「セキュリティ」のITパスポート過去問一覧

会計監査の目的として，最も適切なものはどれか。

ISMSの導入効果に関する次の記述中のa， bに入れる字句の適切な組合せはどれか。

情報システムにおける二段階認証の例として，適切なものはどれか。

セキュリティ対策として使用されるWAFの説明として，適切なものはどれか。

経営戦略上，ITの利活用が不可欠な企業の経営者を対象として，サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目を記載したものはどれか。

ITガバナンスの説明として，最も適切なものはどれか。

あるホスティングサービスのSLAの内容に ac がある。 これらと関連する IT サービスマネジメントの管理との適切な組合せはどれか。

a サーバが稼働している時間
b ディスクの使用量が設定したしきい値に達したことを検出した後に， 指定された担当者に通知するまでの時間
c 不正アクセスの検知後に， 指定された担当者に通知するまでの時間

PDCAモデルに基づいてISMSを運用している組織の活動において，リスクマネジメントの活動状況の監視の結果などを受けて，是正や改善措置を決定している。この作業は，PDCAモデルのどのプロセスで実施されるか。

情報システムに関する施設や設備を維持・保全するために行うリスク対策のうち，ファシリティマネジメントの観点から行う対策として，適切なものだけを全て挙げたものはどれか。
a　コンピュータ室への入室を，認可した者だけに限定する。
b　コンピュータの設置場所を示す標識を掲示しない。
c　利用者のPCにマルウェア対策ソフトを導入する。

企業などの内部ネットワークとインターネットとの間にあって，セキュリティを確保するために内部ネットワークのPCに代わって，インターネット上のWebサーバにアクセスするものはどれか。

情報セキュリティにおける物理的及び環境的セキュリティ管理策であるクリアデスクを職場で実施する例として， 適切なものはどれか。

PDCAモデルに基づいてISMSを運用している組織において，C (Check)で実施することの例として，適切なものはどれか。

システムの経済性の評価において，TCOの概念が重要視されるようになった理由として，最も適切なものはどれか。

BYOD の事例として，適切なものはどれか。

材料調達から商品販売までの流れを一括管理して，供給の最適化を目指すシステムはどれか。

通信プロトコルとしてTCP/IPを用いるVPNには，インターネットを使用するインターネットVPNや通信事業者の独自ネットワークを使用するIP-VPNなどがある。インターネットVPNではできないが， IP-VPNではできることはどれか。

FinTech の事例として，最も適切なものはどれか。

1年前に作成した情報セキュリティポリシについて，適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのどれに該当するか。

情報セキュリティ方針に関する記述として，適切なものはどれか。

データサイエンティストの役割に関する記述として，最も適切なものはどれか。

A 社では，従業員の利用者 ID とパスワードを用いて社内システムの利用者認証を行っている。セキュリティを強化するために，このシステムに新たな認証機能を一つ 追加することにした。認証機能 a ~cのうち，このシステムに追加することによって， 二要素認証になる機能だけを全て挙げたものはどれか。
a A社の従業員証として本人に支給している IC カードを読み取る認証
b あらかじめシステムに登録しておいた本人しか知らない秘密の質問に対する答えを入力させる認証
c あらかじめシステムに登録しておいた本人の顔の特徴と，認証時にカメラで読み取った顔の特徴を照合する認証

部外秘とすべき電子ファイルがある。このファイルの機密性を確保するために使用するセキュリティ対策技術として，適切なものはどれか。

情報セキュリティにおける PCI DSS の説明として，適切なものはどれか。

脆弱性のあるIoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し，他の多数のIoT機器にマルウェア感染が拡大した。ある日のある時刻に，マルウェアに感染した多数のIoT機器が特定のWeb サイトへ一斉に大量のアクセスを行い，Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。

IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップであり，暗号化に利用する鍵などの情報をチップの内部に記憶しており，外部から内部の情報の取出しが困難な構造をもつものはどれか。

