Home > 第18回試験問題と解答・解説 > 問41~問60(対策)

スポンサーリンク

問41~問60(対策)

第18回-問題41

以下の文章は、リスクマネジメントに関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

リスクマネジメントシステムの大きな鍵を握るのは、リスクの( a )である。実際の対策時においては、リスクの(a)は疎かになりがちなポイントでもある。目の前にあるリスク対策をやみくもに実施するだけでは、効率的なリスクマネジメントにならない。リスクの大きさや( b )を(a)し、リスクの(b)に応じたリスク処理手段を選択するとともに、対策すべきリスクの( c )を行う必要がある。

ア:a=分析・評価 b=確率 c=優先順位付け

イ:a=分析・評価 b=性質 c=優先順位付け

ウ:a=優先順位付け b=確率 c=分析・評価

エ:a=優先順位付け b=性質 c=分析・評価

解答と解説

第18回-問題42

個人情報保護対策の手順として、下図の(  )に入る適切な用語の組合せを、ア~エで答えなさい。

ア:a=業務の見直し・教育 b=個人情報保護規定の制定 c=流出兆候のモニタリング

イ:a=業務の見直し・教育 b=流出兆候のモニタリング c=個人情報保護規定の制定

ウ:a=個人情報保護規定の制定 b=業務の見直し・教育 c=流出兆候のモニタリング

エ:a=個人情報保護規定の制定 b=流出兆候のモニタリング c=業務の見直し・教育

解答と解説

第18回-問題43

以下のJIS Q 2001:2001「リスクマネジメントシステム構築のための指針」に関する文章を読み、誤っているものを1つ選びなさい。

ア:この規格は、様々なリスクに共通なリスクマネジメントシステム構築のための原則及び諸要素の提供を意図して作成されているため、どのような種類及び規模の組織にも適用できるものである。

イ:この規格の目的は、組織が社会的要請と経済的ニーズとのバランスの中で、リスクマネジメントシステムを確立し、充実させていくことによって、個々の組織及び社会全体を、リスクに適正に対応できるようにしていくことにある。

ウ:この規格に規定するリスクマネジメントシステムの要素を、既存のマネジメントシステムの要素と独立して設定する必要がある。場合によっては、既存のマネジメントシステムの要素を無効にしなければならない。

エ:この規格の原則及び要素を満たし、類似の活動を行っているにもかかわらず、リスクの対応方法は、組織によって異なる場合もあり得る。そのため、この規格の採用は各組織の自己責任によるものとする。

解答と解説

第18回-問題44

以下の情報セキュリティ対策に関する文章を読み、誤っているものを1つ選びなさい。

ア:情報セキュリティ対策の流れは、個人情報保護対策の流れと基本的に同じである。また、個人情報保護対策は、セキュリティ対策の一環であり、その1つの側面とみることができる。

イ:情報セキュリティ基本方針は、組織全体の取組みを明示するものであり、経営方針として従業者に対する文書として作成し、対外的には非公開とすべきものである。

ウ:情報セキュリティ基本方針とは、組織が保有する個人情報を含むすべての情報資産を、安全に管理するための組織の方針を文書化したものである。

エ:個人情報保護方針には、利用目的や適正な取得、利用の制限といった個人情報保護特有の項目を含むため、情報セキュリティ基本方針とは別に作成するのが一般的である。

解答と解説

第18回-問題45

TR Q 0008「リスクマネジメント-用語-規格において使用するための指針」において、下図の(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ア:a=リスクアセスメント b=リスクコミュニケーション c=リスク対応

イ:a=リスクアセスメント b=リスク対応 c=リスクコミュニケーション

ウ:a=リスク対応 b=リスクコミュニケーション c=リスクアセスメント

エ:a=リスク対応 b=リスクアセスメント c=リスクコミュニケーション

解答と解説

第18回-問題46

以下の文章は、ぜい弱性の洗い出しに関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ぜい弱性とは、( a )の影響を実際に誘引する( b )のもつ弱点であり、管理体制やソフトウェアのセキュリティホールなどを指す。これは、発生の可能性がある(a)と関連付けて整理すると理解しやすい。なお、特定の(a)を誘引する可能性がないぜい弱性については、必ずしも( c )の対象とする必要はない。

