Home > 第17回試験問題と解答・解説 > 問41~問60(対策)

スポンサーリンク

問41~問60(対策)

第17回-問題41

情報セキュリティの3つの要素を説明する表において、(  )に入る最も適切な用語の組合せを、アからエで答えなさい。

要素=( a )

説明=情報や情報システムが正確であること、さらに情報の取扱いが手順化されていて、それが守られていること

要素=( b )

説明=アクセスを認可された利用者が、必要なときに情報や情報システムにアクセスできること

要素=( c )

説明=アクセスを認可された利用者だけが、情報に確実にアクセスでき、情報が外部に漏えいしないこと

ア:a=可用性 b=完全性 c=機密性

イ:a=可用性 b=機密性 c=完全性

ウ:a=完全性 b=可用性 c=機密性

エ:a=完全性 b=機密性 c=可用性

解答と解説

第17回-問題42

情報セキュリティポリシーの文書体系において、一般的な策定の順序として、正しいものを1つ選びなさい。

ア:実施手順/マニュアル → 基準/ガイドライン → 情報セキュリティ基本方針

イ:実施手順/マニュアル → 情報セキュリティ基本方針 → 基準/ガイドライン

ウ:情報セキュリティ基本方針 → 基準/ガイドライン → 実施手順/マニュアル

エ:情報セキュリティ基本方針 → 実施手順/マニュアル →基準/ガイドライン

解答と解説

第17回-問題43

以下の情報セキュリティ対策に関する文章を読み、誤っているものを1つ選びなさい。

ア:個人情報保護法においては、個人情報取扱事業者に対して、個人情報の適切かつ安全な管理について、情報セキュリティ対策が義務付けられている。

イ:国の行政機関や独立行政法人に対しては、個人情報保護法とは別の法律などが設けられており、地方公共団体においては、個人情報保護に関する条例の見直しや制定が実施されている。

ウ:個人情報保護法には、個人情報を保護するための具体的な対策が明記されているため、すべての個人情報取扱事業者は、法律に則った個人情報保護体制を構築しなければならない。

エ:個人情報保護を実現するためには、関係省庁や業界団体が策定するガイドライン及びマネジメント規格などをもとに、個人情報取扱事業者が個人情報保護対策を実施することが望ましい。

解答と解説

第17回-問題44

以下のリスク対応に関する文章を読み、誤っているものを1つ選びなさい。

ア:リスク対応した後に残っているリスクを残存リスクといい、残存リスクは、リスク評価の過程で設定したリスクの許容水準以下に抑える必要がある。

イ:残存リスクについては、現実にリスクが発生したときに必要な費用を負担することを受容したうえで、リスクを保有することとなる。

ウ:リスクの許容水準の設定及び残存リスクの承認は、経営者の判断において行うべきであり、現場担当者の判断によるべきではない。

エ:組織内部・外部の諸要因の変化によりリスクの状況は常に変動するため、残存リスクの変動状況についても定期的に調査・検討する必要があるが、許容水準自体は見直すべきではない。

解答と解説

第17回-問題45

以下のTR X0036「ITセキュリティマネジメントのガイドライン」(GMITS)におけるリスク分析手法の説明において、該当するものを、ア~エで答えなさい。

組織内の個々の情報資産に対して、資産価値や管理体制を調査し、それをもとに脅威やぜい弱性、セキュリティ用件などを識別し、リスクを評価する。メリットとしては、リスクの内容をくまなく把握できるため、その対策が立てやすい。一方、デメリットとしては、多くの時間と労力を要し、担当者の知識と経験も必要となる。