SNSの事例におけるITサービスマネジメントの要件に関する記述のうち，機密性に該当するものはどれか。

中小企業の情報セキュリティ対策普及の加速化に向けて， IPA が創設した制度である“SECURITY ACTION” に関する記述のうち，適切なものはどれか。

情報セキュリティの三大要素である機密性，完全性及び可用性に関する記述のうち，最も適切なものはどれか。

情報セキュリティのリスクマネジメントにおいて， リスク移転，リスク回避，リスク低減， リスク保有などが分類に用いられることがある。これらに関する記述として，適切なものはどれか。

情報セキュリティ対策を，技術的対策，人的対策及び物理的対策の三つに分類したとき，物理的対策の例として適切なものはどれか。

IoT システムなどの設計， 構築及び運用に際しての基本原則とされ， システムの企画，設計段階から情報セキュリティを確保するための方策を何と呼ぶか。

システム要件定義で明確にするもののうち，性能に関する要件はどれか。

J-CRATに関する記述として，適切なものはどれか。

ISMS における情報セキュリティに関する次の記述中のa，bに入れる字句の適切な組合せはどれか。
情報セキュリティとは，情報の機密性，完全性及び a を維持することであ る。さらに，真正性，責任追跡性，否認防止， b などの特性を維持するこ とを含める場合もある。

二要素認証の説明として，最も適切なものはどれか。

情報セキュリティポリシを，基本方針，対策基準及び実施手順の三つの文書で構成したとき，これらに関する説明のうち，適切なものはどれか。

パスワードに関連した不適切な行為 a〜d のうち， 不正アクセス禁止法で規制されている行為だけを全て挙げたものはどれか。

a 業務を代行してもらうために，社内データベースアクセス用の自分のIDとパスワードを同僚に伝えた。
b 自分のPCに，社内データベースアクセス用の自分のパスワードのメモを貼り付けた。
c 電子メールに添付されていた文書をPCに取り込んだ。その文書の閲覧用パスワードを，その文書を見る権利のない人に教えた。
d 人気のショッピングサイトに登録されている他人のIDとパスワードを，無断で第三者に伝えた。

PDCAモデルに基づいてISMSを運用している組織の活動において， PDCAモデルのA(Act)に相当するプロセスで実施するものとして，適切なものはどれか。

サイバーセキュリティ基本法は，サイバーセキュリティに関する施策に関し，基本理念を定め，国や地方公共団体の責務などを定めた法律である。記述a~dのう ち，この法律が国の基本的施策として定めているものだけを全て挙げたものはどれか。
a 国の行政機関等におけるサイバーセキュリティの確保
b サイバーセキュリティ関連産業の振興及び国際競争力の強化
c サイバーセキュリティ関連犯罪の取締り及び被害の拡大の防止
d サイバーセキュリティに係る人材の確保

情報セキュリティポリシを，基本方針，対策基準，実施手順の三つの文書で構成したとき，これらに関する説明のうち，適切なものはどれか。

ISMSクラウドセキュリティ認証に関する記述として，適切なものはどれか。

IoTデバイス群とそれらを管理する IoTサーバで構成される IoTシステムがある。 このシステムの情報セキュリティにおける1~3のインシデントと，それによっ て損なわれる，機密性，完全性及び可用性との組合せとして，適切なものはどれか。
【インシデント]
1 IoTデバイスが，電池切れによって動作しなくなった。
2 IoTデバイスとIoTサーバ間の通信を暗号化していなかったので，情報が漏えいした。
3 システムの不具合によって，誤ったデータが記録された。

情報セキュリティにおける機密性， 完全性及び可用性に関する記述のうち， 完全性が確保されなかった例だけを全て挙げたものはどれか。

a オペレーターが誤ったデータを入力し， 顧客名簿に矛盾が生じた。
b ショッピングサイトがシステム障害で一時的に利用できなかった。
c データベースで管理していた顧客の個人情報が漏えいした。

a~d のうち，ファシリティマネジメントに関する実施事項として，適切なものだけを全て挙げたものはどれか。
a コンピュータを設置した建物への入退館の管理
b 社内の PC へのマルウェア対策ソフトの導入と更新管理
c 情報システムを構成するソフトウェアのライセンス管理
d 停電時のデータ消失防止のための無停電電源装置の設置

