ITパスポート過去問集 - 情報セキュリティ管理

令和7年 問59
ISMSにおける内部監査に関する記述のうち,適切なものはどれか。
JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく,ISMS活動の組織に対する有効性も判定する。
JIS Q 27001の要求事項ではなく,組織自体が規定した要求事項を監査基準とする。
内部監査の実施のためのプログラムを確立するときには,前回の内部監査の結果は考慮しない。
不定期かつ抜き打ちでの実施を原則とする。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和7年 問68
CSIRTとして行う活動の例として,最も適切なものはどれか。
OSやアプリケーションソフトウェアのセキュリティパッチを定期的に適用する。
地震や洪水などの自然災害を想定し,情報資産を守るために全社的な事業継続計画を策定する。
セキュリティ事故の発生時に影響範囲を調査して,被害拡大を防止するための対策実施を支援する。
保守業者がサーバ室で作業した日に,作業員の入退出が適切に記録されていたことを監査する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和7年 問83
ISMSの運用にPDCAモデルを採用している組織において,サーバ監視に関する次の作業を実施する。各作業とPDCAモデルの各フェーズの組合せとして,適切なものはどれか。

〔作業〕
(1)サーバ監視の具体的な目的及び手順を定める。
(2)サーバ監視の作業内容を第三者が客観的に評価する。
(3)定められている手順に従ってサーバを監視する。
(4)発見された問題点の是正処置として,サーバの監視方法を変更する。

PDCA
(1)(2)(3)(4)
(1)(2)(4)(3)
(1)(3)(2)(4)
(1)(3)(4)(2)
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和7年 問84
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
機密事項が記載されているので,伝達する範囲を社内に限定する必要がある。
情報セキュリティ対策は一度実施したら終わりではないので,ISMSを継続的に改善するコミットメントを含める必要がある。
部門の特性に応じて最適化するので,ISMSを適用する組織全体ではなく,部門ごとに定める必要がある。
ボトムアップを前提としているので,各職場の管理者によって承認される必要がある。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和7年 問91
情報セキュリティリスクマネジメントにおけるリスク対応を,リスク移転リスク回避,リスク低減及びリスク保有の四つに分けて実施することにしたとき,これらに関する記述として,適切なものはどれか。
リスク対応の実施手順であり,リスク回避リスク移転リスク低減リスク保有の順番で進める。
リスク対応の実施手順であり,リスク保有リスク低減リスク移転リスク回避の順番で進める。
リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは,リスク回避に該当する。
リスク対応の選択肢であり,ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは,リスク低減に該当する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和7年 問97
情報セキュリティにおいて,可用性が損なわれた事象だけを全て挙げたものはどれか。

a 関連取引先との電子決済システムがDoS攻撃を受け,処理ができなくなった。
b 顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。
c 社内のサーバに不正侵入されて,社外秘の情報が漏えいした。
a
a,b
b,c
c
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和6年 問64
情報セキュリティリスクマネジメントにおけるリスクへの対応を,リスク共有リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例として適切なものはどれか。
災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンターを設置する。
情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。
電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
ノートPCの紛失や盗難による情報漏えいを防ぐために,HDD暗号化する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
リスク共有とは、他者と合意や契約のもとで当該リスクを分かち合うことを指します。事前に一定の対価を支払い、損失が顕在化したら規定の額だけ補填を受ける保険の仕組みなどが該当し、「イ」のサイバー保険が正解です。

「ア」の遠隔地バックアップは「リスク低減」(リスク軽減)に該当します。
「ウ」のメール送信時のチェックも「リスク低減」に該当します。
「エ」のデータ暗号化も「リスク低減」に該当します。
令和6年 問75
情報セキュリティの3要素である機密性,完全性及び可用性と,それらを確保するための対策の例 a〜c の適切な組合せはどれか。

a アクセス制御
b デジタル署名
c ディスクの二重化

abc
可用性完全性機密性
可用性機密性完全性
完全性機密性可用性
機密性完全性可用性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
情報セキュリティを構成する重要な3つの要素があります。
▼ 機密性 … 正当な権限を持つ人だけがデータや機能にアクセスできること
▼ 完全性 … データの改竄や破壊、すり替えが行われないこと
▼ 可用性 … 利用者が必要なときにデータや機能にアクセスできること

「a」のアクセス制御は、利用者を識別して適切な権限があるか確かめる手法で、機密性に関連します。
「b」のデジタル署名は、データ改竄やすり替えが行われたときに検知できるようにする技術で、完全性に関連します。
「c」の二重化は、装置の破損やデータの喪失でアクセスできなくなるのを防ぐ手段で、可用性に関連します。

以上を組み合わせた「エ」が正解です。
令和6年 問82
ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
一度認証するだけで,複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
クラウドサービスについて,クラウドサービス固有の管理策が実施されていることを認証する制度
個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して,事業活動に関してプライバシーマークの使用を認める制度
利用者がクラウドサービスログインするときの環境,IPアドレスなどに基づいて状況を分析し,リスクが高いと判断された場合に追加の認証を行う仕組み
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
ISMSクラウドセキュリティ認証は、JIPDEC日本情報経済社会推進協会)が運用する認証制度で、クラウドサービスに固有のセキュリティ施策が実施されていることを認定します。「イ」が正解です。

「ア」はシングルサインオンの説明です。
「ウ」はプライバシーマーク制度の説明です。
「エ」はリスクベース認証の説明です。
令和6年 問86
PDCAモデルに基づいてISMSを運用している組織において,C(Check)で実施することの例として,適切なものはどれか。
業務内容の監査結果に基づいた是正処置として,サーバの監視方法を変更する。
具体的な対策と目標を決めるために,サーバ室内の情報資産を洗い出す。
サーバ管理者の業務内容を第三者が客観的に評価する。
定められた運用手順に従ってサーバの動作を監視する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
PDCAモデルは、活動を計画(Plan)→実行(Do)→評価(Check)→改善(Action)を一つの周期とする反復的な取り組みとして展開する手法です。この選択肢の中では「ウ」の業務内容の評価が「C」の活動となります。

