情報セキュリティスペシャリスト試験の午前Ⅱ問題と旧試験の午前問題からランダムに10問抽出します。問題を入れ替えたい場合は、ブラウザで再読み込みを行ってください。

SC:情報セキュリティスペシャリスト試験
SU:情報セキュリティアドミニストレータ試験(旧試験)
SV:テクニカルエンジニア(情報セキュリティ)試験(旧試験)

SC H24 秋 午前Ⅱ 問25

システム監査で用いる統計的サンプリングに関する記述のうち,適切なものはどれか。

  • 開発プロセスにおけるコントロールを評価する際には,開発規模及び影響度の大きい案件を選定することによって,母集団全体の評価を導き出すことができる。
  • コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。
  • 正しいサンプリング手順を踏むことによって,母集団全体に対して検証を行う場合と同じ結果を常に導き出すことができる。
  • 母集団からエラー対応が行われたデータを選定することによって,母集団全体に対してコントロールが適切に行われていることを確認できる。
  • 解答を見る
    正解:イ


    SC H26 秋 午前Ⅱ 問3

    経済産業省が公表した “クラウドサービス利用のための情報セキュリティマネジメントガイドライン” が策定された目的について述べたものはどれか。

  • JIS Q 27002 の管理策を補完し, クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
  • クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
  • クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。
  • セキュリティリスクの懸念が少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。
  • 解答を見る
    正解:ア

    「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

    本ガイドラインは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことをまとめています。経済産業省


    SC H21 春 午前Ⅱ 問25

    外部保管のために専門業者にバックアップ媒体を引き渡す際の安全性について, セキュリティ監査を実施した。指摘事項となる状況はどれか。

  • 委託元責任者が, 一定期間ごとに, 専門業者における媒体保管状況を確認している。
  • 委託元責任者が, 専門業者との間で, 機密保持条項を盛り込んだ業務委託契約を結んだ上で引き渡している。
  • 委託元担当者が, 専用の記録簿に, 引渡しの都度, 日付と内容を記入し, 専門業者から受領印をもらっている。
  • 委託元担当者が, バックアップ媒体を段ボール箱に入れ, 専門業者に引き渡している。
  • 解答を見る
    正解:エ


    SC H22 秋 午前Ⅱ 問23

    SOA (Service Oriented Architecture) でサービスを設計する際の注意点のうち, 適切なものはどれか。

  • 可用性を高めるために, ステートフルなインタフェースとする。
  • 業務からの独立性を確保するために, サービスの命名は役割を表すものとする。
  • 業務の変化に対応しやすくするために, サービス間の関係は疎結合にする。
  • セキュリティを高めるために, 一度開発したサービスは再利用しない方がよい。
  • 解答を見る
    正解:ウ


    SC H24 秋 午前Ⅱ 問4

    2011年に経済産業省が公表した"クラウドサービス利用のための情報セキュリティマネジメントガイドライン"が策定された目的について述べたものはどれか。

  • JIS Q 27002の管理策を拡張し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
  • クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
  • クラウドサービスの利用がもたらすセキュリティリスクをサービス事業者の視点で提示する。
  • セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。
  • 解答を見る
    正解:ア

    「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

    本ガイドラインは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことをまとめています。経済産業省


    SC H27 秋 午前Ⅱ 問4

    PCに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能はどれか。

  • TPM間の共通鍵の交換
  • 鍵ペアの生成
  • ディジタル証明書の発行
  • ネットワーク経由の乱数送信
  • 解答を見る
    正解:イ

    TPMは、耐タンパ性をもつセキュリティチップ。
    RSA暗号による鍵ペア生成、SHA-1によるハッシュ値計算などの機能を提供する。

  • TPM間の共通鍵の交換機能はない。
  • TPM内部でRSA暗号による鍵ペア(公開鍵と共通鍵)を生成できる。
  • ディジタル証明書の発行機能はない。
  • ネットワーク経由の乱数送信機能はない。

  • SC H24 秋 午前Ⅱ 問11

    標準化団体OASISが,Webサイト間で認証,属性及び許可の情報を安全に交換するために策定したフレームワークはどれか。

  • SAML
  • SOAP
  • XKMS
  • XML Signature
  • 解答を見る
    正解:ア

  • SAML(Security Assertion Markup Language)は、IPやパスワードなどの認証、属性及び許可の情報をWebサイト間で安全に交換するためのXML仕様。標準化団体 OASISによって策定された。
  • SOAP(Simple Object Access Protocol)は、Webサービスの送受信プログラム間で、XML形式のメッセージを受け渡すプロトコルです。
  • XKMS(XML Key Management Specification)は、XMLディジタル署名や暗号化を利用するWebサービスのプリケーションのために、公開鍵の配布と登録を行うプロトコル。
  • XML Signatureは、XMLディジタル署名のこと。

  • SC H25 秋 午前Ⅱ 問8

    DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき, "通過禁止"に設定するものはどれか。

  • ICMP
  • TCP及びUDPのポート番号53
  • TCPのポート番号21
  • UDPのポート番号123
  • 解答を見る
    正解:ア

  • pingは、ICMPのネットワーク診断機能です。
  • TCP及びUDPのポート番号53は、DNSで使用するポートです。
  • TCPのポート番号21は、FTPの制御用ポートです。FTPはデータ転送用(TCPポート番号20)と制御用(TCPポート番号21)の2つのポートを使用します。
  • UDPのポート番号123は、NTPで使用するポートです。

  • SC H23 秋 午前Ⅱ 問6

    100人の送受信者が共通鍵暗号方式で、それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 - 1)/2 = 4,950 となる。


    SC H23 特別 午前Ⅱ 問24

    (1)~(4)はある障害の発生から本格的な対応までの一連の活動である。 (1)~(4)の各活動とそれに対するITILの管理プロセスの組合せのうち, 適切なものはどれか。

    (1) 利用者からサービスデスクに“特定の入力操作が拒否される”という連絡があったので, 別の入力操作による回避方法を利用者に伝えた。

    (2) 原因を開発チームで追及した結果, アプリケーションプログラムに不具合があることが分かった。

    (3) 障害の原因となったアプリケーションプログラムの不具合を改修する必要があるのかどうか, 改修した場合に不具合箇所以外に影響が出る心配はないかどうかについて, 関係者を集めて確認し, 改修することを決定した。

    (4) 改修したアプリケーションプログラムの稼働環境への適用については, 利用者への周知, 適用手順及び失敗時の切戻し手順の確認など, 十分に事前準備を行った。

    (1) (2) (3) (4)
    インシデント管理 問題管理 変更管理 リリース管理及び展開管理
    インシデント管理 問題管理 リリース管理及び展開管理 変更管理
    問題管理 インシデント管理 変更管理 リリース管理及び展開管理
    問題管理 インシデント管理 リリース管理及び展開管理 変更管理

    解答を見る
    正解:ア