アドホックネットワークの説明として，適切なものはどれか。

ISMSにおける情報セキュリティ方針に関する記述として， 適切なものはどれか。

内外に宣言する最上位の情報セキュリティポリシに記載することとして，最も適切なものはどれか。

ある事業者において，情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として，最も適切なものはどれか。

品質に関する組織やプロセスの運営管理を標準化し，マネジメントの質や効率の向上を目的とした方策として，適切なものはどれか。

情報システムに不正に侵入し，サービスを停止させて社会的混乱を生じさせるような行為に対して，国全体で体系的に防御施策を講じるための基本理念を定め，国の責務などを明らかにした法律はどれか。

情報の取扱いに関する不適切な行為 a~c のうち，不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。
a オフィス内で拾った手帳に記載されていた他人の利用者 ID とパスワードを無断で使って，自社のサーバにネットワークを介してログインし，格納されていた人事評価情報を閲覧した。
b 同僚が席を離れたときに，同僚のPCの画面に表示されていた，自分にはアクセスする権限のない人事評価情報を閲覧した。
c 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し，自分のPCで人事評価情報を閲覧した。

IoTデバイスにおけるセキュリティ対策のうち， 耐タンパ性をもたせる対策として，適切なものはどれか。

IoTシステム向けに使われる無線ネットワークであり，一般的な電池で数年以上の運用が可能な省電力性と，最大で数十kmの通信が可能な広域性を有するものはどれか。

a-c のうち，サイバーセキュリティ基本法に規定されているものだけを全て挙げたものはどれか。
a サイバーセキュリティに関して，国や地方公共団体が果たすべき責務
b サイバーセキュリティに関して，国民が努力すべきこと
c サイバーセキュリティに関する施策の推進についての基本理念

攻撃者が他人のPCにランサムウェアを感染させる狙いはどれか。

ISMS の計画，運用，パフォーマンス評価及び改善において，パフォーマンス評価で実施するものはどれか。

情報セキュリティのリスクマネジメントにおけるリスク対応を，リスクの移転，回避，受容及び低減の四つに分類するとき，リスクの低減の例として，適切なものはどれか。

外部と通信するメールサーバをDMZに設置する理由として，適切なものはどれか。

IoT デバイスに関わるリスク対策のうち，IoT デバイスが盗まれた場合の耐タンパ性を高めることができるものはどれか。

情報システムの施設や設備を維持・保全するファシリティマネジメントの施策として，適切なものはどれか。

クレジットカードの会員データを安全に取り扱うことを目的として策定された，クレジットカード情報の保護に関するセキュリティ基準はどれか。

情報セキュリティにおけるリスクアセスメントを，リスク特定，リスク分析，リスク評価の三つのプロセスに分けたとき，リスク分析に関する記述として，最も適切なものはどれか。

情報セキュリティにおける機密性，完全性及び可用性と，1~3のインシデントによって損なわれたものとの組合せとして，適切なものはどれか。
①DDoS 攻撃によって， Web サイトがダウンした。
②キーボードの打ち間違いによって，不正確なデータが入力された。
③PC がマルウェアに感染したことによって，個人情報が漏えいした。

二つの拠点を専用回線で接続したWANでパケットを送受信する場合，可用性を高める例として，適切なものはどれか。

バイオメトリクス認証における認証精度に関する次の記述中のa，bに入れる字句の適切な組合せはどれか。
バイオメトリクス認証において，誤って本人を拒否する確率を本人拒否率といい， 誤って他人を受け入れる確率を他人受入率という。また，認証の装置又はアルゴリ ズムが生体情報を認識できない割合を未対応率という。 認証精度の設定において， a が低くなるように設定すると利便性が高まり，
b が低くなるように設定すると安全性が高まる。

システムによる内部統制を目的として，幾つかの機能を実装した。次の処理は，どの機能の実現例として適切か。
ログイン画面を表示して利用者 ID とパスワードを入力する。利用者 ID とパスワードの組合せがあらかじめ登録されている内容と一致する場合は業務メニュー画面に遷移する。一致しない場合は遷移せずにエラーメッセージを表示する。

