情報セキュリティ検定 実物形式問題集〈Vol.2〉
【情報セキュリティ管理士認定試験のおすすめ参考書・テキスト(独学勉強法/対策)】も確認する
目次
情報セキュリティ初級認定試験
問題(1回目)
解答・解説(1回目)
問題(2回目)
解答・解説(2回目)
情報セキュリティ管理士認定試験
問題(1回目)
解答・解説(1回目)
問題(2回目)
解答・解説(2回目)
問題1回目
情報セキュリティ初級認定試験
Ⅰ. 情報セキュリティ総論
Ⅱ. 脅威と情報セキュリティ対策①
Ⅲ. 脅威と情報セキュリティ対策②
Ⅳ. コンピュータの一般知識
問題数 80問
制限時間 60分
《注意事項》
1. 合図があるまで、問題用紙を開かないで下さい。
2. 試験委員の指示をよく聞いて下さい。
3. 受験票、筆記用具以外のものは、机の上に出さないで下さい。
4. 解答用紙はマークシートです。下記の記入にあたっての注意をよくお読み下さい。
Ⅰ. 情報セキュリティ総論
問1、以下の文章は、情報セキュリティに関するさまざまな知識を述べたものです。正しいものは○、誤っているものは×としなさい。
1. 「機密性」を保持するための具体策として、特定の人にユーザID・パスワードを与えたり、アクセス権限を設定するなどにより、アクセスできる情報や機器を制限することなどが挙げられる。
2. 情報セキュリティポリシーや情報セキュリティに関連する規程は、経営方針の変更や環境の変化、新たな脅威の出現などに影響を受けてはならず、一度策定したものはできるだけ長く使い続ける必要がある。
3. 情報セキュリティポリシーの構成要素の一つである「情報セキュリティ対策基準」は、「情報セキュリティ基本方針」に定められた情報セキュリティを確保するために、遵守すべき行為及び判断などの基準のことであり、いわゆる管理策のことである。
4. 「chiyoda_misaki@joho-gakushu.or.jp」などのように、メールアドレスだけの情報の場合であっても、joho-gakushuという組織に所属するチヨダミサキのメールアドレスであることがわかるような場合は、「個人情報の保護に関する法律」(個人情報保護法)における「個人情報」に該当する。
5. マイナンバー(個人番号)は、原則として生涯同じ番号を使うこととなり、マイナンバーが漏えいして不正に用いられるおそれがあると認められる場合を除いて、自由に変更することはできない。
6. 情報セキュリティ監査は、情報セキュリティ対策が適切かどうかを監査人が保証することを目的とする「保証型の監査」と、情報セキュリティ対策の改善のために監査人が助言を行うことを目的とする「助言型の監査」に大別できる。
7. リスク対応の一つであるリスクコントロールとは、リスクが現実のものとならないように、リスクの発生を事前に防止したり、リスクが発生した場合には、被害を最小限に抑えて損失規模を小さくするための対応策のことである。
8. 著作物を個人で使用する場合、その著作物を複製する行為は「著作権法」に抵触しない。例えば、放映されているドラマをDVDに録画し、それを家族で観賞するために所有することは違法ではないが、そのDVDのデータをインターネット上にアップロードしたり、他者へ販売した場合は違法となる。
9. 不正な目的で、他社の商品やサービスなどと同一・類似のドメイン名を使用する権利を取得・保有またはそのドメイン名を使用する行為は、「サイバーセキュリティ基本法」により、処罰の対象となる。
10. 「プライバシーマーク制度」は、審査基準となる「JIS Q 15001 個人情報保護マネジメントシステム−要求事項」に適合して、個人情報について適切な保護措置を講じる体制を整備している事業者等を評価し、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度である。
問2. 以下のA~Dについて答えなさい。
A. 以下の文章を読み、( )に入る最も適切なものを、それぞれ下の選択肢(ア~エ)から1つ選びなさい。
1. JIS Q 27000:2014において、「信頼性」を、( )と定義している。
ア: あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性
イ: 意図する行動と結果とが一貫しているという特性
ウ: エンティティは、それが主張するとおりのものであるという特性
エ: 主張された事象又は処置の発生、及びそれを引き起こしたエンティティを証明する能力
2. 「個人情報保護法」で定められている個人情報取扱事業者の義務は、OECDプライバシー・ガイドラインの8原則と対応している。例えば、( )という義務規定は、「データ内容の原則」と対応している。
