情報セキュリティ検定実物形式問題集〈Vol.1〉
【情報セキュリティ管理士認定試験のおすすめ参考書・テキスト(独学勉強法/対策)】も確認する
問題
主催 一般財団法人 全日本情報学習振興協会
情報セキュリティ管理士認定試験
Ⅰ. 情報セキュリティ総論
Ⅱ. 情報資産に対する脅威と対策①
Ⅲ. 情報資産に対する脅威と対策②
Ⅳ. コンピュータの一般知識
問題数 180問
制限時間 120分
《注意事項》
1. 合図があるまで、問題用紙を開かないで下さい。
2. 試験委員の指示をよく聞いて下さい。
3. 受験票、筆記用具以外のものは、机の上に出さないで下さい。
4. 解答用紙はマークシートです。下記の記入にあたっての注意をよくお読み下さい。
Ⅰ. 情報セキュリティ総論
間1 以下の文章は、情報セキュリティに関するさまざまな知識を述べたものです。正しいものは〇、誤っているものは×としなさい。
1. 情報セキュリティの要素の一つである「真正性」の具体例として、ユーザとその動作が一意に特定でき、過去にさかのぼっても追跡できるように、情報システムのアクセスログを取得することなどが挙げられる。
2. OECDプライバシー・ガイドラインの8原則において、「データ内容の原則」では、収集するデータは、利用目的に沿ったもので、かつ正確・完全・最新であるべきであるとしている。
3. 情報セキュリティポリシーの一般的な策定の手順として、まず、組織と体制の整備を行う。続いて、セキュリティ基本方針を策定し、リスク分析を行い、その結果をふまえて情報セキュリティ対策基準を策定する。その後、情報セキュリティポリシーを決定し、さらに、対策の実施手順を策定する。
4. 情報セキュリティポリシーの構成要素の一つである情報セキュリティ対策基準とは、情報セキュリティ基本方針に定められた情報セキュリティを確保するために、遵守すべき行為及び判断などの基準のことであり、いわゆる管理策のことである。情報セキュリティ対策基準には、情報セキュリティ基本方針を実現するために、何を行わなければならないかを記載する。
5. JIS Q 27002:2014の「内部組織」において、認可されていない状態または検知されない状態で、一人で資産に対してアクセス、修正または使用ができないように注意することが望ましいとしている。また、ある作業を始めることと、その作業を認可することとを分離することが望ましく、管理策の設計においては、共謀のおそれを考慮することが望ましいとしている。
6. 情報セキュリティ監査は、情報セキュリティ対策が適切かどうかを監査人が保証することを目的とする「保証型の監査」と、情報セキュリティ対策の改善のために監査人が助言を行うことを目的とする「助言型の監査」に大別できる。
7. MICTS(GMITS)において示されているリスク分析手法の一つである組合せアプローチは、非形式的アプローチとギャップ分析を組み合わせて行う手法であり、それぞれの手法のメリットを得ることができる。
8. TRUSTeとは、ITシステムの導入などがプライバシーに対して及ぼす影響を事前に評価し、その保護のための措置を講じる仕組みのことである。具体的な実施方法として、個人情報の収集目的・収集方法・利用方法・管理方法などを検討し、そのシステムがプライバシーに配慮した設計となっているかを確認するなどの方法がとられている。
9. 投機的リスクとは、投資や起業などに関わるリスクが対象となり、損失を被る可能性がある反面、利益をもたらす可能性がある、損失と利得の両面をもつリスクである。また、純粋リスクとは、災害や盗難、詐欺などのようにマイナスの影響のみのリスクである。これらのうち、情報セキュリティにおいて管理することとなるのは、純粋リスクである。
10. リスク対応の一つであるリスクファイナンスの事例として、リスクの管理策にコストがかかり過ぎて利益が見込めない事業を撤退することや、地震保険や個人情報漏えい保険に加入することなどが挙げられる。
11. 「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)は、不正アクセス行為等の禁止・処罰という行為者に対する規制と、不正アクセス行為を受ける立場にあるアクセス管理者に防御措置を求め、アクセス管理者がその防御措置を的確に講じられるよう行政が援助するという防御側の対策との2つの側面から、不正アクセス行為等の防止を図ろうとするものである。