ア:組合せアプローチ

イ:詳細リスク分析

ウ:非形式(非公式)アプローチ

エ:ベースラインアプローチ

解答と解説

第17回-問題46

以下の文章は、情報セキュリティリスクの要素に関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

( a )とは、システムまたは、組織に危害を与える、好ましくない偶発事故の潜在的な原因をいう。一方、( b )とは、(a)によって影響を受けうる、資産または資産グループの弱点をいう。また、( c )とは、ある(a)が、資産または資産グループの(b)を利用して、資産への損失、または損害を与える可能性をいう。情報セキュリティにおける(c)の発見や特定、分析などによって、情報資産及び情報資産にかかわる(a)や(b)を明らかにし、情報資産への(c)の影響を把握することができる。

ア:a=脅威 b=ぜい弱性 c=リスク

イ:a=脅威 b=リスク c=ぜい弱性

ウ:a=リスク b=脅威 c=ぜい弱性

エ:a=リスク b=ぜい弱性 c=脅威

解答と解説

第17回-問題47

リスク対応の指針において、下図の(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ア:a=移転 b=低減・予防 c=保有

イ:a=移転 b=保有 c=低減・予防

ウ:a=保有 b=移転 c=低減・予防

エ:a=保有 b=低減・予防 c=移転

解答と解説

第17回-問題48

代表的なリスク評価手法を説明する表において、(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

手法=ALE

説明=( a )が開発したもので、年間予想損失額を算出する定量的評価手法である。発生頻度と損失額をあらかじめ算出し、対策資金や対応策を決定するものである。

手法=JNSA損害額算出モデル

説明=( b )が作成したもので、セキュリティ事故の被害額や情報セキュリティの対策投資額を推計するモデルである。逸失利益や損害賠償などの表面化する被害と、ブランド価値低下などの潜在化する被害を算出し加算する方式である。

手法=JRMS

説明=( c )が開発した質問票形式のリスク分析手法である。質問項目は1,004件あり、質問対象が経営者、リスクマネジメント部門、情報システム部門、ユーザ部門に分類されている。

ア:a=財団法人日本情報処理開発協会 b=米国立標準・技術院 c=日本ネットワークセキュリティ協会

イ:a=財団法人日本情報処理開発協会 b=日本ネットワークセキュリティ協会 c=米国立標準・技術院

ウ:a=米国立標準・技術院 b=財団法人日本情報処理開発協会 c=日本ネットワークセキュリティ協会

エ:a=米国立標準・技術院 b=日本ネットワークセキュリティ協会 c=財団法人日本情報処理開発協会

解答と解説

第17回-問題49

技術的脅威の要素とその事例に関する文章を読み、誤っているものを1つ選びなさい。

ア:否認とは、ネットワーク上での売買や契約などを実行した後、それに関する事実がなかったことのような虚偽の主張をされることをいう。

イ:特権の昇格とは、不正侵入した攻撃者が、コンピュータの特権ユーザの権限を取得し、コンピュータやネットワーク上で不正行為を行うことをいう。

ウ:サービス拒否とは、特定のサーバやネットワークに向けて大量の無意味な通信を送り付け、大きな負荷を与えて、情報システムを利用不能にする行為のことをいう。

エ:データの改ざんとは、アクセス権限の管理が不適切な場合、ネットワークからの侵入により、サーバ内の機密情報を不正に取得されることをいう。

解答と解説

第17回-問題50

以下の図は、日本ネットワークセキュリティ協会の「2008年情報セキュリティインシデントに関する調査報告書」における、個人情報の漏えい事故・事件の原因の比率を表したグラフである。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ア:a=管理ミス b=設定ミス c=盗難

イ:a=管理ミス b=盗難 c=設定ミス

ウ:a=設定ミス b=管理ミス c=盗難

エ:a=設定ミス b=盗難 c=管理ミス

※日本ネットワークセキュリティ協会「2008年情報セキュリティインシデントに関する調査報告書」参考

解答と解説

第17回-問題51

ぜい弱性とその脅威との対応の表において、(  )に入る最も適切な用語の正しい組合せを、ア~エで答えなさい。

ぜい弱性の例=アクセスコントロールの欠如

関連する脅威の例=( a )

