令和7年 問59
ISMSにおける内部監査に関する記述のうち、適切なものはどれか。
解説(令和7年 問59)
- シラバス:シラ外
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:ISMSにおける内部監査
内部監査
組織のISMSの適合性と有効性を、あらかじめ定めた間隔(年1回以上)でチェックする活動です。適合性や有効性に問題点が見つかれば是正処置を求めます。
適合性:自ら定めたISMSに関する規定やルールおよびISO/IEC 27001の要求事項に決められた通りに、業務ができているか
有効性:現行のISMSのルールや文書が有効に実施されているか
ア JIS Q 27001の要求事項及び組織自体が規定した要求事項によって定める監査基準への適合性だけでなく、 ISMS活動の組織に対する有効性も判定する。
適切です。
イ JIS Q 27001の要求事項ではなく、組織自体が規定した要求事項を監査基準とする。
内部監査はISO/IEC 27001の要求事項に適合しているかチェックするので、「JIS Q 27001の要求事項ではなく」は不適切です。
ウ 内部監査の実施のためのプログラムを確立するときには、前回の内部監査の結果は考慮しない。
内部監査はISMSのPDCAサイクルの「C」にあたる工程なので、「前回の内部監査の結果は考慮しない。」は不適切です。
エ 不定期かつ抜き打ちでの実施を原則とする。
内部監査は、あらかじめ定めた間隔(年1回以上)でチェックする活動なので、「不定期かつ抜き打ちでの実施を原則」は不適切です。
よって、正解は ア です。
令和7年 問68
CSIRTとして行う活動の例として、最も適切なものはどれか。
解説(令和7年 問68)
- シラバス:Ver.3.0以前
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:時々出た
- キーワード:CSIRT
CSIRT(Computer Security Incident Response Team:シーサート)
Computer(コンピュータ)
Security(セキュリティ)
Incident(偶発的な事件、事故)
Response(対応)
Team(チーム)
CSIRTは、企業内・組織内や政府機関に設置され、情報セキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織の総称です。
(情報セキュリティマネジメント 平成28年春午前 問1より)
ウ 「セキュリティ事故の発生時に影響範囲を調査」「被害拡大を防止するための対策実施」とあるので、正解は ウ です。
令和7年 問69
バイオメトリクス認証の他人受入率と本人拒否率に関する次の記述中のa、bに入れる字句の適切な組合せはどれか。
バイオメトリクス認証の認証精度において、他人受入率を低く抑えようとすると( a )が高くなり、本人拒否率を低く抑えようとすると( b )が高くなる。
| a | b | |
ア | 安全性 | 可用性 |
イ | 安全性 | 利便性 |
ウ | 利便性 | 安全性 |
エ | 利便性 | 可用性 |
解説(令和7年 問69)
- シラバス:Ver.6.3
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:他人受入率、本人拒否率
FRR (False Rejection Rate:本人拒否率)
本人拒否率は、認証しようとしている人が本人であるにもかかわらず、認証がエラー(Rejection=拒否)になる確率です。
FRR (本人拒否率)が低くなるように設定すると、利便性が高まる。
FAR (False Acceptance Rate:他人受入率)
他人受入率は、認証しようとしている人が他人で認証(Acceptance=受け入れ)されてしまう確率です。
FAR (他人受入率)が低くなるように設定すると、安全性が高まる。
FRR (本人拒否率)とFAR (他人受入率)の関係
FRRを減少させると、FARは増大します。
(基本情報 平成20年春午前 問64より)
よって、正解は イ です。
令和7年 問70
情報セキュリティにおける脅威のうち、脆弱性を是正するセキュリティパッチをソフトウェアに適用することが最も有効な対策になるものはどれか。
解説(令和7年 問70)
- シラバス:Ver.6.3
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:バッファオーバーフロー
バッファオーバフロー
プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせる攻撃です。
(ITパスポート 平成26年秋 問59より)
脆弱性(ぜいじゃくせい)
コンピュータやネットワークにおいて、サイバーセキュリティ上の問題となる可能性がある弱点のことです。
(用語集(さ行) | 国民のためのサイバーセキュリティサイト より)
セキュリティパッチ
ソフトウェアの欠陥や、脆弱性などを修正するために使用されるプログラムのことです。
バッファオーバフローは、ソフトウェアに起因する脅威です。選択肢の中では、セキュリティパッチの適用が最も有効な脅威です。
よって、正解は エ です。
令和7年 問73
Webサービスを狙った攻撃に関する記述と攻撃の名称の適切な組合せはどれか。
- Webサービスが利用しているソフトウェアに脆弱性の存在が判明したとき、その修正プログラムが提供される前に、この脆弱性を突いて攻撃する。
- 複数のコンピュータから大量のパケットを一斉に送り付けることによって、Webサービスを正常に提供できなくさせる。
- 理論的にあり得るパスワードのパターンを順次試すことによって、正しいパスワードを見つけ、攻撃対象のWebサービスに侵入する。
| a | b | c | |
ア | DDos 攻撃 | ゼロディ攻撃 | ブルートフォース攻撃 |
イ | DDos 攻撃 | ブルートフォース攻撃 | ゼロディ攻撃 |
ウ | ゼロディ攻撃 | DDos 攻撃 | ブルートフォース攻撃 |
エ | ゼロディ攻撃 | ブルートフォース攻撃 | DDos 攻撃 |
解説(令和7年 問73)
- シラバス:Ver.3.0以前
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:ゼロデイ攻撃、DDoS攻撃、ブルートフォース攻撃
ゼ口デイ攻撃
ソフトウェアに脆弱性が存在することが判明したとき、そのソフトウェアの修正プログラムがベンダから提供される前に、判明した脆弱性を利用して行われる攻撃です。
(ITパスポート 平成25年秋 問74より)
DDoS(Distributed Denial of Service)
Distributed(分散型の)
Denial(拒否)
of
Service(サービス)
DDoS 攻撃は、インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃です。
ブルートフォース攻撃(Brute-force attack)
Brute-force(総当たり)
attack(攻撃)
ブルートフォース攻撃は、主にパスワードの割り出しに用いられる手法です。文字、数字、記号の全ての組み合わせをそれぞれパスワードとして、繰り返しログインを試みる攻撃です。
a.Webサービスが利用しているソフトウェアに脆弱性の存在が判明したとき、その修正プログラムが提供される前に、この脆弱性を突いて攻撃する。
ゼ口デイ攻撃に関する記述です。
b.複数のコンピュータから大量のパケットを一斉に送り付けることによって、Webサービスを正常に提供できなくさせる。
DDoS 攻撃に関する記述です。
c.理論的にあり得るパスワードのパターンを順次試すことによって、正しいパスワードを見つけ、攻撃対象のWebサービスに侵入する。
ブルートフォース攻撃に関する記述です。
よって、正解は ウ です。
令和7年 問74
デジタルフォレンジックスの説明として、適切なものはどれか。
解説(令和7年 問74)
- シラバス:Ver.3.0以前
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:デジタルフォレンジックス
ディジタルフォレンジックス
コンピュータに関する犯罪が生じたとき、関係する機器やデータ、ログなどの収集及び分析を行い、法的な証拠性を明らかにするための手段や技術の総称です。
(ITパスポート 平成31年春 問99より)
ア 「コンピュータに関する犯罪や法的紛争が生じた際に」「証拠を収集し保全すること」とあるので、正解は ア です。
コメント