ア:a=脅威 b=情報資産 c=残存リスク

イ:a=脅威 b=情報資産 c=リスク評価

ウ:a=情報資産 b=脅威 c=残存リスク

エ:a=情報資産 b=脅威 c=リスク評価

解答と解説

第18回-問題47

以下の文章は、リスク評価手法に関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

( a )とは、財団法人情報処理開発協会(JIPDEC)が開発した( b )形式のリスク分析手法である。まず、調査対象者を、経営者、情報システム部門、ユーザ部門などに分類し、(b)の1000以上の項目に回答してもらう。次に、集計結果を( c )を用いて視覚化することで、キーワードごとのぜい弱性を把握し、有効な対策を検討する。この手法を活用することで、全社的なリスクに対する各部門の共通認識を得ることができる。

ア:a=JNSA b=質問票 c=ヒストグラム

イ:a=JNSA b=マトリックス表 c=レーダーチャート

ウ:a=JRMS b=質問票 c=レーダーチャート

エ:a=JRMS b=マトリックス表 c=ヒストグラム

解答と解説

第18回-問題48

以下の文章は、リスク対応に関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

( a )とは、リスク対応を実施するコスト及び関連するコストに見合う資金供給の用意をすることである。積立金や準備金などの名目で必要な費用を( b )で確保する方法と、保険を利用することにより、損失負担を外部に( c )する方法がある。リスクの発生率は高くないが、発生時の損失が大きい場合に、(a)として保険を利用することが有効である。

ア:a=リスクコンサルティング b=デリバティブ c=移転

イ:a=リスクコンサルティング b=内部留保 c=回避

ウ:a=リスクファイナンス b=デリバティブ c=回避

エ:a=リスクファイナンス b=内部留保 c=移転

解答と解説

第18回-問題49

STRIDE脅威モデルとは、システムやアプリケーションなどに対するセキュリティ上の脅威の分類名の頭文字から成る語である。これらのぜい弱性や未知の攻撃のタイプなどを理解するために、脅威を6つのカテゴリに分類している。次の対応表において、(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ア:a=サービス拒否 b=なりすまし c=否認

イ:a=サービス拒否 b=否認 c=なりすまし

ウ:a=なりすまし b=サービス拒否 c=否認

エ:a=なりすまし b=否認 c=サービス拒否

解答と解説

第18回-問題50

以下の脅威の具体例に関する文章を読み、物理的脅威に該当しないものを1つ選びなさい。

ア:不正侵入した攻撃者が、コンピュータの特権ユーザの権限を取得することで、コンピュータやネットワーク上でのファイルを改ざん・削除したり、不正プログラムのインストールなどが容易に可能となる。

イ:震度6以上の大地震の場合、建物の崩壊の危険性だけではなく、電気・ガス・水道の断絶、交通の麻痺など社会インフラへの多大な影響により、長期にわたり業務継続ができない状態が続くといった、深刻な被害を受ける可能性が高い。

ウ:情報システムや機密文書がある建物・区画への入退室のセキュリティ管理が甘いと、外部から侵入される危険性がある。侵入されるとノートパソコンや文書の盗難、あるいは機器が破壊されるなどの被害が容易に起こりうる。

エ:サーバやネットワーク機器を長期間連続運転することで老朽化し、故障が起きやすくなる状況を放置すると、サービス停止につながりかねない。また、電源供給設備の劣化による電圧不安定、空調設備の不調による高温、多湿は、コンピュータなどの機器の故障の要因となる。