ぜい弱性の例=ログ管理の欠如

関連する脅威の例=( b )

ぜい弱性の例=文書の保管不備

関連する脅威の例=( c )

ア:a=盗難・紛失 b=なりすまし c=不正アクセス

イ:a=盗難・紛失 b=不正アクセス c=なりすまし

ウ:a=なりすまし b=紛失・盗難 c=不正アクセス

エ:a=なりすまし b=不正アクセス c=紛失・盗難

解答と解説

第17回-問題52

以下のソーシャル・エンジニアリングに関する文章を読み、誤っているものを1つ選びなさい。

ア:ピギーバックとは、不正な方法でオフィス内部に侵入する方法のうち、同伴者を装って、他人についていくことである。

イ:スカビンジングとは、「ゴミ箱あさり」や「のぞき見」などの「情報をあさる」ような行為全般のことである。

ウ:トラッシングとは、システム管理者やサービスプロバイダのサポート担当者を装って、他人のパスワードを不正に入手することである。

エ:ショルダーハックとは、不正アクセスをするために必要なパスワードを入手する方法のうち、キーボードで入力するところを後ろから盗み見る行為のことである。

解答と解説

第17回-問題53

以下の文章は、情報セキュリティに関する内容である。次のうち、個人情報漏えいにおける事故または事件の直接的な原因として最も可能性が高いものを、ア~エで答えなさい。

情報サービス会社のA社では、B支店の本社への統廃合に伴って、平成21年1月末頃、顧客営業台帳の点検作業をB支店長含め3名の社員で行っていたところ、顧客営業台帳の一部が所在不明であることが判明した。
所在不明であるとの報告のあった顧客営業台帳は、平成15年度から平成17年度の顧客情報の867人分である。事故発覚後、当時の関係者への聴き取りやB支店内の創作を続けたが発見されなかった。なお、顧客営業台帳には、顧客の社名、所在地、電話番号のほか、顧客の担当者氏名、電話番号、電子メールアドレス、取引情報などが記載されている。
平成21年3月末、社長は、B支店長から上記の顧客営業台帳が所在不明であるとの報告を受け、事故の内容を公表した。事故報告後、A社は4月から社内の関係者に対して事情聴取を行い、顧客営業台帳の管理状況及び保管、廃棄の経過を調査した。
A社では、全支店の統一ルールとして、直近3年間の顧客営業台帳はオフィスの施錠付きのキャビネットに保管し、それ以外は資料室の施錠付きのキャビネットに保管している。顧客営業台帳の保管期間は10年とし、それを過ぎたものは廃棄することになっている。
顧客営業台帳は、毎年1回、棚卸しをすることになっており、キャビネットの鍵を保有するB支店の専任社員に任されている。専任社員以外の契約社員や派遣社員にはその権限はない。
また、A社は、警備会社のC社と、全支店の建物及びオフィスに対する警備に関した契約を結び、盗難にも留意している。
調査した結果、キャビネットには施錠管理が施されていたが、棚卸しをした記録は残されておらず、いつ、誰がアクセスしたかは不明である。また、所在不明の年度の顧客営業台帳以外は、無事に保管されていたが、保管期間を過ぎた顧客営業台帳も一部残されていた。
A社は、顧客に対して、ホームページなどを通してその対応を周知するとともに、説明会を開催し、今回の事故の状況や今後の対応、再発防止に向けた取組みについて説明した。