12. SNS上で、自身に関する名誉毀損やプライバシー侵害などに相当する情報が、第三者によって投稿され、個人の権利を不当に侵害されている場合は、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」(プロバイダ責任制限法)にもとづき、プロバイダやサーバの管理・運営者などに対して、その情報の削除を求めることができる。
13. 利用者の同意を得ずに広告、宣伝または勧誘等を目的とした電子メールを送信したり、送信者情報を偽った送信や架空電子メールアドレスによる送信を行った場合は、「高度情報通信ネットワーク社会形成基本法」(IT基本法)において、処罰の対象となる。
14. 「電子署名及び認証業務に関する法律」(電子署名法)は、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、電子署名を行った者を証明する認証業務のうち、一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定している法律律である。
15. 技術やノウハウ等の情報が「営業秘密」として「不正競争防止法」で保護されるためには、秘密管理性・新規性・非公知性の3つの要件をすべて充たす必要がある。また、不正の手段によって「営業秘密」を取得して使用、もしくは第三者に提供するなどの行為は、「不正競争行為」として、処罰の対象となる。
16. 雑誌に掲載されていた写真をスキャナで読み取り、それを無断でWebページにそのまま掲載した場合は、著作権侵害となる。なお、その写真をトリミングして加工した後にWebページに掲載すれば、著作権侵害とはならない。
17. 「著作権法」における「共同著作物」とは、2人以上の人が共同して作った著作物で、各人の著作した部分を分離して利用できないもののことであり、複数の著作者による「共同創作性」と著作物の「不可分利用性」が要件となる。
18. 「個人情報の保護に関する法律」(個人情報保護法)における「プライバシー情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などの、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、政令で定める記述等が含まれる個人情報のことである。
19. 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(マイナンバー法、番号法、番号利用法)において、特定個人情報の提供については、「個人情報保護法」における個人情報の提供の場合よりも限定的に定められている。
20. 経済産業省の「情報セキュリティ監査基準」において、情報セキュリティ監査は、情報セキュリティに係るリスクのマネジメントまたはコントロールを対象として行われるものであるため、具体的に設定される監査の目的と監査の対象は、監査人の判断によって決定しなければならないと示している。
問2. 以下のA~Dについて答えなさい。
A. 以下の文章を読み、( )内のそれぞれに入る最も適切な語句の組合せを、各選択肢(ア~エ)から1つ選びなさい。
1. JIS Q31000:2010において、「リスク」を、目的に対する不確かさの( a )と定義している。また、リスクは、ある事象(周辺状況の変化を含む)の結果とその発生の( b )との組合せとして表現されることが多いとしている。
なお、ここでの「( a )」とは、期待されていることから、好ましい方向に乖離、または好ましくない方向に乖離することをいう。そして、「不確かさ」とは、事象、その結果またはその( b )に関する、情報、理解もしくは知識が、( c )状態をいう。
ア:(a)結果(b)起こりやすさ(c)一定の水準を充たしている
イ:(a)結果(b)起こりにくさ(c)たとえ部分的にでも欠落している
ウ:(a)影響(b)起こりやすさ(c)たとえ部分的にでも欠落している
エ:(a)影響(b)起こりにくさ(c)一定の水準を充たしている
2. JIS Q0073:2010において、リスク対応の一つである「リスク共有」を、他者との間で、合意に基づいてリスクを( a )することを含むリスク対応の形態と定義している。なお、「リスク共有」は、( b )ことがあり、「( c )」は、「リスク共有」の一つの形態であるとしている。また、リスク( a )の度合いは、共有に関する取決めの信頼性及び明りょう性によって決まることがあるとしている。
ア:(a)分散(b)外部環境によって影響を受ける(c)リスク選好
イ:(a)分散(b)保険または他の契約形態によって実行される(c)リスク移転
ウ:(a)集約(b)外部環境によって影響を受ける(c)リスク移転