解答と解説

第18回-問題51

ぜい弱性の分類とその対応例の表において、(  )に入る最も適切な語句の組合せを、ア~エで答えなさい。

ア:a=教育の不足 b=不明確なセキュリティ体制 c=セキュリティパッチの更新漏れ

イ:a=教育の不足 b=セキュリティパッチの更新漏れ c=不明確なセキュリティ体制

ウ:a=不明確なセキュリティ体制 b=教育の不足 c=セキュリティパッチの更新漏れ

エ:a=不明確なセキュリティ体制 b=セキュリティパッチの更新漏れ c=教育の不足

解答と解説

第18回-問題52

以下の文章は、フィッシングに関する内容である。(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

フィッシングには、次のようなさまざまな巧妙な手法がある。

・正規の金融機関などを装った( a )をメールで送りつけ、偽のサイトへ誘導する。
・キーロガーやスパイウェアなどの不正プログラムをユーザ環境に埋め込むという( b )を利用し、個人情報を盗聴する。
・DNSサーバの( c )を書き換えて、正規のサイトを乗っ取り誘導する。

ア:a=キャッシュ b=トラッシング c=URL

イ:a=キャッシュ b=ファーミング c=URL

ウ:a=URL b=トラッシング c=キャッシュ

エ:a=URL b=ファーミング c=キャッシュ

解答と解説

第18回-問題53

以下の文章は、情報セキュリティに関する内容である。次のうち、個人情報漏えいにおける事故または事件の直接的な原因として最も可能性の高いものを、ア~エで答えなさい。

放送会社のA社では、ある番組の観覧者を募集し、その当選者500人に電子メールで当選のお知らせをした。その後、複数の当選者から「見知らぬ相手から電子メールが届いている。個人情報が漏えいしているのではないか」と問い合せの電話があった。

その番組は、企画会社のB社に業務委託しており、応募者の抽選から当選者へのお知らせなどの運営を一任していた。A社はB社に調査を依頼したところ、電子メールを送信した当選者に対して、電子メールアドレスが当選者相互で知る状態で送信されたことが判明した。当選者への電子メールの操作においては、B社の契約社員Cが電子メールソフトを用いて対応しており、機器やソフトにおける障害は起きていない。

氏名や住所、電話番号などの漏えいは見られなかったが、当選者はじめ関係者に迷惑をかける結果となり、A社はB社とともに、ホームページや手紙を利用して謝罪した。同時に、当該情報が不正に使用されていないかどうか確認作業を進めている。

なお、A社は個人情報保護方針をホームページなどに明記しており、B社とは個人情報保護に関する項目を含めた業務委託契約を結んでいる。B社も従業者に対して、個人情報保護に対する誓約書を交わしている。

ア:A社の個人情報保護体制の不備

イ:B社の情報処理設備の不備

ウ:契約社員Cのオペレーションの過誤

エ:外部からの不正アクセス

解答と解説

第18回-問題54

問題53の事故または事件に対し、個々が行うべき対策として最も優先すべきものを、ア~エで答えなさい。

【問題53の文章】

放送会社のA社では、ある番組の観覧者を募集し、その当選者500人に電子メールで当選のお知らせをした。その後、複数の当選者から「見知らぬ相手から電子メールが届いている。個人情報が漏えいしているのではないか」と問い合せの電話があった。

その番組は、企画会社のB社に業務委託しており、応募者の抽選から当選者へのお知らせなどの運営を一任していた。A社はB社に調査を依頼したところ、電子メールを送信した当選者に対して、電子メールアドレスが当選者相互で知る状態で送信されたことが判明した。当選者への電子メールの操作においては、B社の契約社員Cが電子メールソフトを用いて対応しており、機器やソフトにおける障害は起きていない。

氏名や住所、電話番号などの漏えいは見られなかったが、当選者はじめ関係者に迷惑をかける結果となり、A社はB社とともに、ホームページや手紙を利用して謝罪した。同時に、当該情報が不正に使用されていないかどうか確認作業を進めている。

なお、A社は個人情報保護方針をホームページなどに明記しており、B社とは個人情報保護に関する項目を含めた業務委託契約を結んでいる。B社も従業者に対して、個人情報保護に対する誓約書を交わしている。