ア:A社の文書管理の不備

イ:B支店の契約社員による持ち出し

ウ:B支店のキャビネットの破損

エ:警備会社C社からの情報流出

解答と解説

第17回-問題54

問題53の事故または事件に対し、個々が行うべき対策として最も優先すべきものを、ア~エで答えなさい。

【問題53の文章】

情報サービス会社のA社では、B支店の本社への統廃合に伴って、平成21年1月末頃、顧客営業台帳の点検作業をB支店長含め3名の社員で行っていたところ、顧客営業台帳の一部が所在不明であることが判明した。
所在不明であるとの報告のあった顧客営業台帳は、平成15年度から平成17年度の顧客情報の867人分である。事故発覚後、当時の関係者への聴き取りやB支店内の創作を続けたが発見されなかった。なお、顧客営業台帳には、顧客の社名、所在地、電話番号のほか、顧客の担当者氏名、電話番号、電子メールアドレス、取引情報などが記載されている。
平成21年3月末、社長は、B支店長から上記の顧客営業台帳が所在不明であるとの報告を受け、事故の内容を公表した。事故報告後、A社は4月から社内の関係者に対して事情聴取を行い、顧客営業台帳の管理状況及び保管、廃棄の経過を調査した。
A社では、全支店の統一ルールとして、直近3年間の顧客営業台帳はオフィスの施錠付きのキャビネットに保管し、それ以外は資料室の施錠付きのキャビネットに保管している。顧客営業台帳の保管期間は10年とし、それを過ぎたものは廃棄することになっている。
顧客営業台帳は、毎年1回、棚卸しをすることになっており、キャビネットの鍵を保有するB支店の専任社員に任されている。専任社員以外の契約社員や派遣社員にはその権限はない。
また、A社は、警備会社のC社と、全支店の建物及びオフィスに対する警備に関した契約を結び、盗難にも留意している。
調査した結果、キャビネットには施錠管理が施されていたが、棚卸しをした記録は残されておらず、いつ、誰がアクセスしたかは不明である。また、所在不明の年度の顧客営業台帳以外は、無事に保管されていたが、保管期間を過ぎた顧客営業台帳も一部残されていた。
A社は、顧客に対して、ホームページなどを通してその対応を周知するとともに、説明会を開催し、今回の事故の状況や今後の対応、再発防止に向けた取組みについて説明した。

ア:A社の文書管理の再構築

イ:B支店の専任社員に対する懲戒処分

ウ:B支店のキャビネットの買い替え

エ:警備会社C社に対する契約解除

解答と解説

第17回-問題55

GMITSが例示している、【表1】の「あらかじめ定義された評価用マトリクス」を利用して、D社が保有している情報資産を評価した結果(【表2】「評価」の空欄にあてはまる数値)を、ア~エで答えなさい。

ア:4

イ:5

ウ:6

エ:7

解答と解説

第17回-問題56

以下の個人情報保護の推進体制に関する文章を読み、誤っているものを1つ選びなさい。

ア:個人情報保護管理者は、個人情報保護の推進者として、個人情報細方針及び個人情報管理規程の策定、運用、改善を実施する。個人情報保護対策の要であるため、役員が就任することが望ましい。

イ:個人情報保護委員会は、個人情報保護の推進を組織として継続的に取り組むための意思決定機関である。各部門、各職務の役割、責任、権限の決定と任命、個人情報保護方針の策定と規程の承認などを行う。

ウ:個人情報保護委員会は、営業や総務、人事など、実際の業務に熟知した人材を中心に部門横断的に招集する。また、組織内においては、その活動に実効性をもたせられるよう、公式の部門として位置づける必要がある。

エ:個人情報保護事務局は、個人情報保護管理者や個人情報保護委員会から独立した立場とし、個人情報保護の実効性をチェックする重要な役割を持つ。また、顧客や従業者などからの個人情報に関する問合せにも直接対応する。

解答と解説

第17回-問題57

以下の個人情報保護体制の整備に関する文章を読み、誤っているものを1つ選びなさい。

ア:組織面での個人情報保護対策は、①個人情報保護の規程文書の作成→②個人情報保護体制の整備→③情報保護の実施→④モニタリング→⑤監査と評価→⑥業務の見直し・教育の流れに沿って実施する。

