ガイドライン |
| エ | 組織における内部不正防止ガイドライン |
答え : ア
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年春期 問43
利用者情報を格納しているデータベースから利用者情報を検索して表示する機能だけをもつアプリケーションがある。このアプリケーションがデータベースにアクセスするときに用いるアカウントに与えるデータベースへのアクセス権限として,情報セキュリティ管理上,適切なものはどれか。ここで,権限の名称と権限の範囲は次のとおりとする。
〔権限の名称と権限の範囲〕
参照権限:レコードの参照が可能
更新権限:レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
〔権限の名称と権限の範囲〕
参照権限:レコードの参照が可能
更新権限:レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
| ア | 管理者権限 |
|---|---|
| イ | 更新権限 |
| ウ | 更新権限と参照権限 |
| エ | 参照権限 |
答え : エ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年12月修了試験 問41
JIS Q 31000:2010(リスクマネジメント一原則及び指針)における残留リスクの定義はどれか。
| ア | 監査手続を実施しても監査人が重要な不備を発見できないリスク |
|---|---|
| イ | 業務の性質や本来有する特性から生じるリスク |
| ウ | 利益を生む可能性に内在する損失発生の可能性として存在するリスク |
| エ | リスク対応後に残るリスク |
答え : エ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問42
CSIRTの説明として,適切なものはどれか。
| ア | IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。 |
|---|---|
| イ | インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。 |
| ウ | 企業内組織内や政府機関に設置され,情報セキュリティインシデントに関す·る報告を受け取り,調査し,対応活動を行う組織の総称である。 |
| エ | 情報技術を利用し,宗教的又は政治的な目標を達成するという目的をもつ者や組織の総称である。 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問43
リスクアセスメントを構成するプロセスの組合せはどれか。
| ア | リスク特定,リスク評価,リスク受容 |
|---|---|
| イ | リスク特定,リスク分析,リスク評価 |
| ウ | リスク分析,リスク対応,リスク受容 |
| エ | リスク分析,リスク評価,リスク対応 |
答え : イ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年7月修了試験 問40
BYODの説明,及びその情報セキュリティリスクに関する記述のうち,適切なものはどれか。
| ア | 従業員が企業から貸与された情報端末を,客先などへの移動中に業務に利用することであり,ショルダハッキングなどの情報セキュリティリスクが増大する。 |
|---|---|
| イ | 従業員が企業から貸与された情報端末を,自宅に持ち帰って私的に利用することであり,機密情報の漏えいなどの情報セキュリティリスクが増大する。 |
| ウ | 従業員が私的に保有する情報端末を,職場での休憩時間などに私的に利用することであり,セキュリティ意識の低下などに起因する情報セキュリティリスクが増大する。 |
| エ | 従業員が私的に保有する情報端末を業務に利用することであり,セキュリティ設定の不備に起因するウイルス感染などの情報セキュリティリスクが増大する。 |
平成29年春期 問39
経済産業省とIPAが策定した “サイバーセキュリティ経営ガイドライン(Ver1.1)” が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
| ア | 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策 |
|---|---|
| イ | 自社に出資している株主が行うセキュリティ対策 |
| ウ | 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策 |
| エ | 自社の事業所近隣の地域社会が行うセキュリティ対策 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年6月修了試験 問43
利用者情報を管理するデータベースにおいて,利用者情報を検索して表示するアプリケーションがある。このアプリケーションに与えるデータベースへのアクセス権限として,セキュリティ管理上適切なものはどれか。ここで,権限の範囲は次のとおりとする。
〔権限の名称と権限の範囲〕
参照権限:レコードの参照が可能
更新権限:レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
〔権限の名称と権限の範囲〕
参照権限:レコードの参照が可能
更新権限:レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
| ア | 管理者権限 |
|---|---|
| イ | 更新権限 |
| ウ | 参照権限 |
| エ | 参照権限と更新権限 |
平成28年春期 問41
| ア | システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。 |
|---|---|
| イ | システムのアクセス管理を行わずに済み,パスワードの初期化の手続や複雑性の要件を満たすパスワードポリシの検討が不要である。 |
| ウ | システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である。 |
| エ | システムのセキュリティ管理を行わずに済み,情報セキュリティ管理規定の策定や管理担当者の設置が不要である。 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年7月修了試験 問43
会社や団体が,自組織の従業員に貸与するスマートフォンに対して,セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組みはどれか。
| ア | BYOD(Bring Your Own Device) |
|---|---|
| イ | ECM(Enterprise Contents Management) |
| ウ | LTE(Long Term Evolution) |
| エ | MDM(Mobile Device Management) |
平成27年春期 問45
| ア | 当該スマートフォンがウイルスに感染していないこと |
|---|---|
| イ | 当該スマートフォンが社内システムへのアクセスを許可されたデバイスであること |
| ウ | 当該スマートフォンのOSに最新のセキュリティパッチが適用済みであること |
| エ | 当該スマートフォンのアプリケーションが最新であること |
答え : イ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年1月修了試験 問38
| ア | 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。 |
|---|---|
| イ | 情報セキュリティの基本方針を述べたものであり,ビジネス環境や技術が変化しても変更してはならない。 |
| ウ | 情報セキュリティのための経営陣の方向性及び支持を規定する。 |
| エ | 特定のシステムについてリスク分析を行い,そのセキュリティ対策とシステム運用の詳細を記述する。 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年1月修了試験 問39
| ア | 損失の発生率を低下させること |
|---|---|
| イ | 保険への加入などで,他者との間でリスクを分散すること |
| ウ | リスクの原因を除去すること |
| エ | リスクを扱いやすい単位に分解するか集約すること |
平成26年秋期 問39
リスクアセスメントに関する記述のうち,適切なものはどれか。
| ア | 以前に洗い出された全てのリスクへの対応が完了する前に,リスクアセスメントを実施することは避ける。 |
|---|---|
| イ | 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。 |
| ウ | 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。 |
| エ | リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。 |
答え : ウ
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
共有ボタンをタップ