「ア」は評価後の是正措置なので「A」(改善)に当たります。
「イ」は対策と目標を決める過程なので「P」(計画)に当たります。
「エ」は運用を行う過程なので「D」(実行)に当たります。
令和6年 問94
企業において情報セキュリティポリシー策定で行う作業のうち,次の作業の実施順序として,適切なものはどれか。

a 策定する責任者や担当者を決定する。
b 情報セキュリティ対策の基本方針を策定する。
c 保有する情報資産を洗い出し,分類する。
d リスクを分析する。
a → b → c → d
b → a → c → d
a → b → d → c
b → a → d → c
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
情報セキュリティポリシーの策定は、担当者の決定、基本方針の策定、情報資産の洗い出し、リスク分析の順に進めます。これは「a」→「b」→「c」→「d」の順となるため「ア」が正解です。
令和5年 問56
ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
PaaSSaaSが対象であり,IaaSは対象ではない。
クラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
クラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組織は対象ではない。
クラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
ISMSクラウドセキュリティ認証は、JIPDEC日本情報経済社会推進協会)が運用する認証制度で、クラウドサービスに固有のセキュリティ施策が実施されていることを認定します。

「ア」… IaaS、PaaSSaaSのいずれのクラウドサービスも対象です。
「イ」… 正解です。
「ウ」… クラウドの利用側、提供側のいずれも対象です。
「エ」… プライバシーマーク制度の説明です。
令和5年 問72
情報セキュリティリスクマネジメントにおけるリスク対応を,リスク回避リスク共有,リスク低減及びリスク保有の四つに分類したとき,リスク共有の説明として,適切なものはどれか。
個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
リスク共有とは、他者と合意や契約のもとで当該リスクを分かち合うことを指します。事前に一定の対価を支払い、損失が顕在化したら規定の額だけ補填を受ける保険の仕組みなどが該当します。「ウ」が正解です。

「ア」は「リスク回避」の説明です。
「イ」は「リスク低減」の説明です。
「エ」は「リスク保有」の説明です。
令和5年 問79
PDCAモデルに基づいてISMSを運用している組織の活動において,次のような調査報告があった。この調査はPDCAモデルのどのプロセスで実施されるか。

社外からの電子メールの受信に対しては,情報セキュリティポリシーに従ってマルウェア検知システムを導入し,維持運用されており,日々数十件のマルウェア付き電子メールの受信を検知し,破棄するという効果を上げている。しかし,社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく,社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
PDCAモデルは、活動を計画(Plan)→実行(Do)→評価(Check)→改善(Action)を一つの周期とする反復的な取り組みとして展開する手法です。問題文のような調査は「C」(評価)の段階で行われるものであり「ウ」が正解です。
令和5年 問94
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの
情報セキュリティに対する組織の意図を示し,方向付けしたもの
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
ISMSでは組織がどのような情報をどのように取り扱うかを特定し、情報の適切な保護・管理についての「情報セキュリティ方針」を定めることを求めています。文書として組織内に周知する必要があります。「エ」が正解です。

「ア」… セキュリティ製品の設定値などを定義するための文書ではありません。
「イ」… プライバシーポリシーの説明です。情報セキュリティ方針の対象は個人情報に限りません。
「ウ」… 特定の相手先との合意内容を記述するための文書ではありません。
令和5年 問95
情報セキュリティにおける機密性,完全性及び可用性に関する記述のうち,完全性確保されなかった例だけを全て挙げたものはどれか。

a オペレーターが誤ったデータを入力し,顧客名簿に矛盾が生じた。
b ショッピングサイトがシステム障害で一時的に利用できなかった。
c データベースで管理していた顧客の個人情報が漏えいした。
a
a,b
b
c
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
情報セキュリティにおける「完全性」(integrity)とは、情報が完全な状態で保護されていて、喪失、破損、改竄、すり替えなどに遭わないようにすることを指します。

a … 適切。操作ミスによるデータ破損で完全性が損なわれています。
b … 不適切。システム停止で情報が利用できないのは可用性の毀損です。
c … 不適切。データの外部への漏洩は機密性の毀損です。

「a」のみが完全性に関わる記述なので「ア」が正解です。
令和4年 問58
ISMSの計画,運用,パフォーマンス評価及び改善において,パフォーマンス評価で実施するものはどれか。
運用の計画及び管理
内部監査
不適合の是正処置
リスクの決定
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
ISMSではセキュリティ管理を、計画→運用→評価→改善を一つのサイクルとする反復的な取り組みとするよう求めています。選択肢の中で評価のために行われるのは「内部監査」であり、「イ」が正解です。

「ア」は運用の段階で実施します。
「ウ」は改善の段階で実施します。
「エ」は計画の段階で実施します。
令和4年 問72
情報セキュリティにおける機密性,完全性及び可用性と,①〜③のインシデントによって損なわれたものとの組合せとして,適切なものはどれか。

① DDoS攻撃によって,Webサイトがダウンした。
② キーボードの打ち間違いによって,不正確なデータが入力された。
③ PCがマルウェアに感染したことによって,個人情報が漏えいした。

可用性完全性機密性
可用性機密性完全性
完全性可用性機密性
完全性機密性可用性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
情報セキュリティの3要素はそれぞれ
▼ 機密性 … 権限のある人物だけが情報に触れられる性質
▼ 完全性 … 内容が保たれ、破損、喪失、改竄、すり替えなどされていない性質
▼ 可用性 … 必要なときに情報にアクセスできる性質
という意味があります。

① Webサイトがダウンすると必要なときに情報に触れられなくなるため、可用性が損なわれています。
② データ入力の内容を誤ると情報が不正確になるため、完全性が損なわれています。
③ 個人情報が漏洩すると本来権限のない者が情報を閲覧できるため、機密性が損なわれています。

以上を組み合わせた「ア」が正解です。
令和4年 問76
情報セキュリティリスクマネジメントにおけるリスク対応を,リスク回避リスク共有,リスク低滅及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。
リスク回避
リスク共有
リスク低減
リスク保有
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
サイバー保険を含む保険の仕組みは、対価を払って他社(保険者)にリスクの一部を移すものです。リスクが損害として顕在化したときは、契約に従って保険金を受け取り、損害を保険者に肩代わりしてもらうことができます。正解は「イ」です。

「ア」の「リスク回避」は、事業を中止するなど、リスクの原因自体を消し去ってしまう措置を指します。
「ウ」の「リスク低減」は、データバックアップを取るなど、損害の確率や程度を下げる措置を指します。
「エ」の「リスク保有」は、確率が極めて低い場合などに、何もせずリスクを甘んじて受け入れることを指します。
令和4年 問85
情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。
対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
「ア」… 正解。基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示すものです。

「イ」… 不適切。実施手順は、基本方針や対策基準を策定するために実施した作業の手順を記録したものではなく、基本方針や対策基準に基づいて実際に行うべき手順を示すものです。