情報セキュリティにおける認証要素は3種類に分類できる。 認証要素の3種類として，適切なものはどれか。

無線LANに関する記述のうち，適切なものはどれか。

ISMSの確立，実施，維持及び継続的改善における次の実施項目のうち，最初に行うものはどれか。

サーバルームへの共連れによる不正入室を防ぐ物理的セキュリティ対策の例として，適切なものはどれか。

ソフトウェア製品の品質特性を，移植性，機能適合性，互換性，使用性，信頼性，性能効率性，セキュリティ，保守性に分類したとき，RPAソフトウェアの使用性に関する記述として，最も適切なものはどれか。

IoT機器であるスマートメーターに関する記述として， 適切なものはどれか。

Wi-Fi のセキュリティ規格である WPA2を用いて， PC を無線 LAN ルータと接続するときに設定する PSK の説明として，適切なものはどれか。

情報セキュリティのリスクマネジメントにおけるリスク対応を， リスク回避，リスク共有，リスク低減及びリスク保有の四つに分類するとき，情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

無線LANのセキュリティにおいて，アクセスポイントがPCなどの端末からの接続要求を受け取ったときに，接続を要求してきた端末固有の情報を基に接続制限を行 う仕組みはどれか。

ITサービスマネジメントのフレームワークはどれか。

電子メールの内容が改ざんされていないことの確認に利用するものはどれか。

情報セキュリティの物理的対策として，取り扱う情報の重要性に応じて，オフィスなどの空間を物理的に区切り，オープンエリア， セキュリティエリア，受渡しエ リアなどに分離することを何と呼ぶか。

情報セキュリティのリスクマネジメントにおけるリスクへの対応を，リスク共有，リスク回避，リスク保有及びリスク低減の四つに分類するとき，リスク共有の例として，適切なものはどれか。

次の記述a～cのうち，VPNの特徴として，適切なものだけを全て挙げたものはどれか。
a アクセスポイントを経由しないで，端末同士が相互に無線通信を行うことができる。
b 公衆ネットワークなどを利用するが，あたかも自社専用ネットワークのように使うことができる。
c ネットワークに接続することによって，PC のセキュリティ状態を検査することができる。

情報セキュリティのリスクマネジメントにおけるリスク対応を， リスク回避， リスク共有， リスク低減及びリスク保有の四つに分類したとき， リスク共有の説明として，適切なものはどれか。

NDAに関する記述として，最も適切なものはどれか。

従業員に貸与するスマートフォンなどのモバイル端末を遠隔から統合的に管理する仕組みであり，セキュリティの設定や，紛失時にロックしたり初期化したりする 機能をもつものはどれか。

企業において情報セキュリティポリシー策定で行う作業のうち，次の作業の実施順序として，適切なものはどれか。
a　策定する責任者や担当者を決定する。
b　情報セキュリティ対策の基本方針を策定する。
c　保有する情報資産を洗い出し，分類する。
d　リスクを分析する。

IoT機器のセキュリティ対策のうち，ソーシャルエンジニアリング対策として，最も適切なものはどれか。

ISMSにおける情報セキュリティに関する次の記述中のa， bに入れる字句の適切な組合せはどれか。
情報セキュリティとは，情報の機密性， a 及び可用性を維持することであ る。さらに， b 責任追跡性，否認防止，信頼性などの特性を維持することを含める場合もある。

ISMSクラウドセキュリティ認証に関する記述として，適切なものはどれか。

PDCA モデルに基づいて ISMS を運用している組織の活動において，次のような調査報告があった。 この調査は PDCA モデルのどのプロセスで実施されるか。

社外からの電子メールの受信に対しては， 情報セキュリティポリシーに従ってマルウェア検知システムを導入し， 維持運用されており， 日々数十件のマルウェア付き電子メールの受信を検知し， 破棄するという効果を上げている。 しかし， 社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく， 社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。

情報セキュリティの3要素である機密性，完全性及び可用性と，それらを確保するための対策の例a〜cの適切な組合せはどれか。
a　アクセス制御
b　デジタル署名
c　ディスクの二重化

サーバ室など，セキュリティで保護された区画への入退室管理において，一人の認証で他者も一緒に入室する共連れの防止対策として，利用されるものはどれか。

ISMSの情報セキュリティリスク対応における，人的資源に関するセキュリティ管理策の記述として，適切でないものはどれか。