ア: 正確かつ最新の内容に保つよう努めなければならない
イ: 本人の請求に応じて、利用目的の達成に必要な範囲内において、データの内容の訂正等を行わなければならない。
ウ: 偽りその他不正な手段により取得してはならない
エ: 利用目的等を本人の知り得る状態にしなければならない
3. ( )行為は、「刑法」における「電磁的記録不正作出の罪」に該当する。
ア: コンピュータシステムに対して虚偽のデータを送り込む
イ: プリペイドカードの磁気部分を偽造・変造する
ウ: 金融機関の計算プログラムを書き換えて、システムによる課金業務を妨害する
エ: 企業の公式サイトに掲載されている画像をわいせつな画像に差し替えて、不特定多数の人に閲覧させる
B. 以下の文章は、情報セキュリティに関する事柄についての説明です。文中の( )に当てはまる最も適切なものを、各選択肢(ア~エ)から1つ選びなさい。
4. (ア: CAM イ:CSR ウ:DDS エ: DRM)とは、企業が社会に与える影響を把握し、顧客などの利害関係者の要望に応えることで、社会への責任を果たすことである。
5. 正当な目的がないのに、コンピュータウイルスを、その使用者の意図とは無関係に勝手に実行される状態にした場合は、「刑法」における「(ア: 不正指令電磁的記録供用 イ: 電磁的記録毀棄 ウ: 電子計算機使用詐欺 エ: 技術的制限手段回避措置提供)の罪」により、処罰の対象となる。
6. 技術やノウハウ等の情報が「営業秘密」として「不正競争防止法」で保護されるためには、秘密管理性・有用性・(ア: 新規性 イ: 一意性 ウ: 使用性 エ: 非公知性)の3つの要件をすべて満たす必要がある。
C. 以下の文章を読み、( )内のそれぞれに入る最も適切な語句の組合せを、各選択肢(アーエ)から1つ選びなさい。
7. JIS Q 27000:2014における情報セキュリティの関連用語の定義は、次のとおりである。
● ( a )
システム又は組織に川害を与える可能性がある、望ましくない( b )の潜在的な原因
● ( c )
一つ以上の( a )によって付け込まれる可能性のある、資産または管理策の弱点
●情報セキュリティ( b )
望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの
ア:(a)ハザード(b)インシデント(c)リスク因子
イ:(a)ハザード(b)クライシス(c)ぜい弱性
ウ:(a)脅威(b)インシデント(c)ぜい弱性
エ:(a)脅威(b)クライシス(c)リスク因子
8. 情報セキュリティマネジメントシステム(ISMS)を継続的に推進していく手法であるPDCAサイクルの概念を、以下のイメージ図に示す。
Plan 基本方針、対策基準、ポリシー、実施手順の( a )
Do 配布、教育、物理的、人的、技術的措置
Check システムの( b )、ポリシーの遵守状況の確認
Act システムの見直し・( c )、ポリシーの評価・見直し
ア:(a)導入・運用(b)監視(c)改善
イ:(a)導入・運用(b)改善(c)監視
ウ:(a)策定(b)監視(c)改善
エ:(a)策定(b)改善(c)監視
D. 次の問いに対応するものを、各選択肢(アーエ)から1つ選びなさい。
9. リスク対応における、「リスクの回避」の具体例に該当するものはどれか。
ア:地震保険や個人情報漏えい賠償責任保険などに加入し、他者にリスクを転嫁する。
イ:サーバをネットワークから切り離してWeb上での公開を停止することにより、リスクの発生要因を排除する。
ウ:コストがかかるため、特に対策を講じず、リスクが発生した場合はその損失を社内で補填する。
エ:情報システム運用にホスティングサービスを利用し、リスクを他者とも分け合う。
10. 知的財産権の種類とその保護対象に関する記述のうち、誤っているものはどれか。
ア:「意匠権」によって、物品のデザインは保護の対象となるが、物品の外観に現れないような構造的機能は保護の対象とならない。
イ:「商標権」によって、商品のマークや名前、サービスのマークや名前は保護の対象となるが、国旗と同一または類似のものは、商標登録は認められない。
ウ:「実用新案権」によって、物品の形状に関する考案、物品の構造に関する考案は保護の対象となるが、方法に係るものは、保護の対象とならない。
エ:「特許権」によって、物の発明、方法の発明、物を生産する方法の発明は保護の対象となるが、コンピュータプログラムや暗号化アルゴリズムは、保護の対象とならない。