「ウ」… 不適切。対策基準は情報セキュリティポリシーを策定するための文書の基準を示すものではなく、基本方針に基づいて組織内でどのような対策を行うのか全体的なルールを示すものです。

「エ」… 不適切。対策基準はセキュリティ対策に関する基準を示すものであり、情報セキュリティ事故が発生した後の対策は実施手順に詳述されるべき内容です。
令和4年 問86
情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
受容基準と比較できるように,各リスクのレベルを決定する必要がある。
全ての情報資産を分析の対象にする必要がある。
特定した全てのリスクについて,同じ分析技法を用いる必要がある。
リスクが受容可能かどうかを決定する必要がある。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
リスクアセスメントは、情報セキュリティにおけるリスクを管理するための重要なプロセスです。一般的に次の3つのプロセスを順番に実施します。

① リスク特定:潜在的なリスクを識別し、どの情報資産が脅威にさらされる可能性があるかを明確にします。
② リスク分析:特定されたリスクの発生確率や影響度を分析し、リスクのレベルを評価します。
③ リスク評価:分析結果に基づいてリスクが許容可能かどうかを判断し、必要な対策を決定します。

「ア」… 正解。リスク分析の段階では、各リスクのレベル(例えば、影響度や発生確率)を決定し、それを受容基準と比較する必要があります。受容基準は、リスクがどの程度まで受け入れ可能かを示す基準です。

「イ」… 不適切。リスク分析の対象はすべての情報資産に対して行う必要はありません。リスク分析は、特に重要な情報資産や、リスクが大きいと思われる資産に対して実施することが一般的です。

「ウ」… 不適切。特定したリスクについて同じ分析技法を用いることは必須ではありません。リスク分析には、定性的手法や定量的手法があり、リスクの種類や状況に応じて適切な分析技法を選択することが重要です。

「エ」… 不適切。「リスクが受容可能かどうかを決定する」ことは、リスク評価の段階で行うことであり、リスク分析の段階ではリスクのレベルを決定し、その後、リスク評価で受容可能かどうかを判断します。
令和3年 問67
ISMSにおける情報セキュリティに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。

情報セキュリティとは,情報の機密性,完全性及び [  a  ] を維持することである。さらに,真正性責任追跡性否認防止, [  b  ] などの特性を維持することを含める場合もある。

ab
可用性信頼性
可用性保守性
保全性信頼性
保全性保守性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
情報セキュリティの3要素は「機密性」「完全性」と「可用性」です。

4つ足して7要素とする場合は「真正性」「責任追跡性」「否認防止」「信頼性」を追加します。

[ a ] が「可用性」、[ b ] が「信頼性」のアが正解です。
令和3年 問77
PDCAモデルに基づいてISMSを運用している組織の活動において,リスクマネジメントの活動状況の監視の結果などを受けて,是正や改善措置を決定している。この作業は,PDCAモデルのどのプロセスで実施されるか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
PDCAモデルは、活動を計画(Plan)→実行(Do)→評価(Check)→改善(Action)を一つの周期とする反復的な取り組みとして展開する手法です。是正や改善措置の決定は最後の「A」(Action)で行われる取り組みです。「エ」が正解です。
令和3年 問79
中小企業の情報セキュリティ対策普及の加速化に向けて,IPAが創設した制度である“SECURITY ACTION”に関する記述のうち,適切なものはどれか。
ISMS認証取得に必要な費用の一部を国が補助する制度
営利を目的としている組織だけを対象とした制度
情報セキュリティ対策に取り組むことを自己宣言する制度
情報セキュリティ対策に取り組んでいることを第三者が認定する制度
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
SECURITY ACTION」は中小企業などが公開されているチェックリストなどに基づいてセキュリティ診断を行い、対策に取り組んでいることを自己宣言する制度です。「ウ」が正解です。

「ア」… 補助金を支給する制度ではありません。
「イ」… 学校法人やNPO法人など非営利団体が取り組んでも構いません。
「エ」… 第三者が認定する制度ではありません。
令和3年 問81
J-CRATに関する記述として,適切なものはどれか。
企業などに対して,24時間体制でネットワークやデバイスを監視するサービスを提供する。
コンピュータセキュリティに関わるインシデントが発生した組織に赴いて,自らが主体となって対応の方針や手順の策定を行う。
重工,重電など,重要インフラで利用される機器の製造業者を中心に,サイバ一攻撃に関する情報共有と早期対応の場を提供する。
相談を受けた組織に対して,標的型サイバー攻撃の被害低減と攻撃の連鎖の遮断を支援する活動を行う。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
J-CRAT」は「サイバーレスキュー隊」とも呼ばれ、サイバー攻撃を受けた企業や公的機関などからの相談を受け付け、被害の拡大防止のための支援活動を行う組織です。情報処理推進機構(IPA)内の部局として運営されています。「エ」が正解です。

「ア」は「SOCサービス」(Security Operation Center)の説明です。
「イ」は「CSIRT」(Computer Security Incident Response Team)の説明です。
「ウ」は「J-CSIP」(サイバー情報共有イニシアティブ)の説明です。
令和3年 問88
ISMSリスクアセスメントにおいて,最初に行うものはどれか。
リスク対応
リスク特定
リスク評価
リスク分析
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
リスクアセスメントrisk assessment)とは、企業などで組織的に取り組む将来のリスクに備えるための準備活動のことです。ISMSの定める標準的な手法では、「リスク特定」→「リスク分析」→「リスク評価」の各工程をこの順番で行います。最初に行うのはリスク特定なので「イ」が正解です。
令和3年 問91
次の作業 a~d のうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a 脅威やぜい弱性などを使って,リスクレベルを決定する。
b リスクとなる要因を特定する。
c リスクに対してどのように対応するかを決定する。
d リスクについて対応する優先順位を決定する。
a,b
a,b,d
a,c,d
c,d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
リスクアセスメントはリスクを特定し、そのリスクの影響や発生確率を評価し、リスクのレベルを決定する活動です。

「a」… 含まれます。リスクを定量的・定性的に評価し、そのリスクレベルを決定します。この作業はリスク評価の一環です。

「b」… 含まれます。リスクアセスメントの初期段階では、リスクの要因(脅威や脆弱性)を特定することが重要です。

「c」… 含まれません。この作業はリスク対応の一部です。リスクアセスメントの後に行うべきプロセスで、リスクを避ける、軽減する、受け入れる、または転嫁する方法を決定します。