ア:A社ならびにB社における警備体制の徹底

イ:A社ならびにB社における業務委託契約の解消

ウ:A社ならびにB社における従業者教育の徹底

エ:A社ならびにB社における情報通信設備の新設

解答と解説

第18回-問題55

以下の米国立標準・技術院が開発したALE(Annual Loss Exposure)による、年間予想損失額を算出する定量的評価手法を用いて、企業Z社のALEを算出した結果を、ア~エで答えなさい。
ここでは、1回あたりの予想損失額を2億円、従来の損失が発生する予想頻度は10%であるが、ある対策を施すことによって、障害の頻度は半減する。また、その他の損失金額は考慮しないものとする。

ALE=f×i

f:損失が発生する予想頻度 i:1回あたりの予想損失額

ア:900万円

イ:1,000万円

ウ:1,800万円

エ:2,000万円

解答と解説

第18回-問題56

以下の管理体制に関する文章を読み、誤っているものを1つ選びなさい。

ア:個人情報保護体制が実効性を持つには、個人情報を保護する仕組みがマネジメントシステムとして機能している必要はなく、個人情報保護の規程の整備及び運用を実現することにある。

イ:組織体制の整備には、経営資源の投入や業務フローの変更、現場の説得などが必要になる。また、全社的に取り組む個人情報保護活動への積極性などを評価するため、目標管理制度の見直しも必要となる。

ウ:個人情報保護体制を推進するためには、まずは経営者自身が個人情報保護対策の重要性を理解し、判断力とリーダーシップを発揮しなければならず、そのうえで、組織体制を構築する。

エ:個人情報保護管理者は、個人情報保護を推進する役割をもち、個人情報保護方針及び個人情報管理規程の策定、運用、改善などを実施する。

解答と解説

第18回-問題57

一般的な個人情報保護の推進体制の一例として、下図の(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ア:a=監査責任者 b=個人情報保護管理者・委員会 c=情報管理責任者

イ:a=監査責任者 b=情報管理責任者 c=個人情報保護管理者・委員会

ウ:a=個人情報保護管理者・委員会 b=監査責任者 c=情報管理責任者

エ:a=個人情報保護管理者・委員会 b=情報管理責任者 c=監査責任者

解答と解説

第18回-問題58

多くのマネジメントシステムで採用されているピラミッド型の文書体系を個人情報保護体制で用いる場合、下図の(  )に入る最も適切な用語の組合せを、ア~エで答えなさい。

ア:a=基準 b=手順 c=方針

イ:a=基準 b=方針 c=手順

ウ:a=方針 b=基準 c=手順

エ:a=方針 b=手順 c=基準

解答と解説

第18回-問題59

保有個人データに関し、個人情報保護方針に盛り込む項目のうち、法令によって個人情報取扱事業者が「個人情報の本人の知り得る状態」におくこと義務付けられているものとして、該当するものを1つ選びなさい。

ア:個人情報保護マネジメントシステムの継続的改善

イ:個人情報の安全管理措置

ウ:個人情報保護監査責任者

エ:自己の氏名または名称

解答と解説

第18回-問題60

以下の個人情報管理規程に関する文章を読み、誤っているものを1つ選びなさい。

ア:個人情報管理規程は、個人情報保護に関して組織全体に共通する基本ルールであり、個人情報保護対策のPDCAサイクルに沿って項目を定義する必要がある。

イ:個人情報管理規程は、手順書や様式などを決める際の1つの参考であり、業務実態とかけ離れた無理なルールとならないように、個人情報保護対策をすべて網羅した内容にすべきではない。

ウ:個人情報管理規程の作成に際しては、業務実態とかけ離れた無理なルールとならないように、策定作業の前に現場の調査を実施し、実情をよく把握して調整する必要がある。

エ:手順書や業務マニュアル、台帳、様式は、個人情報管理規程を基準として、実務上の手順や書式を具体的に定める必要がある。

解答と解説

スポンサーリンク

Home > 第18回試験問題と解答・解説 > 問41~問60(対策)

Page Top

© 2011-2017 過去問.com