エ:(a)集約(b)保険または他の契約形態によって実行される(c)リスク選好
3. 「( a )法」において保護の対象となる「( a )」とは、物品の形状、模様もしくは色彩また結合であって、視覚を通じて美感を起こさせるものであるため、物品の外観に現れないような構造的機能は、保護の対象とならない。また、「( b )法」において保護の対象となる「( b )」とは、人の知覚によって認識することができるもののうち、文字、図形、記号、立体的形状もしくは色彩またはこれらの結合、音その他政令で定めるものであって、業として商品を生産し、証明しもしくは譲渡する者がその商品について使用するもの、または業としてサービスを提供しもしくは証明する者がそのサービスについて使用するものである。なお、平成26年5月の改正により、保護の対象として、動き、( c )、音、位置なども認められるようになった。
ア:(a)実用新案(b)意匠(c)ホログラム
イ:(a)商標(b)実用新案(c)空間
ウ:(a)意匠(b)実用新案(c)空間
エ:(a)意匠(b)商標(c)ホログラム
4. 「個人情報保護法」において個人情報取扱事業者は、あらかじめ本人の( a )を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないと規定している。また、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)において、「本人の( a )を得る」とは、( b )を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が( a )に係る判断を行うために必要と考えられる( c )な方法によらなければならないと示している。なお、個人情報の取扱いに関して( a )したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から( a )を得る必要があるとしている。
ア:(a)同意(b)本人の承諾する旨の意思表示(c)合理的かつ適切
イ:(a)同意(b)本人へ伝達が済んでいること(c)一般的かつ効率的
ウ:(a)理解(b)本人の承諾する旨の意思表示(c)一般的かつ効率的
エ:(a)理解(b)本人へ伝達が済んでいること(c)合理的かつ適切
5. 経済産業省の「企業における情報セキュリティ( a )のあり方に関する研究会 報告書」において、「情報セキュリティ( a )」を、社会的責任にも配慮したコーポレート( a )と、それを支えるメカニズムである( b )の仕組みを、情報セキュリティの観点から企業内に構築・運用することと定義している。なお、「( b )」とは、企業経営者の経営戦略や事業目的などを組織として機能させ、達成していくための仕組みである。また、「( b )」は、業務の効率性及び有効性、( c )、法令等の遵守、資産の保全の4つを目的として構築される。
ア:(a)マネジメントシステム(b)内部統制(c)経営の安定化
イ:(a)マネジメントシステム(b)インスペクション(c)財務報告の信頼性
ウ:(a)ガバナンス(b)内部統制(c)財務報告の信頼性
エ:(a)ガバナンス(b)インスペクション(c)経営の安定化
B. 以下の文章は、情報セキュリティに関する事柄についての説明です。文中の( )に当てはまる最も適切なものを、各選択肢(ア~エ)から1つ選びなさい。
6. リスクアセスメントにおける「(ア:リスク特定 イ:リスク分析 ウ:リスク評価 エ:リスク報告)」とは、リスクの特質を理解し、リスクレベルを決定するプロセスである。
7. リスクを定量化する手法の一つである(ア:ALE イ:FTA ウ:JRAM エ:LOPA)とは、リスクの顕在化の確率とリスクが顕在化した場合の予想損失額を見積もり、その乗算から年間予想損失額を算出する手法である。
8. 「(ア:割賦販売法 イ: 私的独占の禁止及び公正取引の確保に関する法律 ウ:特定商取引に関する法律 エ:不当景品類及び不当表示防止法)」は、事業者による違法・悪質な勧誘行為などを防止し、消費者の利益を守ることを目的とする法律である。具体的には、訪問販売や通信販売などの消費者トラブルを生じやすい取引類型を対象に、事業者が守るべきルールと、クーリング・オフなどの消費者を守るルールなどを規定している。
9. 「個人情報保護法」の第16条で規定されている、利用目的の達成に必要な範囲を超えて取り扱ってはならないという個人情報取扱事業者の義務は、OECDプライバシー・ガイドラインの8原則の「(ア:安全保護 イ:責任 ウ:目的明確化 エ: 利用制限)の原則」と対応している。