イ:組織体制の整備には、経営資源の投入、業務フローの変更、現場の説得などが必要になる。そのため、経営者自身が個人情報保護対策の重要性を理解し、判断力とリーダーシップを発揮しなければならない。

ウ:個人情報保護法を補完するため、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「組織的安全管理措置として講じなければならない事項」に「個人データの安全管理措置を講じるための組織体制の整備」が挙げられ、組織体制の整備を要求している。

エ:個人情報保護対策が実効性をもつには、個人情報を保護する仕組みがマネジメントシステムとして機能していなければならない。そのためには、個人情報保護の組織体制づくりが必要不可欠である。

解答と解説

第17回-問題58

以下の文章は、個人情報保護の規程文書に関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

「( a ):2006 個人情報保護マネジメントシステム―要求事項」では、個人情報マネジメントシステムを明確に把握するために、文書化することが記載されている。すべての従業者が個人情報保護対策を実践するためには、個別の規程がわかりやすく、かつ全体として整合性がとられている必要がある。個人情報保護の規程文書の体系は、多くのマネジメントシステムが採用している「( b )文書体系」をもとに検討することができる。(b)文書体系では、規程の文書を、( c )の3つの階層に分類している。

ア:a=JIS Q 15001 b=ピラミッド型 c=「方針」「規程」「手順」

イ:a=JIS Q 15001 b=マトリクス型 c=「総則」「細則」「補則」

ウ:a=JIS Q 9100 b=ピラミッド型 c=「総則」「細則」「補則」

エ:a=JIS Q 9100 b=マトリクス型 c=「方針」「規程」「手順」

解答と解説

第17回-問題59

個人情報管理規程の項目とその具体例の表において、(  )に入る最も適切な語句の組合せを、ア~エで答えなさい。

【項目】

 個人情報の取扱い
【具体例】
 ・( a )
 ・共同利用
 ・第三者利用の制限

【項目】

 安全管理措置
【具体例】
 ・( b )
 ・文書の台帳管理、分類
 ・情報システムの開発、運用、保守

【項目】

 維持及び継続的改善
【具体例】
 ・( c )
 ・個人情報保護の規程文書体系
 ・個人情報保護マネジメントシステムの継続的改善

ア:a=オフィス管理(建物、部屋、保管庫等) b=法令遵守 c=利用目的と適正な取得

イ:a=オフィス管理(建物、部屋、保管庫等) b=利用目的と適正な取得 c=法令遵守

ウ:a=利用目的と適正な取得 b=オフィス管理(建物、部屋、保管庫等) c=法令遵守

エ:a=利用目的と適正な取得 b=法令遵守 c=オフィス管理(建物、部屋、保管庫等)

解答と解説

第17回-問題60

以下の文章は、内部統制に関する内容である。(  )に入る最も適切な語句の組合せを、ア~エで答えなさい。

内部統制とは、企業がその業務を適正かつ効果的に遂行するために、社内に構築し、運用する体制及びプロセスである。その目的としては、業務の有効性・効率性の確保、( a )の確保、( b )が挙げられる。適切な内部統制及びリスクマネジメントが構築・運用されることにより、企業に対する顧客・投資家などの信頼を高めることができ、それによって企業価値の向上を図ることが可能となる。わが国においては、2006年5月から施行された金融商品取引法の一部においては、経済界や監査法人などを中心に、( c )と呼称され、内部統制報告書の提出を大会社に義務づけている。

ア:a=金融商品取引の安全性 b=関連法規の遵守 c=日本版IT法

イ:a=金融商品取引の安全性 b=指導規制の緩和 c=日本版SOX法

ウ:a=財務報告の信頼性 b=関連法規の遵守 c=日本版SOX法

エ:a=財務報告の信頼性 b=指導規制の緩和 c=日本版IT法

解答と解説

スポンサーリンク

Home > 第17回試験問題と解答・解説 > 問41~問60(対策)

Page Top

© 2011-2017 過去問.com