「d」… 含まれます。リスクを評価し、そのリスクの影響度や発生確率に基づいて、リスク対応の優先順位を決定することが必要です。

「a」「b」「d」が含まれるので「イ」が正解です。
令和3年 問96
情報セキュリティ方針に関する記述として,適切なものはどれか。
一度定めた内容は,運用が定着するまで変更してはいけない。
企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
「ア」… 不適切。情報セキュリティ方針は、運用の進行に伴い必要に応じて見直し、改善が行われるべきです。

「イ」… 不適切。情報セキュリティ方針は単なる理想像を示すものではなく、実際的で具体的な目標や方針を明確にするものです。

「ウ」… 不適切。基本的には組織内で共有すべきものですが、外部の関係者にも一定程度公開される場合があります。隠さなければならない情報を書くものではありません。

「エ」… 正解。 情報セキュリティ方針は、組織の事業内容や情報資産、組織の特性に合わせて策定するべきです。自社の状況に応じたセキュリティ方針を定めることで、効果的なセキュリティ対策が実施でき、現実的なリスク管理が可能になります。
令和3年 問99
情報セキュリティリスクマネジメントにおいて,リスク移転リスク回避リスク低減リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつぜい弱性を客観的な数値で表す手法は,リスク保有に分類される。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
「ア」… 正解。保険はリスクが顕在化したときに損失の補填を受ける契約であり、リスク移転(またはリスク共有)にあたります。

「イ」… 不適切。これらはリスク対応の分類であって、保有資産の使用目的の分類ではありません。

「ウ」… 不適切。これらはリスク対応の分類であって、評価方法の分類ではありません。

「エ」… 不適切。これらはリスク対応の分類であって、分析手法の分類ではありません。
令和2年秋期 問68
リスク対応を,移転,回避,低減及び保有に分類するとき,次の対応はどれに分類されるか。

[対応]
職場における机上の書類からの情報漏えい対策として,退社時のクリアデスクを導入した。
移転
回避
低減
保有
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和2年秋期 問69
ISMSの確立,実施,維持及び継続的改善における次の実施項目のうち,最初に行うものはどれか。
情報セキュリティリスクアセスメント
情報セキュリティリスク対応
内部監査
利害関係者のニーズと期待の理解
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和2年秋期 問87
ISMSにおける情報セキュリティに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。

情報セキュリティとは,情報の機密性, [  a  ] 及び可用性を維持することである。さらに, [  b  ] ,責任追跡性否認防止信頼性などの特性を維持することを含める場合もある。

ab
完全性真正性
完全性保守性
保全性真正性
保全性保守性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和2年秋期 問89
PDCAモデルに基づいてISMSを運用している組織の活動において,PDCAモデルのA(Act)に相当するプロセスで実施するものとして,適切なものはどれか。
運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて,見直しと改善策を決定する。
運用状況の監視や運用結果の測定及び評価を行う。
セキュリティポリシの策定や組織内の体制の確立,セキュリティポリシで定めた目標を達成するための手順を策定する。
セキュリティポリシの周知徹底やセキュリティ装置の導入などを行い,具体的に運用する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和2年秋期 問94
IoTデバイス群とそれらを管理するIoTサーバで構成されるIoTシステムがある。このシステムの情報セキュリティにおける①~③のインシデントと,それによって損なわれる,機密性,完全性及び可用性との組合せとして,適切なものはどれか。

インシデント
① IoTデバイスが,電池切れによって動作しなくなった。
② IoTデバイスとIoTサーバ間の通信を暗号化していなかったので,情報が漏えいした。
③ システムの不具合によって,誤ったデータが記録された。

可用性完全性機密性
可用性機密性完全性
完全性可用性機密性
機密性可用性完全性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和1年秋期 問56
次の作業 a~d のうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a リスク特定
b リスク分析
c リスク評価
d リスク対応
a, b
a, b, c
b, c, d
c, d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
解説
リスクアセスメントは企業などで組織的に取り組む、将来のリスクに備えるための準備活動で、「リスク特定」「リスク分析」「リスク評価」の各工程をこの順番に実施します。「リスク対応」以外を組み合わせた「イ」が正解です。
令和1年秋期 問68
1年前に作成した情報セキュリティポリシについて,適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのどれに該当するか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和1年秋期 問84
内外に宣言する最上位の情報セキュリティポリシに記載することとして,最も適切なものはどれか。
経営陣が情報セキュリティに取り組む姿勢
情報資産を守るための具体的で詳細な手順
セキュリティ対策に掛ける費用
守る対象とする具体的な個々の情報資産
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和1年秋期 問86
情報セキュリティリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。
インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
個人情報が漏えいした場合に備えて,保険に加入する
サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCHDDに保存する情報を暗号化する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和1年秋期 問88
バイオメトリクス認証の例として,適切なものはどれか。
本人の手の指の静脈の形で認証する。
本人の電子証明書認証する。
読みにくい文字列が写った画像から文字を正確に読み取れるかどうかで認証する。
ワンタイムパスワードを用いて認証する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
令和1年秋期 問97
情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。
可用性を確保することは,利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
完全性を確保する方法の例として,システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
機密性可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。
機密性を確保する方法の例として,データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年春期 問63
PDCAモデルに基づいてISMSを運用している組織において,A(Act)で実施することの例として,適切なものはどれか。
業務内容の監査結果に基づいた是正処置として,サーバの監視方法を変更する。
サーバ管理者の業務内容を第三者が客観的に評価する。
サーバ室内の情報資産を洗い出す。
サーバの動作を定められた運用手順に従って監視する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年春期 問64
二つの拠点を専用回線で接続したWANパケットを送受信する場合,可用性を高める例として,適切なものはどれか。
異なる通信事業者が提供する別回線を加え,2回線でパケットを送受信する。
受信側でパケットの誤りを検知し訂正する。
送信側でウイルス検査を行い,ウイルスが含まれないパケットを送る。
送信側でパケット暗号化して送る。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年春期 問68
資産A~Dの資産価値,脅威及びぜい弱性の評価値が表のとおりであるとき,最優先でリスク対応するべきと評価される資産はどれか。ここで,リスク値は,表の各項目を重み付けせずに掛け合わせることによって算出した値とする。

資産名資産価値脅威脆弱性
資産A523
資産B612
資産C225
資産D153
資産A
資産B
資産C
資産D
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年春期 問72
ISMSの導入効果に関する次の記述中の a,b に入れる字句の適切な組合せはどれか。

 [  a  ] マネジメントプロセスを適用することによって,情報の機密性,[  b  ] 及び可用性をバランス良く維持,改善し,[  a  ] を適切に管理しているという信頼を利害関係者に与える。

ab
品質完全性
品質妥当性
リスク完全性
リスク妥当性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成31年春期 問85
情報セキュリティポリシを,基本方針,対策基準及び実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
基本方針は,経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。
基本方針は,情報セキュリティ事故が発生した場合に,経営者が取るべき行動を記述したマニュアルのようなものである。
実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。
対策基準は,基本方針や実施手順に何を記述すべきかを定めて,関係者に周知しておくものである。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問61
PDCAモデルに基づいてISMSを運用している組織において,運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を,定められた運用手順に従って毎日調べる業務は,PDCAのどのフェーズか。
P(Plan)
D(Do)
C(Check)
A(Act)
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問68
情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。
PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
事前に登録された情報を使って,システムの利用者が本人であることを確認する。
情報システムの導入に際し,費用対効果を算出する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問70
ISMSにおける情報セキュリティ方針の説明として,適切なものはどれか。
個人情報を取り扱う事業者が守るべき義務を規定するものである。
情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
情報セキュリティに対する組織の意図を示し,方向付けをするものである。
保護すべき情報を管理しているサーバセキュリティの設定値を規定するものである。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問78
情報セキュリティ対策において,情報を保護レベルによって分類して管理するとき,管理方法として,適切なものだけを全て挙げたものはどれか。

a 情報に付与した保護レベルは,廃棄するまで変更しない。
b 情報の取扱い手順は,保護レベルごとに定める。
c 情報の保護レベルは,組織が作成した基準によって決める。
d 保護レベルで管理する対象は,電子データとそれを保存した保存媒体に限定する。
a,c
a,d
b,c
b,d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問82
情報セキュリティにおける機密性,完全性及び可用性のうち,特に完全性の向上を目的とした取組として,最も適切なものはどれか。
サーバデュプレックスシステムで構成して運用する。
システムの稼働率の向上策を検討する。
システムの利用開始時にユーザ認証を求める。
情報の改ざんを防止する対策を施す。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問98
コンピュータネットワークに関するセキュリティ事故の対応を行うことを目的とした組織を何と呼ぶか。
CSIRT
ISMS
ISP
MVNO
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年秋期 問99
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。

a あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。
b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
c リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。
a
a,b
b
c
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年春期 問61
情報セキュリティリスクヘの対応には,リスク移転リスク回避,リスク受容及びリスク低減がある。リスク受容に該当する記述はどれか。
セキュリティ対策を行って,問題発生の可能性を下げること
特段の対応は行わずに,損害発生時の負担を想定しておくこと
保険などによってリスクを他者などに移すこと
問題の発生要因を排除してリスクが発生する可能性を取り去ること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年春期 問70
ISMSにおけるリスク分析に関する記述として,適切なものはどれか。
異なる情報資産について,脅威とぜい弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。
システムの規模や重要度にかかわらず,全てのリスクを詳細に分析しなければならない。
電子データは分析の対象とするが,紙媒体のデータは対象としない。
リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年春期 問82
JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営するJVNJapan Vulnerability Notes)で,“JVN#12345678”などの形式の識別子を付けて管理している情報はどれか。
OSSライセンスに関する情報
ウイルス対策ソフトの定義ファイルの最新バージョン情報
工業製品や測定方法などの規格
ソフトウェアなどのぜい弱性関連情報とその対策
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年春期 問90
情報セキュリティマネジメントがPDCAサイクルに基づくとき,Cに相当するものはどれか。
情報セキュリティの目的,プロセス,手順の確立を行う。
評価に基づいた是正及び予防措置によって改善を行う。
プロセス及び手順の導入,運用を行う。
プロセスの効果を測定し,結果の評価を行う。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成30年春期 問93
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
企業の現状とは切り離して,目標とする理想形を記述するのがよい。
周知は情報セキュリティ担当者だけに限定するのがよい。
トップマネジメントが確立しなければならない。
適用範囲が企業全体であっても,部門単位で制定するのがよい。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問57
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
リスク対応 → リスク評価 → リスク分析
リスク評価 → リスク分析 → リスク対応
リスク分析 → リスク対応 → リスク評価
リスク分析 → リスク評価 → リスク対応
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問68
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
同じ業種であれば記述内容は同じである。
全社共通のPCの設定ルールを定めたものである。
トップマネジメントが確立しなければならない。
部門ごとに最適化された情報セキュリティ方針を,個別に策定する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問77
PDCAモデルに基づいてISMSを運用している組織において,サーバ運用管理手順書に従って定期的に,“ウイルス検知用の定義ファイルを最新版に更新する”作業を実施している。この作業は,PDCAモデルのどのプロセスで実施されるか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問80
ISMS適合性評価制度において,組織がISMS認証を取得していることから判断できることだけを全て挙げたものはどれか。

a 組織が運営するWebサイトを構成しているシステムにはぜい弱性がないこと
b 組織が情報資産を適切に管理し,それを守るための取組みを行っていること
c 組織が提供する暗号モジュールには,暗号化機能,署名機能が適切に実装されていること
a
b
b,c
c
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年秋期 問90
次の情報セキュリティに係る事象において,機密性,完全性及び可用性のうち,損なわれたものだけを全て挙げたものはどれか。

 職場のファイルサーバにおいて,サーバ上のファイルを全て暗号化して保存していたが,サーバウイルスに感染し,一部のファイルが削除されてしまった。ウイルスの駆除とファイルの復旧に数時間を要し,その間は業務が行えない状態となり,利用者に迷惑をかけてしまった。
機密性
機密性完全性
完全性可用性
可用性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問60
情報セキュリティにおける脅威とぜい弱性のうち,脆弱性に該当するものはどれか。
コンピュータウイルス
ソーシャルエンジニアリング
通信データの盗聴
不適切なパスワード管理
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問62
ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。
情報セキュリティ監査基準
情報セキュリティ実施手順
情報セキュリティ対策基準
情報セキュリティ方針
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問63
情報セキュリティリスクマネジメントをリスク特定,リスク分析,リスク評価,リスク対応に分けたときに,リスク対応に含まれるものはどれか。
組織に存在するリスクを洗い出す。
リスクの大きさとリスク受容基準を比較して,対策実施の必要性を判断する。
リスクの発生確率と影彗度から,リスクの大きさを算定する。
リスクヘの対処方法を選択し,具体的な管理策の計画を立てる。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問65
認証局(CA:Certificate Authority)は,公開鍵の持ち主が間違いなく本人であることを確認する手段を提供する。この確認に使用されるものはどれか。
ディジタルサイネージ
ディジタルフォレンジックス
電子証明書
バイオメトリクス認証
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問67
情報の漏えいなどのセキュリティ事故が発生したときに,被害の拡大を防止する活動を行う組織はどれか。
CSIRT
ISMS
MVNO
ディジタルフォレンジックス
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問75
ISMSの“計画”,“運用”,“パフォーマンス評価”及び“改善”において,“パフォーマンス評価”で実施するものはどれか。
情報セキュリティリスクアセスメント
内部監査
不適合の是正処置
リスクの決定
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問79
情報セキュリティにおける完全性を維持する対策の例として,最も適切なものはどれか。
データディジタル署名を付与する。
データ暗号化する。
ハードウェア二重化する。
負荷分散装置を導入する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問83
ISMSにおける情報セキュリティリスクの特定に関する記述において,a,bに入れる字句の適切な組合せはどれか。

 ISMSの [  a  ] における情報の機密性, [  b  ] 及び可用性の喪失に伴うリスクを特定する。

ab
適用範囲外完全性
適用範囲外脆弱性
適用範囲内完全性
適用範囲内脆弱性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問95
あるWebサイトからIDとパスワードが漏えいし,そのWebサイトの利用者が別のWebサイトで,パスワードリスト攻撃の被害に遭ってしまった。このとき,Webサイトで使用していたIDとパスワードに関する問題点と思われる記述はどれか。
IDとパスワード暗号化されていない通信を使ってやり取りしていた。
同じIDと同じパスワードを設定していた。
種類が少ない文字を組み合わせたパスワードを設定していた。
短いパスワードを設定していた。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成29年春期 問98
社外秘の情報が記録されている媒体などを情報漏えいが起こらないように廃棄する方法として,適切なものはどれか。
CDやDVDは,破砕してから廃棄する。
PCの場合は,CPUを破壊してから廃棄する。
USBメモリの場合は,ファイルフォルダを削除してから廃棄する。
紙の資料は,メモ用紙などに利用せず,密封して一般のゴミと一緒に廃棄する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年秋期 問62
セキュリティリスクヘの対応には,リスク移転リスク回避,リスク受容及びリスク低減がある。リスク低減に該当する事例はどれか。
セキュリティ対策を行って,問題発生の可能性を下げた。
問題発生時の損害に備えて,保険に入った。
リスクが小さいことを確認し,問題発生時は損害を負担することにした。
リスクの大きいサービスから撤退した。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年秋期 問71
企業におけるISMSの活動において,自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したものはどれか。
BCP
ISMS要求事項
PDCA
情報セキュリティ方針
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年秋期 問87
情報セキュリティにおける機密性·完全性可用性に関する記述のうち,完全性が保たれなかった例はどれか。
暗号化して送信した電子メールが第三者に盗聴された。
オペレータが誤ってデータ入力し,顧客名簿に矛盾が生じた。
ショッピングサイトがシステム障害で一時的に利用できなかった。
データベースで管理していた顧客の個人情報が漏えいした。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年秋期 問89
A社では,自社の情報資産に関するリスク分析を実施した結果,近くの川が氾濫することで会社の1階にあるサーバルームが浸水するおそれがあることが分かった。サーバルームの移転も検討したが,川は100年前に1度氾濫したきりで,その可能性はほとんどないと判断し,特に対策は講じないことを経営層が決定した。A社が選択した情報セキュリティリスク対応はどれか。
リスクの移転
リスクの回避
リスクの受容
リスクの低減
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年秋期 問96
情報セキュリティにおけるリスクマネジメントに関して,次の記述中の a〜c に入れる字句の適切な組合せはどれか。

 情報セキュリティにおいて,組織がもつ情報資産の [  a  ] を突く [  b  ] によって,組織が損害を被る可能性のことを [  c  ] という。

abc
脅威リスク脆弱性
脆弱性脅威リスク
リスク脅威脆弱性
リスク脆弱性脅威
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年春期 問65
顧客の氏名,住所などが記載された住所録の取扱い a〜d のうち,個人情報保護の観点から適切なものだけを全て挙げたものはどれか。

a 顧客から本人の登録内容の確認希望があっても,情報の保護を理由に開示しない。
b 住所録から全員の氏名と住所を抽出した一覧を作成し,それを顧客全員に配布して誤りがないことを確認してもらう。
c 住所録のデータを書き込んだCD-ROMを破棄するときには破砕する。
d 住所録のデータファイルに保存するときには暗号化する。
a,c,d
a,d
b,c
c,d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年春期 問73
情報セキュリティマネジメントシステムを構築した企業において,情報セキュリティ方針を改訂したことを周知する範囲として,適切なものはどれか。
機密情報を扱う部署の従業員
経営者
全ての従業員及び関連する外部関係者
セキュリティ管理者
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年春期 問77
セキュリティリスクヘの対応には,リスク移転リスク回避リスク受容リスク低減などがある。リスク移転に該当する事例はどれか。
セキュリティ対策を行って,問題発生の可能性を下げた。
問題発生時の損害に備えて,保険に入った。
リスクが小さいことを確認し,問題発生時は損害を負担することにした。
リスクの大きいサービスから撤退した。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年春期 問83
情報セキュリティにおいて,可用性が損なわれる事象はどれか。
機密情報のコピーが格納されたUSBメモリが盗難にあった。
顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。
社内のサーバに不正侵入されて,社外秘の情報が漏えいした。
取引先との電子決済システムがDoS攻撃を受け,処理ができなくなった。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成28年春期 問91
ISMS適合性評価制度に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。

 企業などの組織において,[  a  ] マネジメントシステムが適切に構築,運用され,ISMS認証基準の要求事項に適合していることを [  b  ] が審査して認証する制度である。

ab
個人情報保護組織内の監査を行う部署
個人情報保護特定の第三者機関
情報セキュリティ組織内の監査を行う部署
情報セキュリティ特定の第三者機関
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年秋期 問49
リスクマネジメントを推進するために,リスクマネジメントシステムの導入のための実行計画を最初に策定した。その後に行う活動を次の a〜c に分けて行うとき,
PDCAサイクルに従った実施順序として,適切なものはどれか。

a 実行計画に従ってリスク対策を実施する。
b 実施の効果を測定し,リスクマネジメントシステムの有効性を評価する。
c リスクマネジメントシステムに関する是正·改善措置を実施する。
a → b → c
a → c → b
c → a → b
c → b → a
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年秋期 問62
ISMS情報セキュリティ方針に関する記述として,適切なものはどれか。
情報セキュリティ方針は,トップマネジメントが確立しなければならない。
情報セキュリティ方針は,社外に公表してはならない。
一度制定した情報セキュリティ方針は変更できない。
個人情報や機密情報を扱わない従業者には,情報セキュリティ方針を周知しなくてもよい。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年秋期 問69
PDCAモデルに基づいてISMSを運用している組織において,始業時の手順に従って業務用PCに適用されていないセキュリティパッチの有無を確認し,必要なパッチを適用している。この活動はPDCAサイクルのうちどれに該当するか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年秋期 問80
ISMSに関する記述のうち,適切なものはどれか。
ISMSのマネジメントサイクルは,セキュリティ事故が発生した時点で開始し,セキュリティ事故が収束した時点で終了する。
ISMSの構築,運用は,組織全体ではなく,必ず部門ごとに行う。
ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
情報セキュリティ方針は,具体的なセキュリティ対策が記述されたものである。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年秋期 問84
社員に対する情報セキュリティ教育の実施に関する記述 a〜d のうち,適切なものだけを全て挙げたものはどれか。

a 情報セキュリティ違反をした者に対する再教育に当たっては,同じ過ちを繰り返さないための予防処置も含める。
b 新入社員に対する研修プログラムに組み込む。
c 対象は情報システム部門に所属する社員に限定する。
d 定期的な実施に加えて,情報セキュリティに関わる事件や事故が発生した後にも実施する。
a,b,d
a,c,d
a,d
b,c
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年春期 問47
情報セキュリティ基本方針,又は情報セキュリティ基本方針情報セキュリティ対策基準で構成されており,企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。
情報セキュリティポリシ
情報セキュリティマネジメントシステム
ソーシャルエンジニアリング
リスクアセスメント
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年春期 問53
ISMSにおけるセキュリティリスクへの対応には,リスク移転リスク回避,リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。
セキュリティ対策を行って,問題発生の可能性を下げた。
問題発生時の損害に備えて,保険に入った。
リスクが小さいことを確認し,問題発生時は損害を負担することにした。
リスクの大きいサービスから撤退した。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年春期 問56
情報セキュリティに関する用語である可用性完全性,機密性及びぜい弱性のうち,ISMSが組織の情報資産に対して維持管理すべき特性としているものだけを全て挙げたものはどれか。
可用性完全性
可用性完全性機密性
完全性機密性
完全性機密性脆弱性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年春期 問75
ISMSの運用において,監査結果をインプットとし,ISMSを継続的に改善するための是正処置及び予防処置を行うプロセスはPDCAサイクルのどれにあたるか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成27年春期 問81
組織の活動に関する記述 a~d のうち,ISMSの特徴として,適切なものだけを全て挙げたものはどれか。
a 一過性の活動でなく改善と活動を継続する。
b 現場が主導するボトムアップ活動である。
c 導入及び活動は経営層を頂点とした組織的な取組みである。
d 目標と期限を定めて活動し,目標達成によって終了する。
a,b
a,c
b,d
c,d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年秋期 問47
情報セキュリティリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセスはどれか。

リスク対応
リスクの特定
リスク評価
リスク分析
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年秋期 問61
組織で策定する情報セキュリティポリシに関する記述のうち,最も適切なものはどれか。
情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順も社外に公開することが求められている。
情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが,最上位の情報セキュリティ基本方針は業界標準のひな形をそのまま採用することが求められている。
組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年秋期 問67
情報セキュリティの要素である機密性,完全性及び可用性のうち,完全性を高める例として,最も適切なものはどれか。
データの入力者以外の者が,入力されたデータの正しさをチェックする。
データを外部媒体に保存するときは,暗号化する。
データを処理するシステムに予備電源を増設する。
ファイルに読出し用パスワードを設定する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年秋期 問78
ISMSを構築する組織において,企業の経営方針に基づいて情報セキュリティ基本方針を策定した。これは,ISMSPDCAサイクルのどのプロセスで実施されるか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年秋期 問83
社内のISMS活動の一環として,サーバセキュリティについて監査を行うことになった。最初に実施することとして,適切なものはどれか。
監査の計画書を作成する。
サーバセキュリティ設定を見直す。
全てのサーバの監査用ログの所在を確認する。
脆弱性検査ツールを利用して,サーバ脆弱性を確認する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年春期 問72
情報セキュリティリスクアセスメントにおける,資産価値,脅威,ぜい弱性及びリスクの大きさの関係として,適切なものはどれか。
脅威の大きさは,資産価値,脆弱性及びリスクの大きさによって決まる。
資産価値の大きさは,脅威,脆弱性及びリスクの大きさによって決まる。
脆弱性の大きさは,資産価値,脅威及びリスクの大きさによって決まる。
リスクの大きさは,資産価値,脅威及び脆弱性の大きさによって決まる。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年春期 問75
情報セキュリティポリシに関する文書を,基本方針,対策基準及び実施手順の三つに分けたとき,これらに関する説明のうち,適切なものはどれか。
経営層が立てた基本方針を基に,対策基準を策定する。
現場で実施している実施手順を基に,基本方針を策定する。
現場で実施している実施手順を基に,対策基準を策定する。
組織で規定している対策基準を基に,基本方針を策定する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成26年春期 問84
システムで利用するハードディスクRAIDミラーリング構成にすることによって,高めることができる情報セキュリティの要素はどれか。
可用性
機密性
真正性
責任追跡性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成25年秋期 問56
リスクマネジメントに含まれる四つのプロセスであるリスク対応,リスク特定,リスク評価,リスク分析を実施する順番として,適切なものはどれか。
リスク特定→リスク評価→リスク分析リスク対応
リスク特定→リスク分析→リスク評価→リスク対応
リスク評価→リスク特定→リスク分析リスク対応
リスク分析→リスク特定→リスク対応→リスク評価
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成25年秋期 問57
ISMSを運用している組織において,退職者が利用していたIDを月末にまとめて削除していたことについて,監査で指摘を受けた。これを是正して退職の都度削除するように改めるのは,ISMSPDCAサイクルのどれに該当するか。
P
D
C
A
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成25年秋期 問75
情報セキュリティ機密性を直接的に高めることになるものはどれか。
一日の業務の終了時に機密情報のファイルの操作ログを取得し,漏えいの痕跡がないことを確認する。
機密情報のファイルにアクセスするときに,前回のアクセス日付が適正かどうかを確認する。
機密情報のファイルバックアップを取得し,情報が破壊や改ざんされてもバックアップから復旧できるようにする。
機密情報のファイル暗号化し,漏えいしても解読されないようにする。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成25年春期 問71
情報セキュリティにおけるリスクマネジメントに関する記述のうち,最も適切なものはどれか。
最終責任者は,現場の情報セキュリティ管理担当者の中から選ぶ。
組織の業務から切り離した単独の活動として行う。
組織の全員が役割を分担して,組織全体で取り組む。
一つのマネジメントシステムの下で各部署に個別の基本方針を定め,各部署が独立して実施する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成24年秋期 問83
a~c は情報セキュリティ事故の説明である。a~c に直接関連する情報セキュリティの三大要素の組合せとして,適切なものはどれか。

a 営業情報の検索システムが停止し,目的とする情報にアクセスすることができなかった。
b 重要な顧客情報が,競合他社へ漏れた。
c 新製品の設計情報が,改ざんされていた。

abc
可用性完全性機密性
可用性機密性完全性
完全性可用性機密性
完全性機密性可用性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成24年春期 問62
情報セキュリティマネジメントシステムISMS)のPDCA(計画・実行・点検・処置)において,点検フェーズで実施するものはどれか。
ISMSの維持及び改善
ISMSの確立
ISMSの監視及びレビュー
ISMSの導入及び運用
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成23年秋期 問80
情報セキュリティにおける“可用性”の説明として,適切なものはどれか。
システムの動作と出力結果が意図したものであること
情報が正確であり,改ざんされたり破壊されたりしていないこと
認められた利用者が,必要なときに情報にアクセスできること
認められていないプロセスに対して,情報を非公開にすること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成23年秋期 問83
情報セキュリティ基本方針の説明として,適切なものはどれか。
一度決められた情報セキュリティ基本方針は,ビジネス環境や技術が変化しても変更すべきでない。
情報セキュリティに関する組織の取組み姿勢を示したものであり,組織のトップによって承認され,公表される。
セキュリティビジネスを拡大するための重点的な取組みについて,株主や一般に広く公開されるものである。
組織のセキュリティの考え方に基づいて,具体的なセキュリティ施策について述べたものである。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成23年春期 問63
情報セキュリティの基本方針に関する記述のうち,適切なものはどれか。
機密情報の漏えいを防ぐために,経営上の機密事項とする。
情報セキュリティに対する組織の取組みを示すもので,経営層が承認する。
情報セキュリティの対策基準に基づいて策定する。
パスワードの管理方法や文書の保存方法を具体的に規定する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成23年春期 問64
情報セキュリティに関して発生したインシデントのうち,可用性が損なわれる直接の原因となったものはどれか。
PCがウイルスに感染し,知らないうちにPC内の情報が流出した。
空調の故障で温度が上がり,サーバが停止した。
サーバに不正侵入されて個人情報が盗まれた。
ファイルの中の取引データの金額を誤って更新した。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成23年春期 問84
情報セキュリティマネジメントシステムISMS)では,“PDCA”のアプローチを採用している。Dの段階で行うものはどれか。
ISMSの運用に対する監査を定期的に行う。
ISMSの基本方針を定義する。
従業者に対して,ISMS運用に関する教育と訓練を実施する。
リスクを評価して,対策が必要なリスクとその管理策を決める。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成22年秋期 問53
情報セキュリティにおける“完全性”が損なわれる行為はどれか。
DoS攻撃
Webページの改ざん
サーバの各ポートへの順次アクセス
ネットワークを流れるデータの盗聴
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成22年秋期 問58
情報セキュリティマネジメントシステムISMS)のPDCA(計画・実行・点検・処置)において,処置フェーズで実施するものはどれか。
ISMSの維持及び改善
ISMSの確立
ISMSの監視及びレビュー
ISMSの導入及び運用
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成22年秋期 問76
情報セキュリティポリシに関する考え方のうち,適切なものはどれか。
いかなる情報資産に対しても,実施する対策の費用は同一であることが望ましい。
情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は,経営者を始めとした幹部だけに開示すべきである。
情報セキュリティポリシの適用対象としては,社員だけでなく,パートなども含めた全従業者とすべきである。
情報セキュリティポリシを初めて作成する場合は,同業他社のポリシをサンプルとして,できるだけそのまま利用することが望ましい。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成22年秋期 問78
情報の“機密性”や“完全性”を維持するために職場で実施される情報セキュリティの活動 a~d のうち,適切なものだけをすべて挙げたものはどれか。

a PCは,始業時から終業時までロックせず常に操作可能な状態にしておく。
b 重要な情報が含まれる資料やCD-Rなどの電子記録媒体は,利用時以外は施錠した棚に保管する。
c ファクシミリで送受信した資料は,トレイに放置せずにすぐに取り去る。
d ホワイトボードへの書込みは,使用後直ちに消す。
a,b
a,b,d
b,d
b,c,d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成22年春期 問61
情報セキュリティの文書を詳細化の順に上から並べた場合,①~③に当てはまる用語の組合せとして,適切なものはどれか。


基本方針実施手順対策基準
基本方針対策基準実施手順
対策基準基本方針実施手順
対策基準実施手順基本方針
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成21年秋期 問56
情報セキュリティポリシに関する記述のうち,適切なものはどれか。
企業のセキュリティポリシは,会社法の規定に基づき,株主総会で承認を得なければならない。
企業のセキュリティポリシは,導入するシステムごとに定義する必要がある。
セキュリティボリシ策定の要因となっている情報システムぜい弱性を対外的に公表しなければならない。
目標とするセキュリティレベルを達成するために,遵守すべき行為及び判断についての考え方を明確にすることが必要である。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成21年秋期 問81
システムのアクセスに使用している通信ケーブルを誤って切断した。このとき,情報セキュリティのマネジメント要素のうち,どれが低下したことになるか。
可用性
完全性
機密性
保全性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
平成21年春期 問54
企業の情報セキュリティポリシの策定及び運用に関する記述のうち,適切なものはどれか。
セキュリティ対策ソフトウェアに設定すべき内容の定義を明確にしなければならない。
経営トップは情報セキュリティポリシに対する会社の考え方や取組み方について,社員への説明を率先して推進しなければならない。
情報セキュリティポリシの策定においては最初に,遵守すべき行為及び判断の基準を策定しなければならない。
目標とするセキュリティレベルを達成するために,導入する製品を決定しなければならない。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